Confiesa
que
es
la
cuarta
edición
en
la
que
comparece
como
presidente
de
este
organismo
regulador,
de
la
Sesión
Anual
Abierta
que
la
AEPD
organiza
habitualmente
todos
los
años
a
fin
de
aclarar
conceptos
en
el
complicado
mundo
de
la
privacidad
y
protección
de
datos
y
que
acaba
de
celebrarse
en
la
capital
de
España.
“Esta
séptima
convocatoria
ha
sido
de
nuevo
un
éxito
de
asistencia
y
participación
en
un
formato
en
el
que
la
propia
Agencia
hace
un
gran
esfuerzo
para
analizar
las
novedades
del
año
y
aquellos
aspectos
y
modificaciones
en
materia
de
protección
de
datos”,
aclara.
Para
muchos
expertos
es
una
manera
de
ponerse
al
día
tanto
in
situ
como
consultado
a
posteriori
la
web
con
los
contenidos
del
evento
en
diferido.
La
Sesión
tuvo
como
tema
central
el
open
data,
la
reutilización
de
la
información
del
sector
público
y la
alternativa
de
la
anonimización.
“Es
fundamental
que
una
entidad
como
ésta
que
interpreta
la
normativa
de
protección
de
datos,
al
mismo
tiempo
sanciona
algunas
veces
ante
ciertos
comportamientos,
haga
público
esos
criterios
de
interpretación
para
que
los
sujetos
obligados
que
tienen
que
cumplir
con
la
norma
y
profesionales
que
asesoran
a
terceros,
cuáles
son
los
criterios
de
la
Agencia”,
subraya.
Para
este
experto
jurista,
la
inversión
en
protección
de
datos
siempre
es
rentable,
al
ser
los
datos
personales
materia
muy
sensible,
cuyas
infracciones
pueden
dañar
la
reputación
de
terceros.
Sr.
Rodríguez,
la
AEPD
ha
hecho
público
en
esta
7ª
Sesión
Anual
Abierta
que
está
elaborando
el
borrador
de
una
Guía
sobre
la
reutilización
de
la
información
del
sector
público,
¿con
que
fines?
Vemos
que
es
necesario
crear
una
publicación
de
este
tipo.
Ahora
se
está
desarrollando
un
proceso
de
apertura
de
la
información,
en
manos
de
los
organismos
públicos,
al
advertir
que
esa
información
tiene
un
valor
que
puede
ser
aprovechado
para
diferentes
fines.
“Estos cuatro años como Director de la AEPD fueron intensos y apasionantes. Necesitamos reforzar este equipo con más personal, no cabe duda si queremos seguir liderando la privacidad en Europa.” |
En
este
contexto
los
organismos
públicos
tienen
que
poder
facilitar
para
quien
lo
pida
esa
información
para
ser
reutilizada.
Ya
existe
una
Directiva
de
la
UE,
la
2013/37,
cuyo
plazo
de
incorporación
al
derecho
nacional
concluye
el
próximo
18
de
julio
mientras
que
en
nuestro
país
está
la
reforma
de
una
ley
del
2007
para
adaptarla
a
dicha
directiva.
El
resultado
va a
ser
que
sobre
los
organismos
públicos
va a
pesar
una
obligación
de
facilitar
toda
aquella
información
cuya
puesta
a
disposición
no
esté
prohibida
por
la
legislación
interna.
Las
administraciones
tienen
información
de
muchas
procedencias
y
suele
haber
por
medio
datos
personales.
Aquí
entramos
nosotros
para
establecer
criterios
de
cara
a
que
esa
información
se
pueda
reutilizar,
lograr
beneficios
sociales
y
comerciales
y al
mismo
tiempo
se
proteja
los
derechos
de
los
ciudadanos
afectados
porque
sus
datos
personales
puedan
estar
en
esa
información.
¿Tiene
que
ver
esta
iniciativa
con
el
actual
desarrollo
de
la
Ley
de
Transparencia?
No,
exactamente
aunque
hay
elementos
que
se
solapan.
Habrá
que
establecer
criterios
de
interpretación,
orientaciones
o
directrices
para
que
estos
organismos
públicos
cuando
reutilicen
la
información
no
pongan
en
riesgo
esos
datos
personales
de
los
que
antes
estábamos
hablando.
¿Qué
calendario
hay
para
el
desarrollo
de
esta
iniciativa
que
al
final
se
va a
convertir
en
Guia
sobre
la
reutilización
de
la
información
pública?
El
borrador
de
la
publicación
se
está
elaborando
en
un
estado
avanzado.
Cuando
tengamos
el
primer
texto
completo
convocaremos
una
consulta
pública
para
escuchar
a
todos
los
interesados
en
este
tema
y
hagan
las
observaciones
oportunas.
Una
vez
que
se
procesen
estos
comentarios
se
elaborará
el
texto
definitivo.
Esperamos
que
sea
un
proceso
participativo
este
proyecto.
No
es
la
primera
vez
que
la
AEPD
abre
una
consulta
pública,
antes
ya
lo
hicieron
con
aquella
vía
que
evaluaba
el
impacto
en
la
protección
de
datos.
En
efecto
y la
experiencia
también
fue
muy
positiva.
Siempre
hay
que
escuchar
a
los
implicados
en
un
asunto
para
escuchar
sus
puntos
de
vista.
Esta
Guía
tuvo
una
excelente
acogida;
sabemos
que
hay
algunos
sectores
que
están
adaptando
esta
normativa
a su
propio
sector
con
otras
publicaciones
similares.
Otra
experiencia
que
también
cuajó
fue
la
relacionada
con
la
normativa
de
cookies
en
España,
donde
también
en
colaboración
con
el
sector
publicitario
se
elaboró
otro
documento
guía,
amén
de
diferentes
seminarios
para
presentar
el
documento.
Es
la
única
que
existe
en
Europa
de
estas
características.
La
normativa
que
entró
en
vigor
por
Decreto
Ley
hizo,
sin
tiempo
de
demora,
propició
que
pusiéramos
en
marcha
un
grupo
de
trabajo
con
la
propia
industria
para
ver
el
cumplimiento
de
la
norma
con
el
menor
impacto
posible
en
el
sector.
Sin
embargo
la
normativa
de
cookies
ha
generado
mucha
crispación.
¿Habrá
algún
cambio
en
el
futuro
sobre
la
misma?
Es
cierto
que
esta
regulación
es
muy
delicada
y
compleja.
Con
el
paso
de
los
años
advertimos
que
los
ciudadanos
estaban
indefensos
ante
las
cookies,
dispositivos
con
los
que
se
recaba
información
personal
sin
informar
ni
obtener
el
consentimiento.
“La normativa PNR que plantea la Comision es inviable. Cercena muchos derechos y necesita someterse a una proporcionalidad, así lo hemos dicho las autoridades europeas en nuestro informe” |
En
ese
contexto
el
Parlamento
Europeo
reforma
la
directiva
y
apuesta
por
un
sistema
de
opt
in,
donde
se
exige
esa
información
y el
citado
consentimiento
y lo
cierto
es
que
este
modelo
es
complicado
de
implementar
en
el
contexto
de
Internet.
Pese
a
que
la
normativa
de
cookies
ha
tenido
problemas
en
su
aplicación,
gracias
a la
colaboración
entre
la
AEPD
y la
industria
hemos
conseguido
una
fórmula
con
menor
impacto
posible
en
el
negocio
de
las
empresas
permite
informar
a
los
ciudadanos
que
se
utilizan
cookies
configurando
su
navegador
para
la
aceptación
o
rechazo
de
las
mismas.
Habrá
cambio
en
esta
normativa
a
corto
plazo.
Estamos
hablando
de
una
normativa
europea
que
se
implanta
en
nuestro
país.
En
estos
momentos
no
hay
ningún
estudio
para
hacer
cambios
significativos
en
esta
regulación.
Con
la
publicación
de
estas
Guías
se
observa
un
cambio
de
talante
en
el
trabajo
de
la
AEPD.
En
los
últimos
años
hemos
visto
la
necesidad
de
trabajar
en
la
prevención
y
mentalización
de
crear
una
cultura
de
protección
de
datos
tanto
en
empresas
como
instituciones,
al
mismo
tiempo
que
seguimos
realizando
nuestra
actividad
fiscalizadora
cuando
es
necesario.
Una
forma
de
prevenir
es
realizar
una
evaluación
del
impacto
a
nivel
de
privacidad.
Con
la
citada
Guía
de
evaluación
de
impacto
de
la
protección
de
datos
el
mensaje
está
muy
claro
es
ver
qué
impacto
hay
a
nivel
de
privacidad
en
lo
que
voy
a
hacer.
Se
minimizan
riesgos
en
este
contexto
y
así
se
evita
ser
sancionado
por
no
cumplir
la
normativa,
acción
que
puede
afectar
a la
reputación
de
la
empresa.
En
esencia
se
trata
de
incorporar
el
principio
de “
Privacy
by
design”
que
ya
se
contempla
en
el
futuro
Reglamento
Europeo
en
nuestra
normativa,
de
tal
forma
que
ante
cualquier
actividad
se
tenga
en
cuenta
el
impacto
en
privacidad
antes
de
su
diseño
o
puesta
en
marcha.
Esta
cultura
preventiva
es
muy
anglosajona
y
esperemos
que
cuaje
en
nuestro
país.
En
esta
7ª
Sesión
Anual
ha
hecho
la
AEPD
balance
de
la
ya
histórica
sentencia
sobre
derecho
al
olvido,
su
aplicación
por
parte
de
la
Audiencia
Nacional
es
contundente.
El
cambio
de
talante
de
Google
ha
sido
radical.
Hasta
que
se
supo
el
fallo
del
TJUE
el
propio
buscador
impugnaba
todas
las
resoluciones
de
la
Agencia
invocando,
como
primer
argumento,
que
no
le
era
de
aplicación
la
normativa
europea
porque
actuaban
fuera
del
Viejo
Continente.
Tras
la
clarificación
por
parte
de
la
propia
Audiencia
Nacional
de
lo
que
es
el
derecho
al
olvido
y su
aplicación
real,
ha
retomado
los
casos
y
los
está
resolviendo.
Google
se
retiró
de
unos
136
y
ahí
se
confirma
la
posición
nuestra
y en
los
que
se
están
resolviendo
ahora
hay
hasta
un
75
por
cien
de
casos
donde
confirma
el
propio
fallo
del
TJUE.
Si
sumamos
ambos
elementos
tenemos
un
90
por
cien
de
confirmaciones.
Desde
la
AEPD
se
ha
estado
pendiente
de
la
actividad
de
Google.
¿Ha
subsanado
ya
esta
empresa
sus
problemas
de
privacidad
que
detectaron
ustedes?
A la
hora
de
contestarle
esta
pregunta
hay
que
hacerlo
desde
diferentes
ámbitos.
En
lo
referente
al
cumplimiento
de
la
sentencia
de
la
que
hemos
hablado
Google
ha
reaccionado
con
prontitud
y
está
operando
de
forma
razonable.
Hay
otras
cuestiones
relevantes
como
es
el
de
su
política
de
privacidad
de
Google
que
ha
sido
sometida
a
revisión
por
varias
autoridades
de
protección
de
datos
europeas,
entre
ellos
la
española.
Se
ha
comprobado
que
hay
aspectos
que
son
incompatibles
con
la
normativa
europea
al
vulnerar
ciertos
derechos
de
los
ciudadanos
y se
le
ha
requerido
ciertos
cambios.
¿Los
cambios
se
han
hecho,
tras
este
requerimiento
y
algunas
sanciones?
De
esos
cambios,
algunos
se
han
implementado
y
otros
no.
Las
autoridades
de
protección
de
datos
que
trabajamos
de
forma
coordinada
en
este
tema
seguimos
evaluando
lo
que
hace
Google
en
este
terreno
y
requiriendo
algunas
modificaciones
adicionales.
Se
ha
avanzado
en
este
tema
pero
aún
la
política
de
privacidad
de
Google
no
se
ajusta
al
derecho
europeo.
Es
evidente
que
el
llamado
Grupo
del
Articulo
29
que
engloba
a
autoridades
de
protección
de
datos
de
diferentes
países
tiene
un
papel
en
éste
y
otros
temas
importantes.
Este
es
un
grupo
de
trabajo
en
el
que
nuestro
país,
por
su
trayectoria
y
experiencia
en
materia
de
privacidad
tiene
un
peso
importante
en
las
decisiones.
Impulsamos
algunas
iniciativas
y
hacemos
el
papel
de
relatores
o
correlatores
en
algunas
de
ellas.
Lo
forman
representantes
de
organismos
reguladores
de
protección
de
datos
de
los
28
países
de
la
UE
más
el
supervisor
europeo
de
protección
de
datos
y la
CE
que
ostenta
la
secretaria.
El
papel
principal
de
este
grupo
es
la
coordinación
sobre
la
directiva
europea
de
protección
de
datos
y su
interpretación.
Creo
recordar
que
con
el
tema
del
PNR,
medida
para
controlar
a
los
pasajeros
de
los
vuelos
aéreos
hubo
un
dictamen
del
citado
Grupo
del
artículo
29.
Este
nuevo
pronunciamiento
sobre
este
tema
reitera
la
valoración
que
ya
se
hizo
en
el
pasado
sobre
esta
medida
planteada
por
la
Comisión
Europea.
Cualquier
medida
restrictiva
de
derechos
en
Europa
debe
justificarse
y
ser
proporcionada.
Ceder
los
datos
del
PNR
para
la
investigación
policial
no
está
acreditado
su
utilidad
y su
uso
puede
crear
situaciones
peligrosas
respecto
a
determinados
derechos.
El
PNR
no
es
una
lista
de
pasajeros
como
se
ha
informado
de
forma
equivocada.
Es
algo
más
complejo.
Los
datos
de
pasajeros
ya
se
ceden
a
través
de
los
datos
API
que
se
entregan
al
país
de
destino
con
ocasión
de
ciertos
vuelos.
Los
datos
del
PNR
son
aquellos
otros
que
las
compañías
aéreas
han
recabado
para
la
gestión
de
ese
viaje:
hay
muchos
datos
personales,
de
residencia
o
domicilio,
los
medios
de
pago
y
otros
similares.
Muchas
información
personal
al
servicio
de
terceros…
Es
cierto.
Por
eso
lo
primero
que
hay
que
plantearse
si
esta
medida
es
necesaria
y
ayudará
a
mejorar
la
lucha
antiterrorista
por
su
aportación
especial.
Si
analizamos
los
asesinatos
de
París,
la
conclusión
parece
la
contraria.
Pero
si
se
llega
a la
conclusión
que
hay
que
utilizar
estos
datos
hay
que
someterlos
a un
test
de
proporcionalidad
e
implementar
garantías
en
cuanto
al
uso
y
conservación
de
los
datos.
También
habrá
que
ver
qué
autoridades
accederán
a
esa
información
y
para
que
fines.
Con
la
información
que
tenemos
la
postura
nuestra
ha
sido
muy
crítica
sobre
el
propio
PNR.
Por
último,
¿qué
balance
nos
puede
hacer
de
su
gestión
como
Director
de
la
AEPD
tras
este
cuarto
año
como
responsable
de
la
entidad?
Han
sido
cuatro
años
muy
intensos
en
los
que
hemos
tenido
que
hacer
frente
a
retos
complejos.
Algunos
los
hemos
tratado
en
esta
entrevista,
como
la
normativa
de
cookies,
el
diseño
de
una
estrategia
en
la
Agencia
para
afrontar
los
nuevos
retos
como
Big
Data,
Drones
o
Internet
de
las
Cosas
o el
propio
fallo
del
derecho
al
olvido
también
comentado
con
usted.
Afortunadamente
he
contado
con
un
magnífico
equipo
de
profesionales
en
la
AEPD
que
han
abordado
estos
retos
con
mucho
rigor.
Gracias
a
ellos
la
labor
realizada
en
conjunto
es
para
estar
satisfecho
de
los
resultados.
Lo
único
que
lamento
de
estos
cuatro
años
es
el
haber
sufrido
la
congelación
de
la
plantilla
pese
a la
entrada
notable
de
trabajo
en
este
periodo
de
tiempo.
Necesitamos
reforzar
este
equipo
con
más
personal,
no
cabe
duda
si
queremos
seguir
liderando
la
privacidad
en
Europa.
|