En su ocatava edición contará con una sesión inaugural especial por parte de Comisión Europea, a través del subdirector del área de protección de datos de DG Justice, Thomas Zerdick, quien hablará de las últimas novedades relacionadas con el nuevo Reglamento Europeo de Protección de Datos.

La segunda intervención correrá a cargo del director de la Agencia Holandesa de Protección de Datos y ex director del WP29, Jacob Kohnstamm, para aportar su visión sobre el nuevo Reglamento y las transferencias internacionales de datos tras Safe Habor. 

En un segundo bloque de contenidos, el foro centrará su atención en el plano nacional con la intervención de Rafael García Gozalo, Vocal Asesor Jefe del Área Internacional de la Agencia Española de Protección de Datos, y una mesa redonda formada por HP Enterprise, Google, CaixaBank y Ecix Group, en la que se abordará la evolución de los controles basados en el clásico checkbox a la gestión de riesgos.  

La ponencia de cierre la llevará a cabo Eduardo Ustarán, Socio de Hogan Lovells, y nos hablará de la transformación del mercado digital con el nuevo Reglamento Europeo de Portección de Datos.

Por su parte, el Comité Operativo del Data Privacy Institute presentará las actividades que mantiene en marcha. 

Luz verde al nuevo Reglamento Europeo de Proteccion de Datos

La Comisión de Libertades Civiles del Parlamento Europeo ha respaldado el acuerdo sobre protección de datos, alcanzado en la Unión Europea, que establece una normativa para regular la privacidad en la era digital, modernizando así un marco legal que se remonta a la década de los años noventa. De esta forma, tras un complejo proceso de negociación entre la Eurocámara, la Comisión Europea y el Consejo Europeo, se ha dado luz verde al nuevo Reglamento General de Protección de Datos comunitario, cuya versión definitiva se publicará en la primavera de 2016.

Según Udo Helmbrecht, director ejecutivo de la Agencia de Seguridad de las Redes y de la Información de la UE (ENISA), “el nuevo reglamento concede una mayor participación y poderes de ejecución a las autoridades nacionales competentes. Un elemento importante de este acuerdo, a menudo subestimado, es su potencial para proporcionar una ventaja competitiva a la industria europea mediante la adopción de la privacidad y la protección de datos como valor central”.

Mejoras significativas

En el caso de nuestro país, la Agencia Española de Protección de Datos (AEPD) destaca las “mejoras significativas” que supone el reglamento europeo. “Por ejemplo”, señala, “produce un máximo efecto armonizador que permitirá reducir las divergencias actuales en nivel y mecanismos de protección. Y también es importante mencionar que será de aplicación a toda empresa que trate de forma sistemática datos de ciudadanos europeos, esté o no establecida en la UE”.

Además, añade, “el reglamento mejora los instrumentos de control por parte del ciudadano de sus datos personales, fundamentalmente con una mejor definición del consentimiento. Pero también con la introducción de nuevos derechos como el de la portabilidad, específicamente vinculado al entorno digital y con el que las personas ven mejorada su capacidad de decisión”.

Finalmente, la agencia valora que el nuevo texto defina “un modelo de responsabilidad proactiva por parte de quienes tratan los datos de los europeos y, al mismo tiempo, amplíe y flexibilice los mecanismos que regulan sus transferencias internacionales con el objetivo de que en todo momento reciban un nivel de protección equiparable al que se les otorga en la UE”.

Ámbito empresarial

Por su parte, Carlos Alberto Saiz, director del Data Privacy Institute de ISMS Forum, ha declarado a Red Seguridad que “el reglamento va a ser bienvenido, especialmente, por los grandes grupos de empresas, que tendrán más claras unas reglas del juego sobre tratamiento de datos únicas en el entorno europeo, y también por los proveedores tecnológicos y de soluciones de cloud computing. Es fundamental que las organizaciones, públicas y privadas, hagan un buen trabajo de adecuación a estos nuevos requisitos normativos en los próximos dos años para instaurar un sistema completo de gestión de los aspectos de la privacidad, que ganan relevancia en la operativa empresarial y donde primarán conceptos como privacy impact assesment, privacy by design, accountability y data protection officer”.

Entre las novedades del reglamento se encuentra la obligatoriedad de contratar un Delegado de Protección de Datos (DPO, por sus siglas en inglés) en todas las organizaciones públicas (a excepción de los tribunales en ejercicio de la potestad jurisdiccional) y en determinadas organizaciones privadas, en general en aquellas que desarrollen profiling o traten datos de categorías especiales.

Al respecto, Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP), comenta que “el DPO deberá posibilitar que el funcionamiento de la organización y la consecución de los objetivos lícitos y legítimos del negocio sean compatibles con la garantía del derecho fundamental a la protección de datos y la seguridad de la información. Igualmente, será el interlocutor con el regulador y la AEPD, así como el colaborador que, sin duda, necesitará cualquier institución”.

Implicaciones del nuevo Reglamento

El nuevo Reglamento conlleva nuevas obligaciones y procedimientos para cumplir con la protección de los datos, propugnando una participación más responsable y proactiva de las empresas. Existen cuatro circunstancias principales en las que estas obligaciones implican un cambio sustancial respecto a cómo se venían acometiendo los procesos:

1. Implantación de un procedimiento de “Data Breach Notification”. Es decir, en caso de que se produzca una violación de datos que pudiera dar lugar a un alto riesgo para los derechos y libertades de los interesados se deberá notificar a la autoridad de control en, a ser posible, un máximo de 72 horas.
2. Uso de una metodología de Análisis de Riesgos válida para llevar a cabo los “Privacy Impact Assestment” o Evaluaciones de Impacto de la Privacidad. Cuando un tratamiento de datos suponga un alto riesgo para los derechos de las personas la empresa deberá presentar, antes de que se produjera dicho riesgo, una evaluación del impacto de privacidad.
3. “Accountability” o rendición de cuentas. Es decir, la empresa no solo deberá cumplir con el Reglamento establecido, también tiene la obligación de poder comprobar que lo han hecho.
4.  Privacy by Design. Las empresas deberán aplicar las medidas técnicas y organizativas adecuadas para la actividad de tratamiento desarrollada y sus objetivos.

Reflexiones sobre el futuro de la privacidad en Europa

Con motivo, precisamente, de este nuevo Reglamento Europeo de Protección de Datos, el Data Privacy Institute (DPI) de ISMS Forum publicó el estudio “Reflexiones sobre un futuro de la privacidad en Europa” donde se analizan las materias y aspectos de la propuesta de la nueva normativa europea en materia de protección de datos además de realizar una serie de propuestas concretas al respecto.