Aunque un poco tarde, pongo a disposición este post que fue quedándose atrás en el tiempo pero que espero que resulte del interés del lector y que así comenzaba:
Para aquellas personas que no pudieron acudir el pasado viernes 14 de marzo de 2014 al Teatro Real de Madrid a la 6ª Jornada de Puertas Abiertas de la AEPD, he realizado este pequeño resumen con intención de trasladar las cuestiones que allí se trataron y acontecieron.
Para aquellas personas que no pudieron acudir el pasado viernes 14 de marzo de 2014 al Teatro Real de Madrid a la 6ª Jornada de Puertas Abiertas de la AEPD, he realizado este pequeño resumen con intención de trasladar las cuestiones que allí se trataron y acontecieron.
En dicha jornada, muchas eran las cuestiones que estaban abiertas desde hace tiempo, en este campo del derecho y de la seguridad de la información, las cuales versaban desde las cuestiones relativas a las innovaciones tecnológicas como pueden ser el denominado como el “Internet de las cosas”, los “drones”, el "derecho al olvido" etc. Así como otras cuestiones que también estaban pendientes tales como la aprobación del Reglamento Europeo de Protección de Datos de Carácter Personal o su no futura aprobación y como no, la cuestión recurrente y polémica en materia de “Cookies”, su regulación, interpretación, ámbito de aplicación, sanciones o resoluciones.
Por
tanto dado que hubo bastante materias bajo análisis, comenzaremos
a describir las cuestiones allí tratadas en el orden según el programa
de la jornada.
José
Luis Rodríguez Álvarez
como
Director
de la Agencia
Española de Protección de Datos
(AEPD)
abrió la jornada hablando de las principales novedades en materia de
protección de datos. Entre las cuales hizo referencia al nuevo
reglamento Europeo de protección de datos del cual afirmo sin ningún
genero de dudas que dadas las fechas era evidente que en esta
legislatura no sería aprobado y por tanto no entraría en vigor, por
lo que en ese sentido y a falta de poco más de un año de cumplirse
los veinte años desde que se aprobase la Directiva
95/46/CE del parlamento europeo y del consejo de 24 de octubre de
1995 relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación
de estos datos.
Se abre una época de cierta incertidumbre en ese sentido.
Por
otro lado y sorprendentemente, el Director de la AEPD no hizo ninguna
referencia a lo expresado el pasado 12 de marzo en el artículo
publicado
por Europa
press
en referencia a la falta de recursos de la Agencia, en dicho artículo, el Director del órgano de control, remarcaba que en los últimos años la carga de trabajo se había incrementado
hasta en la AEPD en un 300%. El por qué de este incremento tan asombroso puede deberse a varias razones, que cada cual saque sus conclusiones...
Así
mismo y sin citar tampoco el caso de “Eduard
Snowden”
y la NSA,
comentó el estado actual en el que se encontraba Europa respecto a
la crisis de confianza generada por el espionaje manifiesto que se
estaba dando de gran parte de la ciudadanía por los diferentes
centros de inteligencia mundiales.
Comentó
también los estudios que se están llevando a cabo por parte del
Grupo
Europeo de Protección de Datos del Artículo 29
respecto al reto en materia de privacidad en cuanto a los avances
tecnológicos tales como el concepto del Internet de las cosas,
drones
y como no el Big
data.
Destacando de las citadas tecnologías el hecho de que pueden
conllevar una enorme ingerencia en la vida privada de los ciudadanos.
A todo ello apostillo que a pesar de que la innovación es fuente de
bien estar, ello no quiere decir que se trate de un vector absoluto
ya que puede cercenar derechos y libertades de los ciudadanos.
En
ese sentido y para paliar determinados efectos negativos de la
innovación, desarrollo su ponencia en cuanto al trabajo que desde la
AEPD se está llevando a cabo en cuanto a la “EIPD”
o Evaluación de Impacto de Privacidad o de Protección de Datos”
en Inglés “PIA”
“Privacy
Impact Assessment”
es muy interesante la guía
sobre “PIA”
del ICO
en este sentido me parece altamente recomendable la lectura del
artículo de Francisco
Javier Sempere en Privacidad Lógica, actualizado tras la jornada del
pasado viernes 14 de marzo
de la AEPD en el que habla de estas cuestiones.
Posteriormente,
continuó con la jornada y precisamente con ese tema,
Emilio
Aced Félez, Jefe de Área de la Unidad de Apoyo de la AEPD.
Realizo su intervención en cuanto a la evaluación de impacto en la
privacidad o PIA, como elemento altamente recomendable a llevar a
cabo por las entidades a la hora de diseñar las áreas de negocio
respecto a la privacidad, como elemento para llevar a cabo el concepto de Privacy
by design
u una privacidad desde el diseño a la realidad. Para ello, será por tanto recomendable, realizar un “EIPD”
o Evaluación de Impacto de Privacidad o de Protección de Datos”,
para lo cual se requiere que el producto o servicio, sea analizado para comprobar
si es necesaria o no una evaluación de impacto respecto a la
privacidad.
Para
llevar a cabo dicho análisis, según Emilio
Aced Félez,
es fundamental, definir los equipos de trabajo respecto a que cubre
el proyecto y quien debe formar parte del mismo, es decir, que
resultara apropiado que existan representantes de todo tipo, así
como un DPO, y representantes de las áreas de negocio de la entidad.
Todo ello en un intento de acercarse al concepto de “Privacy by
Design” con la evaluación de impacto y sus riesgos potenciales. Es
evidente el significativo parecido de estos preceptos y los
establecidos en estándares internacionales como ISO
27001 e
ISO
31000
los cuales han seguido o tomado como referencia (al menos así lo reconoce el ICO el cual a su vez parece haber influenciado de manera importante a la AEPD en esta materia).
Posteriormente,
llegó el turno de
María
José Blanco Antón, Secretaria General de la AEPD,
comento básicamente la página Web de la agencia y su sede
electrónica, comento también la documentación (resoluciones,
guías, materiales didácticos, modelos de documentos…) así como
las herramientas que se encuentran disponibles en www.agpd.es
tales como Evalua
etc.
Antes de la pausa de la jornada, se procedió a la entrega de los premios
de protección de datos 2013,
de los cuales fueron premiadas las siguientes personas (noticia
referenciada por Europa Press):
Premios
de Comunicación – Premio Ex Aequo:
-.
Marimar Jiménez (Cinco Días). -. Beatriz Navarro
(La Vanguardia).
Premios
de investigación 2013:
-.
Vicente Guasch Portas (Premios de investigación 2013).
-.
Ana Sánchez Henajeros (Premios de investigación 2013).
Premio en la categoría de Trabajos originales e inéditos sobre protección de datos en países iberoamericanos otorgado a mi amiga y compañera Dolores Dozo y a Pablo Martinez.
Tras la pausa, se reanudo la jornada con la ponencia de Jesús Rubí Navarrete como Adjunto al Director de la AEPD, el cual, realizó una exposición en cuanto a la aplicación de la normativa de Cookies, citando algunos procedimientos incoados por vía de la LSSI y de la propia LOPD, destacando que cuando una aplica la otra no entra en juego o no tiene porque ya que son materia distintas.
Se citaron cuestiones respecto a Informes Jurídicos relevantes, la legitimación y la aplicación del interés legítimo (Art. 22.2 LOPD) etc.
En mi opinión el tema de las cookies no se ha solucionado de la mejor de las maneras y esto se trascendió también a la jornada así como a su planteamiento en este ámbito, sobre todo en lo que a las cuestiones que al final de la jornada se plantearon y las respuestas aportadas por la propia AEPD.
A continuación, tuvo lugar la ponencia de Don Agustín Puente Escobar, Abogado del Estado y Jefe del Gabinete Jurídico de la AEPD Informes y Sentencias Relevantes. Referenció la Política de Privacidad, con respecto a las ambigüedades que suelen encontrarse en los términos y condiciones de uso respecto al "podrá, podrán hacer uso.." etc. así como con cuestiones sobre como Google "podrá mejorar las experiencias del usuario..." y otras cuestiones relacionadas con temas o asuntos establecidos en determinadas cláusulas de grandes proveedores de servicios en Internet, los cuales en muchas ocasiones almacenan datos de forma injustificada... cuando la Ley Orgánica de Protección de Datos es clara en este sentido, ya que establece que deberán ser eliminados aquellos datos que no mantengan la finalidad para la cual fueron recabados y deberán ser proporcionales.
También se hablo sobre la libertad sindical, o de información, la tutela judicial efectiva etc. en concreto en lo que se refiere a que el derecho de Protección de datos y la apreciable cesión en favor de los anteriores así como por otras limitaciones competenciales por cuestiones geográficas etc.
José López Calvo, Subdirector General de Inspección de Datos de la AEPD, principales resoluciones. Realizó una ponencia a toda velocidad, tal vez pecando de introducir demasiadas resoluciones para el poco tiempo del que disponía, no obstante destacan entre las mencionadas:
-. Calidad de los datos tasas de basuras a personas que no debían ser por vulneración de calidad de los datos.
-. Deber de información previo por el acceso del e-mail corporativo, para ello es necesario de informar a los mismos, destacar el tema del USB caso de concejales y partidos políticos, insertar información indebidamente en Internet, inserción de sentencias sin eliminar datos, cuestiones de páginas que incluyen supuestos. Imágenes de menores por padres separados etc.
-. Vídeo vigilancia: Captación de vía pública, ausencia de proporcionalidad y la no disposición de carteles.
-. Sanciones por altas sin consentimiento, sector de la energía, denuncias que han superando a la banca arrebatándole el segundo puesto y pasando esta al tercer puesto. Como desde hace algún tiempo, el primero continua siendo el sector de las telecomunicaciones. También se comentó lo concerniente a los ficheros de morosidad.
-. Publicidad, vulneraciones, Spam, llamadas comerciales, sanciones vinculadas a publicidad viral, correo electrónico, retención de tarjetas que luego hacían lo contrario (finalidades distintas), exención del deber de información (tan sólo se ha admitido una).
-. Facebook, cancelación de datos, ha cancelado tras instancia, buscadores, captación de noticias de hace 30 años y de vídeos etc.
Otras cuestiones: Se han desestimado cuestiones relativas al art. 25.8 RDLOPD 1720/2007, no cabe la caducidad de la firma electrónica, casos de relevancia pública en cuestiones de correo electrónico, obtención del número de IP o en los casos respecto a los Boletines oficiales, salvo que existan razonamientos fundados por cuestiones de seguridad.
Registro General de Protección de Datos y Transferencias Internacionales, Don Julián Prieto Hergueta. Subdirector General del Registro General de Protección de Datos
Información aportada respecto a Ficheros:
-. 3.000.000 de ficheros inscritos.
-. Ficheros con más de un responsable, cada uno debe contar con los suyos.
-. Hay que obtener el consentimiento o acreditación respecto a quien va a inscribir los ficheros o que cuenta con poderes suficientes para ello.
-. Administraciones públicas, delegaciones de deporte, mancomunidades y también empresas externas deberán considerarse a efectos de responsables del fichero y deberán cumplir con las obligaciones que a ellas se le aplican.
-. Ficheros comunes para la prevención del blanqueo de capitales, con límites respecto al acceso de la información.
-. Aspectos de Seguridad: en cuanto a la seguridad deben tener un nivel de seguridad de nivel alto cuando se trate de personas de relevancia pública respecto a sus cargos.
-. Perfiles
de empresa limitación en redes sociales y en especial de menores.
Bases
de datos y cesiones, hay que ver el tema del no uso ya que hay o existe un plazo.
-. Verificar el fichero con fuentes accesibles al público.
-. LSSi excluye la aplicación de la LOPD. Se debe poder disponer el tema
del recurso del envió no sólo en la Web sino también en otras
cuestiones.
Disociación debe ser irreversible, ejemplo Padrón de habitantes en el que se quería hacer público en una Web disociándolos pero de una manera reversible.
Otros temas tratados respecto a ficheros:
-. Colegios
profesionales.
-. Comunidad
de vecinos.
-. Fichero
de solvencia patrimonial:
-. Transparencia
y acceso a la información ley Administración Pública, Ley de 1992 en el art. 32. Para la colaboración
entre Administraciones tiene que acreditarse la trascendencia.
-. Cuestiones sobre Videovigilancia:
Puestos de persecución de delitos por temas de responsabilidad civil
(por cuestiones de auxilio) y en colegios para proteger a los menores
y siempre que no se desvié la
finalidad.
Rafael
García Gozalo, Coordinador
del
Área Internacional de la AEPD
realizó especial hincapié en las cuestiones relativas al BCR –
CBPR WP 212. Para empresas o entidades con cesiones de datos entre sus matrices y filiales en materia de protección de datos.
Por último llego el turno de las cuestiones y Consultas planteadas por los asistentes.
Muchas de las cuales versaron sobre materia referente a las cookies, materia de la cual en mi opinión en la AEPD adolecieron de técnicos expertos que hubiesen facilitado la resolución de determinados conflictos. No obstante con la vigente normativa tampoco se pueden hacer grandes interpretaciones o líneas de trabajo satisfactorias en este sentido.
Por último llego el turno de las cuestiones y Consultas planteadas por los asistentes.
Muchas de las cuales versaron sobre materia referente a las cookies, materia de la cual en mi opinión en la AEPD adolecieron de técnicos expertos que hubiesen facilitado la resolución de determinados conflictos. No obstante con la vigente normativa tampoco se pueden hacer grandes interpretaciones o líneas de trabajo satisfactorias en este sentido.
Más información:
Ponencias:
2.- Evaluación de Impacto en la Privacidad.
3.- La sede electrónica de la AEPD y las herramientas para facilitar el cumplimiento.
4.- La aplicación de la normativa de cookies.
5.- Informes y sentencias relevantes
Vídeos de la jornada
Material relacionado*: Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD) (borrador).
Material relacionado*: Guía para una Evaluación del Impacto en la Protección de Datos Personales (EIPD) (borrador).