ISMS Forum, junto con el Data Privacy Institute (DPI), celebró el XII Foro de la privacidad el pasado martes 3 de marzo de 2020 en el Auditorio Principal CaixaForum Madrid. Más de 300 profesionales del sector se dieron cita en este evento que ha tratado temas tan controvertidos como la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, la gobernanza en la protección de datos, la RGPD, el cumplimiento de terceros, la madurez en la protección de datos, o la ética digital.

Carlos A. Saiz, Vicepresidente de ISMS Forum y Director del Data Privacy Institute fue el encargado de inaugurar el acto. “Recuerdo cuando leíamos aquellos primeros borradores sobre la puesta en marcha del reglamento y posteriormente la Ley Orgánica en España, resultó un esfuerzo titánico de adaptación tanto para las compañías privadas como para las administraciones públicas como sistema de cumplimiento global en la privacidad, lo que nos hizo ver que esto no se trataba de un proyecto para generar documentos, hacer cláusulas, o instalar tecnologías de seguridad, sino que iba mucho más allá, pretendía cambiar una cultura, una forma determinada de hacer las cosas, e incluso definir planes de negocio con un enfoque bastante diferente al que veníamos haciendo anteriormente”, comentó.

Retos y oportunidades del nuevo mandato de la Comisión Europea y el EDPS.

La ponencia que inauguró el encuentro fue impartida por Leonardo Cervera, Director del European Data Protection Supervisor (EDPS), que comenzó explicando dos de los principales ejes propuestos por la Comisión Europea (CE). “Dentro de sus primeros 100 días, la Comisión Europea ha presentado una estrategia para Europa que se basa en dos ejes principales. El primero es el “green deal” o pacto verde, donde el objetivo es conseguir que la Unión Europea sea carbono neutral para el año 2050, lo que conlleva unas transformaciones enormes tanto en nuestro sistema productivo como en nuestros hábitos de consumo”, a lo que añadió, “el segundo eje de actuación es una estrategia digital para Europa, centrada en la gestión de la protección de datos, por lo que aquellos que pensaron que con la aprobación del RGPD y la entrada en vigor del Reglamento la protección de datos iría en declive, me temo que se equivocaron, porque va a seguir evolucionando, y tomará más importancia en los próximos años”.

Cervera recalcó la importancia de la aplicación de esta estrategia digital unitaria en la Unión Europea sin tratar de equipararse a los RGPD de otros países con la intención de ser más competentes, “no es que queramos cerrar nuestros mercados a las empresas extranjeras, nosotros abogamos por un sistema que cree en la libre competencia, y nuestro mercado está abierto a todo el mundo, pero debe quedar claro que las empresas extranjeras que vengan a Europa tienen que hacerlo respetando nuestras reglas y nuestros valores”, declaró.

Leonardo Cervera durante su ponencia en el XII Foro de la Privacidad.

Hoy en día más de 130 países cuentan con una normativa en Protección de Datos, y 90 autoridades de protección de datos. El RGPD se ha convertido en el estándar de oro internacional, sin embargo, todavía quedan muchas áreas por abordar, una de ellas es la aplicación de normativas a la Inteligencia Artificial. “La Unión Europea propone un modelo de Inteligencia Artificial en Europa en el que se dice claramente que la tecnología debe estar regulada y basada en nuestros valores, control público y aprobación previa en aquellos supuestos en los que se estima que la tecnología supone un gran riesgo”, comentó el experto.

“Estoy echando en falta esquemas de certificación y códigos de conducta. Los sectores industriales deben poner sus propuestas sobre el papel, documentar lo que ellos consideran que es una protección adecuada, puesto que ese es el camino para avanzar. No puede ser que el Supervisor Europeo o la Agencia Española de Protección de Datos tengan que estar dirimiendo todas estas cuestiones”, concretó Leonardo en relación a las buenas prácticas que tienen que ir aplicando las empresas.

El ponente finalizó su intervención poniendo en relevancia la formación y profesionalidad a nivel nacional. “En España afortunadamente tenemos un gran talento en Protección de Datos. Tenemos una Agencia y unos profesionales de la privacidad reconocidos a nivel mundial, de hecho, me consta que las grandes tecnológicas reclutan a muchos profesionales españoles, por eso debemos reclamar más liderazgo y ponernos a la cabeza de esta cuarta revolución industrial en la que estamos inmersos”.

Mar España: balance de mandato y próximos retos de la AEPD

La siguiente intervención la protagonizó Mar España, Directora de la Agencia Española de Protección de Datos, que hizo un balance de su mandato y presentó los próximos retos de la AEPD. “Una de las primeras medidas que tomé al entrar en la AEPD fue analizar cuáles eran los sectores estratégicos de la economía nacional. Conseguimos dividirlos en 6 sectores (financiero, seguros, telecomunicaciones y economía digital, suministros de energía, superficies de gran consumo, turismo, etc.) y, durante estos 4 años y medio, hemos estado teniendo reuniones periódicas que les permitiese perder el miedo, ya que sí que tenemos una parte sancionadora muy intensa, pero la que queremos divulgar es la parte preventiva, porque creo que si concienciamos en una cultura de privacidad desde el diseño podemos evitar muchos problemas”, comentó la experta al inicio de su ponencia.

En su paso por la Agencia, Mar España ha reivindicado la importancia de la transversalidad del dato, haciendo hincapié en la creación de herramientas para establecer medidas de control y prevención de riesgos. “En estos 4 años hemos puesto en marcha 76 herramientas y guías, con la dificultad añadida de que la plantilla ha aumentado en 30 personas, pero el presupuesto lleva congelado 10 años”, declaró.

Asimismo, la Directora de la AEPD expresó su opinión en relación al ciberacoso: “los ciudadanos tienen que saber que existe una responsabilidad penal al lado de cada reenvío, y no solo por delito de acoso, sino por otros tantos tipificados en el Código Penal”, a lo que añadió, “si una empresa conoce que se está produciendo un caso de ciberacoso entre los trabajadores, el no actuar y preocuparse de concretar esto después con la Inspección de Trabajo, son 187.000 € de multa". En cuanto a las nociones de seguridad en Internet, según comentó la ponente, “los datos son escalofriantes, 7 de cada 10 jóvenes ven normal que sus parejas les controlen el móvil”. La AEPD ha pedido incluir la violencia digital en la Ley contra la Violencia para la protección integral para la infancia y adolescencia, prestándose como organismo que regule las denuncias a través de un canal de ayuda.

“Tenemos ya dos o tres procedimientos sancionadores de alto impacto que van a tener mucha repercusión mediática en relación con el sector financiero, serán las primeras multas cuantitativas importantes por parte de la Agencia”, anunció Mar España, que también habló de la creación de un foro sobre innovación, privacidad y sostenibilidad atendiendo a la responsabilidad social corporativa. “Me gustaría que formasen parte las grandes empresas del Ibex 35 y las fundaciones de las empresas más representativas del país. Contamos ya con varios documentos sobre derechos, obligaciones y responsabilidades en el ámbito digital que queremos que las grandes empresas apliquen y difundan”.

“El gran reto que queda para la agencia en el siguiente mandato es conseguir más medios, así como construir un uso responsable de las nuevas tecnologías, tanto en los menores como en los ciudadanos, y que todos tengamos presente que tras un derecho digital hay una responsabilidad digital, y se puede acabar en la cárcel o despedido si los incumplimos”.

Mar España durante su ponencia en el XII Foro de la Privacidad.

La primera mesa redonda del día “Data Protection Maturity” contó con la participación de Antonio Muñoz, Data Protection Technical Director, Global DPO Office (Telefónica); Galo Claverie, Privacy Consultant (OneTrust); Gonzalo Salas, Senior Manager IT Legal Advisory (Grupo SIA); Marta Cañas, Data Protection Officer (Iberia); y fue moderada por Carlos A. Saiz, Vicepresidente de ISMS Forum, Director del Data Privacy Institute, y Attorney, Partner and Head of Governnance, Risk & Compliance practice (Ecix Group).

La mesa redonda estuvo enfocada al nivel de madurez de las empresas en cuanto a privacidad. “Desde mi experiencia en Iberia, significa estar en todos los proyectos e iniciativas que surjan de la transformación digital, relacionadas con las nuevas tecnologías, y teniendo en cuenta las actualizaciones de medidas de seguridad y privacidad, para proteger todos los datos que manejamos durante todo el ciclo de vida del proyecto”, comentó Marta Cañas.

Antonio Muñoz hizo hincapié en la necesidad de implicación de todas las áreas que pueden afectar a la empresa, “cuando tenemos una organización grande, la colaboración del resto de áreas implicadas es muy necesaria, no solo a nivel de alta Dirección, sino de la persona que está introduciendo unos datos, trabajando con una hoja de Excel, que tiene que proteger su dispositivo de una determinada manera, y por mucho que tengamos políticas internas y contemos con el apoyo de la Dirección, si no tengo la sensibilidad de las personas que están llevando a cabo esta actividad difícilmente voy a poder cumplir mis objetivos”.

En referencia a la figura del DPO, Gonzalo Salas comentó: lo más importante, más allá de lo que venga regulado o tabulado en la propia normativa, el modelo a rendición de cuentas a la parte más gerencial, pienso que cuanto más se rinda en las organizaciones mucho mejor, que se establezca y se configure a través de un reglamento interno, y que se le dote de recursos materiales, humanos y presupuestarios, sino no dejará de ser una figura de mera apariencia.

Otro de los temas a debate fueron los movimientos sancionadores que se están dando en los diferentes países en relación a la privacidad. “No me sorprende, los países se están adaptando a esta nueva regulación nerviosa que está saliendo y que es necesaria para evaluar cómo se trata la privacidad dentro de la organización, de cara interna y externa, cómo evalúan la gestión de riesgo de los proveedores, y cómo se certifican para poder hacer esta evaluación adecuadamente”, destacó Galo Claverie.

Carlos A. Saiz, Antonio Muñoz, Galo Claverie, Gonzalo Salas y Marta Cañas, respectivamente.

Protección de datos: la perspectiva de la European Data Protection Board

La ponencia de Michal Czerniawski, Legal Officer en European Data Protection Board (EDPB), trató sobre la protección de datos desde el punto de vista de la EDPB. Uno de los temas a destacar fue la labor del organismo en la implantación a nivel unitario de la RGPD, sus códigos de conducta y certificación, “nos aseguramos de si alguien necesita realizar una evaluación de impacto de la protección de datos de España y Letonia, por ejemplo, que esta siga las directrices de un código de conducta y certificación unitario”.

Michal también habló sobre la regulación de las transferencias internacionales de datos, que requieren una aplicación específica y difícil de aplicar, así como la retención de datos, que según el experto cuenta con tres perspectivas: la visión desde los derechos fundamentales y la protección de los datos finales, la de usuarios que utilizan dispositivos móviles y las autoridades encargadas de hacer cumplir la ley, y la perspectiva de los operadores de telecomunicaciones que se dedican al almacenamiento de datos para fines específicos.

“Los proveedores de telecomunicaciones almacenan datos con el fin de comercializar con ellos y algunos otros servicios, y esto está permitido por ley, por lo que tenemos aplicaciones como WhatsApp y Facebook con las que intercambiamos cada vez más información sensible en lo que ahora llamamos “Over the top media services” (…) el consejo continuará siguiendo muy de cerca todos los acontecimientos en este ámbito y, de conformidad con sus funciones y tareas, intervendrá cuando sea pertinente, ayudando a las autoridades internacionales de protección de datos en su tarea de evaluar las leyes nacionales de protección de datos, principalmente desde la perspectiva del principio de proporcionalidad y las salvaguardias que fueron establecidas por los proveedores de servicios para proteger los derechos fundamentales.

Michal Czerniawski durante su ponencia en el XII Foro de la Privacidad.

La segunda mesa redonda del día, formada por Fanny Y. Pérez, CISO (Liberbank); Elena Cerrada, Country Manager (Forcepoint); Vicente de la Morena, Country Leader (Riskrecon); y como moderador Roberto Baratta, Director of Loss Prevention, Business Continuity and Security, and DPO, Abanca; Board member (ISMS Forum), trató sobre “GDPR & Risk Management”. La implementación del RGPD conduce a un ecosistema de gestión del riesgo interno y asociado a las empresas proveedoras, así como la regulación e implantación de buenas prácticas.

Uno de los factores principales dentro de una organización es aprender a diferenciar las responsabilidades del CISO y las del DPO, “yo creo que el conflicto se da cuando comenzamos a solapar tareas, pues no sabemos dónde comienza mi trabajo y el del otro”, comentó Roberto Baratta. Según Elena Cerrada, “el hecho de que existan esas diferentes figuras nos facilita el que ahora mismo la seguridad no solamente se reduzca al ámbito del CISO, sino que también entra a valorar los riesgos y necesidades cuando se da una solución de seguridad. Nosotros, como fabricantes de seguridad, lo único que tenemos que garantizar es que somos capaces de proteger el dato, y que esa protección del dato sea un facilitador del negocio, nunca un stopper, y cuantas más personas se incorporen e involucren en la toma de una decisión, más fácil será desarrollar el proyecto y mitigar los riesgos”.

Por otra parte, el cumplimiento del RGPD resulta una ardua tarea para las empresas que cuentan con muchos proveedores, puesto que establecer una monitorización de todas las actividades que se desarrollan al mismo tiempo requiere un gran esfuerzo por parte de las organizaciones. “Muchos clientes superan la gestión de más de 5000 proveedores en tiempo real, esto no se puede hacer de una forma tradicional, hay que cambiar la aproximación y definir un marco con unos controles que podamos manejar, así como seleccionar los proveedores que más se asemejen a nuestro nivel de exigencia y cumplimiento”, declaró Fanny Y. Pérez. De la misma manera, la experta abogó por proteger lo máximo posible a partir de los recursos de los que se disponen, “el crimen organizado está ya aquí y está evolucionando, haciendo grandes inversiones, y es cierto que nuestro presupuesto no es ilimitado, pero vamos realizando controles e implementando soluciones que consideramos que son las adecuadas para controlar la información, aún así nunca vamos a estar 100% seguros de que estamos protegidos”.

Otro de los temas destacados fue la realización de ciberejercicios, que permiten conocer el estado actual de la empresa y del ecosistema en el que se mueve. Vicente de la Morena comentó que los ciberejercicios permiten crear una proyección en el tiempo del trabajo y las cosas que se deben mejorar sabiendo que si, por ejemplo, descubrimos que uno de nuestros proveedores está comprometido, podemos realizar una petición inmediata para que resuelva el problema, lo cual nos da herramientas para gestionar el riesgo, no lo solucionan, pero sí nos pone en una posición de evaluación de riesgos y la toma de decisiones necesarias para salvaguardarlos.

De izquierda a derecha, Roberto Baratta, Elena Cerrada, Fanny Y.Pérez y Vicente de la Morena.

ENISA crea una nueva herramienta de evaluación de riesgo de datos personales.

“Evaluating the level of risk a personal data processing operation” fue el nombre de la ponencia impartida por el Dr. Prokopios Drogkaris, Network and Information Security Expert en European Union Agency for Cybersecurity (ENISA). La temática giró en torno a la nueva plataforma que ENISA ha creado para la evaluación del nivel de riesgo de una operación de tratamiento de datos personales. “La herramienta sirve como apoyo a las pequeñas y medianas empresas que carecen de los recursos, conocimientos y la experiencia necesaria para identificar sus necesidades en relación al cumplimiento del RGPD”, destacó Prokopios.

Como tal, el enfoque propuesto no presenta una nueva metodología de evaluación de riesgos, sino que se basa en el trabajo existente en el campo para proporcionar orientación a las pymes. Cabe señalar que el enfoque propuesto está destinado a admitir controladores / procesadores de datos y no a actuar como un mecanismo de cumplimiento.

También debe tenerse en cuenta que el trabajo se centra únicamente en la evaluación de riesgos de seguridad en el contexto de las operaciones de procesamiento de datos personales, y no debe confundirse con la evaluación de impacto de protección de datos (DPIA - Artículo 35 GDPR). De hecho, mientras que el primero es una parte crítica del segundo, un DPIA tiene en cuenta otros parámetros que están relacionados con el procesamiento de datos personales y van más allá de la seguridad. Aun así, el enfoque propuesto también podría ser útil en el contexto de un DPIA y/o podría extenderse en el futuro para cubrir también la conducción del DPIA.

Prokopios Drogkaris durante su ponencia en el XII Foro de la Privacidad.

El broche final del XII Foro de la Privacidad lo pusieron Esmeralda Saracíbar, Miembro del Comité Operativo del Data Privacy Institute; Attorney, Partner and Governance, Risk & Compliance en Ecix Group, y María Jesús Morena, Principal Manager, Data Protection Office en BBVA, que presentaron la nueva Guía de Buenas Prácticas sobre Auditoría RGPD, elaborada por expertos y empresas de diversos sectores (Finanzas, Operadoras, Aseguradoras, Constructoras, Universidades, Retail y Transporte, etc.), cuyo objetivo es construir un documento útil y de interés para las empresas y profesionales que lleven a cabo auditorías periódicas de cumplimiento en esta materia.

“Para la elaboración de esta Guía hemos partido del paso de un enfoque tradicional a un enfoque mucho más moderno y dinámico que está fundamentalmente basado en la gestión del riesgo por parte de cada una de las entidades, es por esto que tenemos que contar con los preceptos normativos que nos invitan a mantener un marco de control continuo”, comentó María Jesús Morena.

“La Guía de Buenas Prácticas en Auditoría RGPD facilita a modo orientativo un sistema de métricas e indicadores tanto para valorar de manera objetiva el cumplimiento del control, como la eficacia de la organización, proporcionando recomendaciones para poder medir el cálculo del nivel global de cumplimiento de la empresa auditada”, señaló Esmeralda Saracíbar. El documento estará disponible pronto en la página web de ISMS Forum para su libre descarga.

Esmeralda Saracíbar y María Jesús Morena durante la presentación de la Guía de Buenas Prácticas Sobre Auditoría RGPD.

Un año más, el XII Foro de la Privacidad del Data Privacy Institute e ISMS Forum se consolidó como uno de los mayores foros nacionales en el que más de 300 asistentes disfrutaron de debates de alto rango en materia de Privacidad.

Esta jornada ha sido posible gracias al apoyo de Forcepoint, OneTrust Privacy, Riskrecon y Grupo SIA.