Resumen: Se presenta la segunda edición del estudio de la propuesta de reglamento de protección de datos de la UE, promovida por el DPI (Data Privacy Institute) dentro de ISMSForum Spain.
Desde aquí agradecer a la organización haberme dado la oportunidad de participar en el mismo, junto a expertos y excelentes compañeros, dentro de un completo y profesional equipo multidisciplinario compuesto entre otros por abogados, ingenieros, economistas… aunados por un interés común en la protección de datos.
Este documento tiene como objetivo principal ser un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre privacidad y protección de datos.
Considera tanto el borrador publicado en enero de 2012 por la Comisión, como el publicado en mayo de 2013 por el Consejo, de modo que se pueda conocer en detalle los aspectos a regular en esta normativa, el análisis en profundidad de sus consecuencias y las propuestas concretas para su actuar, conforme disponen los citados borradores.
En este Estudio han colaborado Coordinadores
Edgar Ansola Munuera CDPP Miguel Ángel Ballesteros Zuriñe Areitio Labanda CDPP Noemí Brito Izquierdo Ignacio Bruna López Polín CDPP Fernando Campo Guardiola CDPP Francisco Javier Carbayo CDPP Rafael Castejón CDPP José Luis Colom Planas CDPP Concepción Cordón Fuentes José Martín Dacal Romero Flora Egea Torrón CDPP Verónica Eguirón Vidarte Ana Belén Galán CDPP Juan García Galera Mónica Garrido Vilchez Ramón González-Calero David González Calleja CDPP Ana González Romo CDPP Francesc Flores González Héctor E. Guzmán Rodríguez CDPP Ana Iparraguirre Jiménez CDPP María José Lacunza González CDPP Gustavo Lozano García Miguel Ángel Lubian Luis Salvador Montero CDPP Elena Mora González CDPP Raúl Perdigones López CDPP Javier Pérez García CDPP Nathaly Rey Arenas CDPP Soledad Romero Jiménez Julio San José Sánchez Francisco Javier Sempere Samaniego Cristina Sirera Martínez CDPP Carlos Alberto Saiz Peña María Teresa Torres Cardona CDPP Rafael Velázquez Bautista CDPP Eva Vidal Fernández CDPP Francisco Javier Carbayo CDPP Carlos Alberto Saiz Peña
Actualizado 8 de Noviembre de 2013 CDPP = Certified Data Privacy Professional
ÍNDICE 1. INTRODUCCIÓN
2. BREVE RESEÑA DE LOS 7 CAPÍTULOS
2.1. Reglamento europeo de protección de datos y PYMES
2.2. Privacy Impact Assessment y Privacy by Design
2.3. Data Protection Officer: perfil, formación, posición, competencias y operativa
2.4. Reglamento europeo de protección de datos, Binding Corporate Rules y Grupos multinacionales
2.5. La nueva configuración de los derechos de los interesados
2.6. Seguridad: Análisis de riesgos, RLOPD y Estándares de Seguridad de la información
2.7. Accountability: cómo demostrar el cumplimiento de manera continuada y sostenible
3. CONCLUSIONES
4. BIBLIOGRAFÍA CONSULTADA
5. DERECHOS DE AUTOR
1. INTRODUCCIÓN
En ése caso lo publicamos íntegramente en éste mismo Blog, como puede consultarse en: Primer estudio
Éste segundo estudio, al estar organizado por temas y focalizar detalladamente en los más novedosos y significativos aspectos de la propuesta, se apoya en variado material gráfico adicional (tablas, esquemas, plantillas…) lo que dificulta su transcripción al formato web.
Ante tal circunstancia se ha optado como excepción, y pese a contravenir la práctica habitual de éste Blog, a no incorporar integrado en su contenido la totalidad del estudio. Como contrapartida ofrecemos la posibilidad de consultarlo y descargarlo en formato original desde la propia web de ISMS Forum Spain.
En consecuencia se adjunta, dentro del apartado de bibliografía consultada, enlace al documento original completo en formato PDF, pero antes mostramos una breve reseña a partir de los diferentes ‘abstracts’ de los capítulos.
2. BREVE RESEÑA DE LOS 7 CAPÍTULOS
2.1. Reglamento europeo de protección de datos y PYMES
Teniendo como punto de partida la situación actual (Estado de la situación) del cumplimiento normativo respecto de la LOPD y el RLOPD, veremos, a través de las distintas facetas estudiadas en éste bloque del estudio, como las PYMES Europeas y más en concreto en aquello que nos atañe, las PYMES Españolas, se enfrentan ante la Propuesta de Reglamento UE de Protección de Datos, a muy importantes retos, desde el punto de vista del tratamiento reglamentario (la propuesta de Reglamento, Análisis normativo), de cómo se obtienen, se tratan y se preservan los datos personales que, de los distintos titulares (empleados, clientes, proveedores, etc.), están incluidos en los sistemas de información de la empresa.
Así mismo veremos la necesaria adaptación de la organización a las medidas, tanto organizativas como tecnológicas, que deben ser modificadas de acuerdo a la Propuesta de Reglamento UE de Protección de Datos.
Analizaremos que fortalezas y debilidades tienen las PYMES frente a la Propuesta de Reglamento UE de Protección de Datos, las ventajas y obstáculos que plantea, que oportunidades presenta, y cuáles pueden ser las estrategias para afrontarlos. (la propuesta de Reglamento,Análisis DAFO, Estrategias).
Y por último veremos cuál puede ser el futuro de la Propuesta de Reglamento UE de Protección de Datos (La propuesta de Reglamento, El futuro, ¿Aprobación? ¿No aprobación?, Evolución)
y cómo afectará a las PYMES, teniendo en cuenta, por un lado, los distintos informes de las Comisiones, las negociaciones entre los Estados Miembros y las presiones recibidas, y por otro lado, la ineludible evolución de las TIC’s y los Sistemas de Información de las PYMES, dado que, contemplando dicha evolución sólo durante el período de elaboración, presentación, debate, discusión y negociación de la Propuesta de Reglamento, es decir en el corto tiempo de tres años, nos encontramos con nuevos conceptos y “fenómenos” inmersos en la vida empresarial, tales como el almacenamiento y tratamiento de la información en la Nube (Cloud Computing), la capacidad de análisis de ingentes cantidades de “datos” relacionados y no relacionados (Big Data) la “explosión” de los dispositivos móviles, tablets, smartphones, etc., conectándose a los procesos de TI de la organización, conocido como “tráete tu propio dispositivo” (Bring your Own Device , BYOD), o las amenazas y ataques a los sistemas de información y comunicación de las empresas (Flame, Botnets, Malware, DDos, Phising, APT’s...).
2.2. Privacy Impact Assessment y Privacy by Design
Un PIA (Privacy Impact Assessment) debe ser parte integral del diseño de cualquier iniciativa que pueda plantear riesgos relevantes en la privacidad. Es una forma de gestión de riesgos, que sirve para identificar y mitigar riesgos en privacidad en la fase inicial de un proceso de desarrollo de un programa o sistema y debe incardinarse en el proceso de gestión de riesgos de la compañía.
La Privacidad por Diseño o Privacy by design (en adelante PbD, por sus siglas en inglés) promueve una cultura proactiva en la protección de los datos personales. Privacidad como leitmotiv en la construcción de software y en la ejecución de procesos de negocio y soporte de cualquier organización. Este concepto fue ideado y promocionado por Ann Cavoukian, Comisaria de Información y Privacidad de Ontario, Canadá.
2.3. Data Protection Officer: perfil, formación, posición, competencias y operativa
Así, se tratará el tema del perfil del DPO, o más bien del candidato idóneo a serlo, con relación a aspectos tales como formación, experiencia, certificaciones, etc., tanto para el caso de que sea interno como para cuando sea externo. Se hablará igualmente de sus competencias y capacidades, haciendo una propuestas específica que esté fundamentada tanto en el texto de la Propuesta de Reglamento como en otras fuentes.
Posteriormente, será el tema de la Posición del DPO en el organigrama de las organizaciones públicas y privadas el que ocupe parte de este apartado, siempre bajo el requisito previo de que cualquier ubicación de esta figura dentro de la jerarquía interna debe garantizar su autonomía.
Por último, se analizarán las posibles funciones y obligaciones del DPO, en base a la Propuesta y también en comparación con la figura del Responsable de Seguridad que establece la Normativa española. Además, se incluirá un cuadro comparativo de diferentes países europeos, en cuanto a su enfoque respecto a figuras similares a la que podría ser la del DPO.
2.4. Reglamento europeo de protección de datos, Binding Corporate Rules y Grupos multinacionales
Ya desde 2002, el Grupo de Trabajo del Articulo 29 de la Directiva 95/46/CE (en adelante, GT 29), en relación al artículo 26.2 de la Directiva 95/46/CE y observando las dificultades en dichas organizaciones, estableció la posibilidad de que éstas pudieran elaborar, con arreglo a la legislación aplicable, normativas internas vinculantes, de obligado cumplimiento, oponibles a terceros en caso de incumplimiento y aprobadas por las Autoridades de Control mediante el Mecanismo de Coherencia, propuesto y regulado por la propia Propuesta de Reglamento UE de Protección de Datos. Dichas normas se conocen como “Normas Corporativas Vinculantes” o más comúnmente por su denominación en inglés “Binding Corporate Rules”, con el objetivo de facilitar las transferencias internacionales de datos entre empresas pertenecientes a un mismo grupo multinacional que cuente con empresas ubicadas tanto en países que proporcionen un nivel de protección adecuado, como en países que no proporcionen dicho nivel.
Su importancia e implementación ha sido tal que ya en la actualidad, se han definido, con la misma estructura, contenido y procedimiento de aprobación aquellas “Binding Corporate Rules” orientadas a los Encargados del Tratamiento, teniendo en cuenta el tratamiento de datos personales derivado de la prestación de servicios, denominadas “Binding Corporate Rules for Processor”.
El objetivo de este capítulo es poder dar una visión práctica de la problemática y posibles alternativas del tratamiento de datos y posterior movimiento a nivel internacional de datos en el seno de Grupos Multinacionales, atendiendo al grado de Responsabilidad según las relaciones internas y con terceros (responsabilidad vertical) y la evaluación del riesgo del tratamiento (responsabilidad horizontal); así como analizar la naturaleza, contenido, estructura, y características de la aprobación e implementación de las “Binding Corporate Rules”.
2.5. La nueva configuración de los derechos de los interesados
Luego, una mejor protección del derecho fundamental a la Protección de Datos personales resulta clave para generar la debida confianza en los ciudadanos en lo que concierne a su actividad en línea y, en paralelo, también para el desarrollo pleno de las diversas estrategias que integra la Agenda Digital Europea. En este sentido, la Propuesta de Reglamento UE de Protección de Datos hace especial hincapié en la protección de la privacidad de los menores en Internet.
Por lo que, tal y como declara la propia Comisión Europea en la citada Propuesta, “(…) Ha llegado (…) el momento de establecer un marco más sólido y coherente en materia de protección de datos en la UE, con una aplicación estricta que permita el desarrollo de la economía digital en el mercado interior, otorgue a los ciudadanos el control de sus propios datos y refuerce la seguridad jurídica y práctica de los operadores económicos y las autoridades públicas (…)”.
Pues bien, para la consecución del citado objetivo, resulta imprescindible acometer el pertinente análisis previo y, en su caso, reforzamiento de la actual regulación de los derechos de los interesados en el ámbito de la Protección de Datos personales en el seno de la Unión Europea, teniendo en cuenta que el derecho a la Protección de Datos de carácter personal tampoco es un derecho absoluto, sino que se ha de considerar en relación con su función en la sociedad, es decir, cohonestarse con otros tantos derechos fundamentales igualmente reconocidos (libertad de expresión; libertad de comunicación; el derecho a la tutela judicial efectiva;derechos de los menores; el derecho de acceso a los documentos; la libertad de empresa, etc.).
A continuación, se realiza una somera revisión de las principales modificaciones dispuestas a tal fin por parte de la proyectada reforma europea, tomando en consideración también las propuestas de modificación respecto al Reglamento contenidas en el documento de 31 de mayo dirigido por la Presidencia irlandesa al Consejo.
2.6. Seguridad: Análisis de riesgos, RLOPD y Estándares de Seguridad de la información
Esto supone un importante cambio, en el que se modifica la obligatoriedad de implementar un catálogo de medidas de seguridad concretas por la responsabilidad de evaluar el riesgo que entraña para la privacidad el tratamiento de datos, así como la implementación de las medidas de seguridad apropiadas para mitigar estos riesgos.
Otra importante novedad es la introducción de la variable de los costes de las medidas de seguridad. La determinación de controles, en respuesta a los riesgos identificados, deberá tener en cuenta las técnicas existentes y los costes de implementación, lo que establece una clara decisión por la gestión de la privacidad basada en riesgos. No obstante, se introduce una indeterminación respecto a cómo valorar si un determinado coste se considera excesivo.
Por otro lado, las modificaciones propuestas en mayo de 2013 por el Consejo introducen el concepto de utilización de seudónimos, promoviendo siempre que sea posible un tratamiento de los datos de forma que no sean atribuidos a una persona física sin el uso de información adicional. En este contexto, cabe destacar el papel que las herramientas PET (Privacy Enhancing Technologies) podrán desempeñar, en cuanto que su utilización, tenida en cuenta desde el diseño de los nuevos tratamientos de datos, pueden disminuir el riesgo para la privacidad y, por tanto, las medidas de seguridad adicionales necesarias.
2.7. Accountability: cómo demostrar el cumplimiento de manera continuada y sostenible
Continúa con un resumen de las pautas que el Grupo de Trabajo del Artículo 29 (GT29) establece en el Dictamen 3/2010 sobre esta materia.
También, y aunque el estudio se realiza sobre el borrador de Reglamento de enero de 2012 emitido por la Comisión Europea, se exponen las tendencias que marca la propuesta del Consejo de la Unión Europea de mayo de 2013.
Es importante reseñar lo que establecen otras ‘accountabilities’ para mejor entender este concepto, concretándose en las siguientes:
- Principios de accountability para el desarrollo sostenible: Norma de principios de account ability AA1000APS (2008).
- Stakeholder Engagement Handbook.
- ISO 26000:2010 - Guía de responsabilidad social.
- Global Reporting Initiative (GRI).
- Accountabilityeducacional: posibilidades y desafíos para América Latina a partir de la experiencia internacional (CIDE y PREAL).
Por último, se establecen los vectores de principios y medidas que servirán para el correspondiente estudio de los artículos del borrador de Reglamento que se encuentran en el ámbito de lo que entendemos como accountability.
En concreto los siguientes principios:
- La obligación de la organización de adoptar políticas internas tomando en consideración criterios externos, es decir, con los objetivos que marca la Ley.
- Mecanismos que pongan en práctica las políticas de privacidad, incluyendo herramientas, formación, concienciación y educación.
- Sistemas internos que aseguren que las herramientas funcionan, mediante revisiones y verificaciones o auditorías externas.
- Transparencia y mecanismos de participación individual.
- Medios de solución y aplicación de posibles brechas o incidentes de seguridad.
Y las siguientes medidas:
- Establecer una política de seguridad.
- Sancionar el proyecto de accountability al máximo nivel de la organización.
- Disponer de personal dedicado a la función de la privacidad y que esté formado y especializado mediante el desarrollo de políticas de formación y sensibilización.
- Revisar periódicamente las políticas y los riesgos.
- Implementar mecanismos para gestión de incidentes y reclamaciones de usuarios.
- Implementar mecanismos de ‘enforcement’ interno.
- Establecer un mecanismo interno de tratamiento de quejas.
- Aplicar procedimientos de verificación y supervisión que garanticen que las medidas no sean solo nominales sino que se apliquen y funcionen en la práctica (auditorías internas o externas, etc.).
- Establecer la posibilidad de ‘enforcement’ externo.
3. CONCLUSIONES
La propuesta de Reglamento de Protección de Datos de la UE no se debe contemplar como una normativa más, ni como un obstáculo o reto (que lo es, no solo uno sino que representa múltiples retos), sino como una oportunidad, estratégica, para que se dé a la Protección de Datos, a la Seguridad de la información y por lo tanto a la Privacidad, la importancia capital que debe tener en el “core” de nuestros negocios, ya que en palabras del director de la Agencia Española de Protección de Datos, D. José Luis Rodríguez Álvarez, “sin protección de datos no hay confianza y sin confianza no habrá un desarrollo sólido de la economía digital”.
Por lo tanto, la Propuesta de Reglamento puede significar requisitos que es posible convertir en oportunidades:
Oportunidad, de afrontar el análisis de los sistemas de información en los procesos de negocio; qué información, “los datos”, tenemos en ellos, cómo los obtenemos, cómo los tratamos, cuál es el flujo de los mismos a través de los distintos departamentos y procesos de la organización, cómo debemos analizarlos, tratarlos, salvaguardarlos y llegado el caso, destruirlos.
Oportunidad, de formar a los integrantes de las organizaciones del valor que representa la información, “los datos”, para el desarrollo de los negocios.
Oportunidad, de optimizar recursos, de aprovechar las ventajas tecnológicas teniendo un conocimiento preciso de la información, “los datos”, que la organización posee, dónde, cuándo, con qué medios o de qué manera es manejada.
Oportunidad, para que, tras la aprobación, con las modificaciones que resulten, o la no aprobación de la Propuesta de Reglamento UE de Protección de Datos, junto las situaciones de ataque a la privacidad de los últimos meses, se tome la adecuada conciencia de la importancia de la privacidad, los riegos alrededor de ella y que se sepa transmitir desde la empresa mediante las medidas legales, técnicas y organizativas el valor añadido que supone la preservación de la privacidad, “los datos”.
Oportunidad porque será la clave para conocer y entender los procesos de negocio y sus interacciones, pudiendo obtener la información correcta en el momento oportuno. Para ello, se necesitará conocimiento y dedicación de la dirección y del personal y compromiso con los procesos, procedimientos y tecnologías que nos ayuden a implementar las mejores prácticas para gestionar “los datos”, y por lo tanto “los datos personales” de clientes, empleados, socios, personal de contacto, proveedores, etc., que se encuentren en los sistemas de información.
En definitiva, las obligaciones de las PYMES, como Responsables del tratamiento, se verán modificadas sustancialmente ya que, entre otras cuestiones, deberán añadir políticas internas para dar cumplimiento a los principios de “Privacidad desde el diseño” y “Privacidad por defecto”, revisar profundamente sus Documentos de seguridad y aplicar medidas de seguridad en base a una evaluación de riesgos inicial seguida, en algunos casos, de una evaluación de impacto relativa a la Protección de datos de las operaciones de tratamiento previstas. Todo esto supondrá un aumento de la burocracia y un esfuerzo para las empresas (especialmente las PYMES) que tendrá que ser dirigido y tratado de forma específica por la Comisión.
Una vez superado el gran reto de adaptación al nuevo Reglamento, se habrá conseguido una gestión de la seguridad (de los datos personales) basada en riesgos, tal y como siguen los códigos de buenas prácticas para sistemas de gestión de seguridad de la información (SGSI) tales como la ISO/IEC 27002.
4. BIBLIOGRAFÍA CONSULTADA
- DPI. ISMS Forum Spain. “Estudio sobre el impacto en España de la propuesta de Reglamento de Protección de Datos de la UE”. 2012. Varios autores coordinados por Francisco Javier Carbayo, Nathaly Rey Arenas, Miguel Ángel Ballesteros y Carlos Alberto Saiz Peña. I Edición del Estudio
- COMISIÓN EUROPEA. “Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”. Bruselas, 25 de enero de 2012. Propuesta del RGPDUE
5. DERECHOS DE AUTOR
DPI (Data Privacy Institute) - ISMS Forum Spain
a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright.
b) No se utilice con fines comerciales.
c) No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra.
· Los titulares del Copyright no garantizan que la Obra esté ausente de errores. En los límites de lo posible se procederá a corregir en las ediciones sucesivas los errores señalados.
· El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal.
· No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado.
· Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propiedad exclusiva de los titulares correspondientes.
· Las opiniones contenidas en el presente Estudio, son la suma de las aportaciones de un grupo de expertos en protección de datos, por tanto, no necesariamente reflejan la opinión de DPI-ISMS Forum Spain.
Más información acerca de DPI / ISMS Forum Spain se puede consultar a través de su página web oficial: www.ismsforum.es/dpi