La Protección de Datos se enfrenta a retos que hace muy pocos años eran impensables. El progreso tecnológico y la globalización, han hecho emerger un nuevo escenario donde surgen riesgos y debates sobre conceptos como el derecho al olvido o la aplicación de la normativa en entornos en los que la información fluye a nivel internacional y los datos están deslocalizados bajo modelos de cloud computing. Como escenario de reflexión y debate, el Data Privacy Institute (DPI) de ISMS Forum Spain reunió en el IV Foro de la Privacidad, que tuvo lugar en Madrid el 18 de octubre en Madrid, a varios de los actores implicados en el sector, tanto empresas de referencia (Écija, Tuenti, KPMG, Telefónica, HP,Mapfre, Cepsa, Symantec, Grupo Prisa) como expertos y representantes de organismos públicos (Agencia Española de Protección de Datos, la Agencia Madrileña de Protección de Datos y la Agencia Catalana de Protección de Datos).

Bajo el título de “Estado actual de la protección de datos y próximos retos”, el evento hizo especial hincapié en los cambios normativos y en los desafíos que presentan los nuevos servicios y prácticas en Internet, como el cloud computing, el behavioral marketing o las redes sociales; que han crecido de forma exponencial, tanto en el ámbito empresarial como en el personal. Además se analizaron las primeras resoluciones tras la reforma del régimen sancionador de la Ley Orgánica de Protección de Datos (LOPD). La sede del Consejo General de Colegios de Médicos, miembro fundador de ISMS Forum acogió este IV Foro de la Privacidad debido a la importancia que para el colectivo tiene la Protección de Datos de los pacientes y de su compromiso con la privacidad.

El director de la Agencia Española de Protección de Datos (AEPD), José Luís Rodríguez Álvarez, fue el encargado de la apertura de honor con una ponencia sobre los retos de la Protección de Datos en los próximos años, aunque hizo énfasis en el estado actual, caracterizado por una normativa que podría haber quedado obsoleta para algunos problemas surgidos por un progreso tecnológico acelerado.  “Estamos necesitados de una actualización del marco legal”, haciendo referencia a la Directiva95/46/CE. “Los avances tecnológicos plantean continuamente nuevos retos para todas las instituciones que no son fáciles de abordar con las normativas actuales”, explicó. Aunque precisó que en España “contamos con un alto nivel de garantía de los datos personales, por encima de muchos países de nuestro entorno”. También apeló a la responsabilidad de las empresas en el respecto a la protección de los datos personales, así como a la ciudadanía general a exigir el cumplimiento de la legislación. “Yo creo que la conciencia de los ciudadanos de todos estos riesgos moverá a incrementar los niveles de protección. Lo será más cuando haya una mayor competencia”, apostilló a modo de comentario personal.

Con respecto a las redes sociales, declaró que es imprescindible un mayor compromiso de las compañías en la protección de los menores de la red, urgiendo que se perfeccionen metodologías que permitan comprobar la edad mínima exigida para participar en ellas. Asimismo, para Rodríguez Álvarez, el cloud computing no se puede convertir en una vía para eludir la normativa de Protección de Datos y advirtió a los a los usuarios que “quien contrata responde con arreglo a la legislación española”, haciendo referencia a la necesidad de revisar de forma exhaustiva las cláusulas contractuales

Precisamente el respeto a la privacidad y la seguridad en el cloud computing fue uno de los aspectos abordados profusamente en la jornada, ya que se trata de un fenómeno emergente que permite transferencias internacionales de datos personales y el almacenamiento de estos en servidores repartidos en distintos países del mundo, con legislaciones distintas.  De ahí que tanto los miembros de la práctica de seguridad de HP y KPMG, Cesar Peñacoba y Jaume Soler, respectivamente, como el subdirector general de la Agencia Madrileña de Protección de Datos, Emilio Aced, destacaran, en línea con la opinión deldirector de la AEPD, el valor de la auditoría y la contratación proveedores fiables, cuyos propios contratos incluyan el respeto explícito a la ley nacional sobre  Protección de Datos, allí donde los datos se trataren. “Hay posibilidad de que las autoridades de control españolas investiguen y actúen porque contractualmente debe de estar contemplado”, aseguró Aced.

El concepto de derecho al olvido fue uno de los más discutidos en la jornada. El director de la AEPD, alertó que lo “que está en juego es qué tipo de sociedad queremos. Una en la que las personas puedan cambiar o una sociedad en la que el recuerdo permanente del pasado impida la reinserción o nos coarte o no nos deje desarrollarnos como personas”. En lo estrictamente legal Rodríguez Álvarez explicó que las personas deben de poder ejercer los derechos de cancelación también en Internet. Se trata de retos que apelan al legislador, pero también a la industria que está obligada a “atender las peticiones de los ciudadanos con respecto a la Ley de Protección de Datos”.

Otros ponentes, durante la jornada aportaron perspectivas diferentes al respecto. El coordinador de Auditoría y Seguridad de la Información de la Agencia Catalana de Protección de Datos, Ramón Miralles, a título personal, habló de la idea de la “autodeterminación informativa”.  “El Derecho al Olvido no existe”, comentó, haciendo referencia a que las personas deberían tener acceso a toda la información disponible sobre ellos, siendo éste un derecho a la información de cualquier ciudadano. “Tenemos que saber qué información nuestra se está publicando y así podemos actuar”, concluyó. Otro matiz fue introducido por Natalia Martos, Directora de Privacidad en el Grupo Prisa y Consejera General de Prisa Digital, al diferenciar entre información publicada como noticia en un medio de comunicación a “lo publicado en una red social donde la persona puede cancelar lo que ha dado”, mostrándose “contraria a la sobrerregulación”.

En esta misma mesa dedicada al panorama normativo nacional de la privacidad en Internet, también se abordaron los protocolos de seguridad utilizados por las empresas de servicios, destacando la dificultad tecnológica actual como por ejemplo para identificar menores. “La diligencia de nuestros profesionales es máxima para identificar perfiles que son potenciales menores de 14 años” y proceder a su identificación real a través de documentos acreditativos verificados o de sus propios padres, comentó Óscar Casado, Director Jurídico y de Privacidad en Tuenti. Ante la dificultad de crear mecanismos fiables “lo que hace falta es que se “se sienten todos los actores para buscar soluciones que no sólo sean costosas para el que el está prestando el servicio”, declaró Paula Mª Eliz Santos, Letrada de la Dirección de Asesoría Jurídica de lo Consultivo en Telefónica España.

Por otro lado, se analizaron las primeras resoluciones tras la reforma del régimen sancionador de la Ley Orgánica de Protección de Datos derivada de la Ley de Economía Sostenible, a cargo del subdirector de Inspección de la Agencia Española de Protección de Datos, José López Calvo, quien comunicó que desde el tres de marzo se habían producido un alto número de apercibimientos, 213, siendo muy destacable que 144 estuvieran relacionados con la videovigilancia. Ricard Martínez, Presidente de la Asociación Profesional Española de Privacidad (APEP)y Profesor de Derecho Constitucional en la Universitat de València incidió sobre “el fruto de la modulación de las sanciones”. “No se tiene en cuenta la diligencia del responsable como causa de exención”, aseguró, abriendo debate con López Calvo, quien mostró su desacuerdo, matizando la afirmación de Martínez.

Las estrategias para la aplicación efectiva de las medidas de seguridad establecidas en el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de carácter personal (RLOPD) fueron analizadas por Miguel Ángel Ballesteros, Auditoría interna en Cepsa; Elena Mora, Marco regulatorio en Mapfre; Javier Carbayo, Asociado Senior en Ecija, y Miguel Cebrián, Senior Systems Engineer en Symantec, como moderador. Todos ellos estuvieron de acuerdo en destacar el gran valor de concienciación que tiene la auditoría. “Desde mi experiencia la principal misión de la auditoría es la concienciación”, aseveró Ballesteros. Además esa obligación se debe “aprovechar para convertirla en un valor diferencial”, en forma de certificaciones, por ejemplo, comentó Carbayo. Por su parte, Mora incidió en la necesidad del apoyo de la alta dirección y el plan de acción. “Es más efectivo incluir aspectos desde el momento de concepción de la idea que a posteriori”, argumentó.

Certified Data Privacy Professional(CDPP) y Fundación de la Privacidad

En su ponencia Nathaly Rey, directora de ISMS Forum Spain, anunció la creación de una Fundación de la Privacidad, que estará abierta a empresas e instituciones e informó de la buena marcha de la primera certificación española dirigida a los profesionales de la privacidad, creada por ISMS Forum, el Certified Data Privacy Professional (CDPP). Un certificado que permite acreditar un alto nivel de especialización en la normativa española en materia de Protección de Datos de carácter personal, tanto en un contexto local, como en un contexto europeo e internacional, así como un dominio de los fundamentos que rigen la Seguridad de la Información.

Clausuró el acto su Secretario General del Consejo General de Colegios de Médicos (miembro de ISMS Forumy sede del IV Foro de la Privacidad del DPI), Serafín Romero, quien aludió a Hipócrates para visibilizar el compromiso tradicional de la comunidad médica con la Protección de Datos de los pacientes, un sector que se enfrenta actualmente a “importantes retos” derivados del progreso tecnológico ya que, por ejemplo, es posible “desde Argentina estar informando de una resonancia hecha aquí”, comentó.