El Foro de la Privacidad se ha convertido en el encuentro de profesionales de la seguridad TI y la protección de datos más relevante a nivel nacional, en el que expertos, representantes de las autoridades, nacionales e internacionales, y profesionales se dan cita para analizar y debatir sobre los nuevos retos que deberá afrontar el sector empresarial.

En su ocatava edición, el foro contará con una sesión inaugural, a cargo de la Comisión Europea y, en concreto, del subdirector del área de protección de datos de DG Justice, Thomas Zerdick, quien hablará de las últimas novedades relacionadas con el nuevo Reglamento Europeo de Protección de Datos.

A continuación, el director de la Agencia Holandesa de Protección de Datos y ex director del WP29, Jacob Kohnstamm, aportará su visión sobre el nuevo reglamento y las transferencias internacionales de datos tras los últimos acuerdos adoptados entre la Unión Europea y EEUU.

En un segundo bloque de contenidos, el foro centrará su atención en el plano nacional con la intervención de Rafael García Gozalo, vocal asesor jefe del Área Internacional de la Agencia Española de Protección de Datos, y una mesa redonda con participantes de Hewlett Packard Enterprise, Google, CaixaBank y Ecix Group, en la que se abordará la evolución de los controles basados en el clásico checkbox a la gestión de riesgos.

La ponencia de cierre la llevará a cabo Eduardo Ustarán, socio de Hogan Lovells, que nos hablará de la transformación del mercado digital con el nuevo Reglamento Europeo de Protección de Datos.

Por su parte, el Comité Operativo del Data Privacy Institute presentará las actividades que mantiene en marcha, así como las próximas actividades a desarrollar, y presidirá el habitual acto de entrega del Certified Data Privacy Professional (CDPP).

Luz verde al nuevo Reglamento Europeo

La Comisión de Libertades Civiles del Parlamento Europeo ha respaldado el acuerdo sobre protección de datos, alcanzado en la Unión Europea, que establece una normativa para regular la privacidad en la era digital, modernizando así un marco legal que se remonta a la década de los años noventa. De esta forma, tras un complejo proceso de negociación entre la Eurocámara, la Comisión Europea y el Consejo Europeo, se ha dado luz verde al nuevo Reglamento General de Protección de Datos comunitario, cuya versión definitiva se publicará en la primavera de 2016.

Según Udo Helmbrecht, director ejecutivo de la Agencia de Seguridad de las Redes y de la Información de la UE (ENISA), “el nuevo reglamento concede una mayor participación y poderes de ejecución a las autoridades nacionales competentes. Un elemento importante de este acuerdo, a menudo subestimado, es su potencial para proporcionar una ventaja competitiva a la industria europea mediante la adopción de la privacidad y la protección de datos como valor central”.

Mejoras significativas

En el caso de nuestro país, la Agencia Española de Protección de Datos (AEPD) destaca las “mejoras significativas” que supone el reglamento europeo. “Por ejemplo”, señala, “produce un máximo efecto armonizador que permitirá reducir las divergencias actuales en nivel y mecanismos de protección. Y también es importante mencionar que será de aplicación a toda empresa que trate de forma sistemática datos de ciudadanos europeos, esté o no establecida en la UE”.

Además, “el reglamento mejora los instrumentos de control por parte del ciudadano de sus datos personales, fundamentalmente con una mejor definición del consentimiento. Pero también con la introducción de nuevos derechos como el de la portabilidad, específicamente vinculado al entorno digital y con el que las personas ven mejorada su capacidad de decisión”.

Finalmente, la agencia valora que el nuevo texto defina “un modelo de responsabilidad proactiva por parte de quienes tratan los datos de los europeos y, al mismo tiempo, amplíe y flexibilice los mecanismos que regulan sus transferencias internacionales con el objetivo de que en todo momento reciban un nivel de protección equiparable al que se les otorga en la UE”. 

Por su parte, Carlos Alberto Saiz, director del Data Privacy Institute de ISMS Forum, defiende que el reglamento va a ser positivo, especialmente, para los grandes grupos de empresas, que tendrán más claras unas reglas del juego sobre tratamiento de datos únicas en el entorno europeo, y también para los proveedores de TI y de soluciones cloud.

“Es fundamental que las organizaciones, públicas y privadas, hagan un buen trabajo de adecuación a estos nuevos requisitos normativos en los próximos dos años para instaurar un sistema completo de gestión de los aspectos de la privacidad, que ganan relevancia en la operativa empresarial y donde primarán conceptos como privacy impact assesment, privacy by design, accountability y data protection officer”, subraya Saiz.

Entre las novedades del reglamento se encuentra la obligatoriedad de que exista un Delegado de Protección de Datos (DPO) en todas las organizaciones públicas, a excepción de los tribunales en ejercicio de la potestad jurisdiccional; y también en determinadas organizaciones privadas, en general en aquellas que desarrollen profiling o traten datos de categorías especiales.

Al respecto, Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP), indica que “el DPO deberá posibilitar que el funcionamiento de la organización y la consecución de los objetivos lícitos y legítimos del negocio sean compatibles con la garantía del derecho fundamental a la protección de datos y la seguridad de la información. Igualmente, será el interlocutor con el regulador y la AEPD, así como el colaborador que, sin duda, necesitará cualquier institución”.

Algunas implicaciones

El nuevo reglamento conlleva nuevas obligaciones y procedimientos para cumplir con la protección de los datos, propugnando una participación más responsable y proactiva de las empresas. Existen cuatro circunstancias principales en las que estas obligaciones implican un cambio sustancial respecto a cómo se venían acometiendo los procesos:

• Implantación de un procedimiento de «Data Breach Notification».- Es decir, en caso de que se produzca una violación de datos que pudiera dar lugar a un alto riesgo para los derechos y libertades de los interesados, se deberá notificar a la autoridad de control en un plazo de 72 horas.
• Uso de una metodología de Análisis de Riesgos válida para llevar a cabo los “Privacy Impact Assestment” o Evaluaciones de Impacto de la Privacidad.- Cuando un tratamiento de datos suponga un alto riesgo para los derechos de las personas la empresa deberá presentar, antes de que se produjera dicho riesgo, una evaluación del impacto de privacidad.
• «Accountability» o rendición de cuentas.- Es decir, la empresa no solo deberá cumplir con el Reglamento establecido, también tiene la obligación de poder comprobar que lo han hecho.
• Privacy by Design.- Las empresas deberán aplicar las medidas técnicas y organizativas adecuadas para la actividad de tratamiento desarrollada y sus objetivos.

Por último, el Data Privacy Institute (DPI) de ISMS Forum destaca la publicación del estudio «Reflexiones sobre un futuro de la privacidad en Europa», donde se analizan las materias y aspectos de la propuesta de la nueva normativa europea en materia de protección de datos además de realizar una serie de propuestas concretas.