ISMS Forum -International Information Security Community- y su grupo de trabajo, el Data Privacy Institute (DPI), celebraron el XIII Foro de la Privacidad el pasado jueves 18 de febrero de 2021 en modalidad online. Más de 500 profesionales del sector de la privacidad y protección de datos se dieron cita en este evento que ha tratado temas como los modelos de gobierno de la privacidad, la gestión de data breach según las últimas Guidelines del EDPB, los riesgos de seguridad y privacidad asociados a terceros, las transferencias internacionales de datos y las herramientas que permiten garantizar un mayor nivel de cumplimiento.

Los encargados de presentar esta décimo tercera edición del Foro de la Privacidad fueron Carlos A. Saiz, Vicepresidente de ISMS Forum, Director del DPI, y Attorney, Partner and Head of Governnace, Risk & Compliance en Ecix Group; y Daniel García Sánchez, Director gerente de ISMS Forum.

Las directrices que marcarán el nuevo panorama europeo

Los Tracks se inauguraron con las ponencias de Bruno Gencarelli, Deputy to the Director & Head of Unit for International Data Flows and Protection - DG Justice and Consumers (Comisión Europea); y Ventsislav Karadjov, Presidente de la Comisión Búlgara de Protección de Datos (European Data Protection Board)

Bruno Gencarelli abordó la sentencia Schrems II y la problemática con el flujo transatlántico de datos, “entiendo que hay muchas preguntas, temas y preocupaciones alrededor de la sentencia Schrems II, pero existe una dimensión optimista y prometedora, son muchos los países que cuentan con sus propios sistemas de privacidad, y no se trata de llegar a ser idénticos, sino de tomarnos el tiempo suficiente para implantar características y salvaguardias comunes, respetando los sistemas de gobernanza. En España, la Agencia Española de Protección de Datos está realizando una gran labor al alinearse en este horizonte común, trabajando con cada región y creando herramientas de ayuda. Todavía queda mucho trabajo por hacer, pero debemos tener en cuenta que hoy día la Comisión Europea cuenta con oportunidades que hace unos años no existían y que debemos explotar”, declaró el experto.

Bruno Gencarelli, durante su ponencia en el XIII Foro de la Privacidad.

Por su parte, Ventsislav Karadjov intervino con una ponencia sobre las últimas directrices llevadas a cabo por la EDPB en relación a la notificación de brechas de seguridad.

“El programa de trabajo de la EDPB para 2021-2022 incluye tres documentos clave: el resultado de la consulta pública sobre las medidas complementarias a la Schrems II, que hasta el momento cuenta con unas 200 contribuciones a evaluar; la opinión de la decisión del diputado de Reino Unido sobre la gobernanza de los datos, con el impacto que conlleva en los controladores de datos; y una opinión de la EDPB y el EDPS sobre la Data Governance Act”, comentó Karadjov.

La mesa redonda del Track 1, "The state of the art in entreprise privacy", giró en torno al Estudio de Madurez en RGPD realizado por el Observatorio sobre el nivel de madurez RGPD en España del Data Privacy Institute. Los expertos compararon las estadísticas y valoraron el nivel de cumplimiento adoptado por las empresas, así como la evolución de la figura del DPO y sus retos en los próximos años.

Por otro lado, en la mesa redonda “Data Governance: privacy and security risks", correspondiente al Track 2, se organizó un debate en relación a la organización de la protección de datos en las empresas de los expertos invitados, abordando la figura del DPO y el rol del CISO, así como su interacción y el afrontamiento de problemas relacionados con la gestión de riesgos de terceros o la correcta implantación del RGPD y la Directiva NIS.

El Pacto Digital para la Protección de las Personas

La intervención de Mar España, Directora de la Agencia Española de Protección de Datos, fue una de las más esperadas de la jornada, puesto que presentó el nuevo Pacto Digital para la Protección de las Personas promovido por la AEPD, y al que ISMS Forum se ha adherido recientemente.

Este pacto promueve un gran acuerdo por la convivencia ciudadana en el ámbito digital, compatibilizando la protección de datos con la innovación, la ética y la competitividad empresarial. "El Pacto Digital para la Protección de las Personas es una iniciativa orientada a reforzar el derecho a la protección de datos a la vez que se promueve la innovación y la sostenibilidad. El desarrollo del proyecto ha contado con la colaboración de algunas de las principales organizaciones empresariales, fundaciones, asociaciones de medios de comunicación y grupos audiovisuales adheridos, entre ellos ISMS Forum, al que agradecemos su apoyo (...) desde este momento, y como es habitual en la Agencia, podéis enviarnos cualquier sugerencia para abordar colaboraciones público-privadas que nos ayuden a reforzarlo", explicó la Directora de la AEPD durante su ponencia.

Mar España, durante su ponencia en el XIII Foro de la Privacidad.       

La intervención de Thomas Zerdick, jefe de la Unidad de Tecnología y Privacidad en la oficina del Supervisor Europeo de Protección de Datos, giró en torno a la soberanía digital y la protección de datos.

Según el experto, "la soberanía digital es imprescindible, debemos mostrar a los controladores y organizaciones cuáles son los requerimientos para ejercer el Compliance, no solo por la protección de datos, también por la necesidad de asistir y defender los valores promovidos por la Unión Europea, se trata de desarrollar y concienciar ahora, para que mañana podamos dar ejemplo".

Thomas Zerdick, durante su ponencia en el XIII Foro de la Privacidad.

"Accountability-based privacy programme", fue el nombre de la ponencia impartida por Chris Taylor, Head of Assurance en el U.K. Information Commissioner’s Office. Para Taylor, un programa de privacidad basado en la responsabilidad es necesario para desarrollar herramientas prácticas para la organización, así como la aplicación de las normativas y estrategias desde una política de actuación.

“Este marco va dirigido a los responsables de establecer medidas adecuadas de protección de datos para la organización, unas medidas basadas en el riesgo y adaptadas a cada empresa”, comentó.

Prokopios Drogkaris, experto en seguridad de redes e información en la European Union Agency for Cybersecurity (ENISA), fue el encargado de poner fin al Track 2 con su ponencia sobre el nuevo informe "Data Pseudonymisation: Advanced Techniques and Use Cases" de ENISA.

El informe subraya la necesidad de tomar medidas que incluyan: el análisis de cada caso de tratamiento de datos personales para determinar la opción técnica más adecuada en relación a la seudonimización; un estudio en profundidad del contexto del tratamiento de datos personales antes de aplicar la seudonimización de datos; un análisis continuo del estado de la técnica en el ámbito de la seudonimización de datos, a medida que las nuevas investigaciones y los modelos empresariales abren nuevos caminos; y el desarrollo de escenarios avanzados de seudonimización para casos más complejos, por ejemplo, cuando los riesgos del tratamiento de datos personales se consideran elevados.

La Privacidad: comparativa EE.UU. –  EU

El encargado de darle el broche final al XIII Foro de la Privacidad de ISMS Forum y el DPI fue Peter Winn, Jefe en funciones de la Oficina de Privacidad y Libertades Civiles del Departamento de Justicia de los Estados Unidos, hablando sobre la gobernanza de la privacidad desde el diseño.

“El Departamento de Justicia de los Estados Unidos cree que la gobernanza desde la privacidad se basa en tres fundamentos: el Compliance, la ley y la confianza (…) las autoridades de protección de datos siempre deben tomar decisiones difíciles sobre hacia dónde dirigir sus recursos limitados. Estados Unidos ha aprendido mucho del Reglamento General de Protección de Datos y guardo un gran respeto por el trabajo que se ha hecho para aplicarlo. Desde mayo de 2018, cuando entró en vigor el Reglamento General de Protección de Datos, la Comisión Federal de Comercio ha recaudado casi 6.000 millones de dólares en multas por violación de la privacidad de las principales organizaciones pertenecientes al sector tecnológico”, declaró Peter Winn al inicio de su ponencia.

“Tanto en EE. UU. como en la UE deberíamos iniciar un proceso de evaluación y revisión de la ley para abordar sus debilidades, debemos ser proactivos para aprender de los demás y mejorar las estructuras de cumplimiento legal existentes. Todas las leyes tienen puntos débiles que pueden ser mejorados, lo importante es incorporar un proceso de mejora continua en el diseño de la gobernanza, recordando siempre que no se trata de la privacidad “teórica”, sino de la privacidad práctica, sobre el terreno”, concluyó el experto.

Peter Winn, durante su ponencia en el XIII Foro de la Privacidad.

Un año más, el XIII Foro de la Privacidad de ISMS Forum y el Data Privacy Institutese consolidó como uno de los mayores foros nacionales en el que más de 500 asistentes online disfrutaron de debates de alto rango en materia de Privacidad.

Esta jornada ha sido posible gracias al apoyo de Forcepoint, OneTrust Privacy, Riskrecon y Grupo SIA.