El valor actual de la privacidad

FUENTE: EL PAÍS ECONOMÍA. 5 DÍAS. RICARD MARTINEZ

“Estamos asistiendo al nacimiento de unas normas que deberían ayudarnos a pilotar la transformación digital”

La Comisión de Justicia del Congreso, y posteriormente el Pleno de 18 de octubre, han aprobado los pertinentes trámites del Proyecto de Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales. En los tiempos azarosos de la última legislatura se trata, sin duda, de una cuestión singular que debe ser destacada. Y, no sólo esto, la tramitación ha superado el escollo del cambio de Gobierno. Así, el Grupo Socialista, uno de los principales proponentes de enmiendas, acabó pilotando su fase final.

La negociación no ha sido precisamente sencilla y ha obligado a encajar muchas sensibilidades. Los expertos exigían la simplificación de un Proyecto ciertamente complejo en origen. Las autoridades autonómicas demandaban el respeto de su marco competencial y el diseño de un modelo coordinado y armónico. El proceso de información pública y el trámite de enmiendas pusieron de manifiesto los problemas e inconsistencias que acompañan a todo Proyecto de Ley. Y para introducir complejidad en la ecuación, se ha abordado la inserción de un título dedicado a la garantía de los derechos digitales.

Por otra parte, se ha modificado profundamente el Estatuto de la Agencia Española de Protección de Datos apostando por un modelo de cuasi-comisionado parlamentario. La presidencia, será propuesta por el Gobierno y ratificada por el Congreso atendiendo a criterios de mérito y capacidad y acompañada por un adjunto escogido de igual modo. El esfuerzo ha sido sin duda ímprobo y el resultado meritorio.

Resulta imposible describir en pocas palabras el impacto en nuestro Derecho y economía de esta norma. Estamos asistiendo al nacimiento de un conjunto de normas que deberían ayudarnos a pilotar la transformación digital. No sólo se trata de tener en cuenta el Reglamento General de Protección de Datos, la LOPD, o la Ley de seguridad de las redes y sistemas de información. Debemos estar muy atentos a la gestación de los reglamentos e-Privacy y e-evidence, a la revisión de la Directiva sobre reutilización de datos del sector público, o a una posible nueva norma sobre uso de datos.

Podrían destacarse aspectos muy significativos de la nueva LOPD: videovigilancia, relaciones laborales y controles empresariales, sistemas de denuncias internas, ampliación de los supuestos de nombramiento de un delegado de protección de datos, mantenimiento de los ficheros Robinsón y del deber de bloqueo, clarificación del régimen sancionador, desconexión digital, derechos de los menores…

Pero sin duda, existe un elemento nuclear que permea el conjunto de la norma: nuestro legislador ha puesto en valor la privacidad por unanimidad. Y esto lanza un doble mensaje. En España la garantía del derecho fundamental a la protección de datos y el compromiso de los poderes públicos en dotar de relevancia y protección a este derecho se mantiene y profundiza. Ello implica que tanto el sector público, -a menudo poco comprometido e incentivado para el cumplimiento normativo en esta materia-, como el privado, -frecuentemente paralizado por el terror que provoca el régimen sancionador-, deben rediseñar sus procesos pensando en privacidad.

Pero a la vez, deberíamos tener en cuenta el impacto y la trascendencia que para el futuro del país va a tener sin duda el adecuado encaje de la transformación digital en este bloque normativo. Y el engarce debe ser armónico y funcional. De una parte, debemos ser capaces de apreciar y poner en valor la confianza, la certeza y la seguridad que una adecuada gestión de la privacidad proporcionará a nuestros procesos.

Y al mismo tiempo no nos podemos permitir una gobernanza regulatoria que atienda a modelos verticales ajenos a la realidad material. El futuro de la transformación digital implica un compromiso compartido en el diseño de la privacidad que implique a los sectores y se oriente a la definición de objetivos viables para los derechos y para la digitalización.

Leonardo Cervera: «Queda mucho para la concienciación sobre la importancia de la protección de datos»

El supervisor europeo de Protección de Datos ultima la organización de la próxima conferencia internacional de autoridades de Protección de Datos que tendrá lugar entre los días 22 y 25 de octubre, en Bruselas. MUNDIARIO le ha entrevistado.

MUNDO DIARIO: 18 de octubre de 2018 (14:20 h.)

 

La concienciación de la ciudadanía sobre la importancia de la protección de datos es algo sobre lo que todavía queda mucho trabajo por hacer», dijo el supervisor europeo de Protección de Datos, el español Leonardo Cervera, en declaraciones a MUNDIARIO.

– ¿En España la entrada en vigor del Reglamento europeo de Protección de Datos ha supuesto un gran revuelo, sin embargo hay un gran desconocimiento de la labor del Supervisor. ¿Podría  hablarnos del papel de la organización que usted dirige?

El Supervisor Europeo es la autoridad de protección de datos de las instituciones europeas, el equivalente de la Agencia Española de Protección de datos pero para el tratamiento de datos personales que realizan las instituciones y agencias de la Unión. Funcionamos sobre la base de nuestro propio reglamento (45/EC/2001) que se está adaptando al Reglamento General de Protección de Datos (RGPD) y que entrará en vigor en diciembre. Este reglamento propio nos confiere competencias también en materia legislativa pues la Comisión Europea, el Consejo y el Parlamento tienen la obligación de consultar al Supervisor sobre cualquier propuesta legislativa que tengan un ángulo de protección de datos. Por último, el nuevo RGPD ha encomendado al Supervisor Europeo la tarea de proveer una secretaría al Comité Europeo de Protección de Datos, por lo que desde mayo del 2018, hay un equipo de personas en el Supervisor que trabaja de manera independiente a las órdenes de la Presidenta de este nuevo organismo de la Unión, AndraJelinek, la directora de la Agencia Austriaca de Protección de Datos.

 En el año 2017, el Parlamento español desarrolló la ley de protección de datos que complementa al reglamento, sobre todo en los supuestos en los que es obligatorio un DPO, pasa de los dos supuestos del reglamento a quince supuestos tasados en el capítulo III de la Ley. ¿Es la figura del DPO tan importante?

– La figura del DPO es uno de los pilares fundamentales sobre los que se asienta el nuevo edificio del RGPD. La piedra angular del nuevo enfoque del RGPD es el principio de responsabilidad y rendición de cuentas (accountability) y una organización podría difícilmente llevar esto a la práctica sin la ayuda de un delegado de protección de datos. Se trata de una inversión organizacional que, en el tono general del RGPD, puede ser mínima o muy grande dependiendo del volumen de información personal que se procese y el nivel de riesgo que se cree para la privacidad de las personas. Para muchas pequeñas y medianas empresas con tratamientos de datos muy básicos, una mínima inversión puede sersuficiente, pero para una empresa grande que realiza tratamientos de datos más sofisticados y/o a gran escala, la inversión tiene que ser lógicamente mucho mayor.

– Según declaraciones de la directora de la Agencia española, Mar España, la protección de datos no se debe convertir en un negocio para las consultoras. ¿Falta concienciación en el ciudadano de la importancia de proteger sus datos personales?

 

Mar España está al frente de una de las autoridades de protección de datos más importantes del mundo. Comparto al cien por ciento su apreciación de que la razón de ser de la normativa de protección de datos no es enriquecer a las consultoras, aunque es comprensible que haya algunas empresas que recurran a la ayuda de profesionales para adecuarse a los requerimientos de la nueva legislación, por lo menos en sus comienzos. La concienciación de la ciudadanía sobre la existencia de la protección de datos ha aumentado mucho con la entrada en vigor del RGPD, que ha llenado los titulares de los periódicos y los medios de comunicación durante semanas. La concienciación de la ciudadanía sobre la importancia de la protección de datos es algo sobre lo que todavía queda mucho trabajo por hacer.

– El capítulo IV de la nueva ley habla de los códigos de conducta ¿es una herramienta útil para la implicación de los agentes sociales?, ¿se deberían potenciar?

– Sin duda ninguna, los códigos de conducta son una herramienta importante y útil. Hay muchos otros sectores con similares actividades de riesgo (el sector sanitario, por ejemplo) en el que existe una larga tradición de utilizar los códigos de conducta para complementar y desarrollar de una manera práctica los preceptos legales.

– ¿El supervisor europeo de Protección de Datos tiene prevista alguna campaña de relevancia para este final de 2018?

– Nuestra apuesta en este momento es la organización de la próxima conferencia internacional de autoridades de protección de datos que tendrá lugar entre los días 22 y 25 de octubre de este año 2018, en Bruselas. La sesión pública, abierta a la libre participación de todos, tendrá lugar en el hemiciclo del Parlamento Europeo en Bruselas y girará sobre el tema de la ética de los datos, una cuestión de máxima actualidad. Todavía existe la posibilidad de registrarse para esta conferencia (que tiene tarifas preferenciales para representantes de organizaciones no gubernamentales y estudiantes), por lo que animo a todos los expertos en protección de datos en España a unirse al debate en Bruselas.

– ¿Existe una comunicación fluida entre el supervisor europeo de Protección de Datos y la Administración española?

– Nuestro interlocutor habitual es la Agencia Española de Protección de Datos con la que tenemos una excelente relación. La directora de la Agencia Española, Mar España, ha hecho una gran labor en estos últimos años para mejorar la comunicación a todos los niveles y eso ha incluido no sólo a los interlocutores nacionales sino también otras autoridades europeas como el Supervisor. @mundiario

La ciberseguridad, un gran aliado a futuro

Fuente: El Economista

Patricia del Águila Barbero. 15/10/18

 

En 2017, España batió su récord en ciberataques: 120.000 incidentes, y según el Instituto Nacional de Ciberseguridad de España, los ataques en Internet han crecido un 140 por ciento en tan solo dos años. En consecuencia, y dado que la ciberseguridad es uno de los asuntos en los que más se invierte por parte de las compañías para preservar sus datos e información, los expertos ponen el foco en una regulación garantista que muy difícilmente podrá acabar con la incertidumbre de un posible ciberataque, una amenaza que, bien gestionada, hará marcar la diferencia.

Es evidente que será un asunto de gran importancia futura por el riesgo que supone para la confianza de las compañías y porque se estima, y al alza, que en 2020 serán necesarios 1,5 millones de expertos en ciberseguridad en todo el mundo para trabajar en empresas y organismos públicos. Como no es un problema baladí, no obstante, el 90 por ciento de las empresas reconocen que no son ciber-resilientes, según el informe ‘TheStateof IT Resilience’, elaborado por IDC. Por lo tanto, ¿hasta qué punto la regulación es garantista? Los expertos dan su opinión.

Diego Ramos, socio DLA Piper España, explica que el Reglamento de Protección de Datos «implica para los ciudadanos un mejor conocimiento de lo que realmente se hace con sus datos personales y una menor presión sobre su privacidad. Para las empresas, un esquema más claro de lo que pueden hacer con sus bases de datos y mayor flexibilidad en el tratamiento y la distribución de datos personales a nivel internacional». Así, una de las conocidas novedades que trae consigo la nueva normativa es la figura del delegado de Protección de Datos ya que, a juicio de Diego Ramos, «permite dar una referencia de contacto única y profesionalizada tanto para las personas interesadas cuyos datos se tratan como para la autoridad de control. Eso permite gestionar peticiones e incidencias de una forma más rápida, más eficaz y con menos problemas para las empresas y los propios interesados».

Otra de las sorpresas que puso sobre la mesa de las empresas el Reglamento son las altas cuantías de las sanciones que incluye el texto. No obstante, los expertos abogan por guardar distancias para saber si realmente el miedo que impuso a las compañías ha sido efectivo. «Cuando el Reglamento cumpla un año, haremos balance de si esos máximos han cumplido una pura función disuasoria frente a actitudes de incumplimiento estratégico reiterado que vimos en el pasado o suponen una elevación real de las sanciones medias. Si fuera esto último sería preocupante, porque supondría que las autoridades han visto un ángulo recaudatorio en el nuevo mecanismo y las empresas no han sabido responder al desafío», expresó.

Cuando se le pregunta por qué debe ser la ciberseguridad el principal quebradero de cabeza de los comités ejecutivos de las empresas, Diego Ramos discrepa: «Los ataques de seguridad online son una amenaza frente a la que las empresas sí pueden prepararse desde el punto de vista técnico y legal para mitigar el impacto negativo». A esto añade que «la ciberseguridad, como la gestión financiera, fiscal o laboral, es un área donde hay mucho que hacer, mucho que construir, muchas oportunidades de diferenciarse de los competidores, pero formando parte de la normalidad de la empresa. En ese sentido, es una tarea atractiva y exigente más que un quebradero de cabeza, afortunadamente».

¿Qué retos nos plantean los ciberataques?

Una de las preguntas que más resuenan en torno a la ciberseguridad es qué retos plantean estas amenazas y cuáles son los errores más comunes por parte de las empresas. A esta pregunta, Diego Ramos enumera básicamente tres retos «y ninguno de ellos sencillo de afrontar»:

  1. Reconocer que es simplemente imposible que antes o después nuestra empresa no sea objeto de un ciberataque que supere nuestras defensas. Las redes de información tienen, por naturaleza, una vocación de apertura y comunicación, y eso hace imposible evitar una entrada no autorizada.
  2. Aprender a adaptar todas las áreas de nuestra empresa para convivir con las ventajas y riesgos que se derivan de operar bajo la hipótesis de que el siguiente ciberataque exitoso puede ocurrir hoy mismo.
  3. Establecer planes de contingencias robustos, que permitan no solo salir del paso, sino más bien seguir actuando al 100 por ciento indefinidamente. Es algo muy parecido a lo que se hacía en los castillos de la Edad Media, aplicado a amenazas muy diferentes a las de entonces.

Sobre los errores más comunes que cometen las empresas respecto a la ciberseguridad es «paradójicamente, sentirse seguras, creer que una gran inversión en medidas de seguridad les puede hacer invulnerables». Y por si no fuera poco, «la falta de inversión aumenta tu vulnerabilidad, pero la vulnerabilidad nunca desaparece y hay que saber gestionarla», sentencia Ramos.

La regulación en esta materia «intenta proteger todo lo posible, pero va siempre por detrás de las amenazas. Lo ha hecho siempre y así será hasta que no se desarrollen métodos legislativos más ágiles», asegura. En otro sentido, explica que es garantista respecto a los derechos fundamentales de quienes lanzan los ataques, pero eso forma parte también del ADN de un sistema democrático de libertades. «Los ciberatacantes se benefician de un modelo que es positivo para el conjunto de la sociedad», expresa.

Ofensa cibernética

Por su parte, Jim Halpert, socio co-responsable de la práctica global de Protección de Datos, Privacidad y Seguridad, y co-responsable de la práctica de Ciberseguridad en EEUU, también considera que los ciberataques presentan grandes retos. En primer lugar, «son una amenaza dinámica que no se puede enfrentar con un enfoque de cumplimiento de marca la casilla, y requieren una gestión de riesgos compleja». Explica Halpert que la ofensiva cibernética tiene una gran ventaja sobre la defensa cibernética:

  1. Los métodos de ataque están ampliamente disponibles para los atacantes y siguen cambiando -incluso a través de las armas cibernéticas inventadas por los gobiernos que son eliminados por piratas informáticos y rediseñados para otros ataques-.
  2. La defensa requiere una respuesta de toda la empresa bien coordinada y bien financiada, no solo una respuesta.
  3. La defensa debe seguir adaptándose a los cambios en los métodos de ataque y las actividades de la organización, por lo que requiere un programa flexible.
  4. Algunas medidas de defensa cibernética hacen que las actividades de las organizaciones sean más complicadas o caras, por lo que implican concesiones.

Para facilitar la gestión del riesgo cibernético, DLA Piper ha ayudado a redactar el Manual de Gobernanza del Riesgo Cibernético de la Asociación Nacional de Directores Corporativos, publicado en EEUU, Alemania y el Reino Unido. Ofrece una hoja de ruta útil para que los directores corporativos establezcan un marco sólido de gobernanza de seguridad cibernética.

No obstante, Halpert afirma que «no hay garantías en la ciberseguridad». «Las reglamentaciones que incentivan las prácticas sólidas de administración de riesgos de seguridad cibernética pueden ayudar, y los artículos del RGPD sobre seguridad de datos y violación de datos sin duda mejorarán la seguridad en la Unión europea».

A juicio de Jim Halpert, la cantidad de multa potencial del RGPD atrajo la atención de las empresas estadounidenses, por lo que «logró su propósito previsto». «Sería una mejora neta en la protección de datos en la Unión si las autoridades reconocieran que mejorar la ciberseguridad de manera proporcional es un interés legítimo que anula los derechos de los interesados en las circunstancias limitadas», reivindica.

Otro de los expertos en la materia con los que hemos hablado es Patrick Van Eeche, socio co-responsable de la práctica global de Protección de Datos, Privacidad y Seguridad en DLA Piper, y avisa: el mayor error de las empresas es que nunca les sucederá a ellos, y que, en caso de que les sucediera, podrían mantenerlo para ellos, lejos de la prensa.

Asimismo, critica en parte la nueva regulación europea de Protección de Datos. «Elaboramos una legislación de casi 100 artículos para explicar cómo poner en práctica este principio básico. Esto hace que sea muy incómodo para las empresas lidiar con los detalles muy específicos y, a menudo, muy formalistas del RGPD, y les preocupa si alguna vez podrán cumplir con todas estas reglas», explica.

No obstante, reconoce que «es interesante ver que el RGPD, que es una legislación europea, ha servido de inspiración en otras partes del mundo; países como Brasil, Argentina, Sudáfrica, Australia, pero incluso California en los Estados Unidos han adoptado reglas de protección de datos que son muy similares a las del RGPD. Esto significa que, en todo el mundo, los datos personales de los ciudadanos estarán mejor protegidos».

Cuando se le pregunta por la importancia de garantizar con normativas la obligación de contar con medidas de ciberseguridad, Patrick Van Eeche argumenta que no cree que «la regulación sea una garantía, pero ciertamente activará algunas acciones. Incentivará a las empresas a invertir en ciberseguridad porque, en caso de violación de datos, podrían ser responsables de no haber tomado suficientes medidas de seguridad de la información».

¿Por qué ni siquiera Facebook puede blindarse ante estos ataques?

Recientemente, Facebook reconoció un ciberataque que dejó al descubierto información confidencial de más de 50 millones de usuarios. A este respecto, Jim Halpert recuerda que «es importante recordar que el hecho de que una organización esté violada no significa que necesariamente haya implementado medidas de seguridad inadecuadas. Las agencias de inteligencia del gobierno son exitosamente hackeadas. Todavía no sabemos cuál será el resultado de esta investigación, o si Facebook podría desafiar con éxito la imposición de una gran multa».

Para Patrick Van Eeche, esta es una prueba temprana para RGPD, especialmente sobre las reglas sobre violación de datos que son nuevas, tanto para las autoridades reguladoras como para las empresas europeas. Además, añade que «junto a una posible multa de la Autoridad de Protección de Datos de Irlanda, el RGPD también prevé la posibilidad de demandas colectivas. Con más de 5 millones de cuentas europeas impactadas, no me sorprendería que se presentara una demanda colectiva». «¡Parece que el RGPD ha comenzado a cobrar vida!», exclama.