viernes, 8 de noviembre de 2013

Reflexiones sobre el futuro de la privacidad en Europa



 
Resumen: Se presenta la segunda edición del estudio de la propuesta de reglamento de protección de datos de la UE, promovida por el DPI (Data Privacy Institute) dentro de ISMS  Forum Spain.

Desde aquí agradecer a la organización haberme dado la oportunidad de participar en el mismo, junto a expertos y excelentes compañeros, dentro de un completo y profesional  equipo multidisciplinario compuesto entre otros por abogados, ingenieros, economistas… aunados por un interés común en la protección de datos.

El documento que hemos elaborado entre todos como resultado del estudio, coordinado por el ISMS Forum Spain, tiene como objetivo principal ser un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre privacidad y protección de datos.

Este estudio considera tanto el borrador publicado en enero de 2012 por la Comisión, como el publicado en mayo de 2013 por el Consejo, de modo que se pueda conocer en detalle la propuesta concreta de regulación y el análisis de sus consecuencias.

En este artículo haré un resumen ejecutivo, en base a una narración periodística, de lo que puede encontrarse en el texto completo del estudio.  


En este Estudio han colaborado
Coordinadores
           Edgar Ansola Munuera
CDPP Miguel Ángel Ballesteros
           Zuriñe Areitio Labanda
CDPP Noemí Brito Izquierdo
           Ignacio Bruna López Polín
CDPP Fernando Campo Guardiola
CDPP Francisco Javier Carbayo
CDPP Rafael Castejón
CDPP José Luis Colom Planas
CDPP Concepción Cordón Fuentes
           José Martín Dacal Romero
           Flora Egea Torrón
CDPP Verónica Eguirón Vidarte
           Ana Belén Galán
CDPP Juan García Galera
           Mónica Garrido Vilchez
           Ramón González-Calero
           David González Calleja
CDPP Ana González Romo
CDPP Francesc Flores González
           Héctor E. Guzmán Rodríguez
CDPP Ana Iparraguirre Jiménez
CDPP María José Lacunza González
CDPP Gustavo Lozano García
           Miguel Ángel Lubian
CDPP Luis Salvador Montero
CDPP Elena Mora González
CDPP Raúl Perdigones López
CDPP Javier Pérez García
CDPP Nathaly Rey Arenas
CDPP Soledad Romero Jiménez
           Julio San José Sánchez
           Francisco Javier Sempere Samaniego
           Cristina Sirera Martínez
CDPP Carlos Alberto Saiz Peña
           María Teresa Torres Cardona
CDPP Rafael Velázquez Bautista
CDPP Eva Vidal Fernández
CDPP Francisco Javier Carbayo
CDPP Carlos Alberto Saiz Peña
Actualizado
1 de Marzo de 2014
ÍNDICE
1. INTRODUCCIÓN
2. RESUMEN EJECUTIVO
2.1. Introducción
2.2. Aspectos esenciales
2.3. Aspectos para la adopción
3. BIBLIOGRAFÍA CONSULTADA
4. DERECHOS DE AUTOR DEL ESTUDIO COMPLETO






Autor del artículo

Colaboración

JOSÉ LUIS COLOM PLANAS


Actualizado


1 de marzo de 2014




1. INTRODUCCIÓN


El primer estudio [1] titulado “Estudio sobre el impacto en España de la propuesta de Reglamento de Protección de Datos de la UE” que publicó el DPI del ISMS Forum Spain era una comparativa, artículo por artículo, del GAP o brecha existente entre el borrador del nuevo reglamento europeo con la LO 15/1999, de 13 de diciembre, de protección de datos personales y el  RD 1720/2007, de 21 de diciembre, su reglamento de aplicación.

El segundo estudio [2] titulado “Reflexiones sobre el futuro de la Privacidad en Europa” ya no baja a nivel de detalle de la norma, artículo por artículo, sino que focaliza en los aspectos sustanciales por considerarse novedosos respecto a nuestra legislación actual o ser representativos del espíritu que ha querido recoger el legislador europeo. Concretamente se han elegido siete grandes temas.


Se adjuntan, dentro del apartado de bibliografía consultada, sendos enlaces a los documentos originales en formato PDF.   
 


2. RESUMEN EJECUTIVO
2.1. Introducción


El estudio se ha estructurado en base a siete capítulos. Algunos desarrollan aspectos esenciales y, otros, todo aquello a tener en cuenta para la adopción del nuevo reglamento de protección de datos de la UE [3]. Concretamente:


Aspectos esenciales:
  • La PbD (Privacidad desde el diseño) y la eficacia del PIA
  • La figura del DPO (Data Protection Officer)
  • Las BCR (Reglas Corporativas Vinculantes) para multinacionales
  • La nueva configuración de los derechos de los interesados
  • Accountability o compromiso responsable con la privacidad


Aspectos para la adopción:
  • La afectación a las PYME del nuevo reglamento europeo
  • Análisis de riesgos y estándares de seguridad de la información


2.2. Aspectos esenciales
Uno de los aspectos esenciales es la PbD (Privacy by Design - Privacidad desde el Diseño). No es cuestionable la mayor efectividad de abordar la privacidad en la fase de diseño de cualquier sistema. A posteriori el esfuerzo es mayor y los resultados menores.


En la realidad actual donde se suceden continuos cambios y avances tecnológicos, el enfoque de PbD es el único que puede garantizar la privacidad de forma sostenible a lo largo del tiempo.


La PbD no tiene por qué ser una cortapisa de los avances tecnológicos y los nuevos negocios que surgen asociados a los mismos.  Únicamente los orienta hacia una relación ganadora de todas las partes interesadas, ya sean fabricantes, prestadores de servicios, compradores, usuarios o simplemente terceros afectados.

Ann Cavoukian (Information & Privacy Commissioner Ontario, Canada), definió 7 principios en los que se basa la PbD y son la clave para la consecución práctica de sus ventajas estratégicas:
  • Proactividad y no reacción; Prevención y no corrección.
  • Privacidad como configuración o "línea base" predeterminada.
  • Privacidad integrada en el diseño.
  • Mantener una funcionalidad plena.
  • Protección de datos en todo el "ciclo de vida".
  • Visibilidad y transparencia.
  • Centrado en el usuario (Respeto por su privacidad).

Para conseguir estos objetivos, una herramienta fundamental es el PIA (Privacy Impact Assessment- Evaluación de Impacto en la Privacidad) que debe ser parte integral del diseño de los proyectos que representen riesgos relevantes en la privacidad.

Es una forma de identificar, evaluar y gestionar riesgos para la privacidad desde la fase inicial de diseño y desarrollo de un dispositivo, App, sistema informático o proceso de negocio, decidiendo si el riesgo se evita mediante rediseño funcional o se mitiga adoptando alguna solución adecuada.

El borrador del nuevo reglamento también introduce la figura del DPO (Data Protection Officer – Delegado de Protección de Datos) que podrá ser interno, o externo en base a un contrato de prestación de servicios.

Se especifican sus competencias y capacidades ya que esta figura será el máximo responsable en la organización, en cuánto a protección de datos se refiere, y el interlocutor natural del responsable o encargado del tratamiento con los interesados por un lado y con la autoridad de control, por otro. Podría decirse que idealmente se trata de un profesional de “amplio espectro” con importantes atribuciones en su desempeño profesional, debiendo conocer en su vertiente jurídica toda la legislación aplicable, a la vez que aportar conocimientos organizativos y técnicos.

No debe confundirse el DPO con la figura del Responsable de Seguridad que establece la Normativa española, el cual se limita a velar por el cumplimiento de las medidas de seguridad dispuestas en el RD 1720/2007 en concordancia con el documento de seguridad de la organización.

También se proponen y regulan unas normas que se conocen como BCR (Binding Corporate Rules - Normas Corporativas Vinculantes), con el objetivo de facilitar las transferencias internacionales de datos entre empresas pertenecientes a un mismo grupo multinacional que cuente con empresas ubicadas tanto en países que proporcionen,  o no, un nivel de protección adecuado.

Se trata en definitiva de que el nuevo reglamento europeo implemente un sistema de regulación mediante herramientas vinculantes de carácter interno, con el fin de flexibilizar los movimientos de datos dentro de un grupo empresarial multinacional. Siempre dotando de transparencia al tratamiento de datos personales frente a su titular y respetando la privacidad (El derecho a la intimidad junto al derecho al propio control de los datos personales).

Debe recordarse, como precedente de esta inclusión en el borrador del nuevo reglamento, que desde junio del año 2003 [5], el GT29, en relación al artículo 26.2 de la Directiva 95/46/CE, estableció la posibilidad de que las organizaciones pudieran elaborar, con arreglo a la legislación aplicable, normativas internas vinculantes de obligado cumplimiento.

En otro orden de conceptos, el borrador del RGPDUE además de considerar los derechos universalmente reconocidos como es el del interesado a ser informado y  los derechos de acceso y rectificación, el que presenta como novedad con mayor relevancia es el manido “derecho al olvido” que ahora se llama “derecho al borrado”.

Sin entrar en consideraciones técnicas sobre la factibilidad de eliminar determinado rastro digital de una persona en redes sociales, motores de búsqueda, (…), está claro que podemos encontrarnos frente a la colisión de derechos fundamentales: El derecho a la Información, frente al derecho a la intimidad por un lado y a la protección de datos por otro. Ante tal situación debe discernirse cual de esos derechos debe prevalecer, ya que los derechos fundamentales no son absolutos y tienen límites que deben ponderarse ante un conflicto, caso por caso.

Otro derecho del interesado, que surge de la mano de los avances tecnológicos, es el llamado derecho a la portabilidad de los datos contemplado en el artículo 18 del borrador del RGPDUE. La externalización de datos en prestadores de servicios bajo el modelo de Cloud Computing ha propiciado su regulación.

También se contempla el derecho de que a un afectado le sea comunicada una violación de sus datos personales como consecuencia de una brecha de seguridad en el encargado o el responsable del tratamiento. Se le notificará además a la autoridad de control correspondiente.

El borrador introduce el concepto de Accountability, que muchos están de acuerdo en traducirlo como “compromiso responsable”.

Se trata de que el responsable del fichero o tratamiento defina e implemente, con la debida diligencia, las medidas y los correspondientes mecanismos de control para garantizar la privacidad, mediante la observancia de los principios y obligaciones que dispone el RGPDUE,  quedando constancia en los correspondientes registros de evidencias para poder demostrarlo cuando así lo requiera la autoridad de control.

Se parte del Dictamen 3/2010 del  GT29 [4], sobre ésta materia.

Deben estudiarse en las organizaciones una serie de principios, que refuercen la accountability, como la adopción de políticas basadas en el cumplimiento legal, la adopción de las medidas de seguridad que surjan de la puesta en práctica de esas políticas, auditorías y controles para lograr el aseguramiento de las políticas, transparencia y asignación de responsabilidades, definición de planes de respuesta ante incidencias de seguridad…y registro detallado de toda ésta actividad.

2.3. Aspectos para la adopción
Un aspecto, que no es esencial a la nueva norma, tiene que ver en cómo afectará esta nueva regulación a la realidad de las PYME españolas.

No es baladí si se tiene en consideración que según el DIRCE (Directorio Central de Empresas) un 99,88% del tejido empresarial español se considera PYME (entre 0 y 249 asalariados). Si lo analizamos con mayor nivel de detalle, el 55% son autónomos (sin asalariados) y un 40% son micro-pymes (de 1 a 9 asalariados).

Ante tal panorama, no debe despreciarse el efecto de la necesaria adaptación de esas organizaciones a las nuevas medidas jurídicas, organizativas y tecnológicas, que deberán ser adaptadas cuando entre en vigor el nuevo reglamento europeo.

El reto está en saber transformar lo que a priori parecen amenazas que se ciernen sobre las PYME en oportunidades de mejora en la eficacia y la eficiencia del control sobre los procesos empresariales y el aprendizaje en la gestión del riesgo.

Este último concepto es una novedad normativa, de la que podríamos decir que acabará con eso de “café para todos”, ya que a diferencia del actual RD 1720/2007 que detalla las medidas de seguridad que deben implementarse únicamente en función de la naturaleza de los datos, la propuesta de RGPDUE introduce un enfoque basado en el análisis, de modo que las medidas técnicas y organizativas de seguridad deben venir determinadas por una previa evaluación del riesgo que afecta a cada tratamiento y entorno organizacional.

En otras palabras, pasamos de implementar un catálogo generalista de medidas concretas  a la responsabilidad de evaluar, previamente a su implantación, el riesgo que entraña para la privacidad cualquier tratamiento de datos, pudiendo así implementar las medidas de seguridad más apropiadas para mitigar esos riesgos concretos.
 

3. BIBLIOGRAFÍA CONSULTADA

- [2] DPI. ISMS Forum Spain. “Reflexiones sobre el futuro de la Privacidad en Europa – II Edición del Estudio de la propuesta de Reglamento de Protección de Datos de la UE”. Noviembre de 2013. Varios autores coordinados por Francisco Javier Carbayo y Carlos Alberto Saiz.
II Edición del Estudio

- [1] DPI. ISMS Forum Spain. “Estudio sobre el impacto en España de la propuesta de Reglamento de Protección de Datos de la UE”. 2012. Varios autores coordinados por Francisco Javier Carbayo, Nathaly Rey Arenas, Miguel Ángel Ballesteros y Carlos Alberto Saiz Peña.
I Edición del Estudio

- [3] COMISIÓN EUROPEA. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”. Bruselas, 25 de enero de 2012.
Propuesta del RGPDUE

- [4] GRUPO DE TRABAJO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Dictamen 3/2010 sobre el principio de responsabilidad”. Adoptado el 13 de julio de 2010. 00062/10/ES. GT 173.
Dictamen 3/2010

- [5] ARTICLE 29 - DATA PROTECTION WORKING PARTY. “Working Document: Transfers of personal data to third countries: Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate Rules for International Data Transfers”. Adopted on 3 June 2003. 11639/02/EN.WP 74.
Working Document

- GRUPO DE TRABAJO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Documento explicativo sobre las normas corporativas vinculantes para los encargados del tratamiento”. Aprobado el 19 de abril de 2013. 00658/13/ES. WP 204.
Documento explicativo


5. DERECHOS DE AUTOR DEL ESTUDIO COMPLETO

DPI (Data Privacy Institute) - ISMS Forum Spain

Todos los derechos del estudio completo, están reservados al DPI y a ISMS Forum Spain. Los titulares reconocen el derecho a utilizar la Obra en el ámbito de la propia actividad profesional con las siguientes condiciones:


a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright.

b) No se utilice con fines comerciales.

c) No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra.


·       Los titulares del Copyright no garantizan que la Obra esté ausente de errores. En los límites de lo posible se procederá a corregir en las ediciones sucesivas los errores señalados.

·       El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal.

·       No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado.

·       Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propiedad exclusiva de los titulares correspondientes.

·       Las opiniones contenidas en el presente Estudio, son la suma de las aportaciones de un grupo de expertos en protección de datos, por tanto, no necesariamente reflejan la opinión de DPI-ISMS Forum Spain.


Más información acerca de DPI / ISMS Forum Spain se puede consultar a través de su página web oficial: www.ismsforum.es/dpi






No hay comentarios:

Publicar un comentario