firma-e@firma-e.com   968 93 18 12 Blog

Participación de Firma-e en el III Congreso Nacional de Privacidad APEP

  • Inicio
  • Blog
  • Participación de Firma-e en el III Congreso Nacional de Privacidad APEP
Participación de Firma-e en el III Congreso Nacional de Privacidad APEP

Participación de Firma-e en el III Congreso Nacional de Privacidad APEP
Por: 14/07/2015 Categoría: Ciberseguridad/GRC

Han pasado ya unas semanas desde la celebración del III Congreso Nacional de la Privacidad APEP y ha dado tiempo suficiente para ir digiriendo algunas de las novedades allí anunciadas que ahora merecen comentario en el presente post, gracias a nuestros compañeros de Firma-e, Nuria Martínez y Javier Cao, que han extraído las reflexiones que se pueden leer en este post, tras su asistencia y participación en el evento.

Cabe felicitar primero a la APEP por la excelente organización del evento y su capacidad para crear un entorno de colaboración e intercambio de impresiones entre los profesionales del sector que enriquece mucho a todos los asistentes. El hecho además de disponer de una ubicación aislada y una residencia para los asistentes de fuera permite que el networking tenga un protagonismo importante en todos los ratos de convivencia fuera del pabellón de ponencias.

Firma-e, que participaba activamente con la ponencia de Javier Cao y la asistencia de Nuria Martínez, considera este evento uno de los imprescindibles de la agenda vinculada al área de negocio de la privacidad, seguridad de la información y ahora también de las Smart Cities.

A continuación vamos a ir comentando alguno de los aspectos más relevantes tratados en el programa del Congreso.

Tras una introducción al evento por parte de Ricard Martinez en un discurso reivindicativo respecto al papel que deben jugar los profesionales de la privacidad en el siglo XXI y la necesidad de contar con los conocimientos y la especialización que requiere la materia, empezaba la agenda de la tarde con una visión internacional sobre cómo están planteándose las diferentes legislaciones en los países iberoamericanos.

El primero de los temas en la agenda del jueves por la tarde fue “La privacidad “al otro lado del Atlántico”: El espacio iberoamericano de protección de datos”.

Comenzó comentando D. Javier Puyol las diferentes tensiones que ha suscitado la privacidad en aquellos países y cómo finalmente se han decantado por legislaciones que entienden este tema más con la visión europea que lo aborda como derecho fundamental que con la visión americana. La juventud de las diferentes legislaciones en materia de protección de datos de muchos de estos países proporciona a los profesionales españoles una oportunidad de negocio al ser nuestra legislación una de las más influyentes en la redacción de las allí publicadas.

D. Héctor Guzmán, profesional que ejerce tanto en España como en su país natal, México, ilustró con mucha claridad cómo a pesar de lo avanzada de la legislación mexicana, la adaptación de las empresas en aquel país también supone el reto de hacer entender la importancia que tiene y tendrá la privacidad en las relaciones con los clientes y cómo abordar estos temas de forma adecuada puede aportar valor a las compañías.

D. Jose Luis Piñar quiso destacar el papel del espacio de colaboración iberoamericano que fue creado cuando era presidente de la AEPD y los frutos que han ido apareciendo del intercambio de conocimientos entre los profesionales de Iberoamérica y España en la redacción de los nuevos marcos jurídicos en aquellos países.

Siguió en la agenda del jueves uno de los temas que más interés tenía por parte de todos los asistentes, “El futuro de la privacidad en Europa”. La expectación era alta debido a que esta charla contaba con la Jefa Negociadora ante el Consejo y el Parlamento para la reforma de la legislación de protección de datos, Karolina Mojzesowicz que proporcionó información de primera mano sobre el estado actual de la tramitación del Nuevo Reglamento en materia de privacidad que la Unión Europea pretende aprobar. Este deseado reglamento, marcará un antes y un después en nuestra concepción del Derecho de la protección de datos y forzará a los profesionales españoles a un reciclaje intenso dado que cambia el proceso de adecuación de las organizaciones al cumplimiento de esta reglamentación dentro de un único marco europeo.

También contó con la participación en diferido desde Bruselas de D. Leonardo Cervera-Navas, Responsable de Recursos Humanos, Presupuesto y Administración en el Supervisor Europeo de Protección de Datos que detalló sus impresiones respecto a la posible evolución que pueda tener el futuro reglamento.

Por último, D. Javier Sempere, bloguero especializado desde “Privacidad lógica” y actualmente Técnico Superior de Administración General aportó con el ingenio que le caracteriza, un profundo análisis de la última versión del reglamento publicada planteando a la audiencia sus dudas sobre la redacción definitiva y las expectativas que se pueden tener de este nuevo marco normativo que en el proceso de tramitación va perdiendo algunas de las cuestiones más relevantes para garantizar la protección de este derecho fundamental dentro del marco europeo. El análisis extensivo del nuevo texto ha sido objeto del post “Detalles del Reglamento Europeo P.Datos (versión Consejo junio 2015).

La intensa agenda del viernes empezaba planteando “El Tratamiento masivo de datos: big data, smart cities, wearables”. En una mesa redonda muy participativa y coloquial se sentaban abogados, sociólogos y tecnólogos intentando comentar los retos con los que se enfrenta la privacidad del siglo XXI. En este caso, la opinión de los tecnólogos anunciaba los increíbles avances que se van a producir por la utilización de tecnologías de big data y su capacidad predictiva para la adecuada gestión de problemas. Esta visión era contrastada por parte de los perfiles jurídicos y la socióloga que plantearon cuestiones más profundas respecto a la ética de estos tratamientos, los limites que debe tener la tecnología en su proceso de innovación y las dudas que plantean las nuevas tecnologías respecto al “Privacy by design/default”. Se pudo constatar la tensión existente entre el proceso de innovación y las reflexiones respecto a si todo lo nuevo debe fabricarse. La ignorancia de los tecnólogos respecto a las limitaciones de la legislación contribuye en cierta parte a pensar en nuevos inventos que no contemplan restricciones de diseño para garantizar la privacidad. En esta mesa, una de las más tensas por el contraste de opiniones, se pudo constatar el relevante papel que tendrá la “privacidad” en el siglo XXI como uno de los derechos que puede condicionar de una forma relevante nuestro actual concepto de libertad.

La segunda de las mesas redondas del viernes trató sobre otro de los temas de actualidad, “La privacidad en España y su desarrollo: interés legítimo, olvido, cloud y cookies. Estado de la cuestión”.

En otra mesa distendida y con intervenciones cortas de los ponentes para dar lugar a la participación, se comentó cómo se está empleando el tan ansiado “Derecho al olvido” por parte de la ciudadanía y la clase política así como los conflictos que surgen entre el derecho a la información, la transparencia y la privacidad. Respecto a la regulación en materia de cookies, se cuestionó la utilidad del actual sistema que fuera a informar al usuario sobre su existencia y si realmente está lográndose el objetivo planteado inicialmente.

La tercera y última de las mesas celebradas por la mañana del viernes, también abordaba un tema de especial interés para todos los profesionales de la privacidad. Uno de los aspectos más destacados en el nuevo Reglamento Europeo, la figura del Data Protector Officer parece ir perdiendo fuerza. En la mesa “El futuro de la figura del DPO” se pudo contar con la visión y experiencia de Dña. Noemí Alonso y Dña. Cecilia Álvarez que ostentan cargos de DPO en dos importantes empresas multinacionales con presencia en España. Ambas destacaron cómo su figura puede aportar mucho valor a las compañías si cuentan con su asesoramiento en el proceso de innovación y diseño de nuevas tecnologías introduciendo una opinión experta y especializada en materia de privacidad para lograr implantar de forma efectiva el “Privacy by design”. Ambas contaban su experiencia en sus organizaciones y cómo la visión por parte de los departamentos estaba cambiando al considerar la importancia que tiene su figura como DPO para garantizar el cumplimiento normativo en el diseño de nuevos productos o servicios. Complementó ambas experiencias D. Raúl Rubio que constató como cada vez más sus clientes en Baker & McKenzie les plantean cuestiones relacionadas con el futuro marco europeo y las restricciones de cumplimiento legal que deben abordar.

La sesión de la tarde del viernes, con una afluencia ya algo menor por las horas y las agendas de regreso de muchos de los participantes contó con dos temas también de gran interés. En la primera de ellas, “Metodologías de información y obtención consentimiento en menores de edad. Aplicaciones móviles”, Dña. Belén Andreu, Profesora Titular de Derecho Civil de la Universidad de Murcia planteó la validez legal de muchas de las cláusulas de consentimiento que actualmente se emplean en la recogida de datos de menores y lo preocupante que empieza a ser el tratamiento de datos recogidos a este público objetivo a través de aplicaciones que son ofrecidas como juegos pero que esconden un tratamiento y monitorización del comportamiento. D. Ricard Martínez, Presidente de APEP también constató este hecho y cómo los nativos digitales cada vez se ven más afectados por problemas del mundo virtual con apellidos como grooming, cyberbullying, oversharing o sexting que empiezan a ser vocablos desgraciadamente conocidos para todos y con un elemento común: es necesario obtener datos para cometer estos delitos. La protección de los menores en Internet exige formación, conocimiento y compromiso social. En este sentido, la APEP tiene ya comisiones especializadas como la de menores que están abordando estos temas y elaborando documentos de ayuda a padres, educadores y menores, como la Guía de menores para Padres y Educadores.

En último lugar, la ponencia más técnica de todas las jornadas, titulada “Las Privacy Impact Assesment en el futuro reglamento de protección de datos. Auditoría de Seguridad Protección de datos: ¿qué alcance debe tener?” en donde Firma-e contaba con la representación activa de Javier Cao.

En una primera charla, D. Ramón Miralles, coordinador de Auditoria y Seguridad de la Información de la Autoridad Catalana de Protección de Datos destacó en qué van a consistir las nuevas Privacy Impact Analysis que sustituirán en el futuro reglamento al documento de seguridad y comentó los aspectos más relevantes que deberán incluir. Estos documentos van a obligar el planteamiento en el diseño de unos aspectos vinculados con los tratamientos de datos y la documentación de los mismos, de forma que se pueda analizar qué repercusiones tienen los productos o servicios para la privacidad así como las medidas de seguridad contempladas para la protección de los mismos.

En una segunda ponencia, D. Javier Cao Avellaneda como auditor CISA quiso destacar la importancia de la revisión periódica establecida en el actual reglamento mediante la auditoría como elemento esencial para garantizar la mejora continua. Javier quiso reflexionar sobre el actual panorama en materia de Ciberseguridad, sobre todo en pequeñas y medianas empresas que están siendo víctimas de las continuas campañas de malware vinculado al secuestro de datos (Ransomware) y como el mal funcionamiento de las medidas de seguridad vinculadas a la LOPD no están logrando en muchos casos proteger a las empresas. Un mal enfoque de la protección de la privacidad bajo el eslogan “CUMPLI-MIENTO” ahora tiene como efecto colateral la ausencia de procedimientos robustos en materia de copias de seguridad que no están evitando los daños causados por el secuestro de datos. Respecto a cómo debiera enfocarse la protección de datos en el futuro, Javier quiso destacar la importancia de contar con procesos de gestión basados en la mejora continua, algo de lo que Firma-e es pionera al elaborar hace ya 6 años una metodología propia denominada “SIGEDAPE” como acrónimo de “sistema de gestión de datos de carácter personal” que contemplo el cumplimiento de la legislación como un conjunto de procesos que debían integrarse en el funcionamiento normal de otras áreas de negocio. Con este enfoque, Firma-e ha conseguido certificar desde el año 2006 su tratamiento de datos de carácter personal de los ficheros clientes, clientes potenciales y empleados bajo la norma ISO 9001. Javier también acabó planteando que el futuro sigue esa línea con la aparición de la norma ISO 19600:2014 que sirve para construir sistemas de gestión del cumplimiento normativo. Destacó como esta norma viene a encajar perfectamente dentro de la nueva generación de normas ISO que adoptan el Anexo SL para definir su estructura y cómo existen sinergias de cumplimiento entre las actuales ISO 27001:2013, la nueva ISO 9001:2015 y está que acaba de aparecer para dar solución a las diferentes problemáticas de contemplar los requisitos de cumplimiento normativo en grandes organizaciones. De nuevo, un sistema de gestión con indicadores y objetivos para medir el grado de cumplimiento y bajo la continua revisión del funcionamiento garantizada por la auditoría continua y la revisión para la dirección del sistema.

Post escrito por Nuria Martínez y Javier Cao, consultores de Firma-e y participantes en el III Congreso Nacional de Privacidad de APEP.

Etiquetas:

NEWSLETTER

Introduce tu email para estar informado de todas las novedades

Acepto la política de privacidad y de datos

Deseo recibir información comercial y newsletter

INFORMACIÓN BÁSICA SOBRE EL TRATAMIENTO DE SUS DATOS PERSONALES

Responsable: Firma, Proyectos y Formación S.L.; Finalidad: enviarle las novedades y publicaciones informativas llevadas a cabo en Firma-e; Derechos: podrá ejercer su derecho de acceso, rectificación, supresión, oposición, limitación y/o portabilidad cuando proceda mandando un email a rgpd@firma-e.com; Información detallada: puede consultarla en nuestra política de privacidad.