El Data Privacy Institute (DPI), iniciativa de ISMS Forum, reunió el pasado 24 de septiembre en Madrid a los expertos más destacados del mundo de la privacidad y la protección de datos para analizar e interpretar la evolución de las tecnologías de la información, y cómo afrontar los nuevos retos que suponen por medio de la privacidad y la seguridad como garantía para el desarrollo de la Sociedad Digital.

En la inauguración del foro, el Director de la Agencia Española de Protección de Datos, José Luis Rodríguez Álvarez, compartió con la audiencia la visión de esta Autoridad en relación al esperado Reglamento Europeo, sobre cuáles serán los próximos pasos y el papel de las Autoridades de Control, aportando también el posicionamiento de la Agencia española respecto a la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE), del pasado 13 de mayo, en relación al llamado “caso del derecho al olvido”.

En relación al posible nuevo Reglamento Europeo de Protección de Datos, el Director destacó las diferencias actuales entre las distintas autoridades de protección de datos en Europa, y cómo estas diferencias dificultan la capacidad de cooperación entre las mismas ya que mantienen potestades diferentes. En este sentido, mencionó que el futuro marco regulatorio comprende un procedimiento de cooperación que posibilitará, entre otras, el intercambio de información.

También hizo hincapié en el fenómeno Big Data y el valor de los datos personales, como consecuencia de las nuevas posibilidades que los avances tecnológicos facilitan para su gestión, con el consiguiente poder de incidir en la Sociedad como, por ejemplo, en el conocido caso Snowden. El riesgo evidente de este nuevo escenario lo constituyen aquellos actores que tienen la posibilidad de manejar grandes cantidades de datos, a los que denominaba el director “los señores dictadores del dato”, que infieren en la sociedad “influyendo en la capacidad de autodeterminación de los ciudadanos”.

Admitía Rodríguez que la innovación es una fuente de desarrollo y bienestar, pero “es importante mejorar la protección y reforzar las garantías para que el poder de autodeterminación se pueda hacer en los entornos digitales”.

En relación a la sentencia del Tribunal de Justicia de la Unión Europea sobre el caso del “derecho al olvido”, respaldó íntegramente la posición de la Agencia Española de Protección de Datos y rechazó los argumentos de la empresa Google que, en caso de haber prosperado, habría afectado a los derechos de los ciudadanos en Internet. Con esta sentencia, matizaba Rodríguez, en la que se hace referencia a la proyección de los derechos de cancelación y de oposición en Internet, en concreto sobre la actividad de los buscadores, “se afianza una pieza clave en el conjunto de las garantías necesarias para el desarrollo de Internet”. Comparaba la “pena medieval de vergüenza pública”, con la exposición de la información que supone Internet. Sin embargo, añadía, “ahora la exposición va más allá del pueblo”, por lo que hace falta más concienciación de los usuarios, un mayor compromiso de los editores, y por supuesto la responsabilidad de los buscadores en el caso de que los contenidos hieran los derechos de la vida privada de los ciudadanos.

Por último, hizo gran hincapié en que el acceso a la información no es lo que se está limitando, sino la hiperaccesibilidad que supone la posibilidad de encontrar información por el nombre de la persona. “No se elimina la información, sino la hiperaccesibilidad, encontrando el equilibrio entre la protección de derechos de los usuarios y el mantenimiento del acceso a la información”.

Tras la ponencia inaugural del director de la Agencia Española de Protección de Datos, se sucedieron una serie de ponencias y mesas redondas para abordar cuestiones clave sobre privacidad y seguridad. En primer lugar, sobre los retos que plantea para la figura del Data Privacy Officer el posible nuevo Reglamento de Protección de Datos, compartieron opiniones Flora Egea, Data Privacy Officer de IBM, e Inmaculada García, asesoría jurídica de Cepsa, en una mesa redonda moderada por Miguel Ángel Ballesteros, miembro del Data Privacy Institute.

La sesión estuvo enfocada en los efectos prácticos de la incorporación de esta figura desde distintos aspectos. El primero de ellos, el tamaño de la organización, que Flora Egea manifestó, en términos generales, que en una multinacional aumentan en número y complejidad los tratamientos desarrollados. Por su parte, Inmaculada García destacó que en empresas pequeñas no hay un nombramiento oficial de un Data Privacy Officer. En relación a la posición que ocupa la figura del Data Privacy Officer en la empresa, ambas invitadas coincidieron en que cuanto más alto se sitúe, obtendrá mayor independencia y nivel de interlocución con la dirección. En cuanto a la formación de un Data Privacy Officer, argumentaron que con la nueva regulación encontraremos perfiles más concretos y preparación post-universitaria, pero que hoy en día lo cierto es que nos encontramos con abogados que han adquirido conocimientos técnicos. En este sentido, la certificación de profesionales será una pieza fundamental en la formación continuada.

La tercera sesión del encuentro, tuvo lugar de la mano de Sara Degli Esposti, investigadora de la Open University Business School, para presentar las líneas generales del proyecto europeo  SurPRISE, que investiga la relación entre privacidad y seguridad, y cómo la vigilancia constituye un problema en la percepción de los ciudadanos. El objetivo de este proyecto es desarrollar tecnologías de seguridad que no sean tan intrusivas, analizando los factores que más influyen en la aceptación ciudadana de estas tecnologías. Para ello, se desarrolló una metodología cuantitativa y cualitativa mediante la organización de cumbres ciudadanas en las que los participantes de nueve países de la Unión Europea fueron informados acerca de dichas tecnologías y expresaron sus opiniones sobre cámaras inteligentes de vídeovigilancia, cibervigilancia sobre la inspección profunda de paquetes y sobre sistemas de localización y seguimiento.

Como resultado, se concluye que no todas las tecnologías se perciben de la misma manera en términos de intrusión, siendo las cámaras inteligentes la tecnología más aceptada. También las percepciones cambian en función de los países; mientras a los alemanes no les gustan las tecnologías de vigilancia ciudadana, a los ingleses les parecen muy eficaces. En el caso español, si bien le encontramos utilidad, nos parecen tecnologías intrusivas.

A continuación Fernando Sánchez, Consultor IT de Everis Aeroespacial y Defensa, presentó las principales conclusiones del Proyecto CIPHER, sobre el derecho a la privacidad y a la protección de datos en el contexto del ciberespacio. Comunicaciones no cifradas, vulnerabilidades de software obsoleto, entre otras, facilitan las fugas de información y las consecuentes pérdidas económicas y de reputación. Por ello este proyecto se centra en las organizaciones que manejan datos personales, con un marco de buenas prácticas y un roadmap con una hoja de ruta definida que promueve acciones para prevenir el cibercrimen e incrementar la concienciación civil. En este proyecto han colaborado más de 50 expertos de distintos sectores y 10 países de la Unión Europea, aportando una amplia visión del estado del arte que ha permitido identificar medidas y buenas prácticas que han dado lugar a 71 recomendaciones. Como resultado, se ha desarrollado una web con los resultados del proyecto, que incluye una herramienta de autodiagnóstico donde evaluar sus capacidades.

Así, llegábamos a la segunda mesa redonda de la jornada para abordar cuestiones sobre privacidad desde el punto de vista de la sociología y la comunicación, con la participación de Nieves Goicoechea, Jefa de la Sección de Ciencia, Nuevas Tecnologías y Tendencias Urbanas de la Cadena SER, y Loreto Corredoira, Profesora Titular Ayudante y Titular Interina de Derecho de la Información en la Universidad Complutense de Madrid, y con la moderación de Noemí Brito, miembro del Data Privacy Institute.

En primer lugar, Noemí Brito hizo una primera aproximación jurídica al debate, en torno a la privacidad y la libertad de expresión, y el equilibrio que se requiere hoy en día entre ambas libertades. Acto seguido preguntó sobre la conveniencia de que los periodistas se rijan por parámetros de privacidad en contraposición a la libertad de expresión y al derecho de la información como derecho fundamental. A este respecto, Nieves Goicoechea manifestó que ambos derechos son fundamentales, y que el esfuerzo se debe centrar en compatibilizarlos con los mecanismos de transparencia como el rigor, el manejo responsable de las fuentes, el contraste de la información; en definitiva, calificó la autorregulación de los medios como eje principal para mantener la transparencia. Para ello, mostró tres ejemplos claros de cómo los medios han actuado en situaciones concretas. Loreto Corredoira, por su parte, distinguió el ejercicio del derecho periodístico y la función social del periodismo, ya que en muchos casos, y cada vez más en el entorno digital, se actúa de manera ilícita. Como empresas, los medios deben cumplir con la ley de protección de datos. Sobre cómo podría afectar la privacidad a los criterios periodísticos, y si son intrusivos algunos de los nuevos dispositivos tecnológicos, Loreto antepuso el derecho a la vida privada al derecho de la información; y Nieves destacó los criterios éticos del periodista y del medio de comunicación.

El momento más esperado de la jornada giró en torno a la presentación del “Informe La Responsabilidad Legal Frente a un Ciberataque”, elaborado por ISMS Forum y ENATIC, en colaboración con INTECO, y promovido por CEGAE. El Informe parte de un supuesto caso de ciberataque sufrido por parte de una empresa de suministros, y desarrolla las múltiples implicaciones legales que conlleva un ciber-incidente, y que afecta tanto a la organización que la sufre y, por extensión directa, también a sus clientes.

La última sesión, sobre la investigación, retención de datos y garantías de privacidad, contó con la participación de José Manuel Maza, magistrado del Tribunal Supremo;Pilar Rodríguez, Fiscalía Provincial de Madrid; y Óscar de la Cruz, Comandante Jefe del Grupo de Delitos Telemáticos de la Guardia Civil. Con la moderación de Javier Carbayo en representación del Data Privacy Institute, la sesión se centró en la relación entre seguridad y privacidad, y en el análisis de la Sentencia del Tribunal de Justicia de la Unión Europea sobre la Directiva de retención de datos, y de la Sentencia del Tribunal Supremo sobre secreto de las comunicaciones y el acceso al correo electrónico corporativo.

Carbayo comenzó el debate con una cuestión relacionada con la posible existencia de fricciones entre la privacidad y la seguridad, y hasta qué punto esto es utilizado por delincuentes en su favor. Pilar Rodríguez, afirmó las tensiones que surgen de adoptar medidas de restricción de derechos fundamentales para conseguir pruebas, ya que “la experiencia nos dice que solo adoptando dichas medidas evitamos que la privacidad se vea como una escapatoria para el delincuente”. José Manuel Maza consideraba necesario el equilibrio entre la privacidad y la seguridad, poniendo como ejemplo de buena práctica el caso español. Óscar de la Cruz, por su parte, explicó que los últimos acontecimientos han enturbiado la percepción de estos conceptos y prácticas, que realmente siempre se han realizado de forma tutelada por el juez. “Aquellos que sacrifican libertad por seguridad, no se merecen ni la una ni la otra”, expresó De la Cruz para reflejar que en ese equilibrio está la clave.

El segundo aspecto a tratar, fue la anulación de la directiva de retención de datos, y sobre el efecto de esta anulación. De la Cruz, opinó que en España no se ha movido ficha pero que, sin duda, antes habría que redefinir muchos conceptos y no poner parches sobre cosas que ya existen. En principio, añadió Maza, no tendría por qué alterar una legislación nacional que fue aún más garantista que la sentencia; “pocos cambios deben realizarse en la norma nacional”. Pilar iba un paso más allá y pedía una manera de calificar los delitos graves para facilitar la investigación.

Por último, Carbayo invitó a José Manuel Maza, como magistrado del Tribunal Supremo y ponente de la sentencia de lo penal de 16 de junio sobre la necesaria autorización judicial para la consulta de correos electrónicos en el ámbito laboral, en cumplimiento del art. 18.3 de la constitución que indica que no se puede intervenir una comunicación.

Con la entrega de diplomas a los más recientes profesionales certificados en materia de protección de datos, bajo la certificación Certified Data Privacy Professional (CDPP), finalizaba la sexta edición del Foro de la Privacidad con el aplauso general a todas las intervenciones y presentaciones. 

El Foro de la Privacidad del Data Privacy Institute se constituye como uno de los encuentros de profesionales de la privacidad y la protección de datos más relevantes del Sector, en el que expertos, representantes de las autoridades de control y profesionales se dan cita para analizar y debatir sobre los nuevos retos que deberá afrontar el sector empresarial.