Aunque un poco tarde, pongo a disposición este post que fue quedándose atrás en el tiempo pero que espero que resulte del interés del lector y que así comenzaba:
Para
aquellas personas que no pudieron acudir el pasado viernes 14 de marzo de 2014
al Teatro
Real de Madrid
a la 6ª
Jornada de Puertas Abiertas de la AEPD,
he realizado este pequeño resumen con intención de trasladar las
cuestiones que allí se trataron y acontecieron.
En
dicha jornada, muchas eran las cuestiones que estaban abiertas desde
hace tiempo, en este campo del derecho y de la seguridad de la
información, las cuales versaban desde las cuestiones relativas a
las innovaciones tecnológicas como pueden ser el denominado como el
“Internet
de las cosas”,
los “drones”, el "derecho al olvido"
etc. Así como otras cuestiones que también estaban pendientes tales
como la aprobación del Reglamento
Europeo de Protección de Datos de Carácter Personal o su
no futura aprobación y
como no, la cuestión recurrente y polémica en materia de “Cookies”,
su
regulación,
interpretación,
ámbito de aplicación, sanciones
o
resoluciones.
Por
tanto dado que hubo bastante materias bajo análisis, comenzaremos
a describir las cuestiones allí tratadas en el orden según el programa
de la jornada.
Por
otro lado y sorprendentemente, el Director de la AEPD no hizo ninguna
referencia a lo expresado el pasado 12 de marzo en el artículo
publicado
por Europa
press
en referencia a la falta de recursos de la Agencia, en dicho artículo, el Director del órgano de control, remarcaba que en los últimos años la carga de trabajo se había incrementado
hasta en la AEPD en un 300%. El por qué de este incremento tan asombroso puede deberse a varias razones, que cada cual saque sus conclusiones...
Así
mismo y sin citar tampoco el caso de “Eduard
Snowden”
y la NSA,
comentó el estado actual en el que se encontraba Europa respecto a
la crisis de confianza generada por el espionaje manifiesto que se
estaba dando de gran parte de la ciudadanía por los diferentes
centros de inteligencia mundiales.
Comentó
también los estudios que se están llevando a cabo por parte del
Grupo
Europeo de Protección de Datos del Artículo 29
respecto al reto en materia de privacidad en cuanto a los avances
tecnológicos tales como el concepto del Internet de las cosas,
drones
y como no el Big
data.
Destacando de las citadas tecnologías el hecho de que pueden
conllevar una enorme ingerencia en la vida privada de los ciudadanos.
A todo ello apostillo que a pesar de que la innovación es fuente de
bien estar, ello no quiere decir que se trate de un vector absoluto
ya que puede cercenar derechos y libertades de los ciudadanos.
Posteriormente,
continuó con la jornada y precisamente con ese tema,
Emilio
Aced Félez, Jefe de Área de la Unidad de Apoyo de la AEPD.
Realizo su intervención en cuanto a la evaluación de impacto en la
privacidad o PIA, como elemento altamente recomendable a llevar a
cabo por las entidades a la hora de diseñar las áreas de negocio
respecto a la privacidad, como elemento para llevar a cabo el concepto de Privacy
by design
u una privacidad desde el diseño a la realidad. Para ello, será por tanto recomendable, realizar un “EIPD”
o Evaluación de Impacto de Privacidad o de Protección de Datos”,
para lo cual se requiere que el producto o servicio, sea analizado para comprobar
si es necesaria o no una evaluación de impacto respecto a la
privacidad.
Para
llevar a cabo dicho análisis, según Emilio
Aced Félez,
es fundamental, definir los equipos de trabajo respecto a que cubre
el proyecto y quien debe formar parte del mismo, es decir, que
resultara apropiado que existan representantes de todo tipo, así
como un DPO, y representantes de las áreas de negocio de la entidad.
Todo ello en un intento de acercarse al concepto de “Privacy by
Design” con la evaluación de impacto y sus riesgos potenciales. Es
evidente el significativo parecido de estos preceptos y los
establecidos en estándares internacionales como ISO
27001 e
ISO
31000
los cuales han seguido o tomado como referencia (al menos así lo reconoce el ICO el cual a su vez parece haber influenciado de manera importante a la AEPD en esta materia).
Posteriormente,
llegó el turno de
María
José Blanco Antón, Secretaria General de la AEPD,
comento básicamente la página Web de la agencia y su sede
electrónica, comento también la documentación (resoluciones,
guías, materiales didácticos, modelos de documentos…) así como
las herramientas que se encuentran disponibles en www.agpd.es
tales como Evalua
etc.
Premios
de Comunicación – Premio Ex Aequo:
-.
Marimar Jiménez (Cinco Días). -. Beatriz Navarro
(La Vanguardia).
Premios
de investigación 2013:
-.
Vicente Guasch Portas (Premios de investigación 2013).
-.
Ana Sánchez Henajeros (Premios de investigación 2013).
Premio en la categoría de Trabajos originales e inéditos sobre protección de datos en países iberoamericanos otorgado a mi amiga y compañera Dolores Dozo y a Pablo Martinez.
Tras la pausa, se reanudo la jornada con la ponencia de Jesús Rubí Navarrete como Adjunto al Director de la AEPD, el cual, realizó una exposición en cuanto a la aplicación de la normativa de Cookies, citando algunos procedimientos incoados por vía de la LSSI y de la propia LOPD, destacando que cuando una aplica la otra no entra en juego o no tiene porque ya que son materia distintas.
Se citaron cuestiones respecto a Informes Jurídicos relevantes, la legitimación y la aplicación del interés legítimo (Art. 22.2 LOPD) etc.
En mi opinión el tema de las cookies no se ha solucionado de la mejor de las maneras y esto se trascendió también a la jornada así como a su planteamiento en este ámbito, sobre todo en lo que a las cuestiones que al final de la jornada se plantearon y las respuestas aportadas por la propia AEPD.
A continuación, tuvo lugar la ponencia de Don Agustín Puente Escobar, Abogado del Estado y Jefe del Gabinete Jurídico de la AEPD Informes y Sentencias Relevantes. Referenció la Política de Privacidad, con respecto a las ambigüedades que suelen encontrarse en los términos y condiciones de uso respecto al "podrá, podrán hacer uso.." etc. así como con cuestiones sobre como Google "podrá mejorar las experiencias del usuario..." y otras cuestiones relacionadas con temas o asuntos establecidos en determinadas cláusulas de grandes proveedores de servicios en Internet, los cuales en muchas ocasiones almacenan datos de forma injustificada... cuando la Ley Orgánica de Protección de Datos es clara en este sentido, ya que establece que deberán ser eliminados aquellos datos que no mantengan la finalidad para la cual fueron recabados y deberán ser proporcionales.
También se hablo sobre la libertad
sindical, o de información, la tutela judicial efectiva etc. en concreto en lo que se refiere a que el derecho
de Protección de datos y la apreciable cesión en favor de los anteriores así como por otras limitaciones competenciales por cuestiones geográficas etc.
José López Calvo, Subdirector General de Inspección de Datos de la AEPD, principales resoluciones. Realizó una ponencia a toda velocidad, tal vez pecando de introducir demasiadas resoluciones para el poco tiempo del que disponía, no obstante destacan entre las mencionadas:
-. Calidad de los datos tasas de basuras a personas que no debían ser por vulneración de calidad de los datos.
-. Deber de información previo por el acceso del e-mail corporativo, para ello es necesario de informar a los mismos, destacar el tema del USB caso de concejales y partidos políticos, insertar información indebidamente en Internet, inserción de sentencias sin eliminar datos, cuestiones de páginas que incluyen supuestos. Imágenes de menores por padres separados etc.
-. Vídeo vigilancia: Captación de vía pública, ausencia de proporcionalidad y la no disposición de carteles.
-. Sanciones por altas sin consentimiento, sector de la energía, denuncias que han superando a la banca arrebatándole el segundo puesto y pasando esta al tercer puesto. Como desde hace algún tiempo, el primero continua siendo el sector de las telecomunicaciones. También se comentó lo concerniente a los ficheros de morosidad.
-. Publicidad, vulneraciones, Spam, llamadas comerciales, sanciones vinculadas a publicidad viral, correo electrónico, retención de tarjetas que luego hacían lo contrario (finalidades distintas), exención del deber de información (tan sólo se ha admitido una).
-. Facebook, cancelación de datos, ha cancelado tras instancia, buscadores, captación de noticias de hace 30 años y de vídeos etc.
Otras cuestiones: Se han desestimado cuestiones relativas al art. 25.8 RDLOPD 1720/2007, no cabe la caducidad de la firma electrónica, casos de relevancia pública en cuestiones de correo electrónico, obtención del número de IP o en los casos respecto a los Boletines oficiales, salvo que existan razonamientos fundados por cuestiones de seguridad.
Registro General de Protección de Datos y Transferencias Internacionales, Don Julián Prieto Hergueta. Subdirector General del Registro General de Protección de Datos
Información aportada respecto a Ficheros:
-. 3.000.000 de ficheros inscritos.
-. Ficheros con más de un responsable, cada uno debe contar con los suyos.
-. Hay que obtener el consentimiento o acreditación respecto a quien va a inscribir los ficheros o que cuenta con poderes suficientes para ello.
-. Administraciones públicas, delegaciones de deporte, mancomunidades y también empresas externas deberán considerarse a efectos de responsables del fichero y deberán cumplir con las obligaciones que a ellas se le aplican.
-. Ficheros comunes para la prevención del blanqueo de capitales, con límites respecto al acceso de la información.
-. Aspectos de Seguridad: en cuanto a la seguridad deben tener un nivel de seguridad de nivel alto cuando se trate de personas de relevancia pública respecto a sus cargos.
-. Perfiles
de empresa limitación en redes sociales y en especial de menores.
Bases
de datos y cesiones, hay que ver el tema del no uso ya que hay o existe un plazo.
-. Verificar el fichero con fuentes accesibles al público.
-. LSSi excluye la aplicación de la LOPD. Se debe poder disponer el tema
del recurso del envió no sólo en la Web sino también en otras
cuestiones.
Disociación debe ser irreversible, ejemplo Padrón de habitantes en
el que se quería hacer público en una Web disociándolos pero de una
manera reversible.
Otros temas tratados respecto a ficheros:
-. Colegios
profesionales.
-. Comunidad
de vecinos.
-. Fichero
de solvencia patrimonial:
-. Transparencia
y acceso a la información ley Administración Pública, Ley de 1992 en el art. 32. Para la colaboración
entre Administraciones tiene que acreditarse la trascendencia.
-. Cuestiones sobre Videovigilancia:
Puestos de persecución de delitos por temas de responsabilidad civil
(por cuestiones de auxilio) y en colegios para proteger a los menores
y siempre que no se desvié la
finalidad.
Rafael
García Gozalo, Coordinador
del
Área Internacional de la AEPD
realizó especial hincapié en las cuestiones relativas al BCR –
CBPR WP 212. Para empresas o entidades con cesiones de datos entre sus matrices y filiales en materia de protección de datos.
Por último llego el turno de las cuestiones y Consultas planteadas por los asistentes.
Muchas de las cuales versaron sobre materia referente a las cookies, materia de la cual en mi opinión en la AEPD adolecieron de técnicos expertos que hubiesen facilitado la resolución de determinados conflictos. No obstante con la vigente normativa tampoco se pueden hacer grandes interpretaciones o líneas de trabajo satisfactorias en este sentido.
