Resumen: Se presenta la segunda edición del estudio de la propuesta de reglamento
de protección de datos de la UE, promovida por el DPI (Data Privacy Institute)
dentro de ISMS Forum Spain.
Desde aquí agradecer a la organización haberme dado la oportunidad de participar en el mismo, junto a expertos y excelentes compañeros, dentro de un completo y profesional equipo multidisciplinario compuesto entre otros por abogados, ingenieros, economistas… aunados por un interés común en la protección de datos.
El documento que hemos elaborado entre todos como resultado del estudio, coordinado por el ISMS Forum Spain, tiene como objetivo principal ser un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre privacidad y protección de datos.
Este estudio considera tanto el borrador publicado en enero de 2012 por la Comisión, como el publicado en mayo de 2013 por el Consejo, de modo que se pueda conocer en detalle la propuesta concreta de regulación y el análisis de sus consecuencias.
En este artículo haré un resumen ejecutivo, en base a una narración periodística, de lo que puede encontrarse en el texto completo del estudio.
Desde aquí agradecer a la organización haberme dado la oportunidad de participar en el mismo, junto a expertos y excelentes compañeros, dentro de un completo y profesional equipo multidisciplinario compuesto entre otros por abogados, ingenieros, economistas… aunados por un interés común en la protección de datos.
El documento que hemos elaborado entre todos como resultado del estudio, coordinado por el ISMS Forum Spain, tiene como objetivo principal ser un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre privacidad y protección de datos.
Este estudio considera tanto el borrador publicado en enero de 2012 por la Comisión, como el publicado en mayo de 2013 por el Consejo, de modo que se pueda conocer en detalle la propuesta concreta de regulación y el análisis de sus consecuencias.
En este artículo haré un resumen ejecutivo, en base a una narración periodística, de lo que puede encontrarse en el texto completo del estudio.
En este Estudio han
colaborado
|
Coordinadores
|
|
Edgar Ansola Munuera
CDPP Miguel
Ángel Ballesteros
Zuriñe Areitio Labanda
CDPP Noemí
Brito Izquierdo
Ignacio Bruna López Polín
CDPP
Fernando Campo Guardiola
CDPP Francisco
Javier Carbayo
CDPP Rafael
Castejón
CDPP José Luis Colom Planas
CDPP Concepción
Cordón Fuentes
José Martín Dacal Romero
Flora Egea Torrón
CDPP Verónica Eguirón Vidarte
Ana Belén Galán
CDPP Juan García Galera
Mónica Garrido Vilchez
Ramón González-Calero
David González Calleja
CDPP Ana González Romo
CDPP Francesc Flores González
Héctor E. Guzmán
Rodríguez
CDPP Ana Iparraguirre
Jiménez
CDPP María
José Lacunza González
CDPP Gustavo
Lozano García
Miguel Ángel Lubian
CDPP Luis
Salvador Montero
CDPP Elena Mora González
CDPP Raúl
Perdigones López
CDPP Javier Pérez García
CDPP Nathaly
Rey Arenas
CDPP Soledad
Romero Jiménez
Julio San José Sánchez
Francisco Javier Sempere Samaniego
Cristina Sirera Martínez
CDPP Carlos
Alberto Saiz Peña
María Teresa Torres Cardona
CDPP Rafael
Velázquez Bautista
CDPP Eva Vidal Fernández
|
CDPP Francisco
Javier Carbayo
CDPP Carlos Alberto Saiz Peña
|
|
Actualizado
|
1 de Marzo
de 2014
|
|
1. INTRODUCCIÓN
2. RESUMEN EJECUTIVO
2.1. Introducción
2.2. Aspectos esenciales
2.3. Aspectos para la adopción
3. BIBLIOGRAFÍA CONSULTADA
4. DERECHOS DE AUTOR DEL ESTUDIO COMPLETO
|
Autor del artículo
|
Colaboración
| |
|
JOSÉ
LUIS COLOM PLANAS
|
| |
|
Actualizado
|
1 de marzo de 2014
|
|
1. INTRODUCCIÓN
El segundo estudio [2] titulado
“Reflexiones sobre el futuro de la
Privacidad en Europa” ya no baja a nivel de detalle de la norma, artículo
por artículo, sino que focaliza en los aspectos sustanciales por considerarse
novedosos respecto a nuestra legislación actual o ser representativos del
espíritu que ha querido recoger el legislador europeo. Concretamente se han
elegido siete grandes temas.
Se adjuntan, dentro del apartado de bibliografía consultada, sendos
enlaces a los documentos originales en formato PDF.
2. RESUMEN
EJECUTIVO
2.1.
Introducción
El estudio se ha estructurado en base a siete capítulos. Algunos
desarrollan aspectos esenciales y, otros, todo aquello a tener en cuenta para la
adopción del nuevo reglamento de protección de datos de la UE [3].
Concretamente:
Aspectos esenciales:
- La PbD (Privacidad desde el diseño) y la eficacia del PIA
- La figura del DPO (Data Protection Officer)
- Las BCR (Reglas Corporativas Vinculantes) para multinacionales
- La nueva configuración de los derechos de los interesados
- Accountability o compromiso responsable con la privacidad
Aspectos para la
adopción:
- La afectación a las PYME del nuevo reglamento europeo
- Análisis de riesgos y estándares de seguridad de la información
2.2. Aspectos
esenciales
Uno de los aspectos esenciales es la PbD (Privacy by Design -
Privacidad desde el Diseño). No es cuestionable la mayor efectividad de
abordar la privacidad en la fase de diseño de cualquier sistema. A
posteriori el esfuerzo es mayor y los resultados menores.
En la realidad actual donde se suceden continuos cambios y
avances tecnológicos, el enfoque de PbD es el único que puede garantizar la
privacidad de forma sostenible a lo largo del tiempo.
Ann Cavoukian (Information & Privacy Commissioner
Ontario, Canada), definió 7 principios en los que se basa la PbD y son la clave
para la consecución práctica de sus ventajas estratégicas:
- Proactividad y no reacción; Prevención y no corrección.
- Privacidad como configuración o "línea base" predeterminada.
- Privacidad integrada en el diseño.
- Mantener una funcionalidad plena.
- Protección de datos en todo el "ciclo de vida".
- Visibilidad y transparencia.
- Centrado en el usuario (Respeto por su privacidad).
Para conseguir estos objetivos, una herramienta
fundamental es el PIA (Privacy Impact Assessment- Evaluación de Impacto en la
Privacidad) que debe ser parte integral del diseño de los proyectos que representen
riesgos relevantes en la privacidad.
Es una forma de identificar, evaluar y gestionar riesgos para
la privacidad desde la fase inicial de diseño y desarrollo de un dispositivo,
App, sistema informático o proceso de negocio, decidiendo si el riesgo se evita
mediante rediseño funcional o se mitiga adoptando alguna solución adecuada.
Se especifican sus competencias y capacidades ya que esta
figura será el máximo responsable en la organización, en cuánto a protección de
datos se refiere, y el interlocutor natural del responsable o encargado del
tratamiento con los interesados por un lado y con la autoridad de control, por
otro. Podría decirse que idealmente se trata de un profesional de “amplio
espectro” con importantes atribuciones en su desempeño profesional,
debiendo conocer en su vertiente jurídica toda la legislación aplicable, a la
vez que aportar conocimientos organizativos y técnicos.
No debe confundirse el DPO con la figura del Responsable de
Seguridad que establece la Normativa española, el cual se limita a velar por el cumplimiento de las
medidas de seguridad dispuestas en el RD 1720/2007 en concordancia con el
documento de seguridad de la organización.
También se proponen y regulan unas normas que se conocen como
BCR (Binding Corporate Rules - Normas Corporativas Vinculantes), con el objetivo
de facilitar las transferencias internacionales de datos entre empresas
pertenecientes a un mismo grupo multinacional que cuente con empresas
ubicadas tanto en países que proporcionen, o no, un nivel de protección adecuado.
Se trata en definitiva de que el nuevo reglamento europeo
implemente un sistema de regulación mediante herramientas vinculantes de carácter
interno, con el fin de flexibilizar los movimientos de datos dentro de un grupo
empresarial multinacional. Siempre dotando de transparencia al tratamiento de
datos personales frente a su titular y respetando la privacidad (El derecho a
la intimidad junto al derecho al propio control de los datos personales).
Debe recordarse, como precedente de esta inclusión en el borrador
del nuevo reglamento, que desde junio del año 2003 [5], el GT29, en relación al
artículo 26.2 de la Directiva 95/46/CE, estableció la posibilidad de que las
organizaciones pudieran elaborar, con arreglo a la legislación aplicable, normativas
internas vinculantes de obligado cumplimiento.
En otro orden de conceptos, el borrador del RGPDUE además de considerar
los derechos universalmente reconocidos como es el del interesado a ser informado
y los derechos de acceso y
rectificación, el que presenta como novedad con mayor relevancia es el manido “derecho
al olvido” que ahora se llama “derecho al borrado”.
Sin entrar en consideraciones técnicas sobre la factibilidad
de eliminar determinado rastro digital de una persona en redes sociales,
motores de búsqueda, (…), está claro que podemos encontrarnos frente a la
colisión de derechos fundamentales: El derecho a la Información, frente al
derecho a la intimidad por un lado y a la protección de datos por otro. Ante
tal situación debe discernirse cual de esos derechos debe prevalecer, ya que
los derechos fundamentales no son absolutos y tienen límites que deben
ponderarse ante un conflicto, caso por caso.
Otro derecho del interesado, que surge de la mano de los
avances tecnológicos, es el llamado derecho a la portabilidad de los datos contemplado
en el artículo 18 del borrador del RGPDUE. La externalización de datos en
prestadores de servicios bajo el modelo de Cloud Computing ha propiciado su
regulación.
También se contempla el derecho de que a un afectado le
sea comunicada una violación de sus datos personales como consecuencia de
una brecha de seguridad en el encargado o el responsable del tratamiento. Se le
notificará además a la autoridad de control correspondiente.
El borrador introduce el concepto de Accountability, que muchos
están de acuerdo en traducirlo como “compromiso responsable”.
Se parte del Dictamen 3/2010 del GT29 [4], sobre ésta materia.
Deben estudiarse en las organizaciones una serie de
principios, que refuercen la accountability, como la adopción de políticas
basadas en el cumplimiento legal, la adopción de las medidas de seguridad que
surjan de la puesta en práctica de esas políticas, auditorías y controles para
lograr el aseguramiento de las políticas, transparencia y asignación de
responsabilidades, definición de planes de respuesta ante incidencias de
seguridad…y registro detallado de toda ésta actividad.
2.3. Aspectos
para la adopción
Un aspecto, que no es esencial a la nueva norma, tiene que
ver en cómo afectará esta nueva regulación a la realidad de las PYME
españolas.
No es baladí si se tiene en consideración que según el DIRCE
(Directorio Central de Empresas) un 99,88% del tejido empresarial español se
considera PYME (entre 0 y 249 asalariados). Si lo analizamos con mayor nivel de
detalle, el 55% son autónomos (sin asalariados) y un 40% son micro-pymes (de 1
a 9 asalariados).
Ante tal panorama, no debe despreciarse el efecto de la necesaria
adaptación de esas organizaciones a las nuevas medidas jurídicas, organizativas
y tecnológicas, que deberán ser adaptadas cuando entre en vigor el nuevo
reglamento europeo.
El reto está en saber transformar lo que a priori parecen
amenazas que se ciernen sobre las PYME en oportunidades de mejora en la
eficacia y la eficiencia del control sobre los procesos empresariales y el aprendizaje
en la gestión del riesgo.
En otras palabras, pasamos de implementar un catálogo generalista
de medidas concretas a la responsabilidad
de evaluar, previamente a su implantación, el riesgo que entraña para la
privacidad cualquier tratamiento de datos, pudiendo así implementar las medidas
de seguridad más apropiadas para mitigar esos riesgos concretos.
3.
BIBLIOGRAFÍA CONSULTADA
- [1] DPI. ISMS Forum Spain. “Estudio sobre el impacto en España
de la propuesta de Reglamento de Protección de Datos de la UE”. 2012. Varios autores coordinados por Francisco
Javier Carbayo, Nathaly Rey Arenas, Miguel Ángel Ballesteros y Carlos Alberto
Saiz Peña.
I Edición del Estudio
- [3] COMISIÓN EUROPEA. “Propuesta de REGLAMENTO DEL
PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos (Reglamento general de protección de datos)”.
Bruselas, 25 de enero de 2012.
Propuesta del RGPDUE
- [4] GRUPO DE
TRABAJO DE PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Dictamen 3/2010 sobre el principio
de responsabilidad”. Adoptado el 13 de julio de 2010. 00062/10/ES. GT 173.
Dictamen
3/2010
- [5] ARTICLE 29 - DATA PROTECTION WORKING PARTY. “Working Document: Transfers of personal data to third countries:
Applying Article 26(2) of the EU Data Protection Directive to Binding Corporate
Rules for International Data Transfers”. Adopted on 3
June 2003. 11639/02/EN.WP
74.
Working
Document
- GRUPO DE TRABAJO DE
PROTECCIÓN DE DATOS DEL ARTÍCULO 29. “Documento explicativo sobre las normas corporativas
vinculantes para los encargados del tratamiento”. Aprobado el 19 de abril de 2013. 00658/13/ES.
WP 204.
Documento
explicativo5. DERECHOS DE AUTOR DEL ESTUDIO COMPLETO
DPI (Data Privacy Institute) - ISMS Forum Spain
Todos los derechos del estudio completo, están
reservados al DPI y a ISMS Forum Spain. Los titulares reconocen el derecho a
utilizar la Obra en el ámbito de la propia actividad profesional con las
siguientes condiciones:
a) Que se reconozca la propiedad de la Obra indicando
expresamente los titulares del Copyright.
b) No se utilice con fines comerciales.
c) No se creen obras derivadas por alteración, trasformación
y/o desarrollo de esta Obra.
·
Los
titulares del Copyright no garantizan que la Obra esté ausente de errores. En
los límites de lo posible se procederá a corregir en las ediciones sucesivas
los errores señalados.
·
El
contenido de la Obra no constituye un asesoramiento de tipo profesional y/o
legal.
·
No
se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado.
·
Eventuales
denominaciones de productos y/o empresas y/o marcas y/o signos distintivos
citados en la Obra son de propiedad exclusiva de los titulares
correspondientes.
·
Las
opiniones contenidas en el presente Estudio, son la suma de las aportaciones de
un grupo de expertos en protección de datos, por tanto, no necesariamente
reflejan la opinión de DPI-ISMS Forum Spain.
Más información acerca de DPI / ISMS Forum Spain se puede
consultar a través de su página web oficial: www.ismsforum.es/dpi
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.