El VIII Foro de la Privacidad organizado por el Data Privacy Institute (DPI) de ISMS Forum Spain, reunió el pasado 12 de febrero en Madrid a las principales autoridades nacionales e internacionales, compañías de primer nivel y grandes expertos del mundo de la privacidad, para explicar las implicaciones del Nuevo Reglamento de Protección de Datos en el sector empresarial, analizar las nuevas consideraciones en torno a las transferencias internacionales de datos, y debatir sobre la evolución de la privacidad y la gestión de riesgos.

En la inauguración de la conferencia, de nuevo Thomas Zerdick, Subdirector de la Unidad de Protección de Datos de la Comisión Europea, expuso los últimos avances del nuevo Reglamento Europeo de Protección de Datos. Zerdick recordó la urgencia de regular la protección de datos en el nuevo entorno digital, afirmando que previsiblemente, tras cuatro años de intenso trabajo, el Reglamento verá la luz en junio de 2016 y contará con un periodo para su implementación por parte de las autoridades nacionales de dos años. Llamó a la calma ante las dudas que el nuevo Reglamento ha despertado en el sector empresarial, ya que dispondrán de dos años para adaptarse a una nueva regulación que, en palabras de Zerdick, “no es nada que tengamos que comenzar de cero”. Con la versión casi definitiva del texto regulatorio repasó algunas novedades como la rendición de

cuentas o accountability, por el que la empresa tendrá la obligación de poder comprobar el cumplimiento del Reglamento; Evaluaciones de impacto de la privacidad o privacy impact assestment, por el que la empresa deberá presentar una evaluación del impacto de privacidad cuando el tratamiento de datos produzca un riesgo sobre los derechos de las personas; o la Implantación de un procedimiento de notificación de fugas de información o data breach notification, debiendo notificar a la autoridad de control y a los propios afectados antes de 72 horas si se produce una violación de datos que pudiera dar lugar a un alto riesgo para los derechos y libertades de los interesados. Las empresas, además, deberán adecuar desde el diseño (Privacy by Design) las medidas técnicas y organizativas relativas al tratamiento de datos.

Jacob Kohnstamm, director de la Agencia Holandesa de Protección de Datos y ex presidente del Grupo del Artículo 29, aportó su visión sobre el nuevo Reglamento y las transferencias internacionales de protección de datos. Kohnstamm afirmó que el nuevo Reglamento supone un verdadero “milestone” para la protección de datos en los próximos veinte años. Destacó la importancia de mantener la integridad del dato por encima de cualquier finalidad, como forma no solo de evitar posibles sanciones sino también de evitar daños reputacionales. Sobre las transferencias internacionales de datos, y la necesidad de alcanzar un nuevo acuerdo entre EEUU y la Unión Europea, tras la sentencia del pasado 6 de octubre, Kohnstamm señaló la necesidad de formalizar las intenciones contempladas producto de las conversaciones mantenidas en las últimas semanas, con el preacuerdo denominado “Privacy shield”.

En el plano nacional, Rafael García Gozalo, Jefe del Departamento Internacional de la Agencia Española de Protección de Datos (AEPD), ofreció la visión nacional sobre la nueva regulación. Centró su discurso en el análisis de aspectos fundamentales que incliye el régimen europeo de protección de datos. Hacía referencia a un efecto armonizador que permitirá reducir las divergencias actuales en nivel y mecanismos de protección. También a la mejora de los instrumentos de control por parte del ciudadano de sus datos personales, fundamentalmente con una mejor definición del consentimiento, y con la introducción del derecho a la portabilidad, un derecho específicamente vinculado al entorno digital y que supone que los ciudadanos ven mejorada su capacidad de decisión.

García Gozalo señalaba también el modelo de responsabilidad proactiva por parte de quienes tratan los datos que, al mismo tiempo, amplía y flexibiliza los mecanismos que regulan las transferencias internacionales de datos, con el objetivo de que en todo momentolos datos de los europeos reciban un nivel de protección equiparable al que se les otorga en la UE. Por último, destacó positivamente el hecho de que se armonizan y refuerzan los poderes de las Autoridades de protección de datos independientes y especializadas, estableciendo mecanismos de coordinación y cooperación entre ellas.

Asimismo, García Gozalo planteó dudas sobre la delimitación de los ámbitos respectivos del Reglamento y la Directiva, donde se deja lugar a que los aspectos relacionados con la protección y prevención frente a las amenazas a la seguridad pública podrían tener un tratamiento diferente.

En la siguiente sesión se debatió sobre las claves de la transición desde un modelo totalmente prescriptivo en materia de seguridad hacia un modelo abierto orientado a la gestión de riesgo, en una mesa redonda encabezada por Nathaly Rey, EMEA Trust Manager de Google for Work, y formada por Jorge Laredo, TSC Iberia PMO Manager de Hewlett Packard Enterprise, Carles Solé, CISO de CaixaBank, y Álvaro Écija, Socio-Director de Ecix Group. Entre estas claves, la introducción del nuevo Reglamento General de Protección de Datos, sujeto a un régimen de responsabilidad muy importante, así como los estándares, metodologías y buenas prácticas existentes para su implementación; los efectos en el mercado de la seguridad; y el estado del arte en materia de seguridad.

Finalmente, el cierre del foro le correspondió a Eduardo Ustarán, Autor de "The Future of Privacy" y Socio de Hogan Lovells. Ustarán habló del impacto del nuevo Reglamento en la economía digital, en su importante papel sobre la tensión que genera el hecho de que la privacidad está amenazada por la manera en la que vivimos, más expuestos que nunca al uso de los datos personales, y la condición humana de libertad. Al mismo tiempo, la economía digital genera dependencia presente y futuro sobre el éxito y la prosperidad. El equilibrio sobre ambas pautas es primordial para la Sociedad, más aún con las diferencias culturales y regulatorias que se mantenían hasta la actualidad.

Sobre ISMS Forum

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. Toda su actividad se desarrolla en base a los valores de transparencia, independencia, objetividad y neutralidad.

ISMS Forum Spain tiene ya a más de 130 empresas asociadas y más de 850 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.

Sobre el Foro de la Privacidad del Data Privacy Institute

El Foro de Privacidad del Data Privacy Institute se constituye como uno de los encuentros de profesionales de la privacidad y la protección de datos más relevantes del Sector, en el que expertos, representantes de las autoridades de control y profesionales se dan cita para analizar y debatir sobre los nuevos retos que deberá afrontar el sector empresarial.