MARKETING
COMUNICACIÓN
INTERNET
FORMACIÓN
RRHH
PUBLISHING & EVENTS
DIRECTORIO
Noticias de Bufetes
Operaciones
ENTREVISTAS
La gestión de los datos personales frente al derecho a la información o la seguridad nacional se han convertido en debates en los que nuestra sociedad busca una respuesta, aún sin definir. En este auge de lo privado, APEP (Asociación Profesional Española de la Privacidad), se ha convertido, pese a ser una asociación joven, en uno de los interlocutores con la administración y el sector privado. Su II Congreso Nacional de Privacidad fue un ejemplo de foro en el que se reunieron expertos de todo el mundo, al amparo de un Reglamento Europeo de Privacidad que no acaba de llegar y cuando las distancias entre el modelo norteamericano y el europeo parecen insalvables. Lawyerpress ha contactado con Ricard Martínez, presidente de esta entidad, que hace unos días fue reelegido para un nuevo mandato de tres años. “Es evidente que el derecho al olvido se resitúa desde este planteamiento del abogado general, indica al comentar sus apreciaciones en relación con el caso Google y AEPD, para añadir que “ Hay que darse cuenta que ejecutar el derecho al olvido frente al buscador puede ser una aspiración legítima pero no resuelve el problema. El problema está en origen y aquí se echa en falta una normativa internacional global que sirviera para actuar en la red”, subraya. “La Asociación Profesional Española de Privacidad nació hace cuatro años e integra a expertos en privacidad que ejercen esta actividad en diferentes sitios con distintos perfiles tanto de una vertiente técnica como jurídica. En la actualidad está compuesta por unos trescientos socios. Se integran consultores independientes; altos expertos en privacidad de las principales empresas del país y de despachos de abogados de primera fila, junto con investigadores universitarios o DPOS de administraciones públicas. En estos últimos años la privacidad tiene un protagonismo notable, sobre todo propiciado por el auge de Internet. En mi primer mandato se puede hablar de una consolidación de APEP y de un despegue a nivel institucional de la entidad. Se han diseñado casi todos los servicios que ofrecemos a nuestros asociados. A nivel institucional, la entidad tiene mayor protagonismo que nunca. En septiembre varios miembros de la asociación participarán en la Comisión de Redes Sociales del Congreso. Piden nuestro punto de vista como organización de interés. Ha sido un momento de mantener reuniones con diputados, Ministerio de Justicia etc. Esto ha hecho que nuestra presencia en los medios informativos como referente del sector se haya incrementado. No pretendemos entrar en la crítica fácil en un sector que está sujeto a muchos cambios. Sino sobre todo analizar con rigor los fenómenos que tienen que ver con la privacidad de manera profesional y racional. Creo honestamente que este II Congreso Nacional de Privacidad celebrado hace unos días ha supuesto un espaldarazo para APEP. Contamos con los mejores expertos a nivel internacional y abordamos los temas más candentes. A nivel formativo también hemos desarrollado eventos sobre cuestiones como cloud computing, cookies o prívate by design en muchos casos con el formato de desayuno de trabajo para profundizar más en estas cuestiones. En estos momentos estamos acabando un proyecto de formación continua, online, para nuestros asociados con la colaboración de la Universidad de Murcia desde cuatro vertientes.” En un contexto donde hay un debate entre privacidad e intereses de la empresa, ¿Cómo se valora el fallo del abogado del TJUE sobre Google y su cuestión con la AEPD? Hemos hecho un análisis profundo de estas conclusiones con todos los matices del mundo. No se puede descartar que en el debate procesal el tribunal llegue a conclusiones diferentes del propio abogado general. Mas que hablar de vencedores o vencidos y de hablar de si el derecho al olvido ha muerto, las citadas conclusiones van por otro lado. En primer lugar, indica que la legislación europea se ha quedado corta. Sigue los parámetros de la sentencia Lindquvist de 6 de noviembre de 2003, con una posición moderada sobre este caso. En este supuesto concreto, el abogado general constata que prevalece la libertad de expresión frente al derecho al olvido. También constata que una compañía como Google con una oficina en España puede serle aplicado el derecho europeo. Ahí sigue las directrices del Grupo de Trabajo del articulo 29 a nivel europeo con lo cual es aplicable el derecho al establecimiento y que paguen sus impuestos en esos países. Sobre si un buscador como Google puede ser considerado como responsable de tratamiento de datos, el abogado general lo explicita en dos casos: en primer lugar, respeto del tratamiento que haga de sus propios usuarios, ahí no se escapa de las obligaciones de la directiva. Y en la llamada memoria histórica, para nosotros memoria caché, si se conservan datos que deberían haber desaparecido. En estos dos casos el buscador es responsable. También estos comentarios plantean si el buscador puede ser aplicable la condición de prestador de servicios de la sociedad de la información y su regulación apropiada. En principio dice que no. Aunque la solución que llega desde el punto de vista práctico es la misma de la directiva y de la ley española. El buscador es un intermediario y el problema hay que resolverlo en origen y en caso de conflicto prevalece la libertad de expresión. ¿Es posible que asistamos a una redefinición de lo que entendemos por derecho al olvido? El propio abogado general llega a la conclusión que la Directiva Europea se ha quedado corta y no puede regularle. En este asunto, no tanto la asociación como un servidor como experto considera que ha sido un error llamar al derecho a la cancelación u oposición como derecho al olvido. Es evidente que el derecho al olvido se resitúa desde este planteamiento del abogado general. Hay que darse cuenta que ejecutar el derecho al olvido frente al buscador puede ser una aspiración legítima pero no resuelve el problema. El problema está en origen y aquí se echa en falta una normativa internacional global que sirviera para actuar en la red. Tema complicado, al haber como dos modelos de privacidad el americano y el más garantista europeo… Hay una diferencia filosófica central entre ambos modelos que usted señala. El modelo norteamericano de protección de los derechos fundamentales está muy pensado frente al Estado que es quién más vulnera estos derechos. No existe una tutela administrativa o una agencia parecida a la AEPD que te proteja. La información pública es disponible. Su legislación es de 1974 y si te causan un daño puedes demandar. No es necesario el consentimiento expreso llamado opt in allí funciona con un opt in out, mientras no me diga que no, se pueden hacer ciertas cosas. En este contexto cuando las empresas norteamericanas llegan a Europa se encuentran extrañas. Tienen que inscribir un fichero, declararlo y tener estructurados ciertos procedimientos y se les multiplican sus costes realmente. ¿Es factible encontrar a medio plazo un punto de encuentro entre ambas tendencias? Hasta ahora no se la logrado. Se intentó y existe un documento transaccional de carácter dogmático y científico hecho por diferentes Agencias de Protección de Datos. Es la llamada declaración de Madrid de noviembre de 2011. En este entorno fue la Agencia española quien como ponente lideró una resolución de todas las agencias de todo el mundo que intentaba resumir los puntos más destacados del modelo americano, europeo y el de Asia y Pacífico. Desgraciadamente no dio lugar al convenio internacional que se esperaba. Tengo una teoría que señala que los principios comunes de la privacidad nadie los discute. Es más, empieza a haber legislación sectorial, cuestión desconocida en Europa, donde ya se están notificado quiebras de seguridad, igual que hace la Directiva de telecomunicaciones. En campos como el crédito o protección de menores hay legislación específica sobre protección de datos. Poder encontrar puntos en común entre ambos modelos parece bastante asequible. Quizás el punto de crisis está en lo que en la cultura americana se ve como un freno al libre desarrollo del comercio la propia percepción de la legislación europea sobre protección de datos. En este contexto de crisis ¿Se dispone de la normativa adecuada para la protección de los datos personales de cada individuo? Es complicado contestar a esta pregunta sobre todo desde el auge de las redes sociales en estos últimos años. Es evidente que siempre hay un conjunto de principios que siempre puedes aplicar. No podemos caer en la trampa fácil donde se habla que Internet lleva una velocidad y la normativa nunca podrá regularlo. Hay que darse cuenta que las reglas del consentimiento existen desde el tiempo de los romanos. Ese conjunto de valores esenciales los tenemos que aplicar. Ahora bien cuando tenemos que descender a aspectos muy prácticos hay bastantes problemas. El problema más grave que hay en este momento es qué derecho aplico: el derecho del país; el del Estado de California o el derecho europeo que permita ejercer esa reclamación en cualquier país de la UE. Y se ha puesto de manifiesto en el caso de Google del que acabamos de hablar. Por desgracia, este asunto no está bien resuelto. De ahí que se encuentren pequeños agujeros en la legislación, en temas como el derecho al olvido donde es posible que exista un problema de jurisdicción o la legislación europea sobre publicidad en cuestiones como las cookies o la publicidad comportamental. ¿Sería una solución para estos agujeros detectables el desarrollo de un Reglamento Europeo de Protección de Datos? Este Reglamento podría resolver el problema suscitado ya con anterioridad de una norma para toda Europa. A partir de ahí son abordables cuestiones como el del derecho al olvido o la notificación de quiebras de seguridad desde soluciones homogéneas. Otra cosa es ver si esta norma prospera porque realmente está muy atascada en su gestación y negociación. Hay que darse cuenta que es una gran novedad que la UE quiera regular de forma homogénea un derecho fundamental; hay expertos que cuestionan incluso que la propia UE pueda tener esa competencia parar regularlo. Cuando te metes con un derecho fundamental te encuentras con Alemania, con una tradición constitucional fuerte y que pretenden imponer sus criterios en estos temas. Su Parlamento ha sido clave en varias sentencias y esos criterios chocan con el del resto de países que buscan una normativa que no frene a la economía. Las posiciones parecen encontradas y no está claro que vaya a prosperar esa iniciativa. En el caso que el Reglamento Europeo prosperase da la sensación que nuestro país tiene ya mucho desarrollado en materia de protección de datos… Si tuviéramos en cuenta la primera propuesta de Reglamento podríamos decir que Europa se españolizaba. Modos de hacer, enforcement, potestad sancionadora; ciertas obligaciones formales y algunas cuestiones determinantes como las de los menores, todo eso tiene un componente español indudable. Otra parte del Reglamento tenia una impronta germana. Realmente los países fuertes en protección de datos, además de Holanda y países escandinavos, son Alemania, España, Francia e Italia.. Con las posteriores versiones que ahora se preparan podríamos correr el peligro que la situación española empeorase en términos de cumplimiento normativo. En la última versión de Reglamento que se conoce desaparece el deber de inscripción de ficheros; también el carácter imperativo del data protection officer y además se relajan de forma notable los deberes de documentación. Si vamos a un escenario en el que no es obligatorio el registros de los ficheros de protección de datos ni a su posterior documentación y donde no queda claro que pasará con la normativa de seguridad española, la verdad al final no sabes quien cumplirá la ley desde nuestra cultura de cumplimiento normativo. La situación es preocupante, como puede ver, veremos al final el desenlace de la misma. Con esta normativa tan agresiva española en materia de protección de datos, ¿ se ha mejorado la cultura empresarial en esta cuestión? Tendríamos que distinguir dos perfiles de empresa en relación con esta pregunta que usted me formula. Aquella empresa que cumple porque no le queda más solución que hacerlo e implanta la normativa de protección de datos de forma epidérmica. Realmente no ganan nada. Les cuesta dinero y tienen que buscar a un asesor.. Enfrente suya, quien se preocupa de cumplir con esa normativa y lo ve como algo estratégico, se enfrenta a una situación muy interesante parecida a la de auditoria de calidad. Te preocupa todo el proceso de gestión: desde que llegan los datos hasta que se destruyen. Al final también la organización se implica en el proceso descubriendo cuellos de botella, duplicaciones o datos innecesarios. Además una vez culminado todo el proceso tus datos son confiables gracias a las medidas de seguridad implantadas. Se han tomado decisiones acertadas y lo que es más importante los clientes están protegidos. Lástima que aún se cuestione este tipo de iniciativas. Este cumplimiento normativo nos hace hablar de la figura del DPO (Data Protección Officer), muy analizada en el II Congreso de APEP reciente.. El buen DPO conoce a fondo tus procesos de gestión de tal forma que te ayuda a que cumplas con la legislación en materia de protección de datos. Por su formación conoce cuestiones de calidad; organización y gestión de procesos, cumplimiento normativo en protección de datos e incluso seguridad. Su formación académica es amplia, luego completada por temas de comercio electrónico, propiedad intelectual, marcas o nombres de dominio, con lo cual te puede ofrecer un asesoramiento integral en este entorno de Internet. Al final te especializas en un sector desde el punto de vista de la protección de datos. Y donde debe situarse en la empresa como asalariado, o como consultor externo… Desde nuestra entidad defendemos una postura flexible. Su necesidad depende de las necesidades de cada organización. No tendrá mucho que ver el que trabaja para la Administración que el que gestiona estas cuestiones en un grupo de empresas.. Habrá entidades que lo necesiten a tiempo completo y otras no, siempre en función de las necesidades estructurales de cada entidad. Y otras que para determinadas consultas se contrate un par de veces al año. Y además está la llamada externalización, a tiempo completo o a tiempo parcial. Otro asunto que preocupa tiene que ver con el conflicto de la seguridad nacional de los países y el derecho a la intimidad. ¿En España se ha regulado bien esta cuestión? En nuestro país hay que hablar de la Ley del CNI que establece el levantamiento del secreto de las comunicaciones bajo ciertas circunstancias con el control y la supervisión de un juez del Tribunal Supremo. Hay un cierto control y equilibrio, tanto por la ley española como por el Convenio Europeo de derechos Humanos que habla de excepciones, seguridad nacional es una de ellas y obliga a la predeterminación con normas de ley por lo que se refiere a España. Esta normativa se cumplimenta con la ley 25/2007 que permite la retención de datos de tráfico con carácter preventivo por espacio de dos años. Esto obliga a las compañías telefónicas a guardar datos como la geolocalización, clave para los atentados de Madrid del 11M. Es posible que la normativa americana sea más flexible que la española en estas cuestiones. Permite la vigilancia secreta prácticamente sin causa existente y la intervención masiva de las comunicaciones. Es complicado pensar que esto esté sucediendo en España.. Fenómenos como el de la ciberdelincuencia cuestionan el llamado anonimato en Internet., Es la única forma de poder controlar este tipo de delitos. Si no se identifican a aquellos que delinquen . Esta es una contradicción importante.
comparte ésta informaciónn
Tweet
Buscar en lawyerpress.com
copyright, 2013 - Strong Element, S.L. - Peña Sacra 18 - E-28260 Galapagar - Madrid - Spain - Tel.: + 34 91 858 75 55 - Fax: + 34 91 858 56 97 - info@lawyerpress.com - www.lawyerpress.com - Aviso legal
