Entradas

Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

¿Quo Vadis LOPD? ¿Quo Vadis Privacidad?

Amigos lectores, hemos estado dudando en como titular este post, aunque la verdad es que lo importante es la conclusión que podamos hacer al finalizar su lectura, si es que sacamos alguna.

Hace unos días vimos en la portada del periódico “El País” el siguiente titular: EE UU presiona en la sombra para frenar la normativa de privacidad europea” . Vaya, una portada y bien grande sobre privacidad, que además va acompañada de 3 páginas interiores desgranando parte de las cuestiones que ahora comentaremos.

Todo ello nos hace reflexionar sobre el contenido de los artículos, las entrevistas, noticias y los acontecimientos que se han sucedido últimamente, para ver hasta qué punto parece que los temas de privacidad asoman con fuerza.

La cuestión es que ya la semana pasada pudimos leer en una entrevista  al director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez una frase que pienso viene a dar en parte, respuesta al título de este post: “Estamos en un momento crítico para la privacidad”.

Pues sí, un momento en el que había esperanzas por ver cómo quedaría finalmente el reglamento europeo de protección de datos, si es que daba tiempo en ésta legislatura que se agota, y ahora aparecen los escándalos conocidos sobre el programa PRISM que parece va a dejar en eclipse total a la privacidad, no sólo de los europeos, me temo que a la privacidad del “mundo mundial” le esperan tiempos de tinieblas, aunque para según qué lado del atlántico serán mayores o menores si nos atenemos a las palabras de la propia Viviane Reding (vicepresidenta de la Comisión Europea y responsable de Justicia) diciendo “nunca había visto un ‘lobby’ tan potente”.

Vamos que hay una lucha entre EEUU y la UE por el control de la privacidad, en la que a medida que avanzaba el caso PRISM convirtiéndose en el caso SNOWDEN, lo de menos es saber si realmente todas nuestras comunicaciones son intervenidas, más bien si lo seguirán siendo, entre otras cuestiones.

Las declaraciones de los países se han ido sucediendo y al final parece que todos lo sabían, consentían e incluso tenían su propio programa de espionaje. Hace unos días la propia canciller de Alemania, Angela Merkel, manifestó su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

Pero según indicaban algunos medios alemanes, “Los servicios secretos alemanes conocían desde hacía años la capacidad de sus homólogos estadounidenses para interceptar comunicaciones en todo el mundo y recurrieron a ellos en repetidas ocasiones”. Ante esto la respuesta de momento, es la habitual: “el gobierno ‘no comenta públicamente detalles’ de la ‘cooperación’ entre los servicios secretos alemanes y los estadounidenses”, es decir, NO COMENT.

La semana pasada también desayunábamos con la noticia de que el Gobierno brasileño baraja obligar a las multinacionales que ofrecen acceso y servicios en Internet a almacenar sus datos en Brasil y no en el exterior, creando nuevos incentivos para que las empresas mantengan sus centros de datos en Brasil, ya que el gobierno brasileño entiende que “internet tiene reglas de gestión exclusivamente dictadas por Estados Unidos. Defendemos una gestión multilateral y multisectorial”. El caso de Brasil parece que no será el único o cuando menos en intenciones.Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

Y mientras en la UE con una directiva del año 1995, sus Estados miembros no se ponen de acuerdo para sacar adelante la nueva reglamentación, en un momento en el que por todo lo anteriormente comentado, es evidente que hay una necesidad de contar con estándares globales de privacidad. Si a esto le añadimos las palabras asombrosas pronunciadas en una conferencia sobre la reforma de la normativa europea de protección de datos por Giovanni Buttarelli, adjunto al supervisor Europeo de Protección de datos, fijando el año ¡¡¡2025!!! como la fecha en la que entraría por completo en vigor el nuevo reglamento, entonces me viene a la mente la famosa frase de Obélix: “están locos estos Romanos”.

Es evidente que el mundo tiene o tenemos otros problemas, que hay amigos/conocidos que afirman que la LOPD/privacidad es una paranoilla de 4 freekes, a lo que suelo responder que en cierto modo sí, pero que gracias a ellos aún hay quien se preocupa por su privacidad. Impresiones, que en cierto modo se puede confirmar si nos atenemos a una encuesta del mes de mayo, que reflejaba lo siguiente: ”La protección de datos personales, es una leve preocupación para los españoles“ y no les falta razón, sobre todo al ver cómo actúan los romanos en la defensa de su Imperio.

En el 82 ya cantaba Miguel Ríos aquello de “año 2.000”, con estrofas como:

Esta es la era de Mister Chips,
micro-ordenador de tu porvenir.
Que por lo pronto te quita el curro
además de ser tu ficha sin fin.
Hay que dictar su sentencia,
diciéndote que es por tu bien…..”

Pues sí, de nuestro provenir, nuestra ficha sin fin y por nuestro bien. La batalla del derecho al olvido ya está en marcha y se enfrenta a la libertad de expresión, la de la competitividad marcada por las leyes globales-locales también, la de anteponer seguridad a privacidad es una batalla que renace a golpe de terrorismo. La era del Big Data y el Cloud Computing hacen que conservemos la información “por si acaso”, sin importar dónde o si lo hacemos de forma segura y responsable, sin advertir de las brechas de seguridad …

Vendrán otras guerras, probablemente inimaginables hasta para Miguel Ríos, para las que en el 2025 tampoco habrá respuestas y mientras nos haremos la misma pregunta: ¿Quo Vadis?

Google 1-0 AEPD. Repetimos: “Olvídense del olvido”

privacidad_Eurovima_ConsultingO más bien un ¿2-1?. Ya sabemos que las victorias y sobretodo las morales son muy peculiares. En todo caso, antes de entrar en materia, recordarles que ya en nuestra sección “News del día 26-02-2013: El Derecho al olvido a debate en el TJUE“, se informaba que “el Tribunal de Justicia de la Unión Europea (TJUE) iba a analizar la cuestión prejudicial sobre el ejercicio de derechos frente a buscadores de Internet, a cuya vista tenía previsto asistir el director de la Agencia Española de Protección de Datos (AEPD)”

Al día siguiente, en nuestro Blog – El TJUE y el Derecho al olvido. “Olvídense del olvido” – analizábamos la exposición realizada, en la que para ponernos en situación, hay que recordar que un ciudadano solicitó y recibió el amparo de la AEPD (dándole la razón parcialmente) requiriendo a Google Spain S.L. y Google Inc. que retiraran los datos del ciudadano de su índice, aunque no pidió al periódico que publicó la información que la retirase, dado que su publicación tenía justificación legal.

Pues bien, ya en su día indicamos que la cuestión clave sería delimitar el alcance de la responsabilidad de Google frente a los derechos de los ciudadanos sobre la publicación/indexación de sus datos personales y si pudiese estar sujeto a la normativa de privacidad europea aunque su motor de búsqueda fuese el de una empresa con sede en California.

La cuestión es que hoy se ha conocido el Dictamen Preliminar del Abogado General del TJUE, en el que de manera resumida señala que Google está sujeta a la legislación de la UE sobre privacidad pero no está obligado a borrar la información sensible de su índice de búsqueda. De esta forma, da la razón al buscador (con matices, que ahora analizaremos).

La sentencia definitiva se publicará en pocos meses y aunque el dictamen preliminar no tiene carácter vinculante, se puede decir que casi, ya que los jueces aplican estas “recomendaciones” en la mayoría de los casos.

Según hemos podido leer y aunque a Google no le guste,  le es de aplicación la normativa europea en materia de protección de datos, ya que sus filiales son nexos establecidos en la UE, cuyo fin se indica que es promover y vender espacios publicitarios en su motor de búsqueda, aunque el tratamiento de datos se realice en otro lugar.

No obstante no se le considera responsable del Tratamiento ya que no es “consciente” ni tiene ningún control sobre los datos personales incluidos en las páginas web de terceros, aunque deberá respetar los códigos de exclusión (pudiendo ser obligado a ello).

A la vista de las conclusiones presentadas hoy por el Abogado General del TJUE, si pensábamos que al amparo de la AEPD podíamos encontrar  auxilio en cuestión del derecho al olvido, me temo que estas conclusiones, cuando menos en el ámbito de los medios de comunicación, establece que el derecho a la protección de la vida privada debe convivir con otros derechos fundamentales, como la libertad de expresión e información y no suponer una censura del contenido publicado realizada de manera particular. En definitiva que serán las fuentes del origen de la información los responsables.

Veremos cuando se planteen nuevos casos de manera “no generalizada”, aunque se supone que hasta que no se pronuncie finalmente el TJUE no habrá nuevos casos.

Si volvemos al documento sobre las conclusiones, vemos que además se indica que “todas estas cuestiones, que abordan además importantes aspectos de la protección de los derechos fundamentales, no han sido tratadas hasta ahora por el Tribunal de Justicia” recogiendo las cuestiones anteriormente mencionadas y sus conclusiones en tres apartados:

  1. El ámbito territorial de aplicación de las normas de protección de datos de la Unión Europea. Es decir, si le es de aplicación o no a Google la normativa Europea, se concluye que se considera de manera indiscutible a las filiales de Google ubicadas en la UE como “establecimientoen el sentido del artículo 4, apartado 1, letra a), en un Estado miembro, con el fin de promover y vender espacios publicitarios en su motor de búsqueda, una oficina o una filial que orienta su actividad hacia los habitantes de dicho Estado.
  2. La posición jurídica de un proveedor de servicios de motor de búsqueda en Internet a la luz de la Directiva, particularmente en términos de su ámbito de aplicación, es decir, la responsabilidad del buscador en el tratamiento de datos. No entiende que el buscador sea responsable del tratamiento pero sí que sus operaciones implican claramente un tratamiento de datos personales, señalando queUn proveedor de servicios de motor de búsqueda en Internet no es el «responsable del tratamiento» de datos personales en páginas web fuente de terceros”.
  3. La tercera cuestión referente al llamado derecho al olvido y a si los interesados pueden solicitar que algunos o todos los resultados de búsqueda que les conciernen no estén disponibles a través del motor de búsqueda, es decir, si se puede invocar al derecho generalizado al olvido sobre la base de la Directiva, se remarca que la Directiva no establece ningún «derecho al olvido» generalizado. Los derechos de oposición, supresión y cancelación de datos, de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión, que recordemos señalaba que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros”.

Estas conclusiones, aunque habrá que ver la sentencia definitiva, llegan en un momento en el que se está debatiendo el borrador del nuevo reglamento europeo, que como ya hemos contado hace unos días, parece que se estanca y veremos si ve la luz antes del final de la presente legislatura europea, no obstante y sin poder valorar como quede o contemple el derecho al olvido, ya empezamos a vislumbrar los papeles que los “actores intervinientes” van a jugar cuando menos desde el punto de vista Judicial.

Por último, indicar que ayer por la tarde la AEPD publicó una breve nota en la que recuerda que hay que esperar a que concluyan las deliberaciones de los jueces, que no es la sentencia del Tribunal, señalando que “la actuación de la AEPD ha sido y será siempre sumamente respetuosa con los ámbitos protegidos por los derechos de libertad de expresión y de información” y que “ en ningún caso se requiere la modificación o alteración de las fuentes originales, sino únicamente que se ponga fin a su difusión general a través de los buscadores”.

Esperaremos pacientemente la resolución definitiva, atentos a ver qué sucede con el reglamento, mientras tanto y en nuestra modesta opinión: “olvídense del olvido…. generalizado”.

II Congreso Nacional de Privacidad ¿Estamos ante un periodo de “Sede Vacante”?

II_Congreso_Privacidad_APEP_2013Los pasados días 13 y 14 de junio de 2013, ha tenido lugar el II Congreso Nacional de Privacidad organizado por la Asociación Profesional Española de Privacidad (APEP).

En un marco idóneo para su celebración (Campus BBVA), nos reunimos gran parte de los asociados de APEP, junto a un buen número de profesionales, empresas y personalidades del ámbito de la privacidad, tanto nacional como internacional.

En esta ocasión, el congreso centró gran parte de su programa en el futuro Reglamento de Protección de Datos de la Unión Europea, en cómo afectará su aprobación (si es que se aprueba) y en general sobre el futuro del tratamiento de datos de carácter personal desde distintas perspectivas:

  • La privacidad Europea frente al otro lado del atlántico.
  • Menores de edad.
  • Los futuros DPO
  • Privacy by design, Privacy impact assessment
  • Gestión de Incidencias de Seguridad.

Quizás el mensaje que más resume el congreso sea que, toma cada vez más consistencia el rumor sobre que el futuro Reglamento de Protección de Datos de la Unión Europea siga siendo “futuro”, pues amén de las 3.000 enmiendas, de lo cercano del fin de la legislatura, de la existencia de desacuerdos importantes y los habituales grupos de presión, habrá otras cuestiones ocultas, que a los “mundanos” se nos escapan, pero que por distintos comentarios de personas/personalidades destacadas en el congreso hacen pensar que esas cuestiones existen y que deben tener un buen peso para que por el momento no sea aprobado.

En todo caso desde mi opinión, la esencia del congreso se ha visto bien respaldada en sus ponencias y por sus ponentes, en los debates generados, en el intercambio de opiniones, de pensamiento, dejando de lado si habrá “fumata blanca” o continuaremos en “sede vacante” y centrándose en los aspectos vinculados a la protección de datos de carácter personal.

Nuestro resumen no se centra en analizar cada una de las ponencias, gira en torno a una serie de palabras, términos o frases que a lo largo de las dos jornadas se han ido repitiendo, no de manera machacona, pero sí en la mayoría de los debates con independencia del tema tratado, a saber:

  • COMPETITIVIDAD.- Leyes-Privacidad-Empresas-Sectores: Global-local
  • Innovación y Big Data: brechas de seguridad
  • Accountability: reputación-diligencia; transparencia y confianza.
  • Redefinición del término “Dato de carácter personal”. Derecho fundamental pero no garantizado.
  • Seguridad frente a Privacidad: 11S y ahora PRISM
  • La armonización gana peso frente a la unificación: la ventanilla única.
  • DPO.- ¿Como gestionar su independencia?

Seguro que estamos de acuerdo en que éstas cuestiones son las que marcan el devenir de la privacidad a nivel global y en que el termino COMPETITIVIDAD cobra un papel predominante.

De cómo quede configurado el futuro reglamento y de su aplicación dependerá que sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Desde la caída de la Torres Gemelas, el debate Seguridad-Privacidad se aviva o se apaga en función de los acontecimientos y quizás los más recientes hagan que el rumbo del futuro reglamento se vea alterado, o no. Mientras, nosotros continuaremos bajo nuestra LOPD y la Directiva vigente aunque los que quieran cumplirla y hacer negocios más allá de la UE lo seguirán teniendo algo más difícil que otros.

En definitiva, creo que el Congreso ha sido un éxito en todos los aspectos, alcanzando el fin y objetivos propuestos, como ha demostrado el gran interés por debatir e intercambiar opiniones en torno a nuestra profesión, transmitiendo además un nivel organizativo, de “saber hacer” y de imagen fabuloso.

No obstante sería bueno que el congreso tuviese continuidad en un marco cuyo alcance no sea meramente el enfocado normativamente a la problemática de aplicación global en términos de privacidad, es decir, sería deseable una continuidad con un enfoque local-nacional de aplicación para los grandes profesionales que hemos conocido y tratado en estos días y que conforman nuestra Asociación.

Todo ello en aras de buscar respuestas y una mejor aplicación de la normativa a la realidad de nuestros clientes, que en la mayoría de los casos, no se enmarca ni gira en torno a esas palabras, términos o frases que antes significábamos y que a modo de resumen decíamos que a lo largo de las dos jornadas se han ido repitiendo.

Confiando en que así sea, gracias y enhorabuena a todas las personas que han participado en el evento y en especial a los implicados en la organización del mismo.

 

NEWS 17/Mayo/2013 Día Mundial de Internet

Como cada año y desde el 2005 , en este 17 de mayo (coincidiendo con la celebración del día de las letras gallegas), se celebra el Día Mundial de las Telecomunicaciones y la Sociedad de la Información –también conocido como Día de Internet-, una jornada que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad.

Os dejamos un enlace con la página web de la AEPD, donde se nos hace una serie de recomendaciones relativas a la privacidad e internet, ya que “La AEPD como miembro del Comité de Impulso de este día en el que participan diversas organizaciones públicas y privadas, quiere fomentar una cultura de protección de los datos personales en el contexto de la Red, de forma que se tenga plena consciencia de los riesgos que pueden desprenderse del mal uso de Internet.

La AEPD asimismo quiere recordar a los padres o tutores que es necesario que adopten una posición activa en relación con el uso de las nuevas tecnologías por parte de los menores”.