Día Europeo de la Protección de Datos

Hoy, 28 de enero, se celebra el Día Europeo de la Protección de Datos.  47 países, así como diversas instituciones y organismos celebran este día organizando diversos actos para promover y concienciar sobre el derecho a la protección de datos.  La fecha conmemora la aprobación del Convenio (108) del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 28 de enero de 1981.

La Agencia Española de Protección de Datos (AEPD) ha organizado para hoy una jornada conmemorativa de los "20 Años de Protección de Datos en España", en la que participan diversas personalidades y expertos que representan a todos los agentes que han participado activamente en el desarrollo de este derecho fundamental en nuestra sociedad (ver programa).

APEP, la Asociación Profesional Española de Privacidad, que participa en la jornada de la AEPD, ha publicado en su web una serie de interesantes artículos sobre los retos y oportunidades de la protección de datos personales.  Los artículos, firmados por los miembros de su Junta Directiva, pueden consultarse aquí:

• Artículos APEP en el Día PD 2013: http://www.apep.es/category/dia-pd-2013/

Listado de artículos:

• Día de la Protección de Datos en Europa: retos para los profesionales de la privacidad (Ricard Martínez, Presidente APEP).
• Tratamientos de datos de menores.  Un reto presente y futuro para los profesionales de la privacidad (Miguel Geijo, Junta Directiva).
• La reciente jurisprudencia del tribunal constitucional sobre el derecho fundamental a la protección de datos (Cecilia Álvarez, Vicepresidenta APEP).
• La protección de datos personales en las administraciones públicas: retos (Carmen Sánchez, Tesorera Junta Directiva).
• Un año conociendo al Delegado de Protección de Datos (Marcos Mª Judel, Junta Directiva).
• Profesionales del Derecho de la Privacidad: futuro, retos y oportunidades (Jordi Saldaña, Junta Directiva).
• Las certificaciones en privacidad (Eduard Chaveli, Vicepresidente y Carmen Sánchez, Tesorera).
• …veinte años no es nada. Tango, arrebato y malevaje (Javier Peris, Consejero Delegado APEP).
• La protección de datos personales: un reto y una oportunidad (Cristina Atienza, Junta Directiva).
• Cookies y su nueva regulación (Santiago Bermell, Secretario APEP)

Consulta los artículos en la web de APEP:

http://www.apep.es/category/dia-pd-2013/

APEP manifiesta su malestar ante el Convenio de asesoramiento en protección de datos suscrito por la Federación de Municipios de Castilla la Mancha

APEP (Asociación Profesional Española de Privacidad) ha mostrado su rechazo frente al anuncio del Convenio de asesoramiento en materia de LOPD que ha firmado la Federación de Municipios y Provincias de Castilla-La Mancha.  Este desafortunado convenio alienta la práctica fraudulenta conocida como "LOPD a Coste Cero" que desde la Asociación hace tiempo venimos denunciando.

Bajo esta denominación se incluyen las prácticas de ofrecer servicios gratuitos de implantación de LOPD,  financiados con las subvenciones que ofrece la Fundación Tripartita para la formación de los trabajadores.  La propia Fundación Tripartita reconoció estos hechos como constitutivos de fraude (Ver nota informativa de la Fundación Tripartita del 14/04/2010).

Tras conocerse la notícia de la firma del convenio, en la que se hace referencia a la implantación gratuita de la LOPD, APEP publicó una "Carta abierta a la Federación de Municipios y Provincias de Castilla-La Mancha y la Fundación Tripartita" (12/06/2012) mostrando su preocupación por la licitud del objeto del convenio:

Estimados señores:

Leemos con enorme interés la nota de prensa publicada por ABC, así como la nota en la propia web de la Federación, en relación con el convenio de asesoramiento en protección de datos con una conocida empresa. Es positivo que empresas y administraciones se acerquen y hay que felicitarse por ello. Sin embargo, una frase citada entrecomillada, y por tanto no imputable al periodista, nos ha llamado poderosamente la atención: «y todo ello, a coste cero». Bajo ese epígrafe “LOPD a coste cero” se han desarrollado actividades de asesoramiento y consultoría “disfrazadas” de formación y con cargo a la Fundación Tripartita, prácticas que esta Fundación ha considerado fuera de los fines por los cuales se conceden las subvenciones. El expuesto en su comunicado ¿es otro “coste cero” distinto de aquel contra el que la Fundación Tripartita ha advertido en dos ocasiones (http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=458 y http://www.fundaciontripartita.org/index.asp?MP=4&MS=105&TR=A&IDR=11&id=576)?

(...)

Desde APEP, y en base a experiencias anteriores, rogamos se verifique si existe algún problema de legalidad en el citado Convenio. En caso positivo, los españoles que contribuyen con sus impuestos a la financiación de la formación laboral en España merecen alguna actuación y alguna explicación. 

  

(>> Leer el contenido completo de la "carta abierta" de la APEP)

El 15 de junio la APEP publicó la Nota de Prensa a la que hace referencia el título de este post:

"APEP manifiesta su malestar ante el Convenio de asesoramiento en protección de datos suscrito por la Federación de Municipios de Castilla la Mancha":

Nota de Prensa

Un gran número de asociados ponen en conocimiento los hechos ante la Fundación Tripartita.

El anuncio público de la firma de un Convenio celebrado por la Federación de Municipios y Provincias de Castilla la Mancha en relación con el asesoramiento en materia de LOPD ha generado una reacción de rechazo entre los profesionales de la privacidad en España.

Esta reacción sin duda se debe a que en su denominación se habla de una implantación gratuita: “Convenio de Colaboración entre la Federación de Municipios y Provincias de Castilla-La Mancha y Professional Group Conversia, SLU, sobre la implantación gratuita de la Ley de Protección de Datos en las Entidades Locales de Castilla-La Mancha”

(...)

Debe destacarse que, de acuerdo con el Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, tanto cada Ayuntamiento como la Federación, esta en su consideración de poder adjudicador, se encuentran sometidos a estrictas normas de contratación cuyos objetivos son facilitar la libre concurrencia de ofertas con plena publicidad y en condiciones de igualdad para los licitadores. Cabe preguntarse si estos objetivos se logran adecuadamente con una recomendación recompensada con la gratuidad de un asesoramiento LOPD con un alcance indeterminado.

APEP se abstiene de calificar jurídicamente estos hechos, sin perjuicio de ponerlos en conocimiento de la sociedad y, en su caso, de las autoridades que pudieran ser competentes. 

(>> Leer el contenido completo de la "nota de prensa" de la APEP)

Cloud Computing y Protección de Datos Personales

El 19 de mayo, en el marco del I CONGRESO NACIONAL DE PRIVACIDAD organizado por APEP (Asociación Profesional Española de Privacidad), se presentó el documento de trabajo titulado "Computación en la nube y protección de datos personales: Privacidad y Web global, riesgos y recursos para los ciudadanos de la Red" elaborado conjuntamente por la European Privacy Association (EPA) y el Istituto Italiano per la Privacy (IIP).

La presentación corrió a cargo de Paolo Balboni (http://www.paolobalboni.eu/), Director Ejecutivo de la EPA, apoyado por Luca Bolognini y Pietro Paganini del IIP, los cuáles contaron con la colaboración de Cecilia Álvarez, vicepresidenta 3ª de APEP.

El documento es de gran importancia.  En estos momentos, la directiva de referencia en protección de datos, la Directiva 95/49/CE, está en fase de revisión y, sin lugar a dudas, deberá tener en cuenta el impacto de los nuevos paradigmas tecnológicos (Cloud Computing, Redes Sociales, ...) en la privacidad.

La Computación en la Nube es "un modelo que proporciona recursos informáticos bajo demanda (redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser desplegados rápidamente y de forma deslocalizada".  Una de las ventajas de este modelo es el ahorro de costes (hardware, infraestructuras, personal, mantenimiento, consumo energético).  Según un informe del Centre for Economics and Business Research, la computación en la nube ahorraría £645bn (billones de libras) a la economía europea en los próximos 5 años.

Otra de las ventajas del Cloud Computing es que, con el fin de optimizar el rendimiento de los recursos informáticos, los datos pueden ser rápidamente transferidos de un Datacenter a otro, situación que entraría en conflicto con las normativas europeas de protección de datos por lo que respecta a la transferencia de datos personales a terceros países.  ¿Podemos exigir a un proveedor de servicios de Cloud (CSP) que nos garantice que nuestros datos no saldrán del ambito de la UE?  Pues, en principio, sí, pero con un coste económico: el coste de tener los Datacenters en Europa, de tener personal cualificado, de no poder distribuir las cargas hacia otros servidores o redes fuera de nuestras fronteras, etc.

Los principios de la protección de datos: confidencialidad, integridad y disponibilidad recaen en los proveedores CSP, en su función de Encargados del Tratamiento.  Desde este punto de vista, un Responsable no puede tener un Encargado del Tratamiento que no cumpla unas determinadas medidas de seguridad.  Ver el Dictamen 1/2010 del Grupo de Trabajo del Artículo 29.

En conclusión, según Balboni, "rapidez, escalabilidad, economía y ubicuidad de las informaciones deben conjugarse con exigencias de seguridad, privacidad, acceso y responsabilidad". 

El informe apunta distintas soluciones:

• Avanzar en los Estándares Internaciones de privacidad según la propuesta surgida en la 31ª Conferencia Internacional de Autoridades de Protección de Datos (Madrid, 2009) e integrar éstos con las leyes nacionales de cada Estado.
• Apoyar la adopción de Reglas Corporativas Vinculantes (Binding Corporate Rules) así como los sistemas de resolución alternativa de disputas (arbitrajes, por ejemplo).
• Adoptar las soluciones tecnológicas que protejan la privacidad (Privacy by Design).

En definitiva, se augura un brillante futuro para la computación en la nube aunque, ante sus innumerables beneficios hay que contraponer los riegos de privacidad que lleva asociados.  Las autoridades, instituciones y los propios proveedores del servicio deben establecer conjuntamente las reglas para que, en este modelo,  queden garantizados los derechos de protección de datos y privacidad de los ciudadanos.