Entradas

Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

¿Quo Vadis LOPD? ¿Quo Vadis Privacidad?

Amigos lectores, hemos estado dudando en como titular este post, aunque la verdad es que lo importante es la conclusión que podamos hacer al finalizar su lectura, si es que sacamos alguna.

Hace unos días vimos en la portada del periódico “El País” el siguiente titular: EE UU presiona en la sombra para frenar la normativa de privacidad europea” . Vaya, una portada y bien grande sobre privacidad, que además va acompañada de 3 páginas interiores desgranando parte de las cuestiones que ahora comentaremos.

Todo ello nos hace reflexionar sobre el contenido de los artículos, las entrevistas, noticias y los acontecimientos que se han sucedido últimamente, para ver hasta qué punto parece que los temas de privacidad asoman con fuerza.

La cuestión es que ya la semana pasada pudimos leer en una entrevista  al director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez una frase que pienso viene a dar en parte, respuesta al título de este post: “Estamos en un momento crítico para la privacidad”.

Pues sí, un momento en el que había esperanzas por ver cómo quedaría finalmente el reglamento europeo de protección de datos, si es que daba tiempo en ésta legislatura que se agota, y ahora aparecen los escándalos conocidos sobre el programa PRISM que parece va a dejar en eclipse total a la privacidad, no sólo de los europeos, me temo que a la privacidad del “mundo mundial” le esperan tiempos de tinieblas, aunque para según qué lado del atlántico serán mayores o menores si nos atenemos a las palabras de la propia Viviane Reding (vicepresidenta de la Comisión Europea y responsable de Justicia) diciendo “nunca había visto un ‘lobby’ tan potente”.

Vamos que hay una lucha entre EEUU y la UE por el control de la privacidad, en la que a medida que avanzaba el caso PRISM convirtiéndose en el caso SNOWDEN, lo de menos es saber si realmente todas nuestras comunicaciones son intervenidas, más bien si lo seguirán siendo, entre otras cuestiones.

Las declaraciones de los países se han ido sucediendo y al final parece que todos lo sabían, consentían e incluso tenían su propio programa de espionaje. Hace unos días la propia canciller de Alemania, Angela Merkel, manifestó su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

Pero según indicaban algunos medios alemanes, “Los servicios secretos alemanes conocían desde hacía años la capacidad de sus homólogos estadounidenses para interceptar comunicaciones en todo el mundo y recurrieron a ellos en repetidas ocasiones”. Ante esto la respuesta de momento, es la habitual: “el gobierno ‘no comenta públicamente detalles’ de la ‘cooperación’ entre los servicios secretos alemanes y los estadounidenses”, es decir, NO COMENT.

La semana pasada también desayunábamos con la noticia de que el Gobierno brasileño baraja obligar a las multinacionales que ofrecen acceso y servicios en Internet a almacenar sus datos en Brasil y no en el exterior, creando nuevos incentivos para que las empresas mantengan sus centros de datos en Brasil, ya que el gobierno brasileño entiende que “internet tiene reglas de gestión exclusivamente dictadas por Estados Unidos. Defendemos una gestión multilateral y multisectorial”. El caso de Brasil parece que no será el único o cuando menos en intenciones.Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

Y mientras en la UE con una directiva del año 1995, sus Estados miembros no se ponen de acuerdo para sacar adelante la nueva reglamentación, en un momento en el que por todo lo anteriormente comentado, es evidente que hay una necesidad de contar con estándares globales de privacidad. Si a esto le añadimos las palabras asombrosas pronunciadas en una conferencia sobre la reforma de la normativa europea de protección de datos por Giovanni Buttarelli, adjunto al supervisor Europeo de Protección de datos, fijando el año ¡¡¡2025!!! como la fecha en la que entraría por completo en vigor el nuevo reglamento, entonces me viene a la mente la famosa frase de Obélix: “están locos estos Romanos”.

Es evidente que el mundo tiene o tenemos otros problemas, que hay amigos/conocidos que afirman que la LOPD/privacidad es una paranoilla de 4 freekes, a lo que suelo responder que en cierto modo sí, pero que gracias a ellos aún hay quien se preocupa por su privacidad. Impresiones, que en cierto modo se puede confirmar si nos atenemos a una encuesta del mes de mayo, que reflejaba lo siguiente: ”La protección de datos personales, es una leve preocupación para los españoles“ y no les falta razón, sobre todo al ver cómo actúan los romanos en la defensa de su Imperio.

En el 82 ya cantaba Miguel Ríos aquello de “año 2.000”, con estrofas como:

«Esta es la era de Mister Chips,
micro-ordenador de tu porvenir.
Que por lo pronto te quita el curro
además de ser tu ficha sin fin.
Hay que dictar su sentencia,
diciéndote que es por tu bien…..»

Pues sí, de nuestro provenir, nuestra ficha sin fin y por nuestro bien. La batalla del derecho al olvido ya está en marcha y se enfrenta a la libertad de expresión, la de la competitividad marcada por las leyes globales-locales también, la de anteponer seguridad a privacidad es una batalla que renace a golpe de terrorismo. La era del Big Data y el Cloud Computing hacen que conservemos la información “por si acaso”, sin importar dónde o si lo hacemos de forma segura y responsable, sin advertir de las brechas de seguridad …

Vendrán otras guerras, probablemente inimaginables hasta para Miguel Ríos, para las que en el 2025 tampoco habrá respuestas y mientras nos haremos la misma pregunta: ¿Quo Vadis?

NEWS 08/Mayo/2013 Nuevas Guías sobre el CLOUD y COOKIES de la AEPD

El pasado 26 de abril de 2013, tuvo lugar en Madrid, la 5ª Sesión Anual Abierta de la AEPD (Agencia Española de Protección de Datos). Sobre esta sesión ya publicamos un post en el que comentamos un resumen con el contenido, alcance e impresiones sobre la misma.

Hoy queremos recordar que en dicha sesión se presentaron dos guías (de las que os dejamos su enlaces correspondientes)con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube Guía para clientes que contraten servicios de Cloud Computing, como a los proveedores que los prestan Orientaciones para prestadores de servicios de Cloud Computing.

Reproducimos por su interés, parte de la Nota emitida por la AEPD de la 5ª sesión anual (nota completa en este enlace):

En el primer bloque de la jornada el adjunto al director de la AEPD, Jesús Rubí, ha presentado la Guía para clientes que contraten servicios de cloud computing, un documento práctico que pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios en la nube. El documento, dirigido a pymes, microempresas, profesionales y administraciones públicas, analiza, entre otros aspectos, las diferentes modalidades de servicios en la nube, los riesgos, las obligaciones de las partes y la legislación aplicable. En paralelo, la AEPD también ha elaborado una publicación llamada Orientaciones para los prestadores de servicios de cloud computing, que hace hincapié en las garantías que deben cumplir las empresas que ofrecen estos servicios.

Ese día 26 se anunció la publicación de la primera guía en Europa sobre el uso de cookies elaborada junto a los representantes de la industria, que el día 29 la AEPD presentó junto a dichos representantes.

Reproducimos por su interés, parte de la Nota emitida por la AEPD (nota completa en este enlace):

El director de la AEPD, José Luis Rodríguez Álvarez, ha destacado que, con esta Guía, se da un gran paso adelante para conciliar el uso de las cookies con la protección de la privacidad de los ciudadanos. “Se establecen reglas claras para garantizar que los usuarios puedan decidir si consienten o no la instalación de cookies en sus terminales, contando con una información clara y completa sobre qué datos se recopilan, quiénes los van a tratar y a qué fines se destinan. Al mismo tiempo, se proporcionan a las empresas y a los responsables de páginas web en general unas directrices y orientaciones prácticas que les facilitará el cumplimiento de las obligaciones legales con mayor seguridad jurídica y el grado de flexibilidad necesario para posibilitar el desarrollo de la economía digital”.

La guía ofrece diversas opciones para cumplir con las dos obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. En cuanto a la información que debe facilitarse, el apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información “clara y completa” sobre las cookies. La Guía especifica un sistema de información por capas que consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.

La Guía también recoge cuestiones relacionadas con la accesibilidad y visibilidad de esa información. Aunque no se ofrecen indicaciones rígidas de dónde debe ser colocada, sí se especifica que el enlace debe estar situado en zonas que capten la atención de los usuarios.

Además de ese nivel de información, para la instalación y utilización de cookies será necesario obtener el consentimiento del usuario, de forma que este pueda considerarse un consentimiento informado.

Por último, el documento también recoge el derecho de los usuarios a recibir información sobre la forma de desactivar o eliminar las cookies, así como la forma de revocar un consentimiento prestado con anterioridad.

Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones recogidas en el documento conjunto no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio. La AEPD recomienda a las entidades implicadas en la utilización de cookies llevar a cabo una revisión de las que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas. Las entidades podrán conocer así qué cookies se utilizan y para qué finalidad, descartando así las innecesarias.

 

Resumen 5ª Sesión Anual Abierta de la AEPD

Esta mañana de viernes 26 de abril de 2013, ha tenido lugar en el marco incomparable del Teatro Real de Madrid, la 5ª Sesión Anual Abierta de la AEPD, cuyo aforo estaba completo a los pocos días de anunciarse su convocatoria.

Como cada año, acudimos con las ganas de escuchar por boca de la propia AEPD que cuestiones relevantes nos deparará nuestra querida protección de datos, esperando encontrar algunas respuestas a las cuestiones que los súbditos hemos planteado, los pequeños comentarios sobre sentencias, resoluciones e informes destacados y su visión respecto a las cuestiones que a día de hoy se encuentran pendientes de concretar dentro del marco regulador.

Particularmente creo que este año ha sido el más interesante, sobre todo por conocer y admitir abiertamente, por parte del Director de la AEPD, D. José Luís Rodríguez Álvarez, cuestiones como:

  • Que hay una voluntad política para que antes de que finalice la presente legislatura europea se apruebe el Reglamento Europeo sobre Protección de Datos.
  • Que existen aspectos puestos en duda como el modelo de ventanilla única que según el Director de la AEPD es un retroceso en las garantías para los ciudadanos que estarán obligados a dirigirse a la autoridad del Estado que corresponda para ejercitar sus derechos.
  • La importancia en hacer compatible la privacidad con el desarrollo tecnológico, en un marco de confianza en el que la protección de datos no sea un obstáculo, más bien la condición necesaria para generar confianza en el desarrollo de la actividad económica digital.

D. Jesús Rubí, presentó dos guías con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube, como a los proveedores que los prestan, incidiendo en aspectos como la «diligencia» en la elección del prestador del servicio, en las responsabilidades de ambos, la localización, la subcontratación o la portabilidad de los datos.

También se dio un avance de una tercera guía sobre cookies, con orientaciones que han de adaptarse caso a caso o negocio a negocio. En este sentido, como en la mayoría, creo que las orientaciones vendrán de la mano de las sanciones, que por cierto dicen que ya han empezado a producirse inspecciones, recordando que la normativa tiene ya un año de vida, aunque “aparente menos edad” o pensásemos que se encontraba en estado de gestación, dada su escasa aplicación.

Sobre las cookies, se aboga por la información esencial visible desde el primer momento para garantizar el consentimiento informado y su comprensión (sencillez) y también por «capas», destacado que se aceptarán formulas como: “si sigue Usted navegando esta consintiendo…” o “arrastrando su cursor, consiente…” y que las cookies analíticas no están exentas del deber de información. En todo caso, ya veremos como se van implementando.

Posteriormente se realizó la entrega de premios anuales, dando paso al “análisis” de sentencias, informes y resoluciones más relevantes, tanto del Tribunal Supremo como de la Audiencia Nacional, destacando el incremento de denuncias por Suplantación de la identidad (sobre todo sector energía y agua) incidiendo en que es imputable tanto al comercial como al responsable, infracciones derivadas de imágenes colgadas en redes sociales sin consentimiento, del ejercicio de tutela del derecho al olvido siempre enfrentado a la libertad de información, del interés legítimo, etc.

En las últimas intervenciones, se habló de un nuevo modelo de transferencia internacional de datos en base a nuevos criterios que pretende mejorar la posición de los encargados de tratamiento de la UE frente a terceros y de los avances y desarrollos internacionales.

Por último, se expusieron unas 15-20 consultas de las planteadas previamente por los asistentes, esperando poderlas analizar en detalle una vez se encuentren publicadas en la web de la Agencia, cerrando la sesión las preguntas formuladas directamente por los asistentes.

En definitiva, con algo más de calma, iremos desgranando lo acontecido en próximos post, mientras, sean DILIGENTES y respeten y cuiden su PRIVACIDAD (y las de los demás).

NEWS 18/junio/2012

En el día de hoy, la AEPD (Agencia Española protección Datos) ha publicado en su página web 2 documentos elaborados por la AEPD y CGAE (Consejo General de la Abogacía Española), acerca del uso del CLOUD COMPUTING en los despachos de abogados.

Este informe puede servir perfectamente para los prestadores del servicio de CLOUD, dándole la vuelta, es decir, desde su óptica del prestador del servicio.

  1. Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal
  2. Díptico resumen

“Nube” o Cloud Computing. Seamos diligentes…

cloudParece que los servicios de Cloud Computing se van imponiendo en nuestra sociedad, que ya nadie puede vivir sin sus ventajas, que es el futuro en el presente, que gracias al desarrollo de las telecomunicaciones, a la mayor velocidad en la transmisión de información, a la posibilidad de aplicar costes reducidos en nuestro negocio, pero sobre todo que los servicios de Cloud Computing los puedo utilizar desde donde, cómo y cuando lo necesite, ya que está disponible «en la nube de Internet» sin conocimientos (o al menos sin ser expertos) y pagando únicamente por el consumo efectuado o pactado.

En definitiva un servicio económico, flexible, 100% disponible y 100% seguro; ¿SEGURO?…

Hagamos una primera aproximación al Cloud Computing, pues creo que nos conviene conocer las implicaciones que desde el punto de vista LOPD suponen estos servicios. 

A lo largo del último año ha acaparado jornadas, talleres y conferencias, como la Sesión Anual de la Agencia Española de Protección de Datos que le dedicó parte de su tiempo, la reciente organizada por la Asociación Profesional Española de Privacidad, a la que como Asociado de APEP asistí y que contó con la participación especial de la AEPD o en la recientemente celebrada por la Agencia de Protección de Datos de la Comunidad de Madrid, en la que se abordó cuestiones muy cercanas como las Transferencias internacionales de datos y ámbito territorial de aplicación.

Primero vamos a “definir” el servicio de Cloud Computing o computación en la nube, como el suministro de servicios facilitados por un tercero (prestador del servicio), para el alojamiento de información de datos, aplicaciones, infraestructura y demás recursos para poder acceder, tratar y operar con la información y datos almacenados.

Los servicios de Cloud Computing, vienen suscitando discusiones sobre tres cuestiones, entre otras, que afectan al servicio frente a la Ley de Protección de Datos:

  1. La poca claridad respecto al lugar de almacenamiento de los datos en servicios de hosting.
  2. Las dudas en las garantías de seguridad de los mismos (cifrado, disociación y fragmentación)
  3. La subcontratación de los servicios (identificar y autorizar).

Para la LOPD, es determinante establecer en qué ubicación física concreta (no digamos ya si la ubicación cambia) se van a alojar los datos personales alojados en “la nube”, pues dependiendo de se encuentren en España o en otro país, habrá que establecer si la cesión de los mismos constituye una “transferencia internacional de datos” (TID) o no, y por tanto de sus consecuencias legales. Caramba¡¡¡¡¡ y eso como lo voy a saber?.

Tranquilos, la TID jurídicamente es de las situaciones más complejas de regular, ello suscita que el Cloud sea considerado en materia LOPD un modelo a regular de manera especialmente cuidadosa, sobre todo si como se vislumbra será la forma predominante que adoptarán las empresas para organizar sus sistemas de información almacenados directamente en los servidores del prestador del servicio.

Esperaremos a que las Autoridades Europeas de Protección de Datos (G. Trabajo del Artículo 29) se pronucie o a que caigan las primeras sanciones de la AEPD y con ello se nos irán disipando las dudas (aunque parece que por la AEPD existe voluntad en buscar soluciones que garanticen los derechos, con medidas alternativas y equivalentes a las que exige la Ley).

Recordemos que este servicio supone que dicho prestador se convierta en Encargado del Tratamiento del cliente, debiendo suscribirse el contrato conforme el artículo 12 de la LOPD. Contrato recogerá que el Encargado deberá adoptar las medidas de seguridad que exige la normativa con motivo del procesamiento de los datos responsabilidad del cliente (medidas establecidas en el artículo 82 Reglamento de Desarrollo de la LOPD). Caramba¡¡¡¡¡ y eso me lo firmarán a mí, a medida?.

Si esto les parece poco, señores, recuerden que la normativa establece que hemos de ser “diligentes” a la hora de elegir nuestro proveedor de servicios y por tanto es nuestra responsabilidad elegir al prestador adecuado, si bien será difícil demostrar/argumentar dicha diligencia, es decir, aunque exista incumplimiento de contrato, tendré que demostrar que he sido diligente al elegir al prestador. Caramba¡¡¡¡¡ y eso como lo sé o demuestro.

Por no hablar del consejo de incluir en el contrato la posibilidad de solicitar la realización de auditorías al Encargado (cuestión muy debatida sobre su posibilidad de aplicación “real”) o sobre el lugar de almacenamiento físico de los datos y su presunta opacidad, siendo importantísimo que, de manera previa al inicio del servicio de Cloud Computing el proveedor ponga en conocimiento del cliente la ubicación física del mismo (que puede no ser única), o sobre que a menos que el Responsable lo autorice, el Encargado del Tratamiento no podrá comunicar los datos a un tercero ni subcontratar los servicios…

En definitiva, para qué me pregunto esto, si todo el mundo está en la nube y la usa, SI ES EL FUTURO¡¡¡¡¡…

A medida que haya pronunciamientos por parte del Grupo de Autoridades Europeas de Protección de Datos o vea la luz el futuro Reglamento de la UE, iremos saliendo de dudas y valorando los mismos. Mientras recuerden ser “diligentes”.