PROTECCIÓN DE DATOS
Conclusiones VIII Foro de la Privacidad del Data Privacy Institute
Comisión Europea y las Agencias Holandesa y Española de Protección de Datos se dieron cita en el encuentro para dar a conocer las últimas novedades relacionadas con el nuevo Reglamento Europeo de Protección de Datos.
El VIII Foro de la Privacidad organizado por el Data Privacy Institute (DPI) de ISMS Forum Spain, reunió el pasado 12 de febrero en Madrid a las principales autoridades nacionales e internacionales, compañías de primer nivel y grandes expertos del mundo de la privacidad, para explicar las implicaciones del Nuevo Reglamento de Protección de Datos en el sector empresarial, analizar las nuevas consideraciones en torno a las transferencias internacionales de datos, y debatir sobre la evolución de la privacidad y la gestión de riesgos.
En la inauguración de la conferencia, de nuevo Thomas Zerdick, Subdirector de la Unidad de Protección de Datos de la Comisión Europea, expuso los últimos avances del nuevo Reglamento Europeo de Protección de Datos. Zerdick recordó la urgencia de regular la protección de datos en el nuevo entorno digital, afirmando que previsiblemente, tras cuatro años de intenso trabajo, el Reglamento verá la luz en junio de 2016 y contará con un periodo para su implementación por parte de las autoridades nacionales de dos años. Llamó a la calma ante las dudas que el nuevo Reglamento ha despertado en el sector empresarial, ya que dispondrán de dos años para adaptarse a una nueva regulación que, en palabras de Zerdick, “no es nada que tengamos que comenzar de cero”.
Con la versión casi definitiva del texto regulatorio repasó algunas novedades como la rendición de cuentas o accountability, por el que la empresa tendrá la obligación de poder comprobar el cumplimiento del Reglamento; Evaluaciones de impacto de la privacidad o privacy impact assestment, por el que la empresa deberá presentar una evaluación del impacto de privacidad cuando el tratamiento de datos produzca un riesgo sobre los derechos de las personas; o la Implantación de un procedimiento de notificación de fugas de información o data breach notification, debiendo notificar a la autoridad de control y a los propios afectados antes de 72 horas si se produce una violación de datos que pudiera dar lugar a un alto riesgo para los derechos y libertades de los interesados. Las empresas, además, deberán adecuar desde el diseño (Privacy by Design) las medidas técnicas y organizativas relativas al tratamiento de datos.
Jacob Kohnstamm, director de la Agencia Holandesa de Protección de Datos y ex presidente del Grupo del Artículo 29, aportó su visión sobre el nuevo Reglamento y las transferencias internacionales de protección de datos. Kohnstamm afirmó que el nuevo Reglamento supone un verdadero “milestone” para la protección de datos en los próximos veinte años. Destacó la importancia de mantener la integridad del dato por encima de cualquier finalidad, como forma no solo de evitar posibles sanciones sino también de evitar daños reputacionales.
Sobre las transferencias internacionales de datos, y la necesidad de alcanzar un nuevo acuerdo entre EEUU y la Unión Europea, tras la sentencia del pasado 6 de octubre, Kohnstamm señaló la necesidad de formalizar las intenciones contempladas producto de las conversaciones mantenidas en las últimas semanas, con el preacuerdo denominado “Privacy shield”.
En el plano nacional, Rafael García Gozalo, Jefe del Departamento Internacional de la Agencia Española de Protección de Datos (AEPD), ofreció la visión nacional sobre la nueva regulación. Centró su discurso en el análisis de aspectos fundamentales que incluye el régimen europeo de protección de datos. Hacía referencia a un efecto armonizador que permitirá reducir las divergencias actuales en nivel y mecanismos de protección. También a la mejora de los instrumentos de control por parte del ciudadano de sus datos personales, fundamentalmente con una mejor definición del consentimiento, y con la introducción del derecho a la portabilidad, un derecho específicamente vinculado al entorno digital y que supone que los ciudadanos ven mejorada su capacidad de decisión.
García Gozalo señalaba también el modelo de responsabilidad proactiva por parte de quienes tratan los datos que, al mismo tiempo, amplía y flexibiliza los mecanismos que regulan las transferencias internacionales de datos, con el objetivo de que en todo momento los datos de los europeos reciban un nivel de protección equiparable al que se les otorga en la UE. Por último, destacó positivamente el hecho de que se armonizan y refuerzan los poderes de las Autoridades de protección de datos independientes y especializadas, estableciendo mecanismos de coordinación y cooperación entre ellas.
Asimismo, García Gozalo planteó dudas sobre la delimitación de los ámbitos respectivos del Reglamento y la Directiva, donde se deja lugar a que los aspectos relacionados con la protección y prevención frente a las amenazas a la seguridad pública podrían tener un tratamiento diferente.
En la siguiente sesión se debatió sobre las claves de la transición desde un modelo totalmente prescriptivo en materia de seguridad hacia un modelo abierto orientado a la gestión de riesgo, en una mesa redonda encabezada por Nathaly Rey, EMEA Trust Manager de Google for Work, y formada por Jorge Laredo, TSC Iberia PMO Manager de Hewlett Packard Enterprise, Carles Solé, CISO de CaixaBank, y Álvaro Écija, Socio-Director de Ecix Group. Entre estas claves, la introducción del nuevo Reglamento General de Protección de Datos, sujeto a un régimen de responsabilidad muy importante, así como los estándares, metodologías y buenas prácticas existentes para su implementación; los efectos en el mercado de la seguridad; y el estado del arte en materia de seguridad...LEER NOTICIA COMPLETA