reflexiones-sobre-el-futuro-de-la-privacidad-en
reflexiones-sobre-el-futuro-de-la-privacidad-en
reflexiones-sobre-el-futuro-de-la-privacidad-en
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Reflexiones<br />
<strong>sobre</strong> <strong>el</strong><br />
<strong>futuro</strong> <strong>de</strong><br />
<strong>la</strong> Privacidad<br />
<strong>en</strong> Europa<br />
II Edición d<strong>el</strong> Estudio<br />
<strong>de</strong> <strong>la</strong> propuesta <strong>de</strong><br />
Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong><br />
Protección<br />
<strong>de</strong> Datos <strong>de</strong> <strong>la</strong> UE<br />
Una iniciativa <strong>de</strong>:
Copyright y <strong>de</strong>rechos:<br />
DPI (Data Privacy Institute) - ISMS Forum Spain.<br />
Todos los <strong>de</strong>rechos <strong>de</strong> esta Obra están reservados al DPI y a ISMS Forum Spain. Los titu<strong>la</strong>res reconoc<strong>en</strong><br />
<strong>el</strong> <strong>de</strong>recho a utilizar <strong>la</strong> Obra <strong>en</strong> <strong>el</strong> ámbito <strong>de</strong> <strong>la</strong> propia actividad profesional con <strong>la</strong>s sigui<strong>en</strong>tes condiciones:<br />
a) Que se reconozca <strong>la</strong> propiedad <strong>de</strong> <strong>la</strong> Obra indicando expresam<strong>en</strong>te los titu<strong>la</strong>res d<strong>el</strong> Copyright.<br />
b) No se utilice con fines comerciales.<br />
c) No se cre<strong>en</strong> obras <strong>de</strong>rivadas por alteración, trasformación y/o <strong>de</strong>sarrollo <strong>de</strong> esta Obra.<br />
- Los titu<strong>la</strong>res d<strong>el</strong> Copyright no garantizan que <strong>la</strong> Obra esté aus<strong>en</strong>te <strong>de</strong> errores. En los límites <strong>de</strong> lo<br />
posible se proce<strong>de</strong>rá a corregir <strong>en</strong> <strong>la</strong>s ediciones sucesivas los errores que pudieran <strong>de</strong>tectarse a este<br />
niv<strong>el</strong><br />
- El cont<strong>en</strong>ido <strong>de</strong> <strong>la</strong> Obra no constituye un asesorami<strong>en</strong>to <strong>de</strong> tipo profesional y/o legal.<br />
- No se garantiza que <strong>el</strong> cont<strong>en</strong>ido <strong>de</strong> <strong>la</strong> Obra sea completo, preciso y/o actualizado.<br />
- Ev<strong>en</strong>tuales <strong>de</strong>nominaciones <strong>de</strong> productos y/o empresas y/o marcas y/o signos distintivos y <strong>de</strong>más<br />
<strong>el</strong>em<strong>en</strong>tos <strong>de</strong> propiedad industrial citados <strong>en</strong> <strong>la</strong> Obra son <strong>de</strong> propiedad exclusiva <strong>de</strong> los titu<strong>la</strong>res<br />
correspondi<strong>en</strong>tes.<br />
- Las opiniones cont<strong>en</strong>idas <strong>en</strong> <strong>el</strong> pres<strong>en</strong>te Estudio, son <strong>la</strong> suma <strong>de</strong> <strong>la</strong>s aportaciones <strong>de</strong> un grupo <strong>de</strong><br />
expertos <strong>en</strong> protección <strong>de</strong> datos, por tanto, no necesariam<strong>en</strong>te reflejan <strong>la</strong> opinión <strong>de</strong> DPI-ISMS<br />
Forum Spain.<br />
Más información acerca <strong>de</strong> DPI / ISMS Forum Spain se pue<strong>de</strong> consultar a través <strong>de</strong> su página web<br />
oficial: www.ismsforum.es/dpi
ÍNDICE<br />
Carta <strong>de</strong> Pres<strong>en</strong>tación 5<br />
Introducción 7<br />
Alcance y Objevos 9<br />
Metodología 11<br />
Cap. 1.-Reg<strong>la</strong>m<strong>en</strong>to europeo <strong>de</strong> Protección <strong>de</strong> Datos y PYMES. 13<br />
Cap. 2.-Privacy Impact Assesstm<strong>en</strong>t y Privacy by <strong>de</strong>sign 27<br />
Cap. 3.-Data Protecon Officer: perfil, formación, posición,<br />
compet<strong>en</strong>cias y operava. 43<br />
Cap. 4.-Reg<strong>la</strong>m<strong>en</strong>to europeo <strong>de</strong> Protección <strong>de</strong> Datos,<br />
Binding Corporate Rules y Grupos mulnacionales. 55<br />
Cap. 5.-La nueva configuración <strong>de</strong> los Derechos <strong>de</strong> los interesados. 71<br />
Cap. 6.-Seguridad: Análisis <strong>de</strong> riesgos, RLOPD y Estándares <strong>de</strong><br />
Seguridad <strong>de</strong> <strong>la</strong> Información. 87<br />
Cap.7.- Accountability: cómo <strong>de</strong>mostrar <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong><br />
manera connuada y sost<strong>en</strong>ible. 101
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
En este Estudio han co<strong>la</strong>borado:<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
CDPP<br />
Edgar Anso<strong>la</strong> Munuera<br />
Migu<strong>el</strong> Áng<strong>el</strong> Ballesteros<br />
Zuriñe Areitio Labanda<br />
Noemí Brito Izquierdo<br />
Ignacio Bruna López Polín<br />
Fernando Campo Guardio<strong>la</strong><br />
Francisco Javier Carbayo<br />
Rafa<strong>el</strong> Castejón<br />
José Luis Colom P<strong>la</strong>nas<br />
Concepción Cordón Fu<strong>en</strong>tes<br />
José Martín Dacal Romero<br />
Flora Egea Torrón<br />
Verónica Eguirón Vidarte<br />
Ana B<strong>el</strong>én Galán<br />
Juan García Galera<br />
Mónica Garrido Vílchez<br />
Ramón González-Calero<br />
David González Calleja<br />
Ana González Romo<br />
Francesc Flores González<br />
Héctor E. Guzmán Rodríguez<br />
Ana Iparraguirre Jiménez<br />
María José Lacunza González<br />
Gustavo Lozano García<br />
Migu<strong>el</strong> Áng<strong>el</strong> Lubian<br />
Luis Salvador Montero<br />
El<strong>en</strong>a Mora González<br />
Raúl Perdigones López<br />
Javier Pérez García<br />
Nathaly Rey Ar<strong>en</strong>as<br />
Soledad Romero Jiménez<br />
Julio San José Sánchez<br />
Francisco Javier Sempere Samaniego<br />
Cristina Sirera Martínez<br />
Carlos Alberto Saiz Peña<br />
María Teresa Torres Cardona<br />
Rafa<strong>el</strong> V<strong>el</strong>ázquez Bautista<br />
Eva Vidal Fernán<strong>de</strong>z<br />
Coordinadores:<br />
CDPP<br />
CDPP<br />
Francisco Javier Carbayo<br />
Carlos Alberto Saiz<br />
4
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
CARTA DE PRESENTACIÓN<br />
Queridos amigos:<br />
Des<strong>de</strong> ISMS Forum Spain (Asociación Españo<strong>la</strong> para <strong>el</strong> Fom<strong>en</strong>to <strong>de</strong> <strong>la</strong> Seguridad<br />
<strong>de</strong> <strong>la</strong> Información) seguimos promovi<strong>en</strong>do <strong>la</strong>s iniciativas y <strong>la</strong>s acciones tangibles,<br />
prácticas y útiles que permitan crear y aportar valor a nuestros miembros, a <strong>la</strong>s organizaciones<br />
públicas y privadas y a <strong>la</strong> Sociedad <strong>en</strong> g<strong>en</strong>eral.<br />
Es por <strong>el</strong>lo que <strong>la</strong>nzamos esta nueva acción <strong>de</strong>ntro d<strong>el</strong> Data Privacy Institute (DPI),<br />
iniciativa <strong>de</strong> ISMS Forum Spain, que aglutina a todas <strong>la</strong>s personas y organizaciones<br />
que ti<strong>en</strong><strong>en</strong> responsabilida<strong>de</strong>s y/o interés <strong>en</strong> <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> normativa <strong>sobre</strong><br />
Privacidad y Protección <strong>de</strong> Datos <strong>de</strong> carácter personal.<br />
En concreto se trata <strong>de</strong> <strong>la</strong> segunda edición d<strong>el</strong> “Estudio <strong>de</strong> impacto y GAP con <strong>la</strong> normativa<br />
españo<strong>la</strong> <strong>de</strong> <strong>la</strong> propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to G<strong>en</strong>eral <strong>de</strong> Protección <strong>de</strong> Datos <strong>de</strong><br />
<strong>la</strong> Unión Europea”, que se <strong>de</strong>sarrol<strong>la</strong> bajo <strong>el</strong> título “Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong><br />
Privacidad <strong>en</strong> Europa”.<br />
Este docum<strong>en</strong>to ti<strong>en</strong>e como objetivo principal ser un análisis <strong>de</strong> <strong>de</strong>terminadas materias<br />
y aspectos <strong>de</strong> <strong>la</strong> propuesta <strong>de</strong> nueva regu<strong>la</strong>ción, consi<strong>de</strong>rando tanto <strong>el</strong> borrador<br />
publicado <strong>en</strong> <strong>en</strong>ero <strong>de</strong> 2012 por <strong>la</strong> Comisión, como <strong>el</strong> publicado <strong>en</strong> mayo <strong>de</strong><br />
2013 por <strong>el</strong> Consejo, <strong>de</strong> modo que se pueda conocer <strong>en</strong> <strong>de</strong>talle los aspectos regu<strong>la</strong>dos<br />
<strong>en</strong> esta normativa, <strong>el</strong> análisis <strong>en</strong> profundidad <strong>de</strong> sus consecu<strong>en</strong>cias y <strong>la</strong>s propuestas<br />
concretas para su actuar conforme dispon<strong>en</strong> los citados borradores.<br />
Esperamos que este Segunda edición d<strong>el</strong> Estudio os resulte <strong>de</strong> interés y utilidad,<br />
pues esas son sus principales finalida<strong>de</strong>s.<br />
Por último, os animamos, como siempre, a ser partícipes <strong>de</strong> <strong>la</strong>s iniciativas y acciones<br />
<strong>de</strong> ISMS Forum Spain y d<strong>el</strong> DPI, puesto que vuestra co<strong>la</strong>boración y <strong>el</strong> trabajo <strong>en</strong> red<br />
es c<strong>la</strong>ve para un resultado mayor y mejor.<br />
At<strong>en</strong>tam<strong>en</strong>te,<br />
Gianluca D’Antonio<br />
(Presi<strong>de</strong>nte)<br />
Carlos Alberto Saiz Peña<br />
(Secretario y Vicepresi<strong>de</strong>nte)<br />
5
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
6
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
INTRODUCCIÓN<br />
Des<strong>de</strong> <strong>el</strong> Data Privacy Institute (DPI) <strong>de</strong> ISMS Forum<br />
Spain hemos recogido <strong>la</strong> s<strong>en</strong>sibilidad <strong>de</strong> muchos <strong>de</strong><br />
nuestros socios y su interés por profundizar, aun más<br />
tras <strong>la</strong> publicación <strong>de</strong> <strong>la</strong> primera edición d<strong>el</strong> Estudio,<br />
<strong>en</strong> cómo va a influir <strong>en</strong> España <strong>la</strong> futura normativa europea<br />
<strong>en</strong> materia <strong>de</strong> Protección <strong>de</strong> datos, que v<strong>en</strong>drá<br />
a sustituir a <strong>la</strong> Directiva 95/46/CE.<br />
De esta manera, hemos <strong>de</strong>sarrol<strong>la</strong>do con mucha ilusión<br />
una segunda edición d<strong>el</strong> Estudio <strong>sobre</strong> <strong>la</strong> Propuesta<br />
<strong>de</strong> “Reg<strong>la</strong>m<strong>en</strong>to d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to Europeo y d<strong>el</strong><br />
Consejo r<strong>el</strong>ativo a <strong>la</strong> protección <strong>de</strong> <strong>la</strong>s personas físicas<br />
<strong>en</strong> lo que respecta al tratami<strong>en</strong>to <strong>de</strong> datos personales<br />
y a <strong>la</strong> libre circu<strong>la</strong>ción <strong>de</strong> estos datos<br />
(Reg<strong>la</strong>m<strong>en</strong>to G<strong>en</strong>eral <strong>de</strong> Protección <strong>de</strong> Datos)”.<br />
Este estudio ha contado con <strong>el</strong> apoyo, <strong>la</strong> reflexión y <strong>el</strong><br />
conocimi<strong>en</strong>to <strong>de</strong> un amplio grupo <strong>de</strong> expertos <strong>de</strong> primer<br />
niv<strong>el</strong>, que no sólo querían exponer y aportar su<br />
opinión, sino que antes bi<strong>en</strong> querían compartir su conocimi<strong>en</strong>to<br />
y experi<strong>en</strong>cia con <strong>el</strong> resto <strong>de</strong> socios y con<br />
<strong>la</strong> Sociedad <strong>en</strong> g<strong>en</strong>eral.<br />
Sirva esta introducción para mostrar <strong>el</strong> agra<strong>de</strong>cimi<strong>en</strong>to<br />
<strong>de</strong> ISMS Forum Spain y d<strong>el</strong> DPI a los participantes<br />
<strong>en</strong> <strong>el</strong> Estudio por su <strong>en</strong>orme interés, por su<br />
implicación, por <strong>el</strong> uso e inversión <strong>de</strong> tiempo libre que<br />
sabemos han realizado, por su disposición perman<strong>en</strong>te,<br />
y por <strong>el</strong> magnífico niv<strong>el</strong> <strong>de</strong> los resultados alcanzados.<br />
7
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
8
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
ALCANCE Y OBJETIVOS<br />
El Alcance <strong>de</strong>finido para esta iniciativa se concreta <strong>en</strong> los sigui<strong>en</strong>tes textos:<br />
• Propuesta <strong>de</strong> “Reg<strong>la</strong>m<strong>en</strong>to d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to Europeo y d<strong>el</strong> Consejo r<strong>el</strong>ativo a <strong>la</strong> protección<br />
<strong>de</strong> <strong>la</strong>s personas físicas <strong>en</strong> lo que respecta al tratami<strong>en</strong>to <strong>de</strong> datos personales y a<br />
<strong>la</strong> libre circu<strong>la</strong>ción <strong>de</strong> estos datos (Reg<strong>la</strong>m<strong>en</strong>to G<strong>en</strong>eral <strong>de</strong> Protección <strong>de</strong> Datos)”, publicada<br />
por <strong>la</strong> Comisión Europea <strong>en</strong> <strong>en</strong>ero <strong>de</strong> 2012.<br />
• Propuesta <strong>de</strong> “Reg<strong>la</strong>m<strong>en</strong>to d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to Europeo y d<strong>el</strong> Consejo r<strong>el</strong>ativo a <strong>la</strong> protección<br />
<strong>de</strong> <strong>la</strong>s personas físicas <strong>en</strong> lo que respecta al tratami<strong>en</strong>to <strong>de</strong> datos personales y a<br />
<strong>la</strong> libre circu<strong>la</strong>ción <strong>de</strong> estos datos (Reg<strong>la</strong>m<strong>en</strong>to G<strong>en</strong>eral <strong>de</strong> Protección <strong>de</strong> Datos)”, publicada<br />
por <strong>el</strong> Consejo <strong>de</strong> <strong>la</strong> Unión Europea <strong>en</strong> mayo <strong>de</strong> 2013.<br />
• Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to Europeo y d<strong>el</strong> Consejo r<strong>el</strong>ativo a <strong>la</strong> protección<br />
<strong>de</strong> <strong>la</strong>s personas físicas <strong>en</strong> lo que respecta al tratami<strong>en</strong>to <strong>de</strong> datos personales y a <strong>la</strong><br />
libre circu<strong>la</strong>ción <strong>de</strong> estos datos (Reg<strong>la</strong>m<strong>en</strong>to G<strong>en</strong>eral <strong>de</strong> Protección <strong>de</strong> Datos) - Cuestiones<br />
c<strong>la</strong>ve <strong>de</strong> los Capítulos I a V, publicada por <strong>el</strong> Consejo <strong>de</strong> <strong>la</strong> Unión Europea <strong>en</strong><br />
mayo <strong>de</strong> 2013.<br />
• Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to Europeo y d<strong>el</strong> Consejo r<strong>el</strong>ativo a <strong>la</strong> protección<br />
<strong>de</strong> <strong>la</strong>s personas físicas <strong>en</strong> lo que respecta al tratami<strong>en</strong>to <strong>de</strong> datos personales y a <strong>la</strong><br />
libre circu<strong>la</strong>ción <strong>de</strong> estos datos (Reg<strong>la</strong>m<strong>en</strong>to G<strong>en</strong>eral <strong>de</strong> Protección <strong>de</strong> Datos) - Cuestiones<br />
c<strong>la</strong>ve <strong>de</strong> los Capítulos I a V – ADD1, publicada por <strong>el</strong> Consejo <strong>de</strong> <strong>la</strong> Unión Europea<br />
<strong>en</strong> mayo <strong>de</strong> 2013.<br />
Tales textos se citan <strong>de</strong> manera individual <strong>en</strong> cada capítulo o vi<strong>en</strong><strong>en</strong> refer<strong>en</strong>ciados <strong>de</strong> manera<br />
conjunta como “Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos”.<br />
En cuanto a los Objetivos <strong>de</strong> <strong>la</strong> iniciativa, han sido principalm<strong>en</strong>te:<br />
- Proponer un estudio <strong>de</strong> <strong>de</strong>terminados aspectos y materias <strong>de</strong> <strong>la</strong> propuesta <strong>de</strong> nueva regu<strong>la</strong>ción,<br />
<strong>de</strong> cara a realizar un análisis <strong>en</strong> profundidad, práctico y con aportación <strong>de</strong> valoraciones<br />
y/o acciones a realizar <strong>en</strong> cada caso.<br />
- Todo <strong>el</strong>lo consi<strong>de</strong>rando <strong>la</strong> actual regu<strong>la</strong>ción <strong>en</strong> España, y <strong>de</strong> modo principal con r<strong>el</strong>ación<br />
a <strong>la</strong> Ley Orgánica 15/1999, <strong>de</strong> 13 <strong>de</strong> diciembre, <strong>de</strong> Protección <strong>de</strong> Datos <strong>de</strong> Carácter Personal<br />
(<strong>en</strong> ad<strong>el</strong>ante, LOPD) y su Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong> <strong>de</strong>sarrollo, aprobado por <strong>el</strong> Real Decreto<br />
1720/2007, <strong>de</strong> 21 <strong>de</strong> diciembre, por <strong>el</strong> que se aprueba <strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong> <strong>de</strong>sarrollo <strong>de</strong><br />
<strong>la</strong> Ley Orgánica 15/1999, <strong>de</strong> 13 <strong>de</strong> diciembre, <strong>de</strong> protección <strong>de</strong> datos <strong>de</strong> carácter personal<br />
(<strong>en</strong> ad<strong>el</strong>ante, RLOPD).<br />
- A<strong>de</strong>más, se había <strong>de</strong> tomar como objetivo <strong>el</strong> establecer, cuando aplicara <strong>el</strong> gap con <strong>la</strong><br />
Directiva 95/46/CE d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to europeo y d<strong>el</strong> Consejo, <strong>de</strong> 24 <strong>de</strong> octubre <strong>de</strong> 1995,<br />
r<strong>el</strong>ativa a <strong>la</strong> Protección <strong>de</strong> <strong>la</strong>s Personas Físicas <strong>en</strong> lo que respecta al Tratami<strong>en</strong>to <strong>de</strong><br />
Datos Personales y a <strong>la</strong> libre circu<strong>la</strong>ción <strong>de</strong> estos datos (<strong>en</strong> ad<strong>el</strong>ante, Directiva<br />
95/46/CE).<br />
- Mostrar no sólo <strong>el</strong> interés d<strong>el</strong> DPI <strong>sobre</strong> <strong>el</strong> proceso <strong>de</strong> creación normativa, sino su voluntad<br />
<strong>de</strong> crear una opinión propia y experta <strong>sobre</strong> <strong>la</strong> evolución <strong>de</strong> tal proceso y <strong>sobre</strong><br />
<strong>la</strong> regu<strong>la</strong>ción que se pret<strong>en</strong>da aprobar.<br />
- Aportar medios y herrami<strong>en</strong>tas no sólo a los miembros <strong>de</strong> ISMS Forum Spain y d<strong>el</strong> DPI,<br />
sino a <strong>la</strong> Sociedad <strong>en</strong> g<strong>en</strong>eral, para conocer y compr<strong>en</strong><strong>de</strong>r <strong>la</strong> nueva regu<strong>la</strong>ción, sus conceptos<br />
y requisitos, los retos que p<strong>la</strong>ntean <strong>de</strong>terminadas e importantes noveda<strong>de</strong>s y <strong>el</strong><br />
impacto que t<strong>en</strong>drá <strong>en</strong> todo tipo <strong>de</strong> organizaciones, <strong>en</strong> particu<strong>la</strong>r, <strong>en</strong> <strong>la</strong>s empresas, con<br />
in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia <strong>de</strong> su tamaño.<br />
9
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
10
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
METODOLOGÍA<br />
Para <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> un Estudio <strong>de</strong> esta <strong>en</strong>vergadura, como ya ocurrió <strong>en</strong> <strong>la</strong> Primera Edición,<br />
era necesario adoptar una metodología <strong>de</strong> análisis y pres<strong>en</strong>tación <strong>de</strong> resultados homogénea,<br />
c<strong>la</strong>ra y práctica. Y <strong>el</strong>lo no sólo por <strong>el</strong> número <strong>de</strong> personas que han invertido tiempo y esfuerzo<br />
personal <strong>en</strong> su <strong>el</strong>aboración, sino también por los <strong>de</strong>stinatarios y lectores d<strong>el</strong> mismo.<br />
En este s<strong>en</strong>tido, todos los implicados <strong>en</strong> este Estudio hemos buscado <strong>de</strong>s<strong>de</strong> <strong>el</strong> primer mom<strong>en</strong>to<br />
un resultado útil y <strong>de</strong> fácil uso, que aportara un valor efectivo a los receptores d<strong>el</strong> docum<strong>en</strong>to<br />
respecto al conocimi<strong>en</strong>to d<strong>el</strong> cont<strong>en</strong>ido e impacto <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos.<br />
Se <strong>de</strong>be t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta que, a difer<strong>en</strong>cia <strong>de</strong> <strong>la</strong> primera edición <strong>de</strong> este Estudio, <strong>la</strong> segunda<br />
Edición d<strong>el</strong> mismo se ha focalizado <strong>en</strong> materias y temas específicos, aqu<strong>el</strong>los que <strong>en</strong>t<strong>en</strong>díamos<br />
que podrían g<strong>en</strong>erar más interés, más utilidad y/o que suscitaban un mayor número <strong>de</strong><br />
cuestiones abiertas al <strong>de</strong>bate. Lógicam<strong>en</strong>te, <strong>la</strong> <strong>la</strong>bor <strong>de</strong> s<strong>el</strong>ección <strong>de</strong> materias y temas no ha<br />
sido fácil, por <strong>la</strong> diversidad <strong>de</strong> cuestiones que cabría abordar, pero sí que ha partido <strong>de</strong> criterios<br />
objetivos y se ha <strong>de</strong>sarrol<strong>la</strong>do <strong>de</strong> manera colegiada <strong>en</strong> <strong>el</strong> s<strong>en</strong>o d<strong>el</strong> Comité Operativo d<strong>el</strong> DPI.<br />
Creemos que si realm<strong>en</strong>te queremos t<strong>en</strong>er una aproximación a <strong>la</strong> regu<strong>la</strong>ción <strong>en</strong> ciernes <strong>de</strong>spués<br />
d<strong>el</strong> <strong>en</strong>foque <strong>de</strong> <strong>la</strong> primera edición d<strong>el</strong> citado Estudio, t<strong>en</strong>emos que dar <strong>el</strong> salto <strong>de</strong>s<strong>de</strong><br />
una aproximación basada <strong>en</strong> <strong>el</strong> análisis artículo por artículo, hacia una reflexión profunda, fundam<strong>en</strong>tada<br />
y crítica <strong>sobre</strong> ciertos c<strong>la</strong>ve <strong>de</strong> <strong>la</strong> normativa que se pret<strong>en</strong><strong>de</strong> aprobar a niv<strong>el</strong> comunitario.<br />
Lógicam<strong>en</strong>te, se trataba <strong>de</strong> una opción ambiciosa, que sin embargo, hemos afrontado con <strong>la</strong><br />
int<strong>en</strong>ción <strong>de</strong> promover y publicar un Estudio que permitiera <strong>en</strong>trar <strong>en</strong> profundidad <strong>en</strong> <strong>la</strong>s materias<br />
y temas <strong>sobre</strong> los que se ha c<strong>en</strong>trado <strong>el</strong> foco.<br />
Para po<strong>de</strong>r manejar <strong>la</strong> <strong>el</strong>aboración d<strong>el</strong> docum<strong>en</strong>to <strong>en</strong> unos términos razonables, or<strong>de</strong>nados<br />
y estables, se <strong>de</strong>sarrolló una metodología <strong>de</strong> trabajo específica, bajo <strong>la</strong>s sigui<strong>en</strong>tes pautas:<br />
• El Comité Operativo d<strong>el</strong> DPI aprobó <strong>la</strong> creación <strong>de</strong> Grupos <strong>de</strong> trabajo, cada uno bajo <strong>la</strong><br />
batuta <strong>de</strong> un Coordinador miembro d<strong>el</strong> propio Grupo.<br />
• Todos los Grupos estarían bajo <strong>la</strong> supervisión <strong>de</strong> un Coordinador <strong>de</strong> Coordinadores, que<br />
resolvería o canalizaría <strong>la</strong>s cuestiones <strong>sobre</strong> bases <strong>de</strong> <strong>el</strong>aboración, inci<strong>de</strong>ncias, p<strong>la</strong>zos,<br />
niv<strong>el</strong>es <strong>de</strong> calidad, puesta <strong>en</strong> común, etc. En este s<strong>en</strong>tido, se creó un p<strong>la</strong>ntil<strong>la</strong>-base que<br />
establecía únicam<strong>en</strong>te los parámetros formales para <strong>en</strong>cuadrar cada <strong>en</strong>tregable por<br />
Grupo.<br />
• Una vez creados los Grupos, cada uno con su tema propio y su Coordinador nombrado<br />
(una vez los propuestos aceptaron tal <strong>de</strong>signación), se puso <strong>en</strong> marcha <strong>la</strong> <strong>el</strong>aboración<br />
<strong>de</strong> los borradores <strong>de</strong> capítulos.<br />
• Cada Grupo tuvo libertad y autonomía tanto para <strong>de</strong>sarrol<strong>la</strong>r su tema, como para articu<strong>la</strong>r<br />
su operativa (índice <strong>de</strong> <strong>de</strong>sarrollo, fu<strong>en</strong>tes, pautas <strong>de</strong> <strong>el</strong>aboración, reuniones pres<strong>en</strong>ciales<br />
y/o <strong>en</strong> remoto, revisiones, etc.).<br />
• Se revisaron todas <strong>la</strong>s aportaciones para verificar <strong>el</strong> mant<strong>en</strong>imi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s pautas <strong>de</strong> homog<strong>en</strong>eidad,<br />
c<strong>la</strong>ridad y precisión que <strong>de</strong>bían regir, <strong>en</strong> todo caso, <strong>el</strong> resultado final<br />
• Finalm<strong>en</strong>te, se tras<strong>la</strong>daron todas <strong>la</strong>s aportaciones a un docum<strong>en</strong>to único, que constituye<br />
<strong>el</strong> núcleo c<strong>en</strong>tral <strong>de</strong> este Estudio.<br />
11
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
12
Cap. 1<br />
Reg<strong>la</strong>m<strong>en</strong>to<br />
Europeo <strong>de</strong><br />
Protección <strong>de</strong> Datos<br />
y PYMES
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
14
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
ABSTRACT<br />
T<strong>en</strong>i<strong>en</strong>do como punto <strong>de</strong> partida <strong>la</strong> situación actual (Estado <strong>de</strong> <strong>la</strong> situación) d<strong>el</strong> cumplimi<strong>en</strong>to<br />
normativo respecto <strong>de</strong> <strong>la</strong> LOPD y <strong>el</strong> RLOPD, veremos, a través <strong>de</strong> <strong>la</strong>s distintas facetas estudiadas<br />
<strong>en</strong> <strong>la</strong>s sigui<strong>en</strong>tes páginas, como <strong>la</strong>s PYMES Europeas y más <strong>en</strong> concreto <strong>en</strong> aqu<strong>el</strong>lo<br />
que nos atañe, <strong>la</strong>s PYMES Españo<strong>la</strong>s, se <strong>en</strong>fr<strong>en</strong>tan ante <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong><br />
Protección <strong>de</strong> Datos, a muy importantes retos, <strong>de</strong>s<strong>de</strong> <strong>el</strong> punto <strong>de</strong> vista d<strong>el</strong> tratami<strong>en</strong>to reg<strong>la</strong>m<strong>en</strong>tario<br />
(<strong>la</strong> propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to, Análisis normativo), <strong>de</strong> cómo se obti<strong>en</strong><strong>en</strong>, se tratan<br />
y se preservan los datos personales que, <strong>de</strong> los distintos titu<strong>la</strong>res (empleados, cli<strong>en</strong>tes, proveedores,<br />
etc.), están incluidos <strong>en</strong> los sistemas <strong>de</strong> información <strong>de</strong> <strong>la</strong> empresa.<br />
Así mismo veremos <strong>la</strong> necesaria adaptación <strong>de</strong> <strong>la</strong> organización a <strong>la</strong>s medidas, tanto organizativas<br />
como tecnológicas, que <strong>de</strong>b<strong>en</strong> ser modificadas <strong>de</strong> acuerdo a <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos. (La propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to. TIC’s y medidas<br />
organizativas).<br />
Analizaremos que fortalezas y <strong>de</strong>bilida<strong>de</strong>s ti<strong>en</strong><strong>en</strong> <strong>la</strong>s PYMES fr<strong>en</strong>te a <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos, <strong>la</strong>s v<strong>en</strong>tajas y obstáculos que p<strong>la</strong>ntea, que oportunida<strong>de</strong>s<br />
pres<strong>en</strong>ta, y cuáles pue<strong>de</strong>n ser <strong>la</strong>s estrategias para afrontarlos. (<strong>la</strong> propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to,.<br />
Análisis DAFO, Estrategias).<br />
Y por último veremos cuál pue<strong>de</strong> ser <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos (La propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to, El <strong>futuro</strong>, ¿Aprobación ¿No aprobación, Evolución)<br />
y cómo afectará a <strong>la</strong>s PYMES, t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta, por un <strong>la</strong>do, los distintos informes<br />
<strong>de</strong> <strong>la</strong>s Comisiones, <strong>la</strong>s negociaciones <strong>en</strong>tre los Estados Miembros y <strong>la</strong>s presiones recibidas,<br />
y por otro <strong>la</strong>do, <strong>la</strong> in<strong>el</strong>udible evolución <strong>de</strong> <strong>la</strong>s TIC’s y los Sistemas <strong>de</strong> Información <strong>de</strong> <strong>la</strong>s<br />
PYMES, dado que, contemp<strong>la</strong>ndo dicha evolución sólo durante <strong>el</strong> período <strong>de</strong> <strong>el</strong>aboración,<br />
pres<strong>en</strong>tación, <strong>de</strong>bate, discusión y negociación <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to, es <strong>de</strong>cir <strong>en</strong><br />
<strong>el</strong> corto tiempo <strong>de</strong> tres años, nos <strong>en</strong>contramos con nuevos conceptos y “f<strong>en</strong>óm<strong>en</strong>os” inmersos<br />
<strong>en</strong> <strong>la</strong> vida empresarial, tales como <strong>el</strong> almac<strong>en</strong>ami<strong>en</strong>to y tratami<strong>en</strong>to <strong>de</strong> <strong>la</strong> información<br />
<strong>en</strong> <strong>la</strong> Nube (Cloud Computing), <strong>la</strong> capacidad <strong>de</strong> análisis <strong>de</strong> ing<strong>en</strong>tes cantida<strong>de</strong>s <strong>de</strong> “datos” r<strong>el</strong>acionados<br />
y no r<strong>el</strong>acionados (Big Data) <strong>la</strong> “explosión” <strong>de</strong> los dispositivos móviles, tablets,<br />
smartphones, etc., conectándose a los procesos <strong>de</strong> TI <strong>de</strong> <strong>la</strong> organización, conocido como<br />
“tráete tu propio dispositivo” (Bring your Own Device , BYOD), o <strong>la</strong>s am<strong>en</strong>azas y ataques a<br />
los sistemas <strong>de</strong> información y comunicación <strong>de</strong> <strong>la</strong>s empresas (F<strong>la</strong>me, Botnets, Malware,<br />
DDos, Phising, APT’s...).<br />
15
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
DESARROLLO<br />
Estado <strong>de</strong> <strong>la</strong> situación actual <strong>de</strong> <strong>la</strong> Protección <strong>de</strong> Datos<br />
No po<strong>de</strong>mos sos<strong>la</strong>yar <strong>en</strong> ningún mom<strong>en</strong>to que, aunque <strong>en</strong> <strong>el</strong> p<strong>en</strong>sami<strong>en</strong>to <strong>de</strong> muchos <strong>de</strong> los<br />
ciudadanos y empresarios parece que <strong>la</strong> protección <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> está ori<strong>en</strong>tada a <strong>la</strong>s gran<strong>de</strong>s<br />
empresas, <strong>la</strong>s operadoras <strong>de</strong> servicios, <strong>la</strong>s multinacionales, su <strong>de</strong>stinatario natural <strong>en</strong> <strong>la</strong><br />
Unión Europea son precisam<strong>en</strong>te <strong>la</strong>s PYMES, dada su prepon<strong>de</strong>rancia <strong>en</strong> <strong>la</strong> <strong>de</strong>mografía empresarial.<br />
Conforme a <strong>la</strong>s estadísticas, <strong>en</strong> <strong>el</strong> conjunto <strong>de</strong> <strong>la</strong> Unión Europea, <strong>la</strong>s PYMES supon<strong>en</strong><br />
<strong>el</strong> 99,68 % <strong>de</strong> <strong>la</strong>s empresas, (99,85 % <strong>en</strong> <strong>el</strong> caso <strong>de</strong> España), y si contemp<strong>la</strong>mos <strong>la</strong>s<br />
Microempresas (m<strong>en</strong>os <strong>de</strong> 10 empleados según <strong>la</strong> recom<strong>en</strong>dación <strong>de</strong> <strong>la</strong> Comisión<br />
2003/361/CE ), son <strong>el</strong> 92,45 % <strong>en</strong> <strong>la</strong> Unión Europea y <strong>el</strong> 95,43 % <strong>en</strong> España.<br />
Así mismo <strong>de</strong>bemos observar <strong>la</strong> evolución d<strong>el</strong> cumplimi<strong>en</strong>to, por parte <strong>de</strong> <strong>la</strong>s empresas y profesionales,<br />
<strong>de</strong> <strong>la</strong> Protección <strong>de</strong> Datos <strong>en</strong> España a lo <strong>la</strong>rgo <strong>de</strong> los 20 años recién cumplidos<br />
<strong>de</strong> <strong>la</strong> legis<strong>la</strong>ción <strong>de</strong> <strong>la</strong> materia. De acuerdo a <strong>la</strong>s estadísticas <strong>el</strong>aboradas vemos como <strong>el</strong> número<br />
<strong>de</strong> empresas que ti<strong>en</strong>e p<strong>en</strong>di<strong>en</strong>te <strong>el</strong> mínimo requisito legal como es <strong>el</strong> registro <strong>de</strong> sus<br />
ficheros <strong>en</strong> <strong>la</strong> Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> Datos es abrumador. A 31 <strong>de</strong> Diciembre <strong>de</strong><br />
2012, <strong>de</strong> acuerdo a los datos <strong>de</strong> <strong>la</strong> Ag<strong>en</strong>cia, <strong>de</strong> <strong>en</strong>tida<strong>de</strong>s registradas por Comunida<strong>de</strong>s Autónomas<br />
y Provincias se <strong>en</strong>contrarían p<strong>en</strong>di<strong>en</strong>tes <strong>de</strong> registrar sus ficheros <strong>el</strong> 71,91 % <strong>de</strong> <strong>la</strong>s<br />
empresas españo<strong>la</strong>s.<br />
Des<strong>de</strong> <strong>la</strong> foto d<strong>el</strong> estado <strong>de</strong> cumplimi<strong>en</strong>to actual por parte <strong>de</strong> <strong>la</strong>s empresas españo<strong>la</strong>s, nos<br />
<strong>en</strong>fr<strong>en</strong>tamos a los posibles esc<strong>en</strong>arios que se pue<strong>de</strong>n p<strong>la</strong>ntear ante <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos. Durante <strong>el</strong> período <strong>de</strong> negociación d<strong>el</strong> mismo y <strong>la</strong> <strong>el</strong>evación<br />
<strong>de</strong> informes <strong>de</strong> <strong>la</strong>s distintas Comisiones (Consejo, SEPD, CDR, LIBE, CES…), han<br />
quedado pat<strong>en</strong>tes <strong>la</strong>s difer<strong>en</strong>tes opiniones y controversias que suscita <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> datos con <strong>el</strong> número <strong>de</strong> <strong>en</strong>mi<strong>en</strong>das pres<strong>en</strong>tadas, más <strong>de</strong><br />
4.000, y <strong>la</strong> presión ejercida por los distintos grupos <strong>de</strong> interés (lobbies) empresariales (<strong>sobre</strong><br />
todo los correspondi<strong>en</strong>tes a EEUU), instituciones y Estados Europeos. Esta situación nos indica<br />
<strong>el</strong> trem<strong>en</strong>do interés que <strong>de</strong>spierta <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong><br />
Datos y <strong>la</strong> preocupación <strong>de</strong> su alcance, y <strong>de</strong> cómo afectará a <strong>la</strong> actividad <strong>de</strong> <strong>la</strong>s empresas,<br />
como por ejemplo, <strong>la</strong>s limitaciones que algunos grupos <strong>de</strong> presión estiman que impondrá <strong>el</strong><br />
Reg<strong>la</strong>m<strong>en</strong>to a <strong>la</strong> competitividad y evolución <strong>de</strong> <strong>la</strong>s empresas europeas fr<strong>en</strong>te a <strong>la</strong>s estadouni<strong>de</strong>nses<br />
y otras no comunitarias, no limitadas por dicha reg<strong>la</strong>m<strong>en</strong>tación.<br />
Este niv<strong>el</strong> <strong>de</strong> presión, <strong>la</strong>s <strong>en</strong>mi<strong>en</strong>das pres<strong>en</strong>tadas y <strong>la</strong>s retic<strong>en</strong>cias <strong>de</strong> varios <strong>de</strong> los Estados<br />
Miembros (Gran Bretaña, Checoeslovaquia, Polonia …) han impedido <strong>la</strong> votación <strong>de</strong> <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to que se ha ido ap<strong>la</strong>zando <strong>en</strong> varias convocatorias, introduciéndose a<strong>de</strong>más<br />
<strong>el</strong> parámetro temporal, <strong>de</strong> urg<strong>en</strong>cia, dada <strong>la</strong> vig<strong>en</strong>cia <strong>de</strong> <strong>la</strong> actual legis<strong>la</strong>tura par<strong>la</strong>m<strong>en</strong>taria<br />
que finaliza <strong>en</strong> mayo d<strong>el</strong> 2014.<br />
Por otro <strong>la</strong>do, los ev<strong>en</strong>tos e “inci<strong>de</strong>ncias” internacionales <strong>de</strong> los últimos meses r<strong>el</strong>ativos a<br />
<strong>la</strong> <strong>privacidad</strong> y <strong>la</strong>s tecnologías <strong>de</strong> <strong>la</strong> información y <strong>la</strong> comunicación, <strong>en</strong> concreto, toda <strong>la</strong> controversia<br />
suscitada por <strong>la</strong>s filtraciones d<strong>el</strong> ex empleado <strong>de</strong> <strong>la</strong> NSA, Edward Snow<strong>de</strong>n, refer<strong>en</strong>-<br />
16
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
tes al programa PRISM, han disparado <strong>la</strong>s exig<strong>en</strong>cias <strong>sobre</strong> los criterios <strong>de</strong> <strong>privacidad</strong> a niv<strong>el</strong><br />
mundial, dando lugar a un importante número <strong>de</strong> interp<strong>el</strong>aciones, peticiones <strong>de</strong> información<br />
y explicaciones <strong>en</strong>tre <strong>la</strong>s Presi<strong>de</strong>ncias <strong>de</strong> los distintos Estados, incluidas <strong>la</strong>s <strong>de</strong> <strong>la</strong> propia Comisión<br />
Europea. Aunque <strong>de</strong> una manera transversal, todo esto probablem<strong>en</strong>te incidirá <strong>en</strong> <strong>el</strong><br />
proceso <strong>de</strong> negociación y aprobación <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to.<br />
La propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to. Análisis normavo<br />
A lo <strong>la</strong>rgo <strong>de</strong> este sub-apartado, se tratará <strong>de</strong> <strong>de</strong>stacar <strong>la</strong>s principales noveda<strong>de</strong>s y retos a los<br />
que se <strong>en</strong>fr<strong>en</strong>ta <strong>la</strong> PYME <strong>de</strong>s<strong>de</strong> <strong>el</strong> punto <strong>de</strong> vista d<strong>el</strong> cumplimi<strong>en</strong>to normativo. Para <strong>el</strong>lo se<br />
<strong>de</strong>stacarán <strong>la</strong>s principales variaciones <strong>en</strong>tre <strong>la</strong> normativa vig<strong>en</strong>te y <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos, sus principales noveda<strong>de</strong>s y obligaciones.<br />
VARIACIONES.<br />
Sin duda <strong>la</strong> gran variación con respecto a <strong>la</strong> situación actual es <strong>la</strong> <strong>de</strong>saparición <strong>de</strong> <strong>la</strong> obligación<br />
<strong>de</strong> notificar los tratami<strong>en</strong>tos <strong>de</strong> datos a <strong>la</strong> Autoridad <strong>de</strong> Control, medida que se ha <strong>de</strong>mostrado<br />
que no aporta mejoras a <strong>la</strong> Protección <strong>de</strong> Datos y que ha logrado un respaldo unánime por<br />
todos los actores implicados <strong>en</strong> <strong>la</strong> reforma. Pero que <strong>de</strong>saparezca <strong>la</strong> obligación <strong>de</strong> notificar<br />
los tratami<strong>en</strong>tos <strong>de</strong> datos personales no significa que <strong>de</strong>saparezca <strong>la</strong> obligación <strong>de</strong> <strong>de</strong>tectarlos,<br />
analizarlos y contro<strong>la</strong>rlos, para po<strong>de</strong>r dar cumplimi<strong>en</strong>to a <strong>la</strong>s nuevas obligaciones que se<br />
establec<strong>en</strong> <strong>en</strong> <strong>la</strong> nueva normativa y que iremos vi<strong>en</strong>do a continuación, como pue<strong>de</strong> ser <strong>la</strong> r<strong>en</strong>dición<br />
<strong>de</strong> cu<strong>en</strong>tas o accountability, <strong>el</strong> <strong>de</strong>ber <strong>de</strong> docum<strong>en</strong>tar <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s obligaciones<br />
<strong>en</strong> materia <strong>de</strong> Protección <strong>de</strong> Datos o <strong>el</strong> establecimi<strong>en</strong>to <strong>de</strong> los principios <strong>de</strong> transpar<strong>en</strong>cia<br />
y <strong>privacidad</strong> por diseño y por <strong>de</strong>fecto.<br />
En lo que respecta al ejercicio <strong>de</strong> los <strong>de</strong>rechos A.R.C.O. (acceso, rectificación, canc<strong>el</strong>ación u oposición),<br />
se amplia y unifica <strong>el</strong> p<strong>la</strong>zo para su resolución <strong>en</strong> un mes para todos los casos y se establece<br />
<strong>la</strong> posibilidad <strong>de</strong> ejercicio por vía <strong>el</strong>ectrónica, lo que provocará un abaratami<strong>en</strong>to <strong>de</strong> costes.<br />
Se refuerzan los <strong>de</strong>beres <strong>de</strong> información y obt<strong>en</strong>ción d<strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to, <strong>sobre</strong> todo <strong>en</strong> los<br />
casos <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos <strong>de</strong> m<strong>en</strong>ores, lo que redundará <strong>en</strong> mayor confianza por parte<br />
<strong>de</strong> cli<strong>en</strong>tes y consumidores.<br />
Está por ver <strong>la</strong> variación <strong>en</strong> <strong>la</strong> adopción <strong>de</strong> medidas <strong>de</strong> seguridad <strong>en</strong> los tratami<strong>en</strong>tos, puesto<br />
que <strong>de</strong>berán ser <strong>de</strong>sarrol<strong>la</strong>das <strong>en</strong> una fase posterior por <strong>la</strong> institución que finalm<strong>en</strong>te t<strong>en</strong>ga<br />
atribuida esa compet<strong>en</strong>cia (Comisión Europea o Consejo Europeo <strong>de</strong> Protección <strong>de</strong> Datos) o<br />
por los Estados Miembros como <strong>en</strong> <strong>la</strong> actualidad.<br />
NOVEDADES.<br />
Se introduc<strong>en</strong> <strong>la</strong>s figuras <strong>de</strong> <strong>la</strong> Privacidad por diseño y por <strong>de</strong>fecto <strong>de</strong> manera que se garantice<br />
que todas <strong>la</strong>s fases <strong>de</strong> los tratami<strong>en</strong>tos <strong>de</strong> datos personales cumpl<strong>en</strong> con <strong>la</strong> normativa vig<strong>en</strong>te<br />
y que sólo se tratan los datos necesarios e imprescindibles para <strong>la</strong> finalidad para <strong>la</strong> que se obtuvieron.<br />
El establecimi<strong>en</strong>to <strong>de</strong> estos mecanismos y controles por parte <strong>de</strong> <strong>la</strong> PYME limitará<br />
los riesgos <strong>de</strong>rivados <strong>de</strong> los tratami<strong>en</strong>tos y por <strong>el</strong>lo <strong>la</strong> posibilidad <strong>de</strong> incumplimi<strong>en</strong>to y posterior<br />
sanción. In<strong>de</strong>p<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te <strong>de</strong> que se establezca posteriorm<strong>en</strong>te <strong>en</strong> <strong>el</strong> <strong>de</strong>sarrollo normativo<br />
<strong>de</strong> <strong>la</strong>s medidas <strong>de</strong> seguridad <strong>la</strong> obligación <strong>de</strong> realizar auditorías periódicas para todos<br />
17
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
o ciertos tipos <strong>de</strong> tratami<strong>en</strong>tos, <strong>la</strong> pl<strong>en</strong>a adopción <strong>de</strong> estos principios requerirá <strong>el</strong> establecimi<strong>en</strong>to<br />
<strong>de</strong> controles periódicos, ya sean internos o externos, que valor<strong>en</strong> y <strong>de</strong>termin<strong>en</strong> <strong>el</strong><br />
grado <strong>de</strong> cumplimi<strong>en</strong>to <strong>de</strong> los mismos.<br />
Establecimi<strong>en</strong>to d<strong>el</strong> principio d<strong>el</strong> One Stop Shop, mediante <strong>el</strong> cual los ciudadanos y los Responsables<br />
<strong>de</strong> tratami<strong>en</strong>to podrán dirigirse a <strong>la</strong> Autoridad <strong>de</strong> Control <strong>de</strong> su país <strong>de</strong> resi<strong>de</strong>ncia,<br />
evitando <strong>el</strong> t<strong>en</strong>er que realizar cada trámite <strong>en</strong> un país difer<strong>en</strong>te, con <strong>el</strong> consigui<strong>en</strong>te ahorro<br />
<strong>de</strong> tiempo y dinero.<br />
Adopción d<strong>el</strong> principio <strong>de</strong> transpar<strong>en</strong>cia mediante <strong>el</strong> cual los responsables <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong>berán<br />
aplicar políticas transpar<strong>en</strong>tes y ser fácilm<strong>en</strong>te accesibles <strong>en</strong> lo que respecta a los tratami<strong>en</strong>tos<br />
previstos y modo <strong>de</strong> ejercicio <strong>de</strong> <strong>de</strong>rechos. A mayor transpar<strong>en</strong>cia, mayor confianza<br />
por parte d<strong>el</strong> cli<strong>en</strong>te o consumidor.<br />
Instauración d<strong>el</strong> <strong>de</strong>nominado “<strong>de</strong>recho al olvido”, que <strong>de</strong>berá ser t<strong>en</strong>ido <strong>en</strong> cu<strong>en</strong>ta no sólo por<br />
<strong>la</strong>s PYMES <strong>de</strong> corte tecnológica o <strong>de</strong> comunicación, sino también por <strong>la</strong>s PYMES con gran<br />
actividad e interactuación con sus seguidores <strong>en</strong> re<strong>de</strong>s sociales.<br />
Instauración d<strong>el</strong> <strong>de</strong>recho a <strong>la</strong> portabilidad <strong>de</strong> datos cuando los datos se trat<strong>en</strong> <strong>en</strong> vía <strong>el</strong>ectrónica<br />
y <strong>en</strong> un formato estructurado y comúnm<strong>en</strong>te utilizado. Cabe advertir que para <strong>la</strong>s PYMES a veces<br />
será una obligación y otras será un <strong>de</strong>recho (contratación <strong>de</strong> un servicio <strong>de</strong> Cloud Computing).<br />
Finalm<strong>en</strong>te cabe <strong>de</strong>stacar <strong>la</strong> promoción <strong>de</strong> los Códigos <strong>de</strong> Conducta y <strong>la</strong>s certificaciones <strong>en</strong> materia<br />
<strong>de</strong> Protección <strong>de</strong> Datos, lo que fom<strong>en</strong>tará <strong>la</strong>s bu<strong>en</strong>as prácticas <strong>en</strong> esta materia, facilitará <strong>la</strong><br />
percepción d<strong>el</strong> niv<strong>el</strong> <strong>de</strong> cumplimi<strong>en</strong>to <strong>en</strong> protección <strong>de</strong> datos por parte <strong>de</strong> terceros y afectados<br />
y posibilitará <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> los principios <strong>de</strong> <strong>la</strong> Privacidad por diseño y por <strong>de</strong>fecto.<br />
OBLIGACIONES.<br />
Docum<strong>en</strong>tar para po<strong>de</strong>r <strong>de</strong>mostrar <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> sus obligaciones <strong>en</strong> materia <strong>de</strong> protección<br />
<strong>de</strong> datos. Esta obligación nos facilitará <strong>la</strong> prueba <strong>de</strong> cumplimi<strong>en</strong>to ante una inspección<br />
<strong>de</strong> oficio o a raíz <strong>de</strong> <strong>de</strong>nuncia por parte <strong>de</strong> <strong>la</strong> Autoridad <strong>de</strong> Control.<br />
Una novedad y a <strong>la</strong> vez una obligación es <strong>la</strong> notificación <strong>de</strong> <strong>la</strong>s vio<strong>la</strong>ciones <strong>de</strong> datos personales<br />
a <strong>la</strong> Autoridad <strong>de</strong> Control compet<strong>en</strong>te, si <strong>de</strong>mora y como máximo <strong>en</strong> un p<strong>la</strong>zo <strong>de</strong> 24 horas<br />
<strong>de</strong>s<strong>de</strong> que se produce. Esta notificación pue<strong>de</strong> ext<strong>en</strong><strong>de</strong>rse a los propios afectados cuando<br />
se cump<strong>la</strong>n los supuestos contemp<strong>la</strong>dos <strong>en</strong> <strong>la</strong> normativa.<br />
Otra novedad que g<strong>en</strong>era a su vez una obligación es <strong>la</strong> <strong>de</strong> realizar una evaluación <strong>de</strong> impacto<br />
previa al inicio <strong>de</strong> <strong>de</strong>terminados tratami<strong>en</strong>tos.<br />
La obligación <strong>de</strong> solicitud <strong>de</strong> autorización previa a <strong>la</strong> Autoridad <strong>de</strong> Control aum<strong>en</strong>ta los supuestos<br />
<strong>en</strong> los que es preceptiva. A<strong>de</strong>más <strong>de</strong> para transfer<strong>en</strong>cias internacionales <strong>de</strong> datos a<br />
países que no t<strong>en</strong>gan reconocido un niv<strong>el</strong> a<strong>de</strong>cuado <strong>de</strong> protección, será necesaria para iniciar<br />
un tratami<strong>en</strong>to que haya obt<strong>en</strong>ido un resultado <strong>de</strong>sfavorable <strong>en</strong> <strong>la</strong> <strong>de</strong>c<strong>la</strong>ración <strong>de</strong> impacto<br />
previa y para tratami<strong>en</strong>tos con riesgos específicos que serán <strong>en</strong>umerados <strong>en</strong> una lista <strong>de</strong><br />
operaciones que emitirá <strong>la</strong> Autoridad <strong>de</strong> Control. Este requisito dará seguridad jurídica a <strong>la</strong>s<br />
PYMES ya que una vez obt<strong>en</strong>ida <strong>la</strong> autorización y si se cumple con <strong>la</strong>s obligaciones que establezca<br />
<strong>la</strong> Autoridad <strong>de</strong> Control no cabrá sanción por <strong>de</strong>nuncia <strong>de</strong> un afectado por <strong>el</strong> tratami<strong>en</strong>to.<br />
18
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Finalm<strong>en</strong>te una <strong>de</strong> <strong>la</strong>s nuevas obligaciones que mas eco ha t<strong>en</strong>ido es <strong>la</strong> creación <strong>de</strong> <strong>la</strong> figura<br />
d<strong>el</strong> D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong> Datos o DPO. Aunque <strong>el</strong> umbral para su nombrami<strong>en</strong>to cambia<br />
<strong>en</strong> <strong>la</strong>s difer<strong>en</strong>tes versiones <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos (Comisión<br />
o Consejo), <strong>el</strong> que se pueda establecer para <strong>de</strong>terminados tratami<strong>en</strong>tos (datos espacialm<strong>en</strong>te<br />
protegidos y <strong>de</strong>terminados tipos <strong>de</strong> tratami<strong>en</strong>tos) pue<strong>de</strong> conllevar que para algunas<br />
PYMES resulte obligatorio proce<strong>de</strong>r a <strong>la</strong> contratación <strong>de</strong> estos profesionales, que posibilitarán<br />
un tratami<strong>en</strong>to conforme a <strong>la</strong> Normativa Europea <strong>de</strong> Protección <strong>de</strong> Datos y difuminarán por<br />
<strong>el</strong>lo <strong>la</strong> posibilidad <strong>de</strong> incumplimi<strong>en</strong>to.<br />
Entrada <strong>en</strong> vigor y <strong>de</strong>sarrollo posterior.<br />
En lo que respecta a <strong>la</strong> <strong>en</strong>trada <strong>en</strong> vigor <strong>de</strong> <strong>la</strong> futura normativa, t<strong>en</strong>emos que t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta<br />
dos variables:<br />
Por un <strong>la</strong>do <strong>la</strong> <strong>en</strong>trada <strong>en</strong> vigor <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
se establece a los veinte días a contar <strong>de</strong>s<strong>de</strong> su publicación <strong>en</strong> <strong>el</strong> Diario Oficial <strong>de</strong> <strong>la</strong> Unión<br />
Europea y <strong>la</strong> fecha <strong>de</strong> aplicación será a los dos años <strong>de</strong> <strong>la</strong> fecha m<strong>en</strong>cionada anteriorm<strong>en</strong>te.<br />
Por otro <strong>la</strong>do como ya se ha <strong>de</strong>stacado a lo <strong>la</strong>rgo <strong>de</strong> esta exposición, hay aspectos <strong>de</strong> <strong>la</strong> nueva<br />
normativa que requerirán un <strong>de</strong>sarrollo normativo posterior mediante <strong>la</strong> figura <strong>de</strong> actos d<strong>el</strong>egados.<br />
En <strong>la</strong> primera propuesta estos actos d<strong>el</strong>egados eran atribuidos a <strong>la</strong> Comisión Europea,<br />
aunque docum<strong>en</strong>tos posteriores le retiran compet<strong>en</strong>cias a favor <strong>de</strong> los Estados Miembros o<br />
<strong>el</strong> Consejo Europeo <strong>de</strong> Protección <strong>de</strong> Datos. Al existir un periodo <strong>de</strong> car<strong>en</strong>cia <strong>de</strong> dos años,<br />
se antoja <strong>en</strong> principio tiempo más que sufici<strong>en</strong>te para que <strong>la</strong> Institución o Instituciones que<br />
finalm<strong>en</strong>te t<strong>en</strong>gan atribuidas esas compet<strong>en</strong>cias, <strong>el</strong>abor<strong>en</strong> y dict<strong>en</strong> esos actos d<strong>el</strong>egados <strong>de</strong><br />
<strong>de</strong>sarrollo normativo.<br />
La propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to. TIC’s y medidas organizavas<br />
RETOS Y OBLIGACIONES<br />
Las PYMES españo<strong>la</strong>s, tras <strong>la</strong> aprobación <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos, <strong>de</strong>berán afrontar una serie <strong>de</strong> retos y obligaciones <strong>en</strong> materia <strong>de</strong> seguridad que<br />
hasta <strong>el</strong> mom<strong>en</strong>to no habían sido contemp<strong>la</strong>dos.<br />
Actualm<strong>en</strong>te <strong>la</strong> aplicación <strong>de</strong> <strong>la</strong>s medidas <strong>de</strong> seguridad se basa <strong>en</strong> <strong>el</strong> “principio <strong>de</strong> seguridad<br />
<strong>de</strong> datos” establecido <strong>en</strong> <strong>el</strong> artículo 9 <strong>de</strong> <strong>la</strong> LOPD, que impone al Responsable d<strong>el</strong> fichero, y<br />
<strong>en</strong> su caso, al Encargado d<strong>el</strong> tratami<strong>en</strong>to, adoptar <strong>la</strong>s medidas <strong>de</strong> índole técnica y organizativas<br />
necesarias para garantizar <strong>la</strong> seguridad <strong>de</strong> los datos <strong>de</strong> carácter personal y evitar su alteración,<br />
pérdida, tratami<strong>en</strong>to o acceso no autorizado. Estas medidas están c<strong>la</strong>ram<strong>en</strong>te<br />
<strong>de</strong>finidas <strong>en</strong> <strong>el</strong> Título VIII d<strong>el</strong> RLOPD, existi<strong>en</strong>do tres niv<strong>el</strong>es <strong>de</strong> seguridad (básico, medio y<br />
alto), <strong>de</strong>finidos <strong>en</strong> <strong>el</strong> art. 80 RLOPD, que se aplican <strong>en</strong> función d<strong>el</strong> tipo <strong>de</strong> datos que cont<strong>en</strong>ga<br />
<strong>el</strong> fichero y <strong>la</strong> finalidad d<strong>el</strong> tratami<strong>en</strong>to que se vaya a llevar a cabo con dichos datos.<br />
En <strong>el</strong> cuadro adjunto se <strong>de</strong>scrib<strong>en</strong> los principales retos y obligaciones a los que <strong>de</strong>berán <strong>en</strong>fr<strong>en</strong>tarse<br />
<strong>la</strong>s PYMES una vez aprobado <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong><br />
Datos.<br />
19
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
RETOS<br />
Aus<strong>en</strong>cia <strong>de</strong><br />
medidas concretas<br />
para cumplir con<br />
<strong>la</strong>s obligaciones<br />
exigidas <strong>en</strong> <strong>la</strong><br />
Propuesta<br />
“Principio <strong>de</strong><br />
responsabilidad” o<br />
r<strong>en</strong>dición <strong>de</strong><br />
cu<strong>en</strong>tas<br />
Verificación d<strong>el</strong><br />
cumplimi<strong>en</strong>to<br />
Evaluación <strong>de</strong><br />
impacto r<strong>el</strong>ativa a<br />
<strong>la</strong> protección <strong>de</strong><br />
datos<br />
OBLIGACIONES<br />
Todo <strong>de</strong>p<strong>en</strong><strong>de</strong>rá d<strong>el</strong> resultado <strong>de</strong> <strong>la</strong> preceptiva evaluación <strong>de</strong> riesgos que<br />
habrá que realizar y, como novedad, <strong>de</strong> <strong>la</strong>s técnicas exist<strong>en</strong>tes y los costes<br />
asociados a su implem<strong>en</strong>tación (art. 30).<br />
No obstante, <strong>la</strong> Comisión (art. 30.3) estará facultada para adoptar actos<br />
d<strong>el</strong>egados <strong>de</strong> conformidad a fin <strong>de</strong> especificar los criterios y condiciones<br />
aplicables a <strong>la</strong>s medidas técnicas y organizativas, incluida <strong>la</strong> <strong>de</strong>terminación <strong>de</strong><br />
cuáles son <strong>la</strong>s técnicas exist<strong>en</strong>tes, para sectores específicos y <strong>en</strong><br />
situaciones <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos específicas.<br />
Se <strong>de</strong>berán t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta <strong>la</strong>s soluciones <strong>de</strong> “Privacidad <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño” y<br />
<strong>la</strong> “Protección <strong>de</strong> datos por <strong>de</strong>fecto”, conceptos completam<strong>en</strong>te novedosos<br />
hasta ahora.“<br />
El artículo 22 indica que <strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to, <strong>en</strong> nuestro caso <strong>la</strong><br />
PYME, adoptará políticas e implem<strong>en</strong>tará medidas apropiadas para asegurar y<br />
po<strong>de</strong>r <strong>de</strong>mostrar que <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos personales se lleva a cabo <strong>de</strong><br />
conformidad con <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos.<br />
Entre estas obligaciones se <strong>en</strong>cu<strong>en</strong>tra <strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> los requisitos <strong>en</strong><br />
materia <strong>de</strong> seguridad <strong>de</strong> los datos (art. 30), que afecta tanto al Responsable<br />
d<strong>el</strong> tratami<strong>en</strong>to como al Encargado d<strong>el</strong> tratami<strong>en</strong>to.<br />
En <strong>el</strong> artículo 22.4 se indica explícitam<strong>en</strong>te que <strong>la</strong> Comisión estará facultada,<br />
<strong>en</strong>tre otras cosas, para consi<strong>de</strong>rar <strong>la</strong> adopción <strong>de</strong> medidas específicas para <strong>la</strong>s<br />
microempresas y <strong>la</strong>s pequeñas y medianas empresas.<br />
El artículo 22.3 especifica que se <strong>de</strong>berán implem<strong>en</strong>tar mecanismos <strong>de</strong><br />
verificación, que <strong>en</strong> <strong>de</strong>terminados casos (cuando “no sea <strong>de</strong>sproporcionado”,<br />
un parámetro que, <strong>en</strong> principio y hasta que <strong>la</strong> Comisión no se pronuncie,<br />
resulta cuando m<strong>en</strong>os ambiguo) serán llevados a cabo por auditores<br />
in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>tes internos o externos.<br />
Es razonable p<strong>en</strong>sar que muchas <strong>de</strong> <strong>la</strong> PYMES optarán por contratar<br />
profesionales externos que cubran esta obligación <strong>en</strong> caso <strong>de</strong> no disponer <strong>de</strong><br />
ese perfil <strong>en</strong> p<strong>la</strong>ntil<strong>la</strong>.<br />
Las PYMES, incluso, t<strong>en</strong>drán <strong>la</strong> posibilidad <strong>de</strong> obt<strong>en</strong>er una certificación, s<strong>el</strong>lo<br />
o marca <strong>de</strong> protección <strong>de</strong> datos (art. 39) que avale su cumplimi<strong>en</strong>to <strong>de</strong> cara a<br />
los cli<strong>en</strong>tes.<br />
Para ciertos tratami<strong>en</strong>tos <strong>de</strong> datos que <strong>en</strong>trañ<strong>en</strong> riesgos específicos para los<br />
<strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los interesados <strong>en</strong> razón <strong>de</strong> su naturaleza, alcance o<br />
fines, será necesario realizar una evaluación <strong>de</strong> impacto r<strong>el</strong>ativa a <strong>la</strong><br />
protección <strong>de</strong> datos (art. 33).<br />
La Comisión consi<strong>de</strong>rará <strong>la</strong> adopción <strong>de</strong> medidas específicas para <strong>la</strong>s<br />
microempresas y pequeñas y medianas empresas (art. 33.6).<br />
EVOLUCIÓN<br />
El Docum<strong>en</strong>to <strong>de</strong> Seguridad actual (art. 88 RLOPD) parece que <strong>en</strong> cierta medida se conserva,<br />
<strong>de</strong>bi<strong>en</strong>do revisarlo al completo para que cump<strong>la</strong> todo lo refer<strong>en</strong>te a <strong>la</strong> docum<strong>en</strong>tación <strong>de</strong> los<br />
tratami<strong>en</strong>tos d<strong>el</strong> nuevo Reg<strong>la</strong>m<strong>en</strong>to (art. 28). Estas nuevas obligaciones refer<strong>en</strong>tes a <strong>la</strong> docum<strong>en</strong>tación<br />
no serán aplicables a <strong>la</strong>s PYMES <strong>en</strong> <strong>el</strong> caso <strong>de</strong> que los tratami<strong>en</strong>tos <strong>de</strong> datos<br />
personales sean accesorios a sus activida<strong>de</strong>s principales (art. 28.4.b).<br />
20
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
En algunos casos habrá que modificar <strong>la</strong>s condiciones d<strong>el</strong> contrato <strong>de</strong> prestación <strong>de</strong> servicio<br />
d<strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to (art. 26), ya que <strong>la</strong> PYME <strong>de</strong>berá v<strong>el</strong>ar porque <strong>el</strong> <strong>en</strong>cargado <strong>de</strong><br />
tratami<strong>en</strong>to cump<strong>la</strong> <strong>la</strong>s medidas <strong>de</strong> seguridad.<br />
Habrá que revisar <strong>la</strong> docum<strong>en</strong>tación refer<strong>en</strong>te a <strong>la</strong>s funciones y obligaciones d<strong>el</strong> personal<br />
para evaluar si <strong>el</strong> actual Responsable <strong>de</strong> Seguridad, necesario a partir <strong>de</strong> niv<strong>el</strong>es <strong>de</strong> seguridad<br />
medio (art. 109 RLOPD), seguirá si<strong>en</strong>do obligatorio con <strong>el</strong> nuevo Reg<strong>la</strong>m<strong>en</strong>to, puesto que <strong>el</strong><br />
<strong>futuro</strong> D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong> Datos únicam<strong>en</strong>te será necesario <strong>de</strong>signarlo <strong>en</strong> <strong>la</strong>s PYMES<br />
cuando <strong>la</strong>s activida<strong>de</strong>s principales <strong>de</strong> tratami<strong>en</strong>to requieran un seguimi<strong>en</strong>to periódico y sistemático<br />
<strong>de</strong> los interesados (art. 35), no <strong>en</strong>trando a valorar <strong>el</strong> niv<strong>el</strong> <strong>de</strong> los datos.<br />
Habrá que revisar los procedimi<strong>en</strong>tos <strong>de</strong> notificación y gestión <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> seguridad<br />
(para aqu<strong>el</strong><strong>la</strong>s PYMES que sean proveedores <strong>de</strong> servicios <strong>de</strong> comunicaciones <strong>el</strong>ectrónicas,<br />
esto ya se <strong>en</strong>cu<strong>en</strong>tra regu<strong>la</strong>do <strong>en</strong> <strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE 611/2013):<br />
• Notificar <strong>la</strong> vio<strong>la</strong>ción <strong>de</strong> datos a <strong>la</strong> Autoridad <strong>de</strong> Control (art. 31).<br />
• Notificar <strong>la</strong> vio<strong>la</strong>ción <strong>de</strong> datos al interesado (art. 32).<br />
Habrá que revisar los procedimi<strong>en</strong>tos para cumplir los <strong>de</strong>rechos <strong>de</strong> los afectados e incluir<br />
aqu<strong>el</strong>los procedimi<strong>en</strong>tos para:<br />
• Cumplir <strong>la</strong>s condiciones <strong>de</strong> información al interesado (art. 14). La Comisión adoptará<br />
medidas apropiadas para <strong>la</strong>s microempresas y <strong>la</strong>s pequeñas y medianas empresas.<br />
• Cumplir <strong>la</strong>s condiciones para <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to al tratami<strong>en</strong>to (art. 7). Se <strong>de</strong>be prestar<br />
especial at<strong>en</strong>ción al tema d<strong>el</strong> uso <strong>de</strong> <strong>la</strong>s cookies, regu<strong>la</strong>do por <strong>el</strong> art. 22.2 <strong>de</strong> <strong>la</strong> Ley<br />
34/2002.<br />
• Cumplir <strong>el</strong> <strong>de</strong>recho al olvido y supresión (art. 17).<br />
• Cumplir <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> portabilidad <strong>de</strong> los datos (art. 18).<br />
Habrá que añadir procedimi<strong>en</strong>tos para <strong>la</strong> evaluación <strong>de</strong> impacto <strong>de</strong> los tratami<strong>en</strong>tos que <strong>en</strong>trañ<strong>en</strong><br />
riesgos específicos para los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los interesados (art. 33), cambiando<br />
<strong>la</strong> forma <strong>de</strong> aplicar actualm<strong>en</strong>te <strong>la</strong>s medidas <strong>de</strong> seguridad contemp<strong>la</strong>das <strong>en</strong> <strong>el</strong> RLOPD.<br />
Habrá que añadir procedimi<strong>en</strong>tos para notificación y consulta previa a <strong>la</strong> Autoridad <strong>de</strong> Control<br />
(art. 34) y <strong>de</strong>saparecerá <strong>la</strong> obligación actual <strong>de</strong> inscripción <strong>de</strong> creación, modificación o supresión<br />
<strong>de</strong> los tratami<strong>en</strong>tos (Capítulo II d<strong>el</strong> RLOPD).<br />
Con respecto a <strong>la</strong> obligación actual <strong>de</strong> realizar auditorías bi<strong>en</strong>ales (art. 96 RLOPD), <strong>el</strong> nuevo<br />
Reg<strong>la</strong>m<strong>en</strong>to no exige esos p<strong>la</strong>zos, indicando únicam<strong>en</strong>te que <strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to<br />
implem<strong>en</strong>tará mecanismos para verificar <strong>la</strong> eficacia <strong>de</strong> <strong>la</strong>s medidas aplicadas (art. 22.3). Las<br />
PYMES <strong>de</strong>berían implem<strong>en</strong>tar procedimi<strong>en</strong>tos, protocolos y herrami<strong>en</strong>tas que les permitan<br />
regu<strong>la</strong>r <strong>la</strong>s activida<strong>de</strong>s d<strong>el</strong> personal, prev<strong>en</strong>ir los actos no conformes con dicha regu<strong>la</strong>ción, mitigando<br />
los riesgos y <strong>en</strong> su caso obt<strong>en</strong>er pistas <strong>de</strong> auditoría y logs.<br />
21
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
La propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to. Análisis DAFO. Estrategias<br />
ORIGEN INTERNO<br />
POSITIVO<br />
FORTALEZAS<br />
(Factores internos que favorec<strong>en</strong> o impulsan<br />
<strong>la</strong> aplicación d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to)<br />
• Aum<strong>en</strong>ta <strong>la</strong> responsabilidad <strong>en</strong> <strong>la</strong> imp<strong>la</strong>ntación <strong>de</strong><br />
mecanismos que garantic<strong>en</strong> <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong><br />
los nuevos principios como <strong>el</strong> <strong>de</strong> “Accountability”<br />
y <strong>la</strong>s obligaciones <strong>en</strong> materia <strong>de</strong> Protección <strong>de</strong><br />
Datos.<br />
• Podrán manejar su propio <strong>en</strong>foque basado <strong>en</strong> <strong>la</strong><br />
exist<strong>en</strong>cia <strong>de</strong> riesgos <strong>en</strong> Protección <strong>de</strong> Datos.<br />
• Fom<strong>en</strong>to <strong>de</strong> <strong>la</strong> autorresponsabilidad.<br />
• Aum<strong>en</strong>to <strong>de</strong> <strong>la</strong> imag<strong>en</strong> profesional, visión más positiva<br />
<strong>de</strong> sus servicios.<br />
• Increm<strong>en</strong>to <strong>de</strong> <strong>la</strong> confianza <strong>de</strong> los ciudadanos <strong>en</strong><br />
<strong>la</strong> PYME.<br />
• Facilita <strong>el</strong> diseño <strong>de</strong> estrategias <strong>de</strong> empresa alineadas<br />
con <strong>la</strong> normativa<br />
• Amplia <strong>la</strong> marca empresarial <strong>de</strong> confianza <strong>en</strong> <strong>privacidad</strong><br />
y capacidad <strong>de</strong> atraer usuarios.<br />
• Capacidad <strong>de</strong> adaptación a <strong>la</strong> nueva normativa <strong>de</strong><br />
<strong>la</strong>s PYMES que ya cump<strong>la</strong>n.<br />
Análisis DAFO<br />
NEGATIVO<br />
DEBILIDADES<br />
(Factores internos que limitan o reduc<strong>en</strong> <strong>la</strong><br />
capacidad <strong>de</strong> <strong>la</strong> PYME <strong>en</strong> <strong>la</strong> aplicación d<strong>el</strong><br />
Reg<strong>la</strong>m<strong>en</strong>to)<br />
• T<strong>en</strong>drán obligación <strong>de</strong> conservar <strong>la</strong> docum<strong>en</strong>tación<br />
<strong>de</strong> todas <strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>tos <strong>de</strong> datos<br />
efectuadas bajo su responsabilidad<br />
• Deberán <strong>el</strong>aborar y aplicar políticas internas <strong>de</strong><br />
protección <strong>de</strong> datos que <strong>de</strong>n cumplimi<strong>en</strong>tos al<br />
principio d<strong>el</strong> “Privacy by <strong>de</strong>sing” y <strong>el</strong> <strong>de</strong> “Privacy<br />
by <strong>de</strong>fault”.<br />
• Necesitarán programas <strong>de</strong> formación <strong>de</strong> empleados.<br />
• Estarán obligadas a pre-evaluar <strong>el</strong> impacto <strong>en</strong> materia<br />
<strong>de</strong> protección <strong>de</strong> datos <strong>de</strong> cada una <strong>de</strong> <strong>la</strong>s activida<strong>de</strong>s<br />
y productos <strong>de</strong>sarrol<strong>la</strong>dos.<br />
• Deberán notificar los inci<strong>de</strong>ntes graves <strong>de</strong> seguridad.<br />
• Mayor riesgo <strong>de</strong> sanciones.<br />
• Limitación <strong>de</strong> recursos humanos, económicos y<br />
técnicos.<br />
ORIGEN EXTERNO<br />
OPORTUNIDADES<br />
(Factores externos que pue<strong>de</strong>n suponer<br />
una v<strong>en</strong>taja para <strong>la</strong> PYME <strong>en</strong> <strong>la</strong> aplicación<br />
d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to)<br />
• Eliminación <strong>de</strong> <strong>la</strong> obligación <strong>de</strong> notificar y registrar<br />
los ficheros <strong>de</strong> datos personales ante <strong>la</strong> autoridad<br />
<strong>de</strong> control.<br />
• Permit<strong>en</strong> <strong>la</strong> <strong>en</strong>trada <strong>en</strong> mercados transfronterizos<br />
con mayores garantías <strong>de</strong> seguridad.<br />
• Nuevos cli<strong>en</strong>tes internacionales con mayores garantías<br />
<strong>de</strong>rivadas <strong>de</strong> <strong>la</strong> armonización <strong>de</strong> <strong>de</strong>rechos.<br />
• Simplificación <strong>de</strong> <strong>la</strong>s cargas administrativas <strong>de</strong> protección<br />
<strong>de</strong> datos para <strong>la</strong>s PYMES.<br />
• Legis<strong>la</strong>ción más c<strong>la</strong>ra.<br />
• Mayor posibilidad <strong>de</strong> pres<strong>en</strong>cia internacional y más<br />
facilidad para <strong>la</strong>s posibilida<strong>de</strong>s <strong>de</strong> expansión <strong>de</strong><br />
los negocios <strong>en</strong> <strong>la</strong> UE.<br />
• Mayor transpar<strong>en</strong>cia para los ciudadanos.<br />
• Protege uno <strong>de</strong> los activos más valiosos <strong>de</strong> <strong>la</strong><br />
PYME, los datos personales <strong>de</strong> cli<strong>en</strong>tes, recursos<br />
humanos, etc.<br />
• La Comisión se ocupará <strong>de</strong> facilitar <strong>la</strong> adopción <strong>de</strong><br />
medidas específicas para <strong>la</strong>s PYMES y <strong>el</strong> establecimi<strong>en</strong>to<br />
<strong>de</strong> formu<strong>la</strong>rios y procedimi<strong>en</strong>tos normalizados<br />
para <strong>la</strong>s comunicaciones a los interesados,<br />
incluido <strong>el</strong> formato <strong>el</strong>ectrónico.<br />
AMENAZAS<br />
(Factores externos que pue<strong>de</strong>n impedir o<br />
dificultar <strong>la</strong> aplicación d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to <strong>en</strong><br />
<strong>la</strong> PYME)<br />
• Obligación <strong>de</strong> cooperar y r<strong>en</strong>dir cu<strong>en</strong>tas no sólo<br />
ante <strong>la</strong> autoridad <strong>de</strong> control nacional sino también<br />
ante <strong>la</strong> Comisión.<br />
• Para prestación <strong>de</strong> servicios <strong>de</strong> <strong>la</strong> sociedad <strong>de</strong> <strong>la</strong><br />
información <strong>de</strong>berán obt<strong>en</strong>er <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to<br />
previo <strong>de</strong> los padres o tutores <strong>de</strong> los m<strong>en</strong>ores <strong>de</strong><br />
13 años para que <strong>el</strong> tratami<strong>en</strong>to sea lícito.<br />
• Asumirán <strong>la</strong> carga <strong>de</strong> <strong>la</strong> prueba <strong>de</strong> <strong>la</strong> prestación d<strong>el</strong><br />
cons<strong>en</strong>timi<strong>en</strong>to por <strong>el</strong> interesado.<br />
• Deberán adoptar los mecanismos a<strong>de</strong>cuados para<br />
garantizar <strong>el</strong> <strong>de</strong>recho al olvido y a <strong>la</strong> portabilidad <strong>de</strong><br />
los datos, <strong>en</strong> su caso.<br />
• Deberán notificar <strong>la</strong>s brechas <strong>de</strong> seguridad.<br />
• Existirá brecha digital <strong>en</strong>tre aqu<strong>el</strong><strong>la</strong>s PYMES que<br />
ti<strong>en</strong><strong>en</strong> mayor capacidad para <strong>el</strong> cumplimi<strong>en</strong>to y <strong>la</strong>s<br />
que no.<br />
22
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Análisis DAFO<br />
Así, se propon<strong>en</strong> inicialm<strong>en</strong>te como estrategias <strong>la</strong>s sigui<strong>en</strong>tes:<br />
ESTRATÉGIAS<br />
• Promover acciones específicas dirigidas a <strong>la</strong>s PYMES <strong>en</strong> materia <strong>de</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s obligaciones<br />
<strong>de</strong> protección <strong>de</strong> datos.<br />
• Analizar y <strong>de</strong>tectar cuales son <strong>la</strong>s necesida<strong>de</strong>s más comunes para facilitar <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong><br />
modo estandarizado.<br />
• Evaluar y promocionar a través <strong>de</strong> los medios <strong>de</strong> comunicación acciones <strong>de</strong> s<strong>en</strong>sibilización.<br />
• Realizar campañas y programas <strong>de</strong> formación a los empleados <strong>de</strong> <strong>la</strong>s PYMES.<br />
• Desarrol<strong>la</strong>r mod<strong>el</strong>os y prácticas normalizadas que proporcion<strong>en</strong> un <strong>en</strong>foque <strong>de</strong> sus riesgos <strong>en</strong><br />
protección <strong>de</strong> datos que se perfile sost<strong>en</strong>ible y r<strong>en</strong>table <strong>en</strong> <strong>el</strong> tiempo.<br />
La propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to.<br />
El <strong>futuro</strong>. ¿Aprobación. ¿No aprobación. Evolución.<br />
No <strong>de</strong>bemos tampoco olvidar los datos que nos pres<strong>en</strong>tan diversos estudios y <strong>en</strong>cuestas realizados<br />
por Consultoras y Empresas refer<strong>en</strong>tes mundiales d<strong>el</strong> sector, y que pon<strong>en</strong> <strong>de</strong> manifiesto<br />
como <strong>la</strong>s PYMES o bi<strong>en</strong> sigu<strong>en</strong> sin t<strong>en</strong>er <strong>el</strong> niv<strong>el</strong> <strong>de</strong> preocupación recom<strong>en</strong>dable fr<strong>en</strong>te<br />
a <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong> información (inci<strong>de</strong>ncias, ataques, ciberseguridad), o bi<strong>en</strong> se consi<strong>de</strong>ran<br />
incapaces <strong>de</strong> afrontar<strong>la</strong>s dada <strong>la</strong> v<strong>el</strong>ocidad <strong>de</strong> evolución y <strong>de</strong>sarrollo <strong>de</strong> tales inci<strong>de</strong>ncias y <strong>de</strong><br />
<strong>la</strong> tecnología necesaria para <strong>en</strong>fr<strong>en</strong>tarse a <strong>el</strong><strong>la</strong>s junto con <strong>la</strong> diversidad y complejidad <strong>de</strong> reg<strong>la</strong>m<strong>en</strong>taciones<br />
(LOPD, RLOPD, LSSI-CE, LISI, LGT, LPI… ), que <strong>de</strong>b<strong>en</strong> ser contemp<strong>la</strong>das, interpretadas<br />
e implem<strong>en</strong>tadas <strong>en</strong> sus organizaciones.<br />
Todo esto no hace más que increm<strong>en</strong>tar <strong>el</strong> niv<strong>el</strong> <strong>de</strong> incertidumbre <strong>de</strong> <strong>la</strong>s PYMES (obviam<strong>en</strong>te<br />
refiriéndonos a aqu<strong>el</strong><strong>la</strong>s PYMES “cumplidoras” <strong>de</strong> acuerdo a <strong>la</strong>s estadísticas) fr<strong>en</strong>te a <strong>la</strong> aprobación,<br />
no aprobación o aprobación con mayores o m<strong>en</strong>ores modificaciones <strong>de</strong> <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, que contemp<strong>la</strong>n, inmersas <strong>en</strong> <strong>la</strong> crisis económica<br />
actual, <strong>la</strong> carga adicional que pue<strong>de</strong> implicar su aprobación, tanto económica como <strong>de</strong> procesos<br />
<strong>de</strong> trabajo y procedimi<strong>en</strong>tos <strong>de</strong> docum<strong>en</strong>tación e información.<br />
Conforme al articu<strong>la</strong>do <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, aparec<strong>en</strong><br />
nuevos (o se modifican <strong>de</strong> forma sustancial los exist<strong>en</strong>tes) <strong>el</strong>em<strong>en</strong>tos, conceptos y situaciones<br />
que le p<strong>la</strong>ntearan a <strong>la</strong>s PYMES, <strong>la</strong> obligación, <strong>en</strong> su proceso <strong>de</strong> adaptación, <strong>de</strong> nuevas medidas,<br />
cambios importantes <strong>en</strong> sus procedimi<strong>en</strong>tos y protocolos <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> <strong>la</strong><br />
información, revisión y modificación <strong>de</strong> su Docum<strong>en</strong>to <strong>de</strong> Seguridad, modificaciones <strong>en</strong> <strong>la</strong> tipología<br />
y tipificación <strong>de</strong> los datos, modificación y a<strong>de</strong>cuación <strong>de</strong> <strong>la</strong>s medidas y niv<strong>el</strong>es <strong>de</strong> seguridad<br />
<strong>en</strong> <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> los datos.<br />
Añadido a esto, como hemos seña<strong>la</strong>do anteriorm<strong>en</strong>te, <strong>la</strong>s PYMES se <strong>en</strong>fr<strong>en</strong>tan a <strong>la</strong> evolución<br />
<strong>de</strong> <strong>la</strong> Tecnología, con nuevas formas y esc<strong>en</strong>arios <strong>de</strong> captura, acceso, tratami<strong>en</strong>to y almac<strong>en</strong>ami<strong>en</strong>to<br />
<strong>de</strong> <strong>la</strong> información, Cloud Computing, acceso remoto, t<strong>el</strong>etrabajo, tablets, smartphones,<br />
(BYOD), bases <strong>de</strong> datos distribuidas, intranets y extranets, big data, comercio<br />
23
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
<strong>el</strong>ectrónico, re<strong>de</strong>s sociales, etc., contemplándolo <strong>de</strong>s<strong>de</strong> dos perspectivas principales: por<br />
un <strong>la</strong>do, <strong>la</strong> adopción y adaptación <strong>de</strong> dichas tecnologías y herrami<strong>en</strong>tas para un mejor <strong>de</strong>sarrollo<br />
<strong>de</strong> <strong>la</strong>s activida<strong>de</strong>s empresariales con una reducción o racionalización <strong>de</strong> los costes unido<br />
a un uso optimizado <strong>de</strong> los recursos, incluy<strong>en</strong>do <strong>la</strong> externalización <strong>de</strong> varios o todos los procesos<br />
<strong>de</strong> gestión <strong>de</strong> <strong>la</strong> empresa, y por otro, <strong>el</strong> uso <strong>de</strong> equipami<strong>en</strong>tos y tiempos <strong>de</strong> trabajo por<br />
parte <strong>de</strong> los empleados para activida<strong>de</strong>s particu<strong>la</strong>res.<br />
Para ambas perspectivas, los órganos directivos <strong>de</strong> <strong>la</strong>s PYMES <strong>de</strong>berán analizar y tomar <strong>de</strong>cisiones<br />
<strong>sobre</strong> cuáles, <strong>en</strong> qué p<strong>la</strong>zos, con qué medios, para qué procesos y qué información<br />
y datos se tratarán con dichas tecnologías y herrami<strong>en</strong>tas, contemp<strong>la</strong>ndo <strong>el</strong> uso <strong>de</strong> <strong>la</strong>s mismas<br />
con parámetros económicos (costes, optimización), <strong>de</strong> recursos humanos (tiempo <strong>de</strong><br />
<strong>de</strong>dicación, productividad) y <strong>de</strong>s<strong>de</strong> <strong>el</strong> punto <strong>de</strong> vista <strong>de</strong> nuestro Estudio, conforme a los requisitos<br />
<strong>en</strong> materia <strong>de</strong> seguridad <strong>de</strong> los datos que establece <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE<br />
<strong>de</strong> Protección <strong>de</strong> Datos <strong>en</strong> su artículo 30, <strong>de</strong>bi<strong>en</strong>do implem<strong>en</strong>tar medidas técnicas, organizativas<br />
y legales para garantizar los niv<strong>el</strong>es <strong>de</strong> seguridad a<strong>de</strong>cuados a los datos que se trat<strong>en</strong>.<br />
Y es aquí cuando se le p<strong>la</strong>ntean nuevas problemáticas a <strong>la</strong>s PYMES. En muchos casos <strong>la</strong>s<br />
PYMES <strong>de</strong>sconoc<strong>en</strong> o no son capaces <strong>de</strong> analizar los riesgos a los que se <strong>en</strong>fr<strong>en</strong>tan, o no ti<strong>en</strong><strong>en</strong><br />
correctam<strong>en</strong>te <strong>de</strong>finidos los procesos internos para po<strong>de</strong>r evaluar a<strong>de</strong>cuadam<strong>en</strong>te <strong>el</strong> impacto<br />
<strong>sobre</strong> <strong>la</strong> <strong>privacidad</strong> <strong>en</strong> <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> los datos y d<strong>el</strong> uso <strong>de</strong> tales tecnologías, o por<br />
su tamaño no pose<strong>en</strong> <strong>la</strong> capacidad necesaria para po<strong>de</strong>r negociar <strong>en</strong> un p<strong>la</strong>no <strong>de</strong> igualdad los<br />
requisitos legales, los contratos y <strong>la</strong>s salvaguardas necesarias con los <strong>en</strong>cargados d<strong>el</strong> tratami<strong>en</strong>to<br />
<strong>en</strong> los casos <strong>de</strong> Cloud Computing o externalización <strong>de</strong> procesos.<br />
24
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
CONCLUSIONES<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos no se <strong>de</strong>be contemp<strong>la</strong>r como una<br />
normativa más, ni como un obstáculo o reto (que lo es, no solo uno sino que repres<strong>en</strong>ta múltiples<br />
retos), sino como una oportunidad, estratégica, para que se <strong>de</strong> a <strong>la</strong> Protección <strong>de</strong> Datos,<br />
a <strong>la</strong> Seguridad <strong>de</strong> <strong>la</strong> información y por lo tanto a <strong>la</strong> Privacidad, <strong>la</strong> importancia capital que <strong>de</strong>be<br />
t<strong>en</strong>er <strong>en</strong> <strong>el</strong> “core” <strong>de</strong> nuestros negocios, ya que <strong>en</strong> pa<strong>la</strong>bras d<strong>el</strong> director <strong>de</strong> <strong>la</strong> Ag<strong>en</strong>cia Españo<strong>la</strong><br />
<strong>de</strong> Protección <strong>de</strong> Datos, D. José Luis Rodríguez Álvarez, “sin protección <strong>de</strong> datos no<br />
hay confianza y sin confianza no habrá un <strong>de</strong>sarrollo sólido <strong>de</strong> <strong>la</strong> economía digital”.<br />
Por lo tanto, <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to pue<strong>de</strong> significar requisitos que es posible convertir<br />
<strong>en</strong> oportunida<strong>de</strong>s:<br />
Oportunidad, <strong>de</strong> afrontar <strong>el</strong> análisis <strong>de</strong> los sistemas <strong>de</strong> información <strong>en</strong> los procesos <strong>de</strong> negocio;<br />
qué información, “los datos”, t<strong>en</strong>emos <strong>en</strong> <strong>el</strong>los, cómo los obt<strong>en</strong>emos, cómo los tratamos,<br />
cuál es <strong>el</strong> flujo <strong>de</strong> los mismos a través <strong>de</strong> los distintos <strong>de</strong>partam<strong>en</strong>tos y procesos <strong>de</strong> <strong>la</strong><br />
organización, cómo <strong>de</strong>bemos analizarlos, tratarlos, salvaguardarlos y llegado <strong>el</strong> caso, <strong>de</strong>struirlos.<br />
Oportunidad, <strong>de</strong> formar a los integrantes <strong>de</strong> <strong>la</strong>s organizaciones d<strong>el</strong> valor que repres<strong>en</strong>ta <strong>la</strong> información,<br />
“los datos”, para <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> los negocios.<br />
Oportunidad, <strong>de</strong> optimizar recursos, <strong>de</strong> aprovechar <strong>la</strong>s v<strong>en</strong>tajas tecnológicas t<strong>en</strong>i<strong>en</strong>do un conocimi<strong>en</strong>to<br />
preciso <strong>de</strong> <strong>la</strong> información, “los datos”, que <strong>la</strong> organización posee, dón<strong>de</strong>, cuándo,<br />
con qué medios o <strong>de</strong> qué manera es manejada.<br />
Oportunidad, para que, tras <strong>la</strong> aprobación, con <strong>la</strong>s modificaciones que result<strong>en</strong>, o <strong>la</strong> no aprobación<br />
<strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, junto <strong>la</strong>s situaciones <strong>de</strong><br />
ataque a <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los últimos meses, se tome <strong>la</strong> a<strong>de</strong>cuada conci<strong>en</strong>cia <strong>de</strong> <strong>la</strong> importancia<br />
<strong>de</strong> <strong>la</strong> <strong>privacidad</strong>, los riegos alre<strong>de</strong>dor <strong>de</strong> <strong>el</strong><strong>la</strong> y que se sepa transmitir <strong>de</strong>s<strong>de</strong> <strong>la</strong> empresa mediante<br />
<strong>la</strong>s medidas legales, técnicas y organizativas <strong>el</strong> valor añadido que supone <strong>la</strong> preservación<br />
<strong>de</strong> <strong>la</strong> <strong>privacidad</strong>, “los datos”.<br />
Oportunidad porque será <strong>la</strong> c<strong>la</strong>ve para conocer y <strong>en</strong>t<strong>en</strong><strong>de</strong>r los procesos <strong>de</strong> negocio y sus<br />
interacciones, pudi<strong>en</strong>do obt<strong>en</strong>er <strong>la</strong> información correcta <strong>en</strong> <strong>el</strong> mom<strong>en</strong>to oportuno. Para <strong>el</strong>lo,<br />
se necesitará conocimi<strong>en</strong>to y <strong>de</strong>dicación <strong>de</strong> <strong>la</strong> dirección y d<strong>el</strong> personal y compromiso con los<br />
procesos, procedimi<strong>en</strong>tos y tecnologías que nos ayu<strong>de</strong>n a implem<strong>en</strong>tar <strong>la</strong>s mejores prácticas<br />
para gestionar “los datos”, y por lo tanto “los datos personales” <strong>de</strong> cli<strong>en</strong>tes, empleados, socios,<br />
personal <strong>de</strong> contacto, proveedores, etc., que se <strong>en</strong>cu<strong>en</strong>tr<strong>en</strong> <strong>en</strong> los sistemas <strong>de</strong> información.<br />
En <strong>de</strong>finitiva, <strong>la</strong>s obligaciones <strong>de</strong> <strong>la</strong>s PYMES, como Responsables d<strong>el</strong> tratami<strong>en</strong>to, se verán<br />
modificadas sustancialm<strong>en</strong>te ya que, <strong>en</strong>tre otras cuestiones, <strong>de</strong>berán añadir políticas internas<br />
para dar cumplimi<strong>en</strong>to a los principios <strong>de</strong> “Privacidad <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño” y “Privacidad por <strong>de</strong>fecto”,<br />
revisar profundam<strong>en</strong>te sus Docum<strong>en</strong>tos <strong>de</strong> seguridad y aplicar medidas <strong>de</strong> seguridad<br />
<strong>en</strong> base a una evaluación <strong>de</strong> riesgos inicial seguida, <strong>en</strong> algunos casos, <strong>de</strong> una evaluación <strong>de</strong><br />
impacto r<strong>el</strong>ativa a <strong>la</strong> Protección <strong>de</strong> datos <strong>de</strong> <strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>to previstas. Todo<br />
25
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
esto supondrá un aum<strong>en</strong>to <strong>de</strong> <strong>la</strong> burocracia y un esfuerzo para <strong>la</strong>s PYMES que t<strong>en</strong>drá que ser<br />
dirigido y tratado <strong>de</strong> forma específica por <strong>la</strong> Comisión.<br />
Una vez superado <strong>el</strong> gran reto <strong>de</strong> adaptación al nuevo Reg<strong>la</strong>m<strong>en</strong>to, se habrá conseguido una<br />
gestión <strong>de</strong> <strong>la</strong> seguridad (<strong>de</strong> los datos personales) basada <strong>en</strong> riesgos, tal y como sigu<strong>en</strong> los<br />
códigos <strong>de</strong> bu<strong>en</strong>as prácticas para sistemas <strong>de</strong> gestión <strong>de</strong> seguridad <strong>de</strong> <strong>la</strong> información (SGSI)<br />
tales como <strong>la</strong> ISO/IEC 27002.<br />
26
Cap. 2<br />
Privacy Impact Assesstm<strong>en</strong>t<br />
y<br />
Privacy by Design
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
28
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
ABSTRACT<br />
En este bloque d<strong>el</strong> estudio, se profundizará <strong>en</strong> dos conceptos es<strong>en</strong>ciales y totalm<strong>en</strong>te novedosos;<br />
los informes <strong>de</strong> impacto <strong>en</strong> <strong>privacidad</strong> y <strong>la</strong> <strong>privacidad</strong> por diseño.<br />
Un PIA (Privacy Impact Assessm<strong>en</strong>t) <strong>de</strong>be ser parte integral d<strong>el</strong> diseño <strong>de</strong> cualquier iniciativa<br />
que pueda p<strong>la</strong>ntear riesgos r<strong>el</strong>evantes <strong>en</strong> <strong>la</strong> <strong>privacidad</strong>. Es una forma <strong>de</strong> gestión <strong>de</strong> riesgos,<br />
que sirve para i<strong>de</strong>ntificar y mitigar riesgos <strong>en</strong> <strong>privacidad</strong> <strong>en</strong> <strong>la</strong> fase inicial <strong>de</strong> un proceso <strong>de</strong><br />
<strong>de</strong>sarrollo <strong>de</strong> un programa o sistema y <strong>de</strong>be incardinarse <strong>en</strong> <strong>el</strong> proceso <strong>de</strong> gestión <strong>de</strong> riesgos<br />
<strong>de</strong> <strong>la</strong> compañía.<br />
La Privacidad por Diseño o Privacy by <strong>de</strong>sign (<strong>en</strong> ad<strong>el</strong>ante PbD, por sus sig<strong>la</strong>s <strong>en</strong> inglés) promueve<br />
una cultura proactiva <strong>en</strong> <strong>la</strong> protección <strong>de</strong> los datos personales. Privacidad como leitmotiv<br />
<strong>en</strong> <strong>la</strong> construcción <strong>de</strong> software y <strong>en</strong> <strong>la</strong> ejecución <strong>de</strong> procesos <strong>de</strong> negocio y soporte <strong>de</strong><br />
cualquier organización. Este concepto fue i<strong>de</strong>ado y promocionado por Ann Cavoukian, Comisaria<br />
<strong>de</strong> Información y Privacidad <strong>de</strong> Ontario, Canadá.<br />
29
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
DESARROLLO<br />
PRIVACY BY DESIGN. OBJETIVOS Y PRINCIPIOS<br />
Los objetivos <strong>de</strong> PbD son: (1) para los ciudadanos, asegurar <strong>la</strong> <strong>privacidad</strong> y obt<strong>en</strong>er <strong>el</strong> control<br />
personal <strong>de</strong> su información y, (2) para <strong>la</strong>s organizaciones, una v<strong>en</strong>taja competitiva sost<strong>en</strong>ible.<br />
Para alcanzar dichos objetivos, se propon<strong>en</strong> los sigui<strong>en</strong>tes 7 Principios Fundam<strong>en</strong>tales basados<br />
<strong>en</strong> <strong>la</strong>s publicaciones <strong>de</strong> <strong>la</strong> Comisión <strong>de</strong> Información y Privacidad <strong>de</strong> Ontario:<br />
1. Proactividad versus Reactividad; Enfoque Prev<strong>en</strong>tivo versus Correctivo. PbD requiere<br />
<strong>de</strong> una actuación positiva y con carácter ex ante por parte <strong>de</strong> <strong>la</strong>s organizaciones, ori<strong>en</strong>tada<br />
a hacer prevalecer <strong>la</strong> <strong>privacidad</strong> d<strong>el</strong> usuario y su libertad <strong>de</strong> <strong>el</strong>ección.<br />
2. Privacidad como configuración por <strong>de</strong>fecto: Los datos personales estarán protegidos<br />
automáticam<strong>en</strong>te <strong>en</strong> cualquier sistema <strong>de</strong> información o <strong>en</strong> cualquier proceso <strong>de</strong> negocio.<br />
3. Privacidad Integrada <strong>en</strong> <strong>el</strong> Diseño: PbD <strong>de</strong>be estar integrada <strong>en</strong> <strong>el</strong> diseño y arquitectura<br />
<strong>de</strong> los sistemas <strong>de</strong> TI y <strong>en</strong> los procesos <strong>de</strong> negocio. La <strong>privacidad</strong> se convierte <strong>en</strong> un <strong>el</strong>em<strong>en</strong>to<br />
es<strong>en</strong>cial <strong>de</strong> <strong>la</strong> funcionalidad.<br />
4. Funcionalidad Total – “Suma Positiva”: Privacidad como activo para <strong>el</strong> negocio. En contraposición<br />
<strong>de</strong> una visión <strong>en</strong> <strong>la</strong> cual una <strong>de</strong> <strong>la</strong>s partes <strong>de</strong>be per<strong>de</strong>r para que <strong>la</strong> otra gane<br />
(suma cero) – por ejemplo, asumi<strong>en</strong>do que hay que ce<strong>de</strong>r <strong>privacidad</strong> para ganar seguridad.<br />
Minimizando <strong>la</strong> posible dicotomía <strong>en</strong>tre <strong>privacidad</strong> y seguridad.<br />
5. Seguridad Punto-a-Punto. Protección Completa d<strong>el</strong> Ciclo <strong>de</strong> Vida <strong>de</strong> los Datos: garantizando<br />
una administración segura d<strong>el</strong> ciclo <strong>de</strong> vida <strong>de</strong> <strong>la</strong> información <strong>de</strong>s<strong>de</strong> <strong>el</strong> inicio hasta<br />
<strong>el</strong> final.<br />
6. Visibilidad y Transpar<strong>en</strong>cia. Mant<strong>en</strong>erlo Abierto: Objetivos, políticas y procedimi<strong>en</strong>tos<br />
<strong>de</strong> <strong>privacidad</strong> c<strong>la</strong>ram<strong>en</strong>te establecidos y accesibles para los usuarios, así como verificables<br />
por estos o por terceras partes.<br />
7. Respeto por <strong>la</strong> Privacidad <strong>de</strong> los Usuarios – Mant<strong>en</strong>er un Enfoque C<strong>en</strong>trado <strong>en</strong> <strong>el</strong> Usuario:<br />
Por <strong>en</strong>cima <strong>de</strong> todo, PbD requiere mant<strong>en</strong>er <strong>el</strong> interés <strong>de</strong> los usuarios <strong>en</strong> una posición<br />
prioritaria, ofreciéndoles por <strong>de</strong>fecto medidas robustas <strong>de</strong> <strong>privacidad</strong>, notificaciones apropiadas<br />
y facilitando opciones amigables para <strong>el</strong> usuario.<br />
1. PET: Privacy Enhancing Technologies<br />
INICIATIVAS DE LA INDUSTRIA:<br />
Nuestra legis<strong>la</strong>ción actual ya contemp<strong>la</strong>ba <strong>la</strong> necesidad <strong>de</strong> que cualquier tecnología o proceso<br />
<strong>de</strong> negocio <strong>de</strong>stinado a tratar datos personales contemp<strong>la</strong>ra los necesarios requisitos<br />
<strong>de</strong> seguridad, <strong>de</strong>ntro d<strong>el</strong> Título VIII d<strong>el</strong> RLOPD.<br />
Las Privacy Enhancing Technologies (PETs) o tecnologías ori<strong>en</strong>tadas a mejorar <strong>la</strong> <strong>privacidad</strong>,<br />
compr<strong>en</strong><strong>de</strong>n los sistemas <strong>de</strong> información, <strong>la</strong>s comunicaciones y los servicios que per-<br />
30
mit<strong>en</strong> al usuario proteger <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> su información, contro<strong>la</strong>ndo <strong>el</strong> acceso a sus<br />
datos y evitando <strong>el</strong> procesami<strong>en</strong>to innecesario, facilitando <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> los requerimi<strong>en</strong>tos<br />
<strong>de</strong> <strong>privacidad</strong> sin per<strong>de</strong>r funcionalidad. Las PETs proporcionan ayuda al usuario<br />
para po<strong>de</strong>r contro<strong>la</strong>r y ejercer sus <strong>de</strong>rechos <strong>de</strong> <strong>privacidad</strong>, buscando proporcionar: anonimato<br />
o pseudonimia, inobservabilidad e imposibilidad <strong>de</strong> vincu<strong>la</strong>ción<br />
2. ¿Qué está haci<strong>en</strong>do <strong>la</strong> industria d<strong>el</strong> software<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Muchos fabricantes <strong>de</strong> software como Microsoft o IBM, <strong>en</strong>tre otros, conci<strong>en</strong>ciados con <strong>la</strong><br />
necesidad <strong>de</strong> proteger <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los usuarios, han <strong>de</strong>sarrol<strong>la</strong>do tecnologías para proteger<br />
y para gestionar <strong>la</strong> <strong>privacidad</strong>, los Privacy - I<strong>de</strong>ntity Managem<strong>en</strong>t System son ejemplos<br />
<strong>de</strong> tecnologías <strong>en</strong> auge cuya finalidad es preservar <strong>la</strong> <strong>privacidad</strong> d<strong>el</strong> usuario, proporcionándole<br />
<strong>la</strong> capacidad <strong>de</strong> contro<strong>la</strong>r sus datos personales y negociar los términos <strong>de</strong> uso.<br />
Por lo g<strong>en</strong>eral, los fabricantes están haci<strong>en</strong>do que sus herrami<strong>en</strong>tas incorpor<strong>en</strong> funcionalida<strong>de</strong>s<br />
como <strong>la</strong>s sigui<strong>en</strong>tes:<br />
• Recopi<strong>la</strong>ción <strong>de</strong> los mínimos datos necesarios.<br />
• Evitar <strong>el</strong> uso o <strong>el</strong> procesami<strong>en</strong>to innecesario <strong>de</strong> datos personales sin pérdida <strong>de</strong> funcionalidad<br />
d<strong>el</strong> sistema <strong>de</strong> información.<br />
• Ejercer <strong>el</strong> control <strong>de</strong> acceso a los datos para <strong>el</strong> propósito establecido y para los usuarios<br />
y procesos autorizados.<br />
• Proporcionar <strong>el</strong> acceso parcial o totalm<strong>en</strong>te anónimo.<br />
• Cifrar información.<br />
• Cons<strong>en</strong>timi<strong>en</strong>to informado d<strong>el</strong> acceso a los datos personales.<br />
• Negociar <strong>la</strong> aplicabilidad <strong>de</strong> <strong>la</strong> política <strong>de</strong> <strong>privacidad</strong> <strong>de</strong> acceso a los datos con <strong>el</strong> usuario<br />
y su implem<strong>en</strong>tación.<br />
• Registro, trazabilidad y cumplimi<strong>en</strong>to.<br />
Otro ejemplo lo t<strong>en</strong>emos <strong>en</strong> OASIS (Organization for the Advancem<strong>en</strong>t of Structured Information<br />
Standards), Comité Técnico <strong>de</strong>dicado a impulsar <strong>el</strong> <strong>de</strong>sarrollo, converg<strong>en</strong>cia y<br />
adopción <strong>de</strong> estándares abiertos para <strong>la</strong> sociedad global <strong>de</strong> <strong>la</strong> información. Algunos <strong>de</strong> los<br />
estándares impulsados por OASIS están ori<strong>en</strong>tados a proteger <strong>la</strong> <strong>privacidad</strong> d<strong>el</strong> usuario<br />
sirvi<strong>en</strong>do <strong>de</strong> refer<strong>en</strong>cia para <strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> políticas <strong>de</strong> seguridad y <strong>privacidad</strong>, animando<br />
a <strong>la</strong>s organizaciones a incluir <strong>la</strong> <strong>privacidad</strong> <strong>en</strong> <strong>el</strong> diseño y <strong>en</strong> <strong>la</strong> arquitectura.<br />
Algunas <strong>de</strong> sus publicaciones están <strong>de</strong>dicadas totalm<strong>en</strong>te a <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> datos:<br />
• OASIS Privacy by Design Docum<strong>en</strong>tation for Software Engineers (PbD-SE) TC<br />
• OASIS Privacy Managem<strong>en</strong>t Refer<strong>en</strong>ce Mod<strong>el</strong> (PMRM) TC<br />
RELACIÓN PbD y PIAs<br />
La Privacidad por Diseño parte d<strong>el</strong> supuesto <strong>de</strong> que para su puesta <strong>en</strong> marcha se han realizado<br />
PIAs <strong>sobre</strong> <strong>la</strong> información, finalida<strong>de</strong>s d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos, los sistemas <strong>de</strong> información<br />
y <strong>de</strong>más medios que interv<strong>en</strong>drán <strong>en</strong> <strong>el</strong> tratami<strong>en</strong>to.<br />
31
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
En este s<strong>en</strong>tido, <strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> PbD <strong>en</strong> todos los ámbitos <strong>de</strong> una organización podría<br />
conllevar <strong>la</strong> realización <strong>de</strong> varios PIAs, <strong>en</strong> función <strong>de</strong> <strong>la</strong> complejidad <strong>de</strong> <strong>la</strong>s finalida<strong>de</strong>s <strong>de</strong> tratami<strong>en</strong>to,<br />
los datos personales que son tratados <strong>en</strong> r<strong>el</strong>ación con cada finalidad y <strong>la</strong> propia actividad<br />
<strong>de</strong> negocio.<br />
Los conceptos <strong>de</strong> Privacy by Design, Privacy by Default y Privacy Impact Assessm<strong>en</strong>t implican<br />
<strong>la</strong> necesidad <strong>de</strong> imp<strong>la</strong>ntar unos criterios <strong>de</strong> gestión <strong>de</strong> riesgos y <strong>de</strong> consi<strong>de</strong>rar los aspectos<br />
<strong>de</strong> <strong>privacidad</strong> <strong>de</strong>s<strong>de</strong> su concepción.<br />
Se trata <strong>de</strong> cambiar <strong>la</strong> forma <strong>en</strong> cómo <strong>la</strong>s organizaciones se <strong>en</strong>fr<strong>en</strong>tan al respeto a <strong>la</strong> <strong>privacidad</strong>,<br />
convirtiéndolo <strong>en</strong> algo proactivo y no reactivo, focalizándose <strong>en</strong> <strong>la</strong> prev<strong>en</strong>ción <strong>de</strong> forma<br />
efectiva y eficaz.<br />
METODOLOGÍA<br />
En cualquier organización todos ti<strong>en</strong><strong>en</strong> una responsabilidad directa o indirecta <strong>en</strong> r<strong>el</strong>ación con <strong>la</strong><br />
<strong>privacidad</strong>. Sin embargo, <strong>de</strong>be reconocerse que <strong>la</strong> i<strong>de</strong>ntificación <strong>de</strong> quiénes ti<strong>en</strong><strong>en</strong> a su cargo<br />
dicha responsabilidad pue<strong>de</strong> ser una tarea compleja. En este s<strong>en</strong>tido y para ayudar <strong>en</strong> esta tarea,<br />
<strong>la</strong> Comisión <strong>de</strong> Información y Privacidad <strong>de</strong> Ontario propone <strong>el</strong> sigui<strong>en</strong>te mod<strong>el</strong>o:<br />
D<strong>el</strong> mismo modo, para ayudar a los interesados <strong>en</strong> su aplicación, ha <strong>de</strong>sarrol<strong>la</strong>do una “Guía<br />
<strong>de</strong> Implem<strong>en</strong>tación” <strong>en</strong> <strong>la</strong> que explica <strong>la</strong>s “acciones” requeridas para implem<strong>en</strong>tar los 7 principios<br />
<strong>de</strong> PbD, que pue<strong>de</strong>n resumirse <strong>de</strong> <strong>la</strong> sigui<strong>en</strong>te forma:<br />
32
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Principio 1. Proactivo, no Reactivo; Prev<strong>en</strong>tivo no Correctivo<br />
Objetivo<br />
Anticipar y evitar<br />
inci<strong>de</strong>ntes<br />
Acciones<br />
1. Programa <strong>de</strong> <strong>privacidad</strong> sólido y proactivo fom<strong>en</strong>tado por <strong>la</strong> Alta<br />
Dirección.<br />
2. Integración <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> <strong>en</strong> <strong>el</strong> resto <strong>de</strong> procesos y<br />
operaciones <strong>de</strong> <strong>la</strong> organización.<br />
3. Métodos sistemáticos para evaluar riesgos <strong>de</strong> <strong>privacidad</strong> y<br />
seguridad.<br />
4. Fom<strong>en</strong>tar prácticas <strong>de</strong> <strong>privacidad</strong> probadam<strong>en</strong>te compartidas<br />
por diversas comunida<strong>de</strong>s <strong>de</strong> usuarios e interesados, <strong>en</strong> una<br />
cultura <strong>de</strong> mejora continua.<br />
Responsables<br />
Alta Dirección<br />
(Consejo <strong>de</strong><br />
Administración, CEO,<br />
CPO, CIO, COO,<br />
CSO, propietarios).<br />
Objetivo<br />
Principio 2. La Privacidad como configuración por <strong>de</strong>fecto<br />
Acciones<br />
Responsables<br />
Garantizar <strong>la</strong><br />
<strong>privacidad</strong> <strong>de</strong> los<br />
usuarios <strong>de</strong><br />
manera<br />
automática<br />
1. Finalida<strong>de</strong>s específicas y concretas.<br />
2. Minimizar <strong>la</strong> recogida <strong>de</strong> datos únicam<strong>en</strong>te a lo estrictam<strong>en</strong>te<br />
necesario.<br />
3. Limitar <strong>el</strong> uso <strong>de</strong> los datos personales a <strong>la</strong> finalidad para <strong>la</strong> cual<br />
fueron recabados.<br />
4. Políticas y procedimi<strong>en</strong>tos que evit<strong>en</strong> fugas <strong>de</strong> datos.<br />
Ing<strong>en</strong>ieros <strong>de</strong><br />
software.<br />
Responsables<br />
funcionales<br />
Responsables <strong>de</strong><br />
procesos y/o negocio<br />
Objetivo<br />
Garantizar que <strong>la</strong><br />
<strong>privacidad</strong> se<br />
convierte <strong>en</strong> un<br />
compon<strong>en</strong>te<br />
es<strong>en</strong>cial <strong>de</strong> <strong>la</strong><br />
funcionalidad.<br />
Principio 3. Privacidad Integrada <strong>en</strong> <strong>el</strong> Diseño<br />
Acciones<br />
1. Realizar PIAs <strong>en</strong> <strong>la</strong> etapa <strong>de</strong> diseño <strong>de</strong> cualquier iniciativa.<br />
2. Procesos y sistemas <strong>de</strong> gestión <strong>de</strong> <strong>la</strong> i<strong>de</strong>ntidad<br />
3. Privacidad <strong>en</strong> <strong>el</strong> ciclo <strong>de</strong> vida d<strong>el</strong> software y <strong>de</strong> los procesos <strong>de</strong><br />
negocio.<br />
4. Integrar <strong>la</strong> <strong>privacidad</strong> <strong>en</strong> los objetivos normativos, (leyes<br />
sectoriales, legis<strong>la</strong>ción g<strong>en</strong>eral, etc.) <strong>de</strong>s<strong>de</strong> un <strong>en</strong>foque guiado<br />
por “<strong>la</strong> flexibilidad, <strong>el</strong> s<strong>en</strong>tido común y <strong>el</strong> pragmatismo”.<br />
Responsables<br />
Responsables<br />
funcionales<br />
Responsables <strong>de</strong><br />
procesos y/o<br />
negocios<br />
Ing<strong>en</strong>ieros <strong>de</strong><br />
software<br />
Regu<strong>la</strong>dores<br />
Principio 4. Funcionalidad Total – “Suma Positiva”, no “Suma Cero”<br />
Objetivo<br />
Minimizar <strong>la</strong><br />
posible dicotomía<br />
<strong>en</strong>tre <strong>privacidad</strong> y<br />
seguridad<br />
Acciones<br />
1. Reconocer que diversos y legítimos intereses <strong>de</strong> negocios<br />
<strong>de</strong>b<strong>en</strong> coexistir.<br />
2. Conocer, participar y asociarse para compr<strong>en</strong><strong>de</strong>r mejor los<br />
múltiples, y a veces diverg<strong>en</strong>tes, intereses involucrados.<br />
Practicar <strong>la</strong>s 3 Cs: comunicación, consulta y co<strong>la</strong>boración.<br />
3. Perseguir soluciones y opciones innovadoras para conseguir<br />
funcionalida<strong>de</strong>s múltiples.<br />
Responsables<br />
Alta Dirección<br />
Responsables<br />
funcionales<br />
Responsables <strong>de</strong><br />
procesos y/o<br />
negocios<br />
Ing<strong>en</strong>ieros <strong>de</strong><br />
software<br />
Principio 5. Seguridad Punto-a-Punto. Protección Completa d<strong>el</strong> Ciclo <strong>de</strong> Vida <strong>de</strong> los Datos<br />
Objetivo<br />
Protección d<strong>el</strong><br />
dato <strong>en</strong> todo su<br />
ciclo <strong>de</strong> vida<br />
Acciones<br />
1. Imp<strong>la</strong>ntar soluciones <strong>de</strong> cifrado <strong>de</strong> datos.<br />
2. Asegurar <strong>la</strong> <strong>de</strong>strucción y <strong>el</strong>iminación segura <strong>de</strong> los datos<br />
personales al final <strong>de</strong> su ciclo <strong>de</strong> vida.<br />
Responsables<br />
Ing<strong>en</strong>ieros <strong>de</strong><br />
software<br />
Responsables<br />
funcionales<br />
Responsables <strong>de</strong><br />
procesos y/o<br />
negocios<br />
33
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
Principio 6. Visibilidad y Transpar<strong>en</strong>cia. Mant<strong>en</strong>erlo Abierto<br />
Objetivo<br />
Cumplimi<strong>en</strong>to <strong>de</strong><br />
<strong>la</strong>s políticas <strong>de</strong><br />
<strong>privacidad</strong><br />
Acciones<br />
1. I<strong>de</strong>ntificación <strong>de</strong> responsables <strong>de</strong> contacto <strong>en</strong> materia <strong>de</strong><br />
<strong>privacidad</strong>.<br />
2. Políticas y procedimi<strong>en</strong>tos accesibles y <strong>en</strong> l<strong>en</strong>guaje s<strong>en</strong>cillo<br />
compr<strong>en</strong>sible para cualquier usuario.<br />
3. Publicación <strong>de</strong> extractos <strong>de</strong> PIAs así como <strong>el</strong> resultado <strong>de</strong><br />
auditorías o certificaciones <strong>de</strong> seguridad.<br />
4. Hacer disponible una lista <strong>de</strong> <strong>la</strong>s bases <strong>de</strong> datos personales que<br />
conserva <strong>en</strong> su organización.<br />
Responsables<br />
Alta Dirección<br />
Ing<strong>en</strong>ieros <strong>de</strong><br />
software<br />
Arquitecto <strong>de</strong><br />
sistemas<br />
Principio 7. Respeto por <strong>la</strong> Privacidad <strong>de</strong> los Usuarios – Mant<strong>en</strong>er un Enfoque C<strong>en</strong>trado <strong>en</strong> <strong>el</strong> Usuario<br />
Objetivo<br />
Protección y<br />
funcionalidad<br />
c<strong>en</strong>trada <strong>en</strong> <strong>el</strong><br />
usuario<br />
Acciones<br />
1. Opciones <strong>de</strong> <strong>privacidad</strong> configuradas por <strong>de</strong>fecto.<br />
2. Proporcionar información a<strong>de</strong>cuada al usuario.<br />
3. Adoptar opciones amigables con <strong>el</strong> usuario:<br />
a) Mant<strong>en</strong>er <strong>la</strong>s prefer<strong>en</strong>cias <strong>de</strong> los usuarios<br />
b) Proporcionar a los usuarios acceso a sus propios datos.<br />
c) Permita <strong>el</strong> acceso a <strong>la</strong>s prácticas <strong>de</strong> gestión <strong>de</strong> <strong>la</strong> información<br />
<strong>de</strong> su organización.<br />
Responsables<br />
Alta Dirección<br />
Ing<strong>en</strong>ieros <strong>de</strong><br />
software<br />
Responsables<br />
funcionales<br />
Responsables <strong>de</strong><br />
procesos y/o<br />
negocios<br />
CONCEPTO PIA<br />
ELABORACIÓN DE INFORMES DE IMPACTO DE PRIVACIDAD<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to europeo <strong>de</strong> Protección <strong>de</strong> Datos publicada por <strong>la</strong> Comisión <strong>el</strong><br />
25 <strong>de</strong> <strong>en</strong>ero <strong>de</strong> 2012, regu<strong>la</strong> <strong>en</strong> su art. 33 <strong>la</strong> evaluación <strong>de</strong> impacto r<strong>el</strong>ativa a <strong>la</strong> protección <strong>de</strong><br />
datos estableci<strong>en</strong>do <strong>la</strong> obligación <strong>de</strong> que los Responsables y Encargados d<strong>el</strong> Tratami<strong>en</strong>to llev<strong>en</strong><br />
a cabo una evaluación <strong>de</strong> impacto <strong>de</strong> <strong>la</strong> protección <strong>de</strong> datos (conocida internacionalm<strong>en</strong>te<br />
como PIA o Privacy Impact Assessm<strong>en</strong>t) cuando existan riesgos específicos para los <strong>de</strong>rechos<br />
y liberta<strong>de</strong>s <strong>de</strong> los interesados con motivo <strong>de</strong> su naturaleza, alcance o fines. Y se <strong>de</strong>tal<strong>la</strong>n<br />
<strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>to que <strong>en</strong>trañan riesgos específicos.<br />
Por tanto, proce<strong>de</strong> a continuación analizar qué es un PIA y para qué sirve.<br />
Se pue<strong>de</strong> <strong>de</strong>finir a un PIA como un proceso o metodología para <strong>de</strong>terminar los riesgos o impactos<br />
que una propuesta o proyecto ti<strong>en</strong>e <strong>en</strong> <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los individuos así como para<br />
<strong>de</strong>terminar los medios o soluciones para mitigar o evitar dichos riesgos o impactos negativos.<br />
Un PIA consiste <strong>en</strong> una i<strong>de</strong>ntificación y evaluación, con mayor o m<strong>en</strong>or profundidad, <strong>de</strong> los<br />
pot<strong>en</strong>ciales riesgos y efectos que <strong>en</strong> los aspectos y requerimi<strong>en</strong>tos <strong>de</strong> <strong>privacidad</strong> podrían<br />
t<strong>en</strong>er nuevos servicios, operaciones, procesos, proyectos, programas, iniciativas, políticas,<br />
sistemas, productos o tecnologías, dado que implican tratami<strong>en</strong>tos <strong>de</strong> datos personales y<br />
produce como resultado una respuesta <strong>sobre</strong> si se aceptan, mitigan o evitan dichos riesgos<br />
i<strong>de</strong>ntificando <strong>la</strong>s soluciones o medios correspondi<strong>en</strong>tes.<br />
Un PIA pue<strong>de</strong> ayudar a una organización a ganarse <strong>la</strong> confianza d<strong>el</strong> usuario <strong>en</strong> que <strong>la</strong> <strong>privacidad</strong><br />
ha sido t<strong>en</strong>ida <strong>en</strong> cu<strong>en</strong>ta <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño d<strong>el</strong> proyecto, tecnología o servicio. Demuestra<br />
que esa organización consi<strong>de</strong>ra <strong>la</strong> <strong>privacidad</strong> una prioridad.<br />
34
Es un proceso que <strong>de</strong>bería com<strong>en</strong>zar lo más pronto posible cuando todavía hay oportunidad<br />
para influ<strong>en</strong>ciar <strong>en</strong> <strong>el</strong> diseño y <strong>de</strong>talles finales d<strong>el</strong> proyecto <strong>en</strong> cuestión. Los costes <strong>de</strong> hacer<br />
cambios aum<strong>en</strong>tan cuanto más tar<strong>de</strong> se realic<strong>en</strong> <strong>en</strong> un proyecto.<br />
EXPERIENCIA INTERNACIONAL<br />
Actualm<strong>en</strong>te hay difer<strong>en</strong>tes países, Estados y regiones (caso <strong>de</strong> disponer <strong>de</strong> Autoridad <strong>de</strong><br />
control propia <strong>en</strong> materia <strong>de</strong> Protección <strong>de</strong> Datos) don<strong>de</strong> se vi<strong>en</strong><strong>en</strong> utilizando los PIAs. Exist<strong>en</strong><br />
estudios comparativos <strong>en</strong>tre <strong>el</strong>los con un alto niv<strong>el</strong> <strong>de</strong> granu<strong>la</strong>ridad <strong>en</strong> <strong>el</strong> <strong>de</strong>talle <strong>de</strong> sus especificaciones<br />
y cont<strong>en</strong>ido. Por citar dos <strong>de</strong> <strong>el</strong>los:<br />
• “A Privacy Impact Assessm<strong>en</strong>t Framework for data protection and privacy rights” En él<br />
se analizan los difer<strong>en</strong>tes PIAs según <strong>la</strong>s directrices que marca su correspondi<strong>en</strong>te autoridad<br />
<strong>de</strong> control.<br />
• “An Evaluation of Privacy Impact Assessm<strong>en</strong>t Guidance Docum<strong>en</strong>ts”. Es interesante<br />
porque los c<strong>la</strong>sifica <strong>en</strong> tres grupos <strong>en</strong> función <strong>de</strong> su calidad, con <strong>la</strong> prev<strong>en</strong>ción <strong>de</strong> que<br />
dicha c<strong>la</strong>sificación está sujeta a interpretación y pue<strong>de</strong> variar <strong>en</strong> <strong>el</strong> transcurso d<strong>el</strong><br />
tiempo:<br />
Grupo 1. Calidad insufici<strong>en</strong>te: Forman parte <strong>de</strong> él USA y todos sus estados, Canadá<br />
y todas sus provincias (a excepción <strong>de</strong> Ontario y Alberta) y todos los Estados australianos<br />
(excluy<strong>en</strong>do Victoria).<br />
Grupo 2. Calidad mo<strong>de</strong>rada: Engloba a Nueva Z<strong>el</strong>anda, Australia y Hong Kong.<br />
Grupo 3. Alta calidad: Lo constituy<strong>en</strong>, <strong>en</strong> or<strong>de</strong>n cronológico <strong>de</strong> su publicación Ontario<br />
y Alberta <strong>de</strong> Canadá, Ing<strong>la</strong>terra y Victoria <strong>de</strong> Australia.<br />
TIPOS DE PIAs<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Exist<strong>en</strong> difer<strong>en</strong>tes tipos <strong>de</strong> PIAs <strong>en</strong> función d<strong>el</strong> alcance perseguido: por colectivo <strong>de</strong> usuarios,<br />
tipología <strong>de</strong> información, sistema <strong>de</strong> información o un proceso <strong>de</strong> negocio.<br />
La experi<strong>en</strong>cia inglesa a través <strong>de</strong> <strong>la</strong>s directrices d<strong>el</strong> ICO (Information Commissioner’s Office),<br />
que es su Autoridad <strong>de</strong> control <strong>en</strong> materia <strong>de</strong> protección <strong>de</strong> datos, hab<strong>la</strong> <strong>de</strong> dos tipos concretos<br />
<strong>de</strong> PIA: El Full-scale PIA (PIA a esca<strong>la</strong> completa) y <strong>el</strong> Small-scale PIA (PIA a pequeña esca<strong>la</strong>),<br />
m<strong>en</strong>os formal que <strong>el</strong> anterior y a m<strong>en</strong>udo empleado cuando únicam<strong>en</strong>te se focalizan<br />
aspectos específicos d<strong>el</strong> proyecto.<br />
Un PIA lo podrá efectuar <strong>el</strong> DPO (Data Protection Officer), un profesional externo o un equipo<br />
<strong>de</strong> profesionales. La pregunta que surge es ¿cómo saber a priori, si no disponemos <strong>de</strong> DPO,<br />
si es necesario efectuar un PIA (completo o reducido) o bi<strong>en</strong> po<strong>de</strong>mos prescindir <strong>de</strong> él <strong>de</strong>bido<br />
a <strong>la</strong> naturaleza <strong>de</strong> los datos tratados<br />
Para <strong>el</strong>lo se podrá realizar un PTA (Privacy Threshold Analysis – análisis <strong>de</strong> umbral <strong>de</strong> <strong>privacidad</strong>),<br />
que consiste <strong>en</strong> un análisis previo que nos permitirá <strong>de</strong>terminar si es necesario realizar<br />
un PIA completo o reducido. El PTA será <strong>el</strong> primer análisis a realizar a lo <strong>la</strong>rgo d<strong>el</strong> PIA.<br />
35
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
METODOLOGÍA<br />
No existe una metodología estándar, internacionalm<strong>en</strong>te reconocida, para <strong>el</strong>aborar un PIA. Sin<br />
embargo, <strong>de</strong> <strong>la</strong> experi<strong>en</strong>cia <strong>de</strong> difer<strong>en</strong>tes países don<strong>de</strong> vi<strong>en</strong>e utilizándose <strong>de</strong>s<strong>de</strong> hace algún<br />
tiempo, se pue<strong>de</strong> extraer una forma <strong>de</strong> hacer común que ha dado bu<strong>en</strong>os resultados.<br />
Las difer<strong>en</strong>tes activida<strong>de</strong>s que constituy<strong>en</strong> <strong>el</strong> proceso <strong>de</strong> <strong>el</strong>aborar un PIA, pue<strong>de</strong>n dividirse<br />
<strong>en</strong> cinco fases como recomi<strong>en</strong>da <strong>el</strong> ICO para <strong>el</strong> full-scale PIA. Se resum<strong>en</strong> <strong>en</strong> <strong>la</strong> sigui<strong>en</strong>te ilustración.<br />
A continuación se <strong>de</strong>scribe esta metodología.<br />
Fase 1. Análisis pr<strong>el</strong>iminar<br />
La finalidad <strong>de</strong> ésta fase es verificar si efectivam<strong>en</strong>te es necesario <strong>el</strong> PIA, <strong>en</strong> cuyo<br />
caso se establece una base para po<strong>de</strong>r <strong>el</strong>aborarlo con eficacia y efici<strong>en</strong>cia. Está constituida<br />
por dos activida<strong>de</strong>s:<br />
• Análisis d<strong>el</strong> proyecto: Recopi<strong>la</strong>ción y análisis <strong>de</strong> toda <strong>la</strong> información r<strong>el</strong>acionada<br />
con <strong>el</strong> proyecto.<br />
• PTA (Privacy Threshold Analysis). Su umbral nos ori<strong>en</strong>tará <strong>sobre</strong> <strong>el</strong> niv<strong>el</strong> <strong>de</strong> <strong>de</strong>talle<br />
necesario <strong>en</strong> <strong>la</strong>s difer<strong>en</strong>tes activida<strong>de</strong>s d<strong>el</strong> PIA.<br />
Fase 2. Preparación<br />
Está constituida por dos activida<strong>de</strong>s:<br />
• Diagramas <strong>de</strong> flujos <strong>de</strong> información: Se crean los diagramas y <strong>de</strong>scrib<strong>en</strong> los flujos<br />
<strong>de</strong> información <strong>de</strong> naturaleza personal d<strong>el</strong> proyecto.<br />
36
• Equipo <strong>de</strong> trabajo d<strong>el</strong> PIA: En función <strong>de</strong> <strong>la</strong> magnitud d<strong>el</strong> proyecto, se constituirá<br />
un PCG (PIA Consulting Group – Grupo consultor d<strong>el</strong> PIA), normalm<strong>en</strong>te multidisciplinar<br />
que se <strong>en</strong>cargará <strong>de</strong> apoyar <strong>en</strong> <strong>el</strong> <strong>de</strong>sarrollo d<strong>el</strong> PIA.<br />
Fase 3. Análisis <strong>de</strong> riesgos<br />
Entrevistas con <strong>la</strong>s partes interesadas, un análisis <strong>de</strong> riesgos y <strong>la</strong> búsqueda <strong>de</strong> soluciones<br />
que permitan mitigar los riesgos i<strong>de</strong>ntificados. Está constituida por tres activida<strong>de</strong>s:<br />
• Entrevistas con usuarios: Se recopi<strong>la</strong> toda <strong>la</strong> información <strong>de</strong> <strong>de</strong>talle <strong>en</strong> <strong>el</strong> proyecto<br />
<strong>de</strong>s<strong>de</strong> difer<strong>en</strong>tes puntos <strong>de</strong> vista <strong>en</strong> <strong>el</strong> ámbito <strong>de</strong> <strong>la</strong> <strong>privacidad</strong>.<br />
• Análisis <strong>de</strong> impacto <strong>en</strong> <strong>la</strong> <strong>privacidad</strong>: Se i<strong>de</strong>ntifican <strong>la</strong>s vulnerabilida<strong>de</strong>s d<strong>el</strong> proyecto<br />
y se analiza su impacto <strong>en</strong> <strong>la</strong> <strong>privacidad</strong>. Para <strong>el</strong>lo po<strong>de</strong>mos basarnos <strong>en</strong> los<br />
IPP (Information Privacy Principles), que <strong>en</strong>contramos <strong>en</strong> algunas legis<strong>la</strong>ciones<br />
<strong>de</strong> protección <strong>de</strong> datos que vi<strong>en</strong><strong>en</strong> utilizando PIAS (Ing<strong>la</strong>terra - Data Protection Act<br />
1998, Schedule 1, p. 80 y sigui<strong>en</strong>tes, Victoria, Nueva Z<strong>el</strong>anda).<br />
• Análisis y Gestión <strong>de</strong> riesgos: Parti<strong>en</strong>do d<strong>el</strong> anterior análisis <strong>de</strong> impacto, se evalúa<br />
<strong>la</strong> probabilidad <strong>de</strong> que <strong>la</strong>s am<strong>en</strong>azas <strong>sobre</strong> <strong>la</strong> <strong>privacidad</strong> se materialic<strong>en</strong> y se propone<br />
una estrategia <strong>de</strong> gestión (mitigación, <strong>el</strong>iminación o aceptación justificada d<strong>el</strong><br />
riesgo).<br />
Fase 4. E<strong>la</strong>boración d<strong>el</strong> PIA<br />
Se trata <strong>de</strong> un informe que <strong>de</strong>talle todas <strong>la</strong>s etapas anteriores y finaliza con un apartado<br />
<strong>de</strong> conclusiones y recom<strong>en</strong>daciones.<br />
Fase 5. Revisión y auditoría<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
El propósito <strong>de</strong> esta fase es asegurar que <strong>la</strong>s nuevas características <strong>de</strong> diseño que<br />
surg<strong>en</strong> d<strong>el</strong> PIA se implem<strong>en</strong>t<strong>en</strong> y sean efectivas. Está constituida por dos activida<strong>de</strong>s:<br />
• Auditoría post-PIA: Se trata <strong>de</strong> revisar <strong>el</strong> proyecto para asegurar que se incorpor<strong>en</strong><br />
<strong>en</strong> <strong>el</strong> diseño <strong>la</strong>s recom<strong>en</strong>daciones d<strong>el</strong> PIA.<br />
• Seguimi<strong>en</strong>to periódico: Se t<strong>en</strong>drá <strong>en</strong> cu<strong>en</strong>ta <strong>el</strong> Ciclo <strong>de</strong> Vida d<strong>el</strong> proyecto, ajustando<br />
<strong>el</strong> PIA a <strong>la</strong>s futuras variaciones d<strong>el</strong> mismo<br />
37
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
CONTENIDO DE UN PIA<br />
PROPUESTA DE CONTENIDO DE UN PIA<br />
Apartado<br />
Sec<br />
Subapartado<br />
Consultar fase <strong>en</strong> metodología<br />
I<strong>de</strong>ntificación <strong>de</strong><br />
<strong>la</strong> organización<br />
1.1<br />
1.2<br />
1.3<br />
1.4<br />
Datos i<strong>de</strong>ntificativos<br />
Actividad<br />
Visión, misión, valores<br />
Entorno <strong>de</strong> control <strong>de</strong> <strong>la</strong> <strong>privacidad</strong><br />
I<strong>de</strong>ntificación d<strong>el</strong><br />
proyecto<br />
2.1<br />
2.2<br />
2.3<br />
2.4<br />
Visión <strong>de</strong> conjunto<br />
Objetivos<br />
Alcance<br />
Vínculos con otros proyectos<br />
De <strong>la</strong> FASE 1 (Análisis pr<strong>el</strong>iminar)<br />
Descripción d<strong>el</strong><br />
proyecto y flujos<br />
<strong>de</strong> información<br />
3.1<br />
3.2<br />
3.3<br />
3.4<br />
3.5<br />
3.6<br />
3.7<br />
3.8<br />
Detalles d<strong>el</strong> proyecto<br />
Diagrama <strong>de</strong> flujos <strong>de</strong> información<br />
Recogida <strong>de</strong> información personal<br />
Tratami<strong>en</strong>to información personal<br />
Cesiones <strong>de</strong> información personal<br />
Calidad <strong>de</strong> los datos<br />
Seguridad <strong>de</strong> los datos<br />
Acceso y Rectificación<br />
De <strong>la</strong> FASE 2 (Diagramación <strong>de</strong><br />
flujos <strong>de</strong> información)<br />
Análisis <strong>de</strong><br />
<strong>privacidad</strong><br />
4.1<br />
4.2<br />
4.3<br />
4.4<br />
4.5<br />
4.6<br />
4.7<br />
En <strong>la</strong> recogida<br />
En los tratami<strong>en</strong>tos<br />
En <strong>la</strong>s cesiones<br />
En <strong>la</strong> ret<strong>en</strong>ción y <strong>de</strong>strucción<br />
En <strong>la</strong> calidad <strong>de</strong> los datos<br />
En <strong>la</strong> seguridad <strong>de</strong> los datos<br />
En <strong>el</strong> acceso y rectificación<br />
De <strong>la</strong> FASE 3 (Análisis <strong>de</strong> impacto<br />
<strong>en</strong> <strong>la</strong> <strong>privacidad</strong>)<br />
Evaluación <strong>de</strong><br />
riesgos <strong>de</strong><br />
<strong>privacidad</strong><br />
5.1<br />
5.2<br />
5.3<br />
5.4<br />
5.5<br />
5.6<br />
5.7<br />
En <strong>el</strong> recabado<br />
En los tratami<strong>en</strong>tos<br />
En <strong>la</strong>s cesiones<br />
En <strong>la</strong> ret<strong>en</strong>ción y <strong>de</strong>strucción<br />
En <strong>la</strong> calidad <strong>de</strong> los datos<br />
En <strong>la</strong> seguridad <strong>de</strong> los datos<br />
En <strong>el</strong> acceso y rectificación<br />
De <strong>la</strong> FASE 3 (Análisis y Gestión <strong>de</strong><br />
Riesgos)<br />
Hal<strong>la</strong>zgos y<br />
recom<strong>en</strong>daciones<br />
6.1<br />
6.2<br />
Resum<strong>en</strong> <strong>de</strong> hal<strong>la</strong>zgos<br />
Recom<strong>en</strong>daciones<br />
CONCLUSIONES 7.1<br />
7.2<br />
Conclusiones finales<br />
P<strong>la</strong>n <strong>de</strong> actuación y auditoría<br />
38
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
CONCLUSIONES<br />
Un PIA <strong>de</strong>be ser parte integral d<strong>el</strong> diseño <strong>de</strong> cualquier iniciativa que pueda p<strong>la</strong>ntear riesgos<br />
r<strong>el</strong>evantes <strong>en</strong> <strong>la</strong> <strong>privacidad</strong>. Una vez que los riesgos se han i<strong>de</strong>ntificado, se pue<strong>de</strong>n <strong>en</strong>tonces<br />
implem<strong>en</strong>tar <strong>la</strong>s salvaguardas y controles necesarios para <strong>el</strong>iminar o minimizar los riesgos. El<br />
objetivo <strong>de</strong> un PIA es evitar que aparezcan los problemas y, por tanto, evitar gastos y trastornos<br />
posteriores, dado que los costes <strong>de</strong> hacer cambios aum<strong>en</strong>tan cuanto más tar<strong>de</strong> se realic<strong>en</strong><br />
<strong>en</strong> un proyecto.<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to Europeo <strong>de</strong> Protección <strong>de</strong> Datos aum<strong>en</strong>tará consi<strong>de</strong>rablem<strong>en</strong>te<br />
<strong>la</strong> utilización <strong>de</strong> los PIAs <strong>en</strong> Europa, lo que traerá importantes b<strong>en</strong>eficios para todos: organizaciones,<br />
ciudadanos, regu<strong>la</strong>dores, etc. Debemos c<strong>el</strong>ebrar que se incluyan disposiciones normativas<br />
que inc<strong>en</strong>tiv<strong>en</strong> a los responsables a implicarse, <strong>de</strong>s<strong>de</strong> <strong>el</strong> principio, <strong>en</strong> una a<strong>de</strong>cuada<br />
protección <strong>de</strong> los datos, y <strong>la</strong>s evaluaciones <strong>de</strong> impacto <strong>sobre</strong> protección <strong>de</strong> datos contribuirán<br />
notablem<strong>en</strong>te a <strong>el</strong>lo.<br />
39
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
BIBLIOGRAFÍA / REFERENCIAS<br />
Dirección G<strong>en</strong>eral <strong>de</strong> Justicia <strong>de</strong> <strong>la</strong> Comisión Europea - A Privacy Impact Assessm<strong>en</strong>t Framework<br />
for data protection and privacy rights (2011), http://www.piafproject.eu/D<strong>el</strong>iverables.html<br />
International Data Privacy Law 1, 2 (p 111-120) - An Evaluation of Privacy Impact Assessm<strong>en</strong>t<br />
Guidance Docum<strong>en</strong>ts (2011), http://www.rogerc<strong>la</strong>rke.com/DV/PIAG-Eval.html<br />
Information Commissioner’s Office - Privacy Impact Assessm<strong>en</strong>t Handbook version 2.0<br />
(2009)<br />
http://www.ico.org.uk/upload/docum<strong>en</strong>ts/pia_handbook_html_v2/files/PIAhandbookV2.pdf<br />
Office of the Victorian Privacy Commissioner - Privacy Impact Assessm<strong>en</strong>ts (2009), .<br />
Office of the Victorian Privacy Commissioner - Information Privacy Principles “.<br />
Privacy Commissioner - Information Privacy Principles, http://www.privacy.org.nz/newsand-publications/guidance-notes/information-privacy-principles/<br />
ISACA Journal Online - Haris Hamidovic - An Introduction to the Privacy Impact Assessm<strong>en</strong>t<br />
Based on ISO 22307 (2010)<br />
National Institute of Standards and Technology - SP800-53 Rev.4. Security and Privacy<br />
Controls for Fe<strong>de</strong>ral Information Systems and Organizations (2013), “.<br />
Information & Privacy Commissioner -Ontario, Canada - Privacy by Design. Los 7 Principios<br />
Fundam<strong>en</strong>tales (2001),<br />
http://www.privacyby<strong>de</strong>sign.ca/cont<strong>en</strong>t/uploads/2009/08/7foundationalprinciplesspanish.pdf<br />
Ann Cavoukian / Operationalizing Privacy by Design: A Gui<strong>de</strong> to Implem<strong>en</strong>ting Strong Privacy<br />
Practices (2012),<br />
http://www.privacyby<strong>de</strong>sign.ca/cont<strong>en</strong>t/uploads/2013/01/operationalizing-pbd-gui<strong>de</strong>.pdf<br />
Information Commissioner’s Office - Privacy by Design Report (2008)<br />
http://www.ico.org.uk/for_organisations/data_protection/topic_gui<strong>de</strong>s/~/media/docum<strong>en</strong>t<br />
s/pdb_report_html/PRIVACY_BY_DESIGN_REPORT_V2.ashx<br />
Information Commissioner’s Office - Privacy by Design Implem<strong>en</strong>tation P<strong>la</strong>n (2008),<br />
http://www.ico.org.uk/for_organisations/data_protection/topic_gui<strong>de</strong>s/~/media/docum<strong>en</strong>t<br />
s/pdb_report_html/PBD_ICO_IMPLEMENTATION_PLAN.ashx<br />
Privacy Impact Assessm<strong>en</strong>ts. Office of The Privacy Commissioner of Canada,<br />
http://www.priv.gc.ca/resource/pia-efvp/in<strong>de</strong>x_e.asp<br />
Privacy Impact Assessm<strong>en</strong>t Gui<strong>de</strong>. - Office of the Australian Information Commissioner.<br />
http://www.oaic.gov.au/privacy/privacy-resources/privacy-gui<strong>de</strong>s/privacy-impactassessm<strong>en</strong>t-gui<strong>de</strong><br />
40
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Privacy Impact Assessm<strong>en</strong>t Handbook. Privacy Commissioner. Nueva Z<strong>el</strong>anda.<br />
http://www.privacy.org.nz/news-and-publications/guidance-notes/privacy-impactassessm<strong>en</strong>t-handbook/<br />
Estados Unidos. Privacy Office - Privacy Impact Assessm<strong>en</strong>ts (PIA). U.S. Departam<strong>en</strong>t of<br />
Hom<strong>el</strong>and Security. http://www.dhs.gov/privacy-office-privacy-impact-assessm<strong>en</strong>ts-pia<br />
Victoria (Australia). Office of the Victorian Privacy Commissioner – Privacy Impact Assessm<strong>en</strong>ts<br />
– a gui<strong>de</strong> https://www.privacy.vic.gov.au/privacy/web2.nsf/files/privacy-impactassessm<strong>en</strong>ts-gui<strong>de</strong><br />
Privacy Impact Assessm<strong>en</strong>t Policy. . Treasury Board of Canada Secretariat http://www.tbssct.gc.ca/pubs_pol/ciopubs/pia-pefr/siglist-<strong>en</strong>g.asp<br />
Privacy Impact Assessm<strong>en</strong>ts: the UK experi<strong>en</strong>ce:<br />
Privacy and Data Protection Impact Assessm<strong>en</strong>t. Framework for RFID Applications. (2011)<br />
Assuring Data Privacy Compliance. Steve K<strong>en</strong>ny. http://www.isaca.org/Journal/Past-Issues/2004/Volume-4/Pages/Assuring-Data-Privacy-Compliance.aspx<br />
Privacy Impact Assessm<strong>en</strong>ts: International Study of their Application and Effects. October,<br />
2007, Lin<strong>de</strong>n Consulting, Inc. Prepared for Information Commissioner’s Office United<br />
Kingdom<br />
The International Standards on the Protection of Personal Data and Privacy (“The Madrid<br />
Resolution”) (2009) http://www.privacyconfer<strong>en</strong>ce2009.org/media/Publicaciones/common/estandares_resolucion_madrid_<strong>en</strong>.pdf<br />
OASIS Privacy by Design Docum<strong>en</strong>tation for Software Engineers (PbD-SE) TC<br />
OASIS Privacy Managem<strong>en</strong>t Refer<strong>en</strong>ce Mod<strong>el</strong> (PMRM) TC<br />
http://pet-portal.eu/<br />
https://www.facebook.com/privacypage<br />
http://ec.europa.eu/justice/policies/privacy/docs/studies/final_report_pets_16_07_10_<strong>en</strong>.pdf<br />
http://pet-portal.eu/<br />
ISO 31000:2009. Evaluación <strong>de</strong> Riesgos.<br />
ISO 27005:2008. Information security risk managem<strong>en</strong>t.<br />
ISO 22307:2008. Financial Services – Privacy Impact Assessm<strong>en</strong>t.<br />
41
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
42
Cap. 3<br />
Data Privacy Officer:<br />
perfil, formación,<br />
posición,<br />
compet<strong>en</strong>cias y<br />
operava.
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
44
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
LA FIGURA DEL DPO<br />
ABSTRACT<br />
Trataremos <strong>en</strong> este apartado <strong>de</strong> dar respuesta a quién es <strong>la</strong> persona a<strong>de</strong>cuada para <strong>el</strong> <strong>de</strong>sempeño<br />
<strong>de</strong> <strong>la</strong>s funciones que <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to Europeo <strong>de</strong> Protección <strong>de</strong> Datos<br />
conti<strong>en</strong>e <strong>en</strong> r<strong>el</strong>ación a <strong>la</strong> figura d<strong>el</strong> Data Protection Officer o D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong> Datos<br />
(<strong>en</strong> ad<strong>el</strong>ante DPO).<br />
Así, se tratará <strong>el</strong> tema d<strong>el</strong> perfil d<strong>el</strong> DPO, o más bi<strong>en</strong> d<strong>el</strong> candidato idóneo a serlo, con r<strong>el</strong>ación<br />
a aspectos tales como formación, experi<strong>en</strong>cia, certificaciones, etc., tanto para <strong>el</strong> caso <strong>de</strong> que<br />
sea interno como para cuando sea externo. Se hab<strong>la</strong>rá igualm<strong>en</strong>te <strong>de</strong> sus compet<strong>en</strong>cias y capacida<strong>de</strong>s,<br />
haci<strong>en</strong>do una propuestas específica fundam<strong>en</strong>tada tanto <strong>en</strong> <strong>el</strong> texto <strong>de</strong> <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to como <strong>en</strong> otras fu<strong>en</strong>tes.<br />
Posteriorm<strong>en</strong>te, será <strong>el</strong> tema <strong>de</strong> <strong>la</strong> Posición d<strong>el</strong> DPO <strong>en</strong> <strong>el</strong> organigrama <strong>de</strong> <strong>la</strong>s organizaciones<br />
públicas y privadas <strong>el</strong> que ocupe parte <strong>de</strong> este apartado, siempre bajo <strong>el</strong> requisito previo <strong>de</strong><br />
que cualquier ubicación <strong>de</strong> esta figura <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> jerarquía interna <strong>de</strong>be garantizar su autonomía.<br />
Por último, se analizarán <strong>la</strong>s posibles funciones y obligaciones d<strong>el</strong> DPO, <strong>en</strong> base a <strong>la</strong> Propuesta<br />
y también <strong>en</strong> comparación con <strong>la</strong> figura d<strong>el</strong> Responsable <strong>de</strong> Seguridad que establece<br />
<strong>la</strong> Normativa españo<strong>la</strong>. A<strong>de</strong>más, se incluirá un cuadro comparativo <strong>de</strong> difer<strong>en</strong>tes países europeos,<br />
<strong>en</strong> cuanto a su <strong>en</strong>foque respecto a figuras simi<strong>la</strong>res a <strong>la</strong> que podría ser <strong>la</strong> d<strong>el</strong> DPO.<br />
45
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
PERFIL DEL DPO<br />
El artículo 35 (<strong>en</strong> <strong>el</strong> borrador <strong>de</strong> <strong>la</strong> Comisión publicado <strong>en</strong> <strong>en</strong>ero <strong>de</strong> 2012) establece <strong>la</strong> obligatoriedad<br />
<strong>de</strong> <strong>de</strong>signar un DPO <strong>en</strong> <strong>de</strong>terminados supuestos, figura que ti<strong>en</strong>e su orig<strong>en</strong> <strong>en</strong> <strong>la</strong> Directiva<br />
95/46/CE. No obstante, durante <strong>la</strong> Presi<strong>de</strong>ncia Ir<strong>la</strong>n<strong>de</strong>sa <strong>de</strong> <strong>la</strong> Unión Europea (primer semestre<br />
<strong>de</strong> 2013), se ha pres<strong>en</strong>tado <strong>la</strong> versión <strong>de</strong> Borrador d<strong>el</strong> Consejo <strong>de</strong> <strong>la</strong> Unión Europea, que parece<br />
rebajar <strong>la</strong> obligatoriedad <strong>de</strong> tal <strong>de</strong>signación a opcional, si bi<strong>en</strong> <strong>en</strong> dicho docum<strong>en</strong>to se especifica<br />
que <strong>la</strong> legis<strong>la</strong>ción <strong>de</strong> <strong>la</strong> Unión Europea podrá hacer obligatoria <strong>la</strong> m<strong>en</strong>cionada <strong>de</strong>signación.<br />
En cuanto al perfil que <strong>de</strong>bería reunir un candidato idóneo para ser nombrado DPO, que podrá<br />
ser trabajador por cu<strong>en</strong>ta aj<strong>en</strong>a, <strong>de</strong>sempeñar sus servicios bajo un contrato <strong>de</strong> prestación <strong>de</strong> servicios<br />
o ser una persona jurídica, <strong>el</strong> artículo 35.8 <strong>de</strong> <strong>la</strong> Propuesta, <strong>en</strong> su punto 2, <strong>de</strong>termina que:<br />
“El responsable o <strong>el</strong> <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong>signarán <strong>el</strong> d<strong>el</strong>egado <strong>de</strong> protección<br />
<strong>de</strong> datos at<strong>en</strong>di<strong>en</strong>do a sus cualida<strong>de</strong>s profesionales y, <strong>en</strong> particu<strong>la</strong>r, a sus conocimi<strong>en</strong>tos<br />
especializados <strong>de</strong> <strong>la</strong> legis<strong>la</strong>ción y <strong>la</strong>s prácticas <strong>en</strong> materia <strong>de</strong> protección <strong>de</strong> datos, y a<br />
su capacidad para ejecutar <strong>la</strong>s tareas contemp<strong>la</strong>das <strong>en</strong> <strong>el</strong> artículo 37. El niv<strong>el</strong> <strong>de</strong> conocimi<strong>en</strong>tos<br />
especializados requerido se <strong>de</strong>terminará, <strong>en</strong> particu<strong>la</strong>r, <strong>en</strong> función d<strong>el</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> datos llevado a cabo y <strong>de</strong> <strong>la</strong> protección exigida para los datos personales<br />
tratados por <strong>el</strong> responsable o <strong>el</strong> <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to.”<br />
El texto, no hace más m<strong>en</strong>ción al perfil que <strong>de</strong>ba reunir <strong>la</strong> persona que <strong>de</strong>sarrolle esa función,<br />
hasta <strong>el</strong> punto que <strong>el</strong> propio Grupo <strong>de</strong> Trabajo d<strong>el</strong> Artículo 29 (GT 29), <strong>en</strong> su Dictam<strong>en</strong> 08/2012<br />
(WP199), recomi<strong>en</strong>da que <strong>la</strong> Comisión, mediante un acto d<strong>el</strong>egado, “especifique los criterios aplicables<br />
a <strong>la</strong>s cualida<strong>de</strong>s profesionales, <strong>en</strong> líneas g<strong>en</strong>erales, d<strong>el</strong> d<strong>el</strong>egado <strong>de</strong> protección <strong>de</strong> datos”.<br />
Por lo que se refiere a <strong>la</strong>s principales tareas que <strong>el</strong> DPO <strong>de</strong>berá realizar, según <strong>el</strong> artículo 37,<br />
tal figura <strong>de</strong>be contar con “conocimi<strong>en</strong>tos especializados <strong>de</strong> <strong>la</strong> legis<strong>la</strong>ción y <strong>la</strong>s prácticas <strong>en</strong><br />
materia <strong>de</strong> protección <strong>de</strong> datos”. Esto nos lleva a los requerimi<strong>en</strong>tos <strong>de</strong> formación que puedan<br />
ser exigibles. Parece imprescindible que esta persona cu<strong>en</strong>te con una sólida formación<br />
<strong>en</strong> materia <strong>de</strong> normativa <strong>sobre</strong> <strong>privacidad</strong>, pero no sólo <strong>en</strong> este campo, sino también <strong>en</strong> <strong>el</strong><br />
<strong>de</strong> <strong>la</strong> gestión <strong>de</strong> <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong> información, amén <strong>de</strong> un profundo conocimi<strong>en</strong>to d<strong>el</strong> sector<br />
<strong>en</strong> <strong>el</strong> que <strong>la</strong> organización opere y, por supuesto, <strong>de</strong> <strong>la</strong> citada organización.<br />
Puesto que una <strong>de</strong> sus principales tareas será formar y conci<strong>en</strong>ciar al personal <strong>en</strong> <strong>la</strong> materia<br />
que nos ocupa con <strong>el</strong> objetivo <strong>de</strong> conseguir un eficaz y completo <strong>de</strong>spliegue <strong>de</strong> medidas técnicas<br />
y/u organizativas, <strong>el</strong> DPO <strong>de</strong>be contar con notables habilida<strong>de</strong>s <strong>de</strong> comunicación. Esta<br />
cualidad –<strong>la</strong> facilidad para comunicar- también le será muy útil al r<strong>el</strong>acionarse tanto con los<br />
usuarios que así lo <strong>de</strong>se<strong>en</strong>, como con <strong>la</strong> propia dirección a <strong>la</strong> que t<strong>en</strong>drá que transmitir <strong>la</strong> situación<br />
d<strong>el</strong> cumplimi<strong>en</strong>to <strong>en</strong> <strong>la</strong> materia. Y no m<strong>en</strong>os importantes serán sus funciones <strong>de</strong> docum<strong>en</strong>talista,<br />
por lo que no estará <strong>de</strong> más que conozca cómo funciona un sistema <strong>de</strong> gestión.<br />
Qué duda cabe que esta formación -unida a <strong>la</strong> experi<strong>en</strong>cia- será <strong>de</strong>seable que se pueda contrastar,<br />
para lo cual, podrá acudirse a <strong>la</strong>s certificaciones profesionales. En nuestro país comi<strong>en</strong>zan<br />
a proliferar estas certificaciones <strong>en</strong> <strong>privacidad</strong>, si<strong>en</strong>do <strong>la</strong>s más ext<strong>en</strong>didas <strong>en</strong> <strong>el</strong> mom<strong>en</strong>to<br />
actual, <strong>la</strong> CDPP promovida por <strong>el</strong> ISMS Fórum Spain y <strong>la</strong> ACP promovida por <strong>la</strong> Asociación Profesional<br />
Españo<strong>la</strong> <strong>de</strong> Privacidad. En <strong>la</strong> XI Jornada Internacional <strong>de</strong> Primavera <strong>de</strong> 2012 organi-<br />
46
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
zada por <strong>el</strong> ISMS Fórum Spain <strong>en</strong> Madrid, <strong>el</strong> Supervisor Europeo <strong>de</strong> Protección <strong>de</strong> Datos,<br />
Peter Hustinx, ya afirmó que no le cabía duda <strong>de</strong> <strong>la</strong> utilidad que <strong>la</strong>s certificaciones aportarían<br />
a los profesionales y a <strong>la</strong>s empresas que los rec<strong>la</strong>maran, pero <strong>de</strong>jó c<strong>la</strong>ro que <strong>la</strong>s certificaciones<br />
<strong>de</strong>berán ser homologadas por alguna Autoridad <strong>de</strong> Control.<br />
Asimismo, y dado que <strong>en</strong>tre <strong>la</strong>s funciones que se asignan a esta figura está <strong>la</strong> <strong>de</strong> “supervisar<br />
<strong>la</strong> implem<strong>en</strong>tación y aplicación d<strong>el</strong> pres<strong>en</strong>te Reg<strong>la</strong>m<strong>en</strong>to, <strong>en</strong> particu<strong>la</strong>r por lo que hace a los<br />
requisitos r<strong>el</strong>ativos a <strong>la</strong> protección <strong>de</strong> datos <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño, <strong>la</strong> protección <strong>de</strong> datos por <strong>de</strong>fecto<br />
y <strong>la</strong> seguridad <strong>de</strong> los datos”, parece recom<strong>en</strong>dable, que <strong>en</strong> aus<strong>en</strong>cia <strong>de</strong> certificaciones<br />
específicas y homologadas <strong>en</strong> materia <strong>de</strong> protección <strong>de</strong> datos, se valor<strong>en</strong> <strong>la</strong>s certificaciones<br />
reconocidas con carácter internacional <strong>en</strong> materia <strong>de</strong> seguridad <strong>de</strong> <strong>la</strong> información (CISA/CISM<br />
<strong>de</strong> ISACA, Lead Auditor ISO27001 d<strong>el</strong> BSI, etc.).<br />
En lo refer<strong>en</strong>te a sus habilida<strong>de</strong>s, <strong>de</strong>beríamos t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta que por <strong>el</strong> grado <strong>de</strong> in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia<br />
que se le exige, ocupará una posición <strong>de</strong> staff que reportará a algún alto directivo <strong>de</strong><br />
<strong>la</strong> organización.<br />
Por lo tanto, parece lógico que reporte directam<strong>en</strong>te a <strong>la</strong> Dirección G<strong>en</strong>eral o <strong>la</strong> Ger<strong>en</strong>cia <strong>de</strong><br />
<strong>la</strong> Organización, y es posible que <strong>de</strong>sarrolle un rol directivo. En <strong>la</strong> asunción <strong>de</strong> este rol, <strong>la</strong> resolución<br />
<strong>de</strong> problemas, <strong>la</strong> toma <strong>de</strong> <strong>de</strong>cisiones y <strong>la</strong> comunicación son activida<strong>de</strong>s críticas. En<br />
cada etapa que <strong>de</strong>sarrolle, ya sea p<strong>la</strong>nificando, organizando o contro<strong>la</strong>ndo, necesitará estas<br />
habilida<strong>de</strong>s. Puesto que trabajará por medio <strong>de</strong> otras personas y, <strong>en</strong> continua r<strong>el</strong>ación será necesario<br />
que sea una persona con bu<strong>en</strong>as habilida<strong>de</strong>s sociales.<br />
En consecu<strong>en</strong>cia, es recom<strong>en</strong>dable que <strong>la</strong> figura d<strong>el</strong> DPO cu<strong>en</strong>te con <strong>la</strong>s sigui<strong>en</strong>tes compet<strong>en</strong>cias<br />
y capacida<strong>de</strong>s específicas:<br />
47
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
Por último, <strong>la</strong> experi<strong>en</strong>cia requerida para <strong>el</strong> <strong>de</strong>sempeño d<strong>el</strong> puesto <strong>de</strong>bería ser valorada <strong>en</strong><br />
base a <strong>la</strong>s funciones a <strong>de</strong>sarrol<strong>la</strong>r, así como <strong>en</strong> lo que respecta a <strong>la</strong> participación <strong>en</strong> proyectos<br />
<strong>de</strong> consultoría y/o auditoría <strong>en</strong> materia <strong>de</strong> protección <strong>de</strong> datos, <strong>el</strong>aboración <strong>de</strong> análisis <strong>de</strong> impactos<br />
(Business Impact Assessm<strong>en</strong>ts o BIAs), así como proyectos <strong>de</strong> análisis <strong>de</strong> riesgos.<br />
En este s<strong>en</strong>tido, <strong>la</strong> experi<strong>en</strong>cia <strong>de</strong>bería cuantificarse <strong>en</strong> función <strong>de</strong> <strong>la</strong> complejidad <strong>de</strong> los tratami<strong>en</strong>tos<br />
<strong>de</strong> datos que realice <strong>el</strong> Responsable d<strong>el</strong> fichero, d<strong>el</strong> sector <strong>en</strong> <strong>el</strong> que opere y d<strong>el</strong><br />
grado <strong>de</strong> s<strong>en</strong>sibilidad que puedan incorporar los datos tratados.<br />
POSICIÓN DEL DPO<br />
Una vez <strong>de</strong>scrito <strong>en</strong> <strong>el</strong> apartado anterior <strong>el</strong> perfil d<strong>el</strong> DPO, proce<strong>de</strong> analizar <strong>la</strong> posición que<br />
pue<strong>de</strong> o <strong>de</strong>be ocupar <strong>en</strong> <strong>el</strong> organigrama <strong>de</strong> <strong>la</strong>s organizaciones, así como <strong>la</strong> in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia con<br />
<strong>la</strong> que <strong>de</strong>be contar <strong>en</strong> <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> sus funciones.<br />
El apartado 1 d<strong>el</strong> artículo 35 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to <strong>la</strong>nzada por <strong>la</strong> Comisión regu<strong>la</strong><br />
<strong>en</strong> qué casos <strong>el</strong> responsable y <strong>el</strong> <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong>b<strong>en</strong> <strong>de</strong>signar un DPO:<br />
• Cuando <strong>el</strong> tratami<strong>en</strong>to sea llevado a cabo por una autoridad u organismo públicos, si<br />
bi<strong>en</strong> <strong>el</strong> apartado 3 d<strong>el</strong> artículo 35, introduce cierta flexibilidad, ya que <strong>el</strong> DPO podrá ser<br />
<strong>de</strong>signado para varias <strong>de</strong> sus <strong>en</strong>tida<strong>de</strong>s, t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta <strong>la</strong> estructura organizativa<br />
<strong>de</strong> <strong>la</strong> autoridad u organismos públicos.<br />
• Cuando <strong>el</strong> tratami<strong>en</strong>to sea llevado a cabo por una empresa que emplee a dosci<strong>en</strong>tas<br />
cincu<strong>en</strong>ta personas o más. El apartado 2 d<strong>el</strong> citado artículo 35 ac<strong>la</strong>ra que <strong>en</strong> <strong>el</strong> caso <strong>de</strong><br />
un grupo <strong>de</strong> empresas se podrá nombrar un DPO único.<br />
• Cuando <strong>la</strong>s activida<strong>de</strong>s principales d<strong>el</strong> Responsable o d<strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to<br />
consistan <strong>en</strong> operaciones <strong>de</strong> tratami<strong>en</strong>to que, <strong>en</strong> razón <strong>de</strong> su naturaleza, alcance y/o<br />
fines, requieran un seguimi<strong>en</strong>to periódico y sistemático <strong>de</strong> los interesados.<br />
• En casos distintos <strong>de</strong> los anteriores, <strong>el</strong> Responsable o <strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to o<br />
<strong>la</strong>s asociaciones y otros organismos que repres<strong>en</strong>t<strong>en</strong> categorías <strong>de</strong> responsables o <strong>en</strong>cargados<br />
podrán <strong>de</strong>signar un DPO (apartado 4). Aquí se da vía libre a otras organizaciones<br />
para nombrar un DPO.<br />
Al DPO se le exige in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia <strong>en</strong> sus funciones. Así, según <strong>el</strong> artículo 36.2 “El Responsable<br />
o <strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to v<strong>el</strong>arán porque <strong>el</strong> Encargado <strong>de</strong> protección <strong>de</strong> datos<br />
<strong>de</strong>sempeñe sus funciones y tareas con in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia y no reciba ninguna instrucción <strong>en</strong> lo<br />
que respecta al ejercicio <strong>de</strong> sus funciones. El d<strong>el</strong>egado <strong>de</strong> protección <strong>de</strong> datos informará directam<strong>en</strong>te<br />
a <strong>la</strong> dirección d<strong>el</strong> Responsable o d<strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to”.<br />
De este precepto se <strong>de</strong>spr<strong>en</strong><strong>de</strong> que <strong>el</strong> DPO no <strong>de</strong>bería estar <strong>de</strong>ntro <strong>de</strong> otra área <strong>de</strong> <strong>la</strong> empresa<br />
para po<strong>de</strong>r cumplir con más rigor <strong>el</strong> requisito <strong>de</strong> in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia, y <strong>sobre</strong> todo, no ubicarse<br />
<strong>en</strong> <strong>el</strong> mismo <strong>de</strong>partam<strong>en</strong>to que <strong>el</strong> Responsable o <strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to (Unidad<br />
<strong>de</strong> Negocio).<br />
En consecu<strong>en</strong>cia, podría <strong>en</strong>contrarse <strong>en</strong> <strong>el</strong> organigrama <strong>de</strong>p<strong>en</strong>di<strong>en</strong>do <strong>de</strong> <strong>la</strong> Dirección G<strong>en</strong>eral,<br />
pero no <strong>de</strong>ntro <strong>de</strong> otras áreas o <strong>de</strong>partam<strong>en</strong>tos. Si existe <strong>en</strong> <strong>la</strong>s empresas <strong>de</strong>partam<strong>en</strong>to <strong>de</strong><br />
Cumplimi<strong>en</strong>to Normativo, Seguridad <strong>de</strong> <strong>la</strong> Información (o simi<strong>la</strong>r), y se <strong>de</strong>ci<strong>de</strong> incluir ahí al De-<br />
48
legado <strong>de</strong> Protección <strong>de</strong> Datos, <strong>de</strong>berá v<strong>el</strong>arse <strong>en</strong> todo mom<strong>en</strong>to por su in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia.<br />
Ligado a este estatus <strong>de</strong> in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia, <strong>el</strong> apartado 6 d<strong>el</strong> artículo 35 aña<strong>de</strong> que <strong>la</strong>s funciones<br />
profesionales d<strong>el</strong> DPO <strong>de</strong>b<strong>en</strong> ser compatibles con sus tareas y funciones <strong>en</strong> calidad <strong>de</strong> D<strong>el</strong>egado<br />
<strong>de</strong> Protección <strong>de</strong> Datos y que no p<strong>la</strong>nte<strong>en</strong> conflictos <strong>de</strong> intereses, <strong>de</strong> lo que parece<br />
<strong>de</strong>ducirse que sus funciones <strong>de</strong>berían ser únicam<strong>en</strong>te <strong>de</strong> DPO.<br />
A<strong>de</strong>más <strong>el</strong> Responsable o <strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to, a t<strong>en</strong>or <strong>de</strong> los dispuesto <strong>en</strong> <strong>el</strong> artículo<br />
36.3 respaldará al DPO <strong>en</strong> <strong>el</strong> <strong>de</strong>sempeño <strong>de</strong> sus tareas y facilitará <strong>el</strong> personal, los locales, los<br />
equipami<strong>en</strong>tos y cualesquiera otros recursos necesarios para <strong>el</strong> <strong>de</strong>sempeño <strong>de</strong> sus funciones<br />
y tareas contemp<strong>la</strong>das <strong>en</strong> <strong>el</strong> artículo 37, y que se tratarán <strong>en</strong> <strong>el</strong> sigui<strong>en</strong>te apartado <strong>de</strong> nuestro<br />
estudio. Según este epígrafe podríamos interpretar que <strong>el</strong> DPO pue<strong>de</strong> contar con personal a<br />
su cargo y/o estar formado por un grupo <strong>de</strong> personas para <strong>el</strong> <strong>de</strong>sempeño <strong>de</strong> sus tareas.<br />
Asimismo, y <strong>en</strong> <strong>el</strong> caso <strong>de</strong> que se haya subcontratado al DPO, <strong>la</strong> organización no t<strong>en</strong>dría <strong>en</strong><br />
su organigrama este puesto, pero sí <strong>de</strong>bería establecer qué persona o área <strong>de</strong> <strong>la</strong> organización<br />
se ocupará <strong>de</strong> facilitar información al D<strong>el</strong>egado, etc. Este hecho pue<strong>de</strong> p<strong>la</strong>ntear algunos problemas<br />
<strong>de</strong> in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia especialm<strong>en</strong>te <strong>en</strong> <strong>la</strong>s PYMES.<br />
A continuación, y <strong>de</strong> forma ilustrativa se muestra dón<strong>de</strong> podría quedar incluida <strong>la</strong> figura d<strong>el</strong><br />
DPO <strong>en</strong> <strong>la</strong>s organizaciones que cu<strong>en</strong>t<strong>en</strong> con él y no lo subcontrat<strong>en</strong>.<br />
1. Entida<strong>de</strong>s <strong>de</strong> más <strong>de</strong> 250 empleados:<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
2. Entida<strong>de</strong>s don<strong>de</strong> <strong>el</strong> tratami<strong>en</strong>to sea llevado a cabo por una autoridad u organismo<br />
públicos 1 :<br />
1<br />
La estructura <strong>de</strong> <strong>la</strong>s Administraciones públicas varía <strong>de</strong> unas a otras, aunque <strong>en</strong> <strong>la</strong> mayoría <strong>de</strong> los casos, tanto los Ministerios como <strong>la</strong>s<br />
Consejerías, y <strong>en</strong> muchas ocasiones, también <strong>la</strong>s Concejalías <strong>de</strong> los Ayuntami<strong>en</strong>tos, compart<strong>en</strong> como <strong>el</strong>em<strong>en</strong>to común <strong>la</strong> exist<strong>en</strong>cia <strong>de</strong> Direcciones<br />
G<strong>en</strong>erales, a partir <strong>de</strong> <strong>la</strong>s cuales se ejerce <strong>la</strong> compet<strong>en</strong>cia administrativa. Tomamos como ejemplo una ficticia Consejería, que se<br />
organiza <strong>en</strong> Direcciones G<strong>en</strong>eral y que cu<strong>en</strong>ta también con una Secretaria G<strong>en</strong>eral Técnica.<br />
49
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
Por otra parte, y sin perjuicio <strong>de</strong> su <strong>en</strong>caje <strong>en</strong> <strong>el</strong> organigrama <strong>de</strong> <strong>la</strong> organización, <strong>el</strong> DPO <strong>de</strong>be<br />
ser accesible a los titu<strong>la</strong>res <strong>de</strong> los datos personales, ya que según <strong>el</strong> apartado 10 d<strong>el</strong> artículo<br />
35, “los interesados t<strong>en</strong>drán <strong>de</strong>recho a <strong>en</strong>trar <strong>en</strong> contacto con <strong>el</strong> D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong><br />
Datos para tratar todas <strong>la</strong>s cuestiones r<strong>el</strong>ativas al tratami<strong>en</strong>to <strong>de</strong> los datos que les conciernan<br />
y a solicitar <strong>el</strong> ejercicio <strong>de</strong> sus <strong>de</strong>rechos”. Por esta razón, y <strong>de</strong> conformidad con <strong>el</strong> apartado<br />
9 d<strong>el</strong> artículo 35 “los datos <strong>de</strong> contacto d<strong>el</strong> DPO, serán comunicados por <strong>el</strong> Responsable o<br />
por <strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to a <strong>la</strong> Autoridad <strong>de</strong> Control y al público” (artículo 35.9).<br />
FUNCIONES Y OBLIGACIONES<br />
Las funciones d<strong>el</strong> DPO se <strong>en</strong>cu<strong>en</strong>tran regu<strong>la</strong>das <strong>en</strong> <strong>el</strong> artículo 37 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to,<br />
si bi<strong>en</strong> <strong>de</strong> su redacción, se extrae que no sólo se regu<strong>la</strong> su compet<strong>en</strong>cia sino que supone<br />
un mandato tanto para <strong>el</strong> Responsable como al Encargado al incluirse que “ambos<br />
<strong>en</strong>com<strong>en</strong>darán, como mínimo, <strong>la</strong>s sigui<strong>en</strong>te tareas”.<br />
Asimismo, <strong>de</strong>bemos consi<strong>de</strong>rar que estas funciones son una regu<strong>la</strong>ción <strong>de</strong> mínimos –<strong>el</strong> texto<br />
indica que “como mínimo” t<strong>en</strong>drá <strong>la</strong>s citadas compet<strong>en</strong>cias-. Incluso <strong>la</strong> d<strong>el</strong>egación realizada<br />
<strong>en</strong> favor <strong>de</strong> <strong>la</strong> Comisión <strong>en</strong> <strong>el</strong> apartado 2 d<strong>el</strong> artículo 37, podría llevar a un <strong>de</strong>sarrollo más porm<strong>en</strong>orizado<br />
d<strong>el</strong> ámbito <strong>de</strong> actuación d<strong>el</strong> D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong> Datos.<br />
Antes <strong>de</strong> analizar cuáles son estas funciones, <strong>de</strong>bemos acudir a dos docum<strong>en</strong>tos a través <strong>de</strong><br />
los cuáles se ha <strong>de</strong>sarrol<strong>la</strong>do <strong>el</strong> perfil <strong>de</strong> esta figura. El primero <strong>de</strong> <strong>el</strong>los, es <strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
45/2001 d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to Europeo y d<strong>el</strong> Consejo, <strong>de</strong> 18 <strong>de</strong> diciembre <strong>de</strong> 2000, r<strong>el</strong>ativo a <strong>la</strong><br />
protección <strong>de</strong> <strong>la</strong>s personas físicas <strong>en</strong> lo que respecta al tratami<strong>en</strong>to <strong>de</strong> datos personales por<br />
<strong>la</strong>s instituciones y los organismos comunitarios y a <strong>la</strong> libre circu<strong>la</strong>ción <strong>de</strong> los datos, cuyo artículo<br />
24 apartado 1, recoge <strong>la</strong>s funciones d<strong>el</strong> D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong> Datos:<br />
“1. Cada institución y cada organismo comunitario nombrará al m<strong>en</strong>os a una persona para que<br />
actúe como responsable <strong>de</strong> <strong>la</strong> protección <strong>de</strong> datos <strong>en</strong>cargado <strong>de</strong>:<br />
a) garantizar que los responsables d<strong>el</strong> tratami<strong>en</strong>to y los interesados sean informados <strong>de</strong><br />
sus <strong>de</strong>rechos y obligaciones <strong>de</strong> conformidad con <strong>el</strong> pres<strong>en</strong>te Reg<strong>la</strong>m<strong>en</strong>to;<br />
b) respon<strong>de</strong>r a <strong>la</strong>s solicitu<strong>de</strong>s d<strong>el</strong> Supervisor Europeo <strong>de</strong> Protección <strong>de</strong> Datos y, <strong>en</strong> <strong>el</strong><br />
marco <strong>de</strong> sus compet<strong>en</strong>cias, cooperar con <strong>el</strong> Supervisor Europeo <strong>de</strong> Protección <strong>de</strong><br />
Datos a petición <strong>de</strong> éste o por iniciativa propia;<br />
c) garantizar <strong>de</strong> forma in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>te <strong>la</strong> aplicación interna <strong>de</strong> <strong>la</strong>s disposiciones d<strong>el</strong> pres<strong>en</strong>te<br />
Reg<strong>la</strong>m<strong>en</strong>to;<br />
d) llevar <strong>el</strong> registro <strong>de</strong> aqu<strong>el</strong><strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>to realizadas por <strong>el</strong> responsable<br />
d<strong>el</strong> tratami<strong>en</strong>to, <strong>el</strong> cual cont<strong>en</strong>drá <strong>la</strong> información a que se refiere <strong>el</strong> apartado 2 d<strong>el</strong> artículo<br />
25;<br />
e) notificar al Supervisor Europeo <strong>de</strong> Protección <strong>de</strong> Datos <strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>to<br />
que pudieran pres<strong>en</strong>tar riesgos específicos con arreglo al artículo 27. Dicha persona<br />
<strong>de</strong>berá v<strong>el</strong>ar por que <strong>el</strong> tratami<strong>en</strong>to no t<strong>en</strong>ga efectos adversos <strong>sobre</strong> los <strong>de</strong>rechos y <strong>la</strong>s<br />
liberta<strong>de</strong>s <strong>de</strong> los interesados.”<br />
50
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
En este s<strong>en</strong>tido, <strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to 45/2001 regu<strong>la</strong> <strong>la</strong> figura d<strong>el</strong> DPO <strong>en</strong> <strong>el</strong> ámbito <strong>de</strong> <strong>la</strong>s instituciones<br />
y organismos comunitarios.<br />
El segundo <strong>de</strong> los docum<strong>en</strong>tos, provi<strong>en</strong>e d<strong>el</strong> Supervisor Europeo <strong>de</strong> Protección <strong>de</strong> Datos, <strong>en</strong><br />
<strong>el</strong> que fija su postura <strong>sobre</strong> <strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to anteriorm<strong>en</strong>te citado, y que también analiza <strong>la</strong>s funciones,<br />
calificándo<strong>la</strong>s <strong>de</strong> <strong>la</strong> sigui<strong>en</strong>te manera:<br />
En cuanto a lo que recoge <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to, <strong>el</strong> apartado 1 d<strong>el</strong> artículo 37 establece<br />
lo sigui<strong>en</strong>te:<br />
“1. El responsable o <strong>el</strong> <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to <strong>en</strong>com<strong>en</strong>darán al d<strong>el</strong>egado <strong>de</strong> protección<br />
<strong>de</strong> datos, como mínimo, <strong>la</strong>s sigui<strong>en</strong>tes tareas:<br />
a) informar y asesorar al Responsable o al Encargado d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> <strong>la</strong>s obligaciones<br />
que les incumb<strong>en</strong> <strong>en</strong> virtud d<strong>el</strong> pres<strong>en</strong>te Reg<strong>la</strong>m<strong>en</strong>to y docum<strong>en</strong>tar esta actividad y <strong>la</strong>s<br />
respuestas recibidas;<br />
b) supervisar <strong>la</strong> implem<strong>en</strong>tación y aplicación <strong>de</strong> <strong>la</strong>s políticas d<strong>el</strong> Responsable o d<strong>el</strong> Encargado<br />
d<strong>el</strong> tratami<strong>en</strong>to <strong>en</strong> materia <strong>de</strong> protección <strong>de</strong> datos personales, incluida <strong>la</strong> asignación<br />
<strong>de</strong> responsabilida<strong>de</strong>s, <strong>la</strong> formación d<strong>el</strong> personal que participa <strong>en</strong> <strong>la</strong>s operaciones<br />
<strong>de</strong> tratami<strong>en</strong>to, y <strong>la</strong>s auditorías correspondi<strong>en</strong>tes;<br />
c) supervisar <strong>la</strong> implem<strong>en</strong>tación y aplicación d<strong>el</strong> pres<strong>en</strong>te Reg<strong>la</strong>m<strong>en</strong>to, <strong>en</strong> particu<strong>la</strong>r por<br />
lo que hace a los requisitos r<strong>el</strong>ativos a <strong>la</strong> protección <strong>de</strong> datos <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño, <strong>la</strong> protección<br />
<strong>de</strong> datos por <strong>de</strong>fecto y <strong>la</strong> seguridad <strong>de</strong> los datos, así como a <strong>la</strong> información <strong>de</strong><br />
los interesados y <strong>la</strong>s solicitu<strong>de</strong>s pres<strong>en</strong>tadas <strong>en</strong> <strong>el</strong> ejercicio <strong>de</strong> sus <strong>de</strong>rechos <strong>en</strong> virtud<br />
d<strong>el</strong> pres<strong>en</strong>te Reg<strong>la</strong>m<strong>en</strong>to;<br />
d) v<strong>el</strong>ar por <strong>la</strong> conservación <strong>de</strong> <strong>la</strong> docum<strong>en</strong>tación contemp<strong>la</strong>da <strong>en</strong> <strong>el</strong> artículo 28;<br />
e) supervisar <strong>la</strong> docum<strong>en</strong>tación, notificación y comunicación <strong>de</strong> <strong>la</strong>s vio<strong>la</strong>ciones <strong>de</strong> datos<br />
personales <strong>de</strong> conformidad con lo dispuesto <strong>en</strong> los artículos 31 y 32;<br />
f) supervisar <strong>la</strong> realización <strong>de</strong> <strong>la</strong> evaluación <strong>de</strong> impacto r<strong>el</strong>ativa a <strong>la</strong> protección <strong>de</strong> datos<br />
por parte d<strong>el</strong> responsable o d<strong>el</strong> <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to y <strong>la</strong> pres<strong>en</strong>tación <strong>de</strong> solicitu<strong>de</strong>s<br />
<strong>de</strong> autorización o consulta previas, si fueran necesarias <strong>de</strong> conformidad con lo<br />
dispuesto <strong>en</strong> los artículos 33 y 34;<br />
g) supervisar <strong>la</strong> respuesta a <strong>la</strong>s solicitu<strong>de</strong>s <strong>de</strong> <strong>la</strong> Autoridad <strong>de</strong> Control y, <strong>en</strong> <strong>el</strong> marco <strong>de</strong><br />
<strong>la</strong>s compet<strong>en</strong>cias d<strong>el</strong> d<strong>el</strong>egado <strong>de</strong> protección <strong>de</strong> datos, cooperar con <strong>la</strong> Autoridad <strong>de</strong><br />
Control a solicitud <strong>de</strong> esta o a iniciativa propia;<br />
h) actuar como punto <strong>de</strong> contacto para <strong>la</strong> Autoridad <strong>de</strong> Control <strong>sobre</strong> <strong>la</strong>s cuestiones r<strong>el</strong>acionadas<br />
con <strong>el</strong> tratami<strong>en</strong>to y consultar con <strong>la</strong> Autoridad <strong>de</strong> Control, si proce<strong>de</strong>, a iniciativa<br />
propia.”<br />
51
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
Parte <strong>de</strong> estas funciones están, obviam<strong>en</strong>te, influ<strong>en</strong>ciadas por <strong>el</strong> resto d<strong>el</strong> texto normativo<br />
comunitario. Por ejemplo, <strong>el</strong> DPO t<strong>en</strong>drá que impulsar y contro<strong>la</strong>r <strong>el</strong> cumplimi<strong>en</strong>to d<strong>el</strong> principio<br />
<strong>de</strong> “Accountability”, supervisar <strong>la</strong> realización <strong>de</strong> <strong>la</strong>s Evaluaciones <strong>de</strong> Impacto <strong>de</strong> Privacidad<br />
(“Privacy Impact Assessm<strong>en</strong>ts”), o notificar <strong>la</strong>s brechas <strong>de</strong> seguridad.<br />
El resto <strong>de</strong> funciones, estarían formadas por <strong>el</strong> asesorami<strong>en</strong>to jurídico, <strong>la</strong> formación y ser<br />
punto <strong>de</strong> contacto con <strong>la</strong> Autoridad <strong>de</strong> Control. Recor<strong>de</strong>mos a este respecto, que su nombrami<strong>en</strong>to<br />
parece que se pret<strong>en</strong><strong>de</strong> que haya <strong>de</strong> ser comunicado a <strong>la</strong> respectiva Autoridad.<br />
La figura d<strong>el</strong> DPO no está recogida <strong>en</strong> <strong>la</strong> legis<strong>la</strong>ción españo<strong>la</strong> <strong>la</strong> cual sólo contemp<strong>la</strong> <strong>la</strong> exist<strong>en</strong>cia<br />
d<strong>el</strong> l<strong>la</strong>mado Responsable <strong>de</strong> Seguridad, pero únicam<strong>en</strong>te cuando <strong>en</strong> los tratami<strong>en</strong>tos<br />
<strong>de</strong> datos personales haya que implem<strong>en</strong>tar <strong>la</strong>s medidas <strong>de</strong> seguridad <strong>de</strong> niv<strong>el</strong> medio y alto.<br />
Si comparamos ambas figuras, <strong>el</strong> DPO abarca muchísimas más funciones que <strong>el</strong> Responsable<br />
<strong>de</strong> Seguridad, ya que éste, como su nombre indica, sólo se refiere al ámbito <strong>de</strong> <strong>la</strong> seguridad.<br />
En cambio, <strong>el</strong> DPO será <strong>el</strong> <strong>en</strong>cargado <strong>de</strong> v<strong>el</strong>ar porque <strong>la</strong> organización cump<strong>la</strong> con <strong>la</strong> Protección<br />
<strong>de</strong> Datos, no sólo <strong>en</strong> lo r<strong>el</strong>ativo a <strong>la</strong> seguridad, sino <strong>sobre</strong> todos los principios y obligaciones<br />
<strong>de</strong>tal<strong>la</strong>dos anteriorm<strong>en</strong>te.<br />
En cambio, si exist<strong>en</strong> otras legis<strong>la</strong>ciones europeas que han regu<strong>la</strong>do esta figura (Ver Anexo I).<br />
CONCLUSIONES<br />
La <strong>de</strong>finición d<strong>el</strong> D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong> Datos <strong>en</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to G<strong>en</strong>eral<br />
<strong>de</strong> Protección <strong>de</strong> Datos, al m<strong>en</strong>os <strong>en</strong> <strong>la</strong> versión <strong>de</strong> <strong>la</strong> Comisión, va más allá <strong>de</strong> <strong>la</strong>s funciones<br />
que actualm<strong>en</strong>te ti<strong>en</strong>e <strong>el</strong> Responsable <strong>de</strong> Seguridad <strong>en</strong> <strong>la</strong> Normativa españo<strong>la</strong>, <strong>de</strong> manera que<br />
se le otorga compet<strong>en</strong>cias <strong>de</strong> suma importancia para <strong>la</strong> Protección <strong>de</strong> Datos, no sin crear<br />
disyuntivas <strong>en</strong> cuanto a su imp<strong>la</strong>ntación <strong>en</strong> <strong>la</strong>s empresas.<br />
En cuanto a <strong>la</strong> <strong>de</strong>signación, su mandato está acotado <strong>en</strong> <strong>el</strong> tiempo, se establece <strong>la</strong> obligatoriedad<br />
<strong>de</strong> comunicación <strong>de</strong> los datos personales d<strong>el</strong> DPO a los organismos compet<strong>en</strong>tes con<br />
fines <strong>de</strong> <strong>en</strong>trar <strong>en</strong> contacto con <strong>el</strong> mismo, así como <strong>la</strong> opción para los grupos <strong>de</strong> empresas<br />
<strong>de</strong> nombrar un DPO único. Este último punto abre <strong>la</strong> puerta para que <strong>de</strong>s<strong>de</strong> <strong>la</strong>s multinacionales<br />
españo<strong>la</strong>s se gestione <strong>de</strong> forma c<strong>en</strong>tralizada <strong>la</strong> protección <strong>de</strong> datos <strong>de</strong> todas sus filiales<br />
europeas.<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to también <strong>de</strong>tal<strong>la</strong> algunas directrices <strong>sobre</strong> <strong>el</strong> perfil <strong>de</strong>seado <strong>de</strong><br />
un DPO, si<strong>en</strong>do los <strong>el</strong>em<strong>en</strong>tos prioritarios <strong>la</strong> valoración <strong>de</strong> <strong>la</strong> experi<strong>en</strong>cia, <strong>la</strong> titu<strong>la</strong>ción <strong>en</strong> una<br />
materia específica r<strong>el</strong>acionada con <strong>la</strong> función, y <strong>la</strong>s certificaciones profesionales. No obstante<br />
estos dos últimos <strong>el</strong>em<strong>en</strong>tos no están m<strong>en</strong>cionados <strong>de</strong> forma expresa <strong>en</strong> <strong>el</strong> texto normativo<br />
comunitario.<br />
Uno <strong>de</strong> los aspectos más críticos, principalm<strong>en</strong>te <strong>en</strong> <strong>la</strong>s empresas, será como asegurar <strong>la</strong> in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia<br />
y <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> sus funciones sin p<strong>la</strong>ntear conflictos <strong>de</strong> intereses, t<strong>en</strong>i<strong>en</strong>do<br />
<strong>en</strong> cu<strong>en</strong>ta, a<strong>de</strong>más, que <strong>el</strong> DPO <strong>de</strong>berá integrar <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> normativa <strong>de</strong> protección<br />
<strong>de</strong> datos personales con <strong>la</strong> consecución <strong>de</strong> los objetivos <strong>de</strong> negocio <strong>de</strong> su compañía.<br />
En resum<strong>en</strong>, si bi<strong>en</strong> <strong>el</strong> DPO contribuirá a g<strong>en</strong>erar una mayor responsabilidad <strong>en</strong>tre <strong>la</strong>s empre-<br />
52
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
sas y administraciones <strong>en</strong> <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> normativa <strong>de</strong> protección <strong>de</strong> datos, exist<strong>en</strong><br />
aspectos, como los que hemos citado, que <strong>de</strong>berán ser ac<strong>la</strong>rados, ya sea mediante <strong>la</strong> previsión<br />
que se recoge <strong>en</strong> su regu<strong>la</strong>ción para ser <strong>de</strong>sarrol<strong>la</strong>da por actos d<strong>el</strong>egados <strong>de</strong> <strong>la</strong> Comisión,<br />
o <strong>en</strong> <strong>la</strong> redacción final <strong>de</strong> <strong>la</strong> misma, ya que algunos apartados pue<strong>de</strong>n ser <strong>el</strong>iminados como<br />
<strong>el</strong> refer<strong>en</strong>te a su obligatoriedad.<br />
ANEXO I - COMPARATIVA LEGISLACIONES EUROPEAS- FIGURA DEL DPO<br />
País Figura Observaciones<br />
.<br />
España<br />
Responsable <strong>de</strong> Seguridad<br />
Alemania<br />
Bélgica<br />
Eslovaquia<br />
Francia<br />
Grecia<br />
Italia<br />
Polonia<br />
Portugal<br />
Reino Unido<br />
Rumania<br />
Letonia<br />
Data protection official.<br />
Simi<strong>la</strong>r al data protection officer. Section 4f) y g)<br />
Es obligatorio nombrar un DPO <strong>en</strong> <strong>el</strong> primer mes<br />
<strong>de</strong> actividad <strong>de</strong> <strong>la</strong> empresa, <strong>de</strong>p<strong>en</strong><strong>de</strong> d<strong>el</strong> sector<br />
<strong>de</strong> actividad, <strong>en</strong> principio es necesario que 20<br />
personas <strong>en</strong> <strong>la</strong>s empresa trat<strong>en</strong> DCP.<br />
Es necesario t<strong>en</strong>er conocimi<strong>en</strong>tos <strong>sobre</strong> <strong>la</strong> materia,<br />
es posible que sea una persona externa a <strong>la</strong><br />
compañía.<br />
No.<br />
Personal data protection official. Siempre que <strong>el</strong><br />
responsable t<strong>en</strong>ga más <strong>de</strong> cinco empleados. Es<br />
obligación d<strong>el</strong> Responsable que este reciba formación,<br />
<strong>la</strong> Oficina pue<strong>de</strong> llegar a solicitar que se<br />
acredite <strong>la</strong> formación.<br />
No.<br />
No.<br />
SI, Administrator of information security.<br />
No.<br />
No.<br />
No.<br />
Necesidad <strong>de</strong> nombrar a un Personal Data Protection<br />
Officer.<br />
Existe un registro público <strong>de</strong> Responsables <strong>de</strong><br />
protección <strong>de</strong> datos.<br />
.<br />
Legis<strong>la</strong>ción muy estricta.<br />
En <strong>el</strong> caso <strong>de</strong> que se trat<strong>en</strong> datos <strong>de</strong> categorías<br />
especiales, se exige que se realice un “Proyecto<br />
<strong>de</strong> Seguridad” incluy<strong>en</strong>do <strong>el</strong> mismo un análisis<br />
<strong>de</strong> riesgos.<br />
.<br />
Regu<strong>la</strong>ción sectorial <strong>en</strong> <strong>la</strong> ley (bancario, <strong>la</strong>boral, judicial,<br />
sanitario, comunicaciones <strong>el</strong>ectrónicas,<br />
marketing directo..). Dispon<strong>en</strong> <strong>de</strong> códigos <strong>de</strong>ontológicos<br />
<strong>de</strong> los difer<strong>en</strong>tes sectores.<br />
.<br />
.<br />
.<br />
.<br />
.Exist<strong>en</strong> también leyes fe<strong>de</strong>rales (y ag<strong>en</strong>cias).<br />
Ti<strong>en</strong><strong>en</strong> legis<strong>la</strong>ción sectorial como <strong>el</strong> Social Security<br />
Co<strong>de</strong> (Sozialgesetzbuch).<br />
Excepcionalm<strong>en</strong>te <strong>la</strong> ley protege datos <strong>de</strong> personas<br />
jurídicas.<br />
El responsable d<strong>el</strong> fichero <strong>de</strong>be nombrar una persona<br />
que t<strong>en</strong>ga <strong>la</strong> cualificación profesional sufici<strong>en</strong>te<br />
que garantice <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s<br />
medidas <strong>de</strong> seguridad.<br />
Necesidad <strong>de</strong> nombrar a un Personal Data Protection<br />
Officer que <strong>de</strong>berá ser lic<strong>en</strong>ciado <strong>en</strong> <strong>de</strong>recho<br />
o ing<strong>en</strong>iero formado específicam<strong>en</strong>te <strong>en</strong><br />
Protección <strong>de</strong> Datos.<br />
El nombrami<strong>en</strong>to <strong>de</strong>be ser registrado ante <strong>la</strong> autoridad<br />
<strong>de</strong> protección <strong>de</strong> datos estableci<strong>en</strong>do<br />
<strong>en</strong>tre otros <strong>el</strong> período durante <strong>el</strong> que ocupará su<br />
cargo. El PDPO <strong>de</strong>berá <strong>el</strong>aborar un informe anual<br />
<strong>de</strong> <strong>la</strong> situación <strong>de</strong> <strong>la</strong> empresa.<br />
República<br />
Checa<br />
No.<br />
.No hay nada reseñable.<br />
53
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
BIBLIOGRAFÍA / REFERENCIAS<br />
Grupo <strong>de</strong> Trabajo d<strong>el</strong> Artículo 29. Dictam<strong>en</strong> 8/2012 (WP199) por <strong>el</strong> que se proporciona<br />
más información <strong>sobre</strong> los <strong>de</strong>bates r<strong>el</strong>ativos a <strong>la</strong> reforma <strong>de</strong> protección <strong>de</strong> datos.<br />
http://ec.europa.eu/justice/data-protection/article-29/docum<strong>en</strong>tation/opinionrecomm<strong>en</strong>dation/files/2012/wp199_es.pdf#h2-2<br />
Reg<strong>la</strong>m<strong>en</strong>to 45/2001 d<strong>el</strong> Par<strong>la</strong>m<strong>en</strong>to Europeo y d<strong>el</strong> Consejo, <strong>de</strong> 18 <strong>de</strong> diciembre <strong>de</strong><br />
2000, r<strong>el</strong>ativo a <strong>la</strong> protección <strong>de</strong> <strong>la</strong>s personas físicas <strong>en</strong> lo que respecta al tratami<strong>en</strong>to<br />
<strong>de</strong> datos personales por <strong>la</strong>s instituciones y los organismos comunitarios y a <strong>la</strong> libre circu<strong>la</strong>ción<br />
<strong>de</strong> los datos.<br />
http://ec.europa.eu/justice/policies/privacy/docs/application/286_es.pdf<br />
Supervisor Europeo <strong>de</strong> Protección <strong>de</strong> Datos. Position paper on the role of Data Proteccion<br />
Officiers in <strong>en</strong>suring efective compliance with Regu<strong>la</strong>tion (EC) 45/2001.<br />
https://secure.edps.europa.eu/EDPSWEB/webdav/shared/Docum<strong>en</strong>ts/EDPS/Publication<br />
s/Papers/PositionP/05-11-28_DPO_paper_EN.pdf<br />
54
Cap. 4<br />
Reg<strong>la</strong>m<strong>en</strong>to<br />
Europeo <strong>de</strong><br />
Protección <strong>de</strong> Datos,<br />
BCRs y Grupos<br />
mulnacionales.
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
56
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
ABSTRACT<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, <strong>en</strong>tre otros aspectos novedosos,<br />
implem<strong>en</strong>ta un sistema <strong>de</strong> regu<strong>la</strong>ción, mediante herrami<strong>en</strong>tas vincu<strong>la</strong>ntes <strong>de</strong> carácter interno<br />
para “organizaciones internacionales” con <strong>el</strong> fin <strong>de</strong> flexibilizar <strong>el</strong> movimi<strong>en</strong>to <strong>de</strong> datos <strong>de</strong>ntro<br />
d<strong>el</strong> Grupo Empresarial multinacional y dotar <strong>de</strong> transpar<strong>en</strong>cia <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos fr<strong>en</strong>te<br />
al titu<strong>la</strong>r, respetando <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> intimidad y al propio control <strong>de</strong> los datos personales.<br />
Ya <strong>de</strong>s<strong>de</strong> 2002, <strong>el</strong> Grupo <strong>de</strong> Trabajo d<strong>el</strong> Articulo 29 <strong>de</strong> <strong>la</strong> Directiva 95/46/CE (<strong>en</strong> ad<strong>el</strong>ante, GT<br />
29), <strong>en</strong> r<strong>el</strong>ación al artículo 26.2 <strong>de</strong> <strong>la</strong> Directiva 95/46/CE y observando <strong>la</strong>s dificulta<strong>de</strong>s <strong>en</strong> dichas<br />
organizaciones, estableció <strong>la</strong> posibilidad <strong>de</strong> que éstas pudieran <strong>el</strong>aborar, con arreglo a<br />
<strong>la</strong> legis<strong>la</strong>ción aplicable, normativas internas vincu<strong>la</strong>ntes, <strong>de</strong> obligado cumplimi<strong>en</strong>to, oponibles<br />
a terceros <strong>en</strong> caso <strong>de</strong> incumplimi<strong>en</strong>to y aprobadas por <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Control mediante<br />
<strong>el</strong> Mecanismo <strong>de</strong> Coher<strong>en</strong>cia, propuesto y regu<strong>la</strong>do por <strong>la</strong> propia Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos. Dichas normas se conoc<strong>en</strong> como “Normas Corporativas Vincu<strong>la</strong>ntes”<br />
o más comúnm<strong>en</strong>te por su <strong>de</strong>nominación <strong>en</strong> inglés “Binding Corporate Rules”, con<br />
<strong>el</strong> objetivo <strong>de</strong> facilitar <strong>la</strong>s transfer<strong>en</strong>cias internacionales <strong>de</strong> datos <strong>en</strong>tre empresas pert<strong>en</strong>eci<strong>en</strong>tes<br />
a un mismo grupo multinacional que cu<strong>en</strong>te con empresas ubicadas tanto <strong>en</strong> países que<br />
proporcion<strong>en</strong> un niv<strong>el</strong> <strong>de</strong> protección a<strong>de</strong>cuado, como <strong>en</strong> países que no proporcion<strong>en</strong> dicho<br />
niv<strong>el</strong>.<br />
Su importancia e implem<strong>en</strong>tación ha sido tal que ya <strong>en</strong> <strong>la</strong> actualidad, se han <strong>de</strong>finido, con <strong>la</strong><br />
misma estructura, cont<strong>en</strong>ido y procedimi<strong>en</strong>to <strong>de</strong> aprobación aqu<strong>el</strong><strong>la</strong>s “Binding Corporate<br />
Rules” ori<strong>en</strong>tadas a los Encargados d<strong>el</strong> Tratami<strong>en</strong>to, t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong><br />
datos personales <strong>de</strong>rivado <strong>de</strong> <strong>la</strong> prestación <strong>de</strong> servicios, <strong>de</strong>nominadas “Binding Corporate<br />
Rules for Processor”.<br />
El objetivo <strong>de</strong> este capítulo es po<strong>de</strong>r dar una visión práctica <strong>de</strong> <strong>la</strong> problemática y posibles alternativas<br />
d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos y posterior movimi<strong>en</strong>to a niv<strong>el</strong> internacional <strong>de</strong> datos <strong>en</strong><br />
<strong>el</strong> s<strong>en</strong>o <strong>de</strong> Grupos Multinacionales, at<strong>en</strong>di<strong>en</strong>do al grado <strong>de</strong> Responsabilidad según <strong>la</strong>s r<strong>el</strong>aciones<br />
internas y con terceros (responsabilidad vertical) y <strong>la</strong> evaluación d<strong>el</strong> riesgo d<strong>el</strong> tratami<strong>en</strong>to<br />
(responsabilidad horizontal); así como analizar <strong>la</strong> naturaleza, cont<strong>en</strong>ido, estructura, y<br />
características <strong>de</strong> <strong>la</strong> aprobación e implem<strong>en</strong>tación <strong>de</strong> <strong>la</strong>s “Binding Corporate Rules”.<br />
57
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
DESARROLLO<br />
1.- SUJETO OBLIGADO: GRUPOS EMPRESARIALES MULTINACIONALES<br />
El tratami<strong>en</strong>to <strong>de</strong> datos, <strong>de</strong> ámbito internacional, <strong>de</strong>be estar sujeto al régim<strong>en</strong> <strong>de</strong> garantías,<br />
principalm<strong>en</strong>te jurídicas, que permitan acreditar <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s normativas, europeas<br />
y estatales <strong>de</strong> aplicación, <strong>en</strong>t<strong>en</strong>di<strong>en</strong>do por tales, <strong>el</strong> cumplimi<strong>en</strong>to y someti<strong>en</strong>do a alguna <strong>de</strong><br />
<strong>el</strong><strong>la</strong>s:<br />
1. La a<strong>de</strong>cuación d<strong>el</strong> movimi<strong>en</strong>to internacional <strong>de</strong> datos, don<strong>de</strong> <strong>en</strong>contramos incluido <strong>el</strong><br />
actual mecanismo “Safe Harbor” o “Puerto Seguro”.<br />
2. A falta <strong>de</strong> a<strong>de</strong>cuación se requier<strong>en</strong> garantías apropiadas y que se <strong>en</strong>cu<strong>en</strong>tr<strong>en</strong> recogidas<br />
<strong>en</strong> Instrum<strong>en</strong>tos Jurídicam<strong>en</strong>te Vincu<strong>la</strong>ntes, como por ejemplo:<br />
a) Las Cláusu<strong>la</strong>s Contractuales Tipo: bi<strong>en</strong> adoptadas por <strong>la</strong> Comisión Europea, por una<br />
Autoridad <strong>de</strong> ontrol compet<strong>en</strong>te o bi<strong>en</strong> conjuntam<strong>en</strong>te mediante <strong>el</strong> Mecanismo <strong>de</strong><br />
Coher<strong>en</strong>cia, previsto <strong>en</strong> <strong>el</strong> artículo 57 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos.<br />
b) Las Binding Corporate Rules (BCRs) aplicables tanto a Responsables <strong>de</strong> Fichero<br />
como a Encargados d<strong>el</strong> Tratami<strong>en</strong>to (Binding Corporate Rules for Processor).<br />
c) Los contratos “ad hoc” autorizados previam<strong>en</strong>te por una Autoridad <strong>de</strong> Control.<br />
3. En caso <strong>de</strong> no disponer <strong>de</strong> los anteriores, se exig<strong>en</strong> garantías <strong>de</strong> naturaleza Administrativa,<br />
como son <strong>la</strong>s Autorizaciones Previas por <strong>la</strong> Autoridad <strong>de</strong> Control compet<strong>en</strong>te,<br />
para cualquier movimi<strong>en</strong>to internacional <strong>de</strong> datos.<br />
4. La sujeción <strong>de</strong> <strong>la</strong>s transfer<strong>en</strong>cias internacionales <strong>de</strong> datos a <strong>la</strong>s Excepciones previstas<br />
por <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, a <strong>la</strong>s que habrían <strong>de</strong> sumarse<br />
<strong>la</strong>s <strong>de</strong>más incluidas <strong>en</strong> <strong>la</strong>s normativas nacionales <strong>de</strong> cada Estado Miembro, que<br />
<strong>en</strong> <strong>el</strong> caso <strong>de</strong> España serían <strong>la</strong>s recogidas <strong>en</strong> los Arts. 33 y 34 <strong>de</strong> <strong>la</strong> LOPD y Arts. 65 a<br />
70 d<strong>el</strong> RDLOPD, puesto que no se contemp<strong>la</strong> su <strong>de</strong>rogación.<br />
En consecu<strong>en</strong>cia, estaríamos ante una d<strong>el</strong>imitación <strong>de</strong> responsabilida<strong>de</strong>s <strong>en</strong>cuadrables como:<br />
• Responsabilidad Horizontal: <strong>de</strong>p<strong>en</strong>di<strong>en</strong>do d<strong>el</strong> riesgo i<strong>de</strong>ntificado at<strong>en</strong>di<strong>en</strong>do a <strong>la</strong><br />
forma, procesos, y respeto a los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los interesados, y<br />
• Responsabilidad vertical: i<strong>de</strong>ntificada como aqu<strong>el</strong><strong>la</strong> que ya se d<strong>el</strong>imitaba <strong>en</strong> <strong>la</strong> Directiva<br />
95/46/CE, <strong>en</strong> <strong>la</strong> r<strong>el</strong>ación <strong>en</strong>tre Responsables <strong>de</strong> Fichero y Encargados d<strong>el</strong> Tratami<strong>en</strong>to,<br />
regu<strong>la</strong>da mediante <strong>la</strong>s cláusu<strong>la</strong>s contractuales correspondi<strong>en</strong>tes al tipo <strong>de</strong><br />
tratami<strong>en</strong>to y servicio prestado.<br />
1.1.- RESPONSABILIDAD HORIZONTAL: EVALUACIÓN DEL RIESGO.<br />
El tratami<strong>en</strong>to <strong>de</strong> datos personales se realizará conforme a unos estándares <strong>de</strong>finidos<br />
<strong>en</strong> <strong>la</strong>s l<strong>la</strong>madas “Binding Corporate Rules”, que analizaremos más ad<strong>el</strong>ante, vincu<strong>la</strong>ntes<br />
y exigibles a todas <strong>la</strong>s <strong>en</strong>tida<strong>de</strong>s d<strong>el</strong> grupo, con in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia <strong>de</strong> su ubicación geográ-<br />
58
fica, <strong>de</strong>ntro o fuera d<strong>el</strong> Espacio Económico Europeo. Por tanto habrá uniformidad <strong>en</strong> <strong>el</strong><br />
tratami<strong>en</strong>to <strong>de</strong> datos, sin importar dón<strong>de</strong> se trat<strong>en</strong>.<br />
A<strong>de</strong>más <strong>de</strong> por <strong>la</strong>s Normas internas vincu<strong>la</strong>ntes, supletoriam<strong>en</strong>te regirá <strong>la</strong> Propuesta <strong>de</strong><br />
Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos y <strong>en</strong> lo que no lo contradiga, <strong>la</strong>s normas nacionales<br />
<strong>de</strong> los Estados miembros don<strong>de</strong> se sitú<strong>en</strong> <strong>la</strong>s compañías d<strong>el</strong> grupo.<br />
1.2.- RESPONSABILIDAD VERTICAL: RELACIONES ENTRE RESPONSABLES Y EN-<br />
CARGADOS DEL TRATAMIENTO.<br />
Ya <strong>la</strong> Directiva 95/46/CE, establecía <strong>la</strong> necesidad <strong>de</strong> p<strong>la</strong>smar, mediante cláusu<strong>la</strong>s contractuales<br />
concretas, <strong>la</strong> d<strong>el</strong>imitación <strong>de</strong> <strong>la</strong>s obligaciones y medidas <strong>de</strong> seguridad necesarias<br />
para <strong>el</strong> tratami<strong>en</strong>to que terceros, para <strong>la</strong> prestación <strong>de</strong> un servicio al Responsable<br />
d<strong>el</strong> Fichero, <strong>de</strong>bían cumplir.<br />
Este aspecto ha sido <strong>de</strong>sarrol<strong>la</strong>do, junto con <strong>la</strong>s obligaciones d<strong>el</strong> Responsable d<strong>el</strong> Fichero,<br />
y se hac<strong>en</strong> ext<strong>en</strong>sivas al Encargado d<strong>el</strong> Tratami<strong>en</strong>to, tanto más que también <strong>de</strong>berán<br />
cumplir con lo cont<strong>en</strong>ido <strong>en</strong> <strong>la</strong>s Normas internas vincu<strong>la</strong>ntes. Es concretam<strong>en</strong>te<br />
<strong>el</strong> artículo 33, al establecer <strong>la</strong> necesidad <strong>de</strong> una “Evaluación d<strong>el</strong> Impacto” previa, cuando<br />
afirma que “(…) evaluación d<strong>el</strong> impacto <strong>de</strong> <strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>to previstas<br />
(…)”, y siempre y cuando estemos ante una transfer<strong>en</strong>cia internacional sujeta a una normativa<br />
interna vincu<strong>la</strong>nte (BCR) <strong>de</strong>berá proce<strong>de</strong>rse a <strong>la</strong> obt<strong>en</strong>ción <strong>de</strong> <strong>la</strong> correspondi<strong>en</strong>te<br />
autorización (artículo 34).<br />
Así mismo, se prevé un régim<strong>en</strong> <strong>de</strong> “Corresponsabilidad” establecido <strong>en</strong> <strong>el</strong> artículo 22<br />
<strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos <strong>en</strong> r<strong>el</strong>ación al artículo 14 d<strong>el</strong><br />
mismo texto, respecto al Deber <strong>de</strong> Información al interesado, si<strong>en</strong>do un <strong>el</strong>em<strong>en</strong>to más<br />
a <strong>la</strong> hora <strong>de</strong> d<strong>el</strong>imitar <strong>la</strong> Responsabilidad “vertical” que también estará <strong>en</strong> <strong>la</strong>s políticas<br />
y mecanismos internos <strong>de</strong> graduación <strong>de</strong> dicha responsabilidad <strong>en</strong> función <strong>de</strong> <strong>la</strong> forma<br />
societaria d<strong>el</strong> Grupo Empresarial Multinacional.<br />
Esta Responsabilidad vertical, como así <strong>la</strong> ha i<strong>de</strong>ntificado <strong>el</strong> Consejo <strong>de</strong> Europa, va a suponer<br />
<strong>la</strong> i<strong>de</strong>ntificación c<strong>la</strong>ra <strong>de</strong> <strong>la</strong>s obligaciones concretas y <strong>la</strong> pon<strong>de</strong>ración d<strong>el</strong> grado <strong>de</strong><br />
cumplimi<strong>en</strong>to y exigibilidad que <strong>la</strong> nueva Norma europea prevé.<br />
2.- BINDING CORPORATE RULES<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Por primera vez, <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos regu<strong>la</strong> transfer<strong>en</strong>cias<br />
internacionales <strong>de</strong> datos fuera d<strong>el</strong> Espacio Económico Europeo, <strong>de</strong>ntro <strong>de</strong> una “organización<br />
internacional”, y <strong>la</strong>s “transfer<strong>en</strong>cias ulteriores”, dándoles i<strong>de</strong>ntidad propia y requerimi<strong>en</strong>tos<br />
propios, cuando hasta <strong>el</strong> mom<strong>en</strong>to so<strong>la</strong>m<strong>en</strong>te había contemp<strong>la</strong>do <strong>la</strong> transfer<strong>en</strong>cia internacional<br />
a “Terceros países”. Por lo tanto, no so<strong>la</strong>m<strong>en</strong>te será importante <strong>el</strong> <strong>de</strong>stino <strong>de</strong> los datos sino<br />
<strong>el</strong> tipo <strong>de</strong> sujeto que <strong>la</strong>s realiza y <strong>en</strong> <strong>el</strong> <strong>en</strong>torno <strong>en</strong> <strong>el</strong> que se tratan, pon<strong>de</strong>rando los riesgos<br />
<strong>de</strong>rivados.<br />
A través d<strong>el</strong> art. 43, <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos reconoce explícitam<strong>en</strong>te<br />
que, por primera vez, sería posible transferir datos personales fuera <strong>de</strong> <strong>la</strong> Unión Eu-<br />
59
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
ropea <strong>sobre</strong> <strong>la</strong> base <strong>de</strong> un “equilibrio <strong>de</strong> intereses” probado, estableci<strong>en</strong>do unos requisitos<br />
mínimos.<br />
Así surgieron <strong>la</strong>s BCRs, con <strong>el</strong> objetivo <strong>de</strong> facilitar <strong>la</strong>s transfer<strong>en</strong>cias internacionales <strong>de</strong> datos<br />
<strong>en</strong>tre <strong>en</strong>tida<strong>de</strong>s (filiales o sucursales) pert<strong>en</strong>eci<strong>en</strong>tes a un mismo grupo multinacional. Se<br />
trata <strong>de</strong> una alternativa a <strong>la</strong>s cláusu<strong>la</strong>s contractuales tipo (artículo 70.4 RDLOP) para los grupos<br />
multinacionales, que conforma un marco <strong>de</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> corporativa, constituido<br />
por un contrato vincu<strong>la</strong>nte, procesos y políticas comerciales, formación y directrices…,<br />
aprobado por <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> protección <strong>de</strong> datos <strong>de</strong> <strong>la</strong> UE y oponibles ante éstas, para<br />
garantizar <strong>la</strong> legalidad <strong>de</strong> <strong>la</strong>s operaciones <strong>de</strong> transfer<strong>en</strong>cia <strong>de</strong> datos <strong>en</strong> su organización, in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te<br />
<strong>de</strong> si <strong>el</strong> país es consi<strong>de</strong>rado como uno <strong>de</strong> los países que proporciona un<br />
niv<strong>el</strong> <strong>de</strong> protección a<strong>de</strong>cuado conforme a <strong>la</strong> normativa o no.<br />
2.1.- CONCEPTO Y NATURALEZA VINCULANTE.<br />
Las BCRs son un conjunto <strong>de</strong> reg<strong>la</strong>s o cláusu<strong>la</strong>s corporativas vincu<strong>la</strong>ntes cuyo objeto<br />
es establecer y parametrizar <strong>la</strong>s prácticas <strong>de</strong> una <strong>en</strong>tidad, <strong>en</strong> <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos,<br />
con <strong>el</strong> fin <strong>de</strong> facilitar <strong>la</strong>s transfer<strong>en</strong>cias internacionales <strong>de</strong> datos <strong>en</strong> <strong>el</strong> s<strong>en</strong>o <strong>de</strong> dicha corporación.<br />
Las BCRs no <strong>de</strong>b<strong>en</strong> confundirse con los códigos <strong>de</strong> conducta o códigos tipo, ya que se<br />
caracterizan, <strong>en</strong>tre otros aspectos por ser:<br />
• Vincu<strong>la</strong>ntes o exigibles legalm<strong>en</strong>te.<br />
• Aplicables a un grupo <strong>de</strong> empresas o <strong>en</strong>tida<strong>de</strong>s sometidas al control <strong>de</strong> <strong>la</strong> <strong>en</strong>tidad<br />
matriz.<br />
• Se constituy<strong>en</strong> como normas, cuyo cumplimi<strong>en</strong>to pue<strong>de</strong> ser exigido <strong>de</strong> forma externa<br />
por parte <strong>de</strong> terceras <strong>en</strong>tida<strong>de</strong>s oficiales e in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>tes.<br />
• Dotan a <strong>la</strong>s organizaciones multinacionales <strong>de</strong> un marco común bajo <strong>el</strong> que po<strong>de</strong>r realizar<br />
<strong>la</strong>s transfer<strong>en</strong>cias <strong>de</strong> un modo ágil y legítimo.<br />
La naturaleza vincu<strong>la</strong>nte <strong>de</strong> <strong>la</strong>s BCRs implica que los miembros <strong>de</strong> <strong>la</strong> corporación (sucursales/filiales),<br />
empleados y directivos…, ti<strong>en</strong><strong>en</strong> <strong>la</strong> obligación <strong>de</strong> cumplir<strong>la</strong>s. Las BCRs<br />
son soluciones a medida, t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta <strong>la</strong> tipología <strong>de</strong> Grupo Empresarial, <strong>el</strong> objeto<br />
<strong>de</strong> su actividad económica y <strong>el</strong> <strong>en</strong>torno <strong>en</strong> <strong>el</strong> que operan. El niv<strong>el</strong> <strong>de</strong> <strong>de</strong>talle <strong>de</strong><br />
unas BCRs <strong>de</strong>be ser ext<strong>en</strong>sivo y sufici<strong>en</strong>te para permitir a <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Control<br />
asegurarse, y <strong>en</strong> última instancia verificar, que <strong>el</strong> tratami<strong>en</strong>to es a<strong>de</strong>cuado.<br />
Las BCRs resultan herrami<strong>en</strong>tas atractivas por los b<strong>en</strong>eficios a niv<strong>el</strong> organizativo que,<br />
para <strong>el</strong> <strong>de</strong>sarrollo normal y <strong>la</strong> evolución natural <strong>de</strong> un Grupo Empresarial, <strong>el</strong> transferir<br />
datos a otras <strong>en</strong>tida<strong>de</strong>s d<strong>el</strong> grupo, <strong>de</strong>ntro <strong>de</strong> unos parámetros <strong>de</strong> seguridad aprobados<br />
por <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Control, resulta fundam<strong>en</strong>tal, como son <strong>la</strong> Flexibilidad, <strong>en</strong> <strong>la</strong>s<br />
transfer<strong>en</strong>cias <strong>de</strong> datos, y <strong>la</strong> Transpar<strong>en</strong>cia <strong>de</strong> sus actuaciones fr<strong>en</strong>te al interesado, y <strong>la</strong><br />
capacidad <strong>de</strong> control <strong>de</strong> su cumplimi<strong>en</strong>to.<br />
Las normas internas están a<strong>de</strong>cuadas a <strong>la</strong> naturaleza, contexto, alcance y objetivos <strong>de</strong><br />
<strong>la</strong>s activida<strong>de</strong>s <strong>de</strong> tratami<strong>en</strong>to y los riesgos que pue<strong>de</strong>n <strong>de</strong>rivarse d<strong>el</strong> tratami<strong>en</strong>to para<br />
los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los interesados, <strong>de</strong>terminándose <strong>la</strong>s medidas a<strong>de</strong>cuadas<br />
60
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
a adoptar por <strong>el</strong> Grupo Multinacional, siempre con sometimi<strong>en</strong>to a lo previsto <strong>en</strong> <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos.<br />
New!<br />
Contrato<br />
Protección<br />
Gran Bretaña<br />
US<br />
Francia<br />
Italia<br />
España<br />
India<br />
En <strong>el</strong> ejemplo d<strong>el</strong> gráfico, caso <strong>de</strong> incumplimi<strong>en</strong>to, supongamos que fuera <strong>la</strong> Sucursal<br />
Españo<strong>la</strong> <strong>la</strong> que incumple <strong>la</strong>s normas internas, (p.e. un empleado cu<strong>el</strong>ga una actuación<br />
<strong>en</strong> <strong>la</strong> red), respon<strong>de</strong> <strong>la</strong> Sucursal Españo<strong>la</strong> hasta don<strong>de</strong> llegu<strong>en</strong> sus activos, y a partir d<strong>el</strong><br />
agotami<strong>en</strong>to <strong>de</strong> los mismos, respon<strong>de</strong>rá <strong>la</strong> matriz estadouni<strong>de</strong>nse. Lo mismo es predicable<br />
<strong>de</strong> <strong>la</strong>s <strong>de</strong>más sucursales europeas y <strong>de</strong> <strong>la</strong> India, pese a ser un país tercero, ya<br />
que todas se <strong>en</strong>cu<strong>en</strong>tran vincu<strong>la</strong>das por <strong>la</strong>s normas internas vincu<strong>la</strong>ntes. Así mismo, si<br />
incumpliera <strong>la</strong> matriz, a ésta se le podrían exigir responsabilida<strong>de</strong>s directam<strong>en</strong>te, y agotados<br />
sus activos se podría recurrir a <strong>la</strong>s sucursales que <strong>de</strong>p<strong>en</strong><strong>de</strong>n jurídicam<strong>en</strong>te <strong>de</strong> <strong>la</strong><br />
matriz.<br />
2.2.- PROCEDIMIENTO DE APROBACIÓN. DESIGNACIÓN DE LA “LEAD AUTHORITY”<br />
Para <strong>la</strong> pres<strong>en</strong>tación <strong>de</strong> <strong>la</strong> solicitud <strong>de</strong> aprobación <strong>de</strong> una BCR, <strong>de</strong>berá cumplim<strong>en</strong>tarse<br />
<strong>el</strong> formu<strong>la</strong>rio que <strong>el</strong> GT 29 pone a disposición <strong>de</strong> <strong>la</strong>s <strong>en</strong>tida<strong>de</strong>s, y <strong>de</strong>berá proce<strong>de</strong>rse a<br />
<strong>la</strong> <strong>de</strong>signación <strong>de</strong> una Autoridad <strong>de</strong> Control pert<strong>en</strong>eci<strong>en</strong>te a un Estado Miembro y don<strong>de</strong><br />
<strong>el</strong> Grupo Multinacional disponga <strong>de</strong> su se<strong>de</strong> o bi<strong>en</strong> <strong>de</strong> una <strong>en</strong>tidad d<strong>el</strong> Grupo a <strong>la</strong> que<br />
pueda d<strong>el</strong>egar <strong>la</strong> responsabilidad d<strong>el</strong> control y supervisión d<strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s BCRs<br />
por parte <strong>de</strong> todo <strong>el</strong> grupo. La Corporación Multinacional <strong>de</strong>berá t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta que,<br />
prevalece como principal criterio <strong>de</strong> <strong>el</strong>ección, <strong>el</strong> domicilio social <strong>de</strong> <strong>la</strong> <strong>en</strong>tidad solicitante.<br />
La Autoridad <strong>de</strong> Control, o “Lead Authority” gestionará <strong>el</strong> procedimi<strong>en</strong>to <strong>de</strong> autorización<br />
con <strong>el</strong> resto <strong>de</strong> autorida<strong>de</strong>s, incluy<strong>en</strong>do los propios organismos <strong>de</strong> <strong>la</strong> UE, mediante <strong>el</strong><br />
Mecanismo <strong>de</strong> Coher<strong>en</strong>cia, que ya prevé <strong>el</strong> artículo 57 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos.<br />
61
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
En todo caso, <strong>la</strong> Autoridad <strong>de</strong> protección <strong>de</strong> datos <strong>de</strong>signada <strong>de</strong>be t<strong>en</strong>er capacidad para<br />
<strong>de</strong>cidir si son <strong>la</strong> <strong>en</strong>tidad más a<strong>de</strong>cuada dadas <strong>la</strong>s circunstancias o por <strong>el</strong> contrario sería<br />
conv<strong>en</strong>i<strong>en</strong>te remitir <strong>el</strong> caso a otra Autoridad <strong>de</strong> Control más compet<strong>en</strong>te.<br />
La docum<strong>en</strong>tación que conforman <strong>la</strong>s BCRs contemp<strong>la</strong> <strong>la</strong>s políticas, códigos, procedimi<strong>en</strong>tos<br />
y contratos con empleados y terceros, así como una <strong>de</strong>c<strong>la</strong>ración g<strong>en</strong>eral <strong>de</strong><br />
principios. Es preciso i<strong>de</strong>ntificar una persona <strong>de</strong> contacto <strong>de</strong> <strong>la</strong> organización a <strong>la</strong> que se<br />
dirigirán <strong>la</strong>s consultas/dudas.<br />
Las BCRs <strong>de</strong>b<strong>en</strong> cont<strong>en</strong>er una <strong>de</strong>scripción c<strong>la</strong>ra <strong>de</strong> <strong>la</strong>s medidas <strong>de</strong> protección <strong>de</strong> datos<br />
a aplicar y <strong>de</strong>b<strong>en</strong> <strong>en</strong> particu<strong>la</strong>r v<strong>el</strong>ar por:<br />
• Transpar<strong>en</strong>cia y equidad a los interesados.<br />
• Limitación d<strong>el</strong> tratami<strong>en</strong>to a <strong>la</strong> finalidad <strong>de</strong>c<strong>la</strong>rada.<br />
• Garantizar <strong>la</strong> calidad <strong>de</strong> los datos; <strong>la</strong> seguridad; <strong>de</strong>rechos individuales <strong>de</strong> acceso, rectificación<br />
y oposición al tratami<strong>en</strong>to, etc.<br />
• Definir un mecanismo <strong>de</strong> notificación y registro <strong>de</strong> cambios, informando a <strong>la</strong> Autoridad<br />
<strong>de</strong> Control <strong>de</strong> los cambios significativos.<br />
• Estar sujetas a auditorías periódicas (interna, externa o una combinación <strong>de</strong> ambas)<br />
que podrán remitirse a <strong>la</strong> autoridad compet<strong>en</strong>te a su requerimi<strong>en</strong>to.<br />
El procedimi<strong>en</strong>to <strong>de</strong> autorización a seguir para lograr <strong>la</strong> aprobación, una vez s<strong>el</strong>eccionada<br />
y validada <strong>la</strong> Autoridad <strong>de</strong> protección <strong>de</strong> datos compet<strong>en</strong>te, pue<strong>de</strong> estructurarse <strong>de</strong> <strong>la</strong><br />
sigui<strong>en</strong>te forma:<br />
En cualquier caso, <strong>el</strong> artículo 43.1 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong><br />
Datos, recoge los <strong>el</strong>em<strong>en</strong>tos que una Autoridad <strong>de</strong> Control <strong>de</strong>berá valorar para aprobar<br />
una BCRs:<br />
a) “(…) sean jurídicam<strong>en</strong>te vincu<strong>la</strong>ntes y se apliqu<strong>en</strong> a todos los miembros d<strong>el</strong> grupo<br />
<strong>de</strong> empresas d<strong>el</strong> responsable o d<strong>el</strong> <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to, incluidos sus empleados,<br />
que asegurarán su cumplimi<strong>en</strong>to;(…)”<br />
El GT 29 estableció, a<strong>de</strong>más <strong>de</strong> lo anterior, <strong>en</strong> su WP 74 (apartado 3.3) <strong>la</strong> necesidad<br />
<strong>de</strong> que a<strong>de</strong>más <strong>de</strong> estas normas <strong>la</strong>s empresas <strong>de</strong>berán cumplir con los requisitos<br />
62
normativos asociados a <strong>la</strong> regu<strong>la</strong>ción local. En <strong>el</strong> redactado <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos no se m<strong>en</strong>ciona nada r<strong>el</strong>acionado específicam<strong>en</strong>te<br />
con este aspecto, lo cual p<strong>la</strong>ntea dudas <strong>en</strong> r<strong>el</strong>ación a <strong>la</strong>s v<strong>en</strong>tajas reales que<br />
pueda proporcionar <strong>el</strong> establecimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s BCRs.<br />
b) (…) confieran expresam<strong>en</strong>te a los interesados <strong>de</strong>rechos exigibles;(…)<br />
c) Y con carácter es<strong>en</strong>cial, (…) cump<strong>la</strong>n los requisitos establecidos <strong>en</strong> <strong>el</strong> apartado 2<br />
d<strong>el</strong> artículo 43 (…).<br />
2.3.- ¿CÓMO PLANTEAR SU ELABORACIÓN<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Des<strong>de</strong> un punto <strong>de</strong> vista práctico, para llevar a cabo <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> BCRs, hay que<br />
t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta <strong>la</strong>s sigui<strong>en</strong>tes recom<strong>en</strong>daciones para lograr un efectivo cumplimi<strong>en</strong>to<br />
normativo y <strong>de</strong>sarrollo interno:<br />
1) Redacción <strong>de</strong> normas a<strong>de</strong>cuadas al sector y ámbito geográfico <strong>de</strong> aplicación.<br />
2) Definición c<strong>la</strong>ra <strong>de</strong> procedimi<strong>en</strong>tos para su aplicación y <strong>de</strong>sarrollo.<br />
3) Buscar <strong>el</strong> equilibrio <strong>en</strong>tre <strong>la</strong>s normas nacionales y su aplicación práctica a niv<strong>el</strong> global.<br />
4) Definición d<strong>el</strong> flujo <strong>de</strong> datos, especialm<strong>en</strong>te aqu<strong>el</strong>los con <strong>de</strong>stino transfronterizo.<br />
5) D<strong>el</strong>imitación d<strong>el</strong> ámbito y forma <strong>de</strong> tratami<strong>en</strong>to, adaptado a <strong>la</strong> normativa y a los niv<strong>el</strong>es<br />
<strong>de</strong> protección, con especial at<strong>en</strong>ción a los datos especialm<strong>en</strong>te s<strong>en</strong>sibles.<br />
6) Mecanismos <strong>de</strong> control internos a<strong>de</strong>cuados a <strong>la</strong> tipología <strong>de</strong> tratami<strong>en</strong>to y los ag<strong>en</strong>tes<br />
corporativos que intervi<strong>en</strong><strong>en</strong>, es<strong>en</strong>cialm<strong>en</strong>te mediante auditorías internas.<br />
7) Establecer c<strong>la</strong>ram<strong>en</strong>te los procedimi<strong>en</strong>tos internos para <strong>el</strong> correcto ejercicio <strong>de</strong> los<br />
<strong>de</strong>rechos reconocidos a los titu<strong>la</strong>res <strong>de</strong> datos personales, que permitan una tramitación<br />
<strong>de</strong> rec<strong>la</strong>maciones <strong>en</strong> los p<strong>la</strong>zos legalm<strong>en</strong>te establecidos, y contando con mecanismos<br />
<strong>de</strong> control “ad hoc”.<br />
En <strong>de</strong>finitiva, <strong>de</strong>berá aplicarse <strong>la</strong> medida <strong>de</strong> “Evaluación d<strong>el</strong> Impacto” que, <strong>en</strong> los artículos<br />
33 y 34, recoge <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, <strong>en</strong> base<br />
a <strong>la</strong> pon<strong>de</strong>ración d<strong>el</strong> riesgo, los <strong>el</strong>em<strong>en</strong>tos y actuaciones a consi<strong>de</strong>rar ante <strong>la</strong> <strong>el</strong>aboración<br />
y posterior aprobación <strong>de</strong> <strong>la</strong>s BCRs.<br />
63
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
2.4.- CONTENIDO MÍNIMO Y PARÁMETROS ESENCIALES<br />
ASPECTOS PRINCIPALES<br />
ALCANCE Y<br />
ÁMBITO DE<br />
APLICACIÓN<br />
CUMPLIMIENTO DE<br />
GARANTÍAS<br />
Y PRINCIPIOS<br />
NORMATIVOS<br />
TRATAMIENTO DE<br />
DATOS<br />
ESPECIALMENTE<br />
SENSIBLES<br />
CARÁCTER<br />
VINCULANTE Y<br />
EXIGIBLE<br />
CONTENIDO<br />
Alcance geográfico.<br />
Actividad Económica.<br />
Estructura empresarial (sucursales/filiales).<br />
Descripción <strong>de</strong> los flujos <strong>de</strong> datos y finalida<strong>de</strong>s <strong>de</strong> <strong>la</strong>s transfer<strong>en</strong>cias.<br />
Tipología <strong>de</strong> datos tratados.<br />
Forma d<strong>el</strong> tratami<strong>en</strong>toResponsable <strong>de</strong> Seguridad .<br />
D<strong>el</strong>imitación <strong>de</strong> <strong>la</strong> Finalidad d<strong>el</strong> tratami<strong>en</strong>to y posterior transfer<strong>en</strong>cia <strong>de</strong> datos.<br />
Calidad <strong>de</strong> los datos.<br />
Proporcionalidad <strong>de</strong> obt<strong>en</strong>ción y tratami<strong>en</strong>to <strong>de</strong> datos.<br />
Cumplimi<strong>en</strong>to y Transpar<strong>en</strong>cia d<strong>el</strong> <strong>de</strong>ber <strong>de</strong> información. (artículo 14 RGPDUE).<br />
Establecimi<strong>en</strong>to <strong>de</strong> procesos internos para <strong>la</strong> gestión y respuesta al Ejercicio <strong>de</strong> Derechos<br />
(acceso, rectificación, canc<strong>el</strong>ación y oposición).<br />
Acreditación <strong>de</strong> <strong>la</strong> compatibilidad <strong>de</strong> <strong>la</strong>s BCRs con <strong>la</strong> normativa estatal correspondi<strong>en</strong>te.<br />
D<strong>el</strong>imitación <strong>de</strong> <strong>la</strong> finalidad <strong>de</strong> su tratami<strong>en</strong>to.<br />
Destinatarios.<br />
Forma <strong>de</strong> tratami<strong>en</strong>to.<br />
Legitimación para su tratami<strong>en</strong>to (cons<strong>en</strong>timi<strong>en</strong>to, protección d<strong>el</strong> interés vital <strong>de</strong> interesado….).<br />
Cumplimi<strong>en</strong>to: <strong>de</strong> principios y obligaciones cont<strong>en</strong>idos.<br />
Adopción <strong>de</strong> medidas correctoras.<br />
Mecanismos <strong>de</strong> control y supervisión (auditorias…).<br />
SEGURIDAD y<br />
CONFIDENCIALIDAD<br />
Medidas técnicas y organizativas<br />
que garantic<strong>en</strong> <strong>la</strong> confi<strong>de</strong>ncialidad<br />
e integridad <strong>de</strong> los datos.<br />
Garantías d<strong>el</strong> niv<strong>el</strong> <strong>de</strong> protección<br />
aplicable.<br />
Medidas específicas para <strong>el</strong> tratami<strong>en</strong>to<br />
y movimi<strong>en</strong>to <strong>de</strong> datos, especialm<strong>en</strong>te<br />
<strong>en</strong> <strong>la</strong> red.<br />
Medidas acor<strong>de</strong> con los riesgos<br />
según <strong>el</strong> tipo <strong>de</strong> tratami<strong>en</strong>to y naturaleza<br />
<strong>de</strong> los datos protegidos.<br />
En <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos especialm<strong>en</strong>te s<strong>en</strong>sibles:<br />
política <strong>de</strong> seguridad.<br />
Aspectos organizativos asociados a <strong>la</strong> seguridad.<br />
Formación, divulgación y conci<strong>en</strong>ciación <strong>en</strong> materia<br />
<strong>de</strong> seguridad.<br />
Seguridad ligada a los Recursos Humanos.<br />
R<strong>el</strong>aciones con terceros.<br />
Seguridad física y d<strong>el</strong> <strong>en</strong>torno.<br />
Inv<strong>en</strong>tario y c<strong>la</strong>sificación <strong>de</strong> activos.<br />
Gestión <strong>de</strong> activos.<br />
Seguridad <strong>de</strong> <strong>la</strong>s comunicaciones y operaciones.<br />
Control <strong>de</strong> acceso.<br />
Adquisición, <strong>de</strong>sarrollo y mant<strong>en</strong>imi<strong>en</strong>to <strong>de</strong> sistemas.<br />
Gestión <strong>de</strong> inci<strong>de</strong>ntes <strong>de</strong> seguridad.<br />
Disponibilidad <strong>de</strong> sistemas.<br />
Continuidad d<strong>el</strong> negocio.<br />
Cumplimi<strong>en</strong>to legal y normativo.<br />
RELACIONES CON<br />
TERCEROS<br />
RÉGIMEN<br />
ESPECÍFICO PARA LAS<br />
TRANSFERENCIAS<br />
INTERNACIONALES<br />
FORMACIÓN<br />
Determinación y garantías a imp<strong>la</strong>ntar <strong>en</strong> <strong>la</strong>s r<strong>el</strong>aciones con <strong>en</strong>tida<strong>de</strong>s d<strong>el</strong> mismo Grupo<br />
consi<strong>de</strong>radas Encargados d<strong>el</strong> Tratami<strong>en</strong>to. (artículo 14).<br />
I<strong>de</strong>ntificación <strong>de</strong> los supuestos <strong>de</strong> Cesiones <strong>de</strong> Datos y cumplimi<strong>en</strong>to <strong>de</strong> los requerimi<strong>en</strong>tos<br />
normativos y control.<br />
D<strong>el</strong>imitación d<strong>el</strong> régim<strong>en</strong> <strong>de</strong> autorizaciones para <strong>el</strong> movimi<strong>en</strong>to <strong>de</strong> datos con <strong>de</strong>stino a terceros.<br />
Restricciones <strong>en</strong> <strong>la</strong>s transfer<strong>en</strong>cias iniciales y/o ulteriores a terceros externos.<br />
Detalle <strong>de</strong> medidas <strong>de</strong> restricción <strong>en</strong> transfer<strong>en</strong>cias ulteriores fuera d<strong>el</strong> grupo y <strong>la</strong>s normas<br />
<strong>de</strong> obligado cumplimi<strong>en</strong>to para su legitimación.<br />
Establecimi<strong>en</strong>to <strong>de</strong> programas <strong>de</strong> formación internos, at<strong>en</strong>di<strong>en</strong>do al tipo <strong>de</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> datos y su finalidad.<br />
64
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
RESPONSABILIDAD<br />
D<strong>el</strong>imitación <strong>de</strong> <strong>la</strong> responsabilidad corporativa d<strong>el</strong> Grupo empresarial a niv<strong>el</strong> interno y externo.<br />
Operativa por rec<strong>la</strong>maciones e infracciones ante <strong>la</strong> autoridad <strong>de</strong> control correspondi<strong>en</strong>te.<br />
COLABORACIÓN Y<br />
COOPERACIÓN<br />
Asist<strong>en</strong>cia mutua y cooperación con <strong>la</strong>s autorida<strong>de</strong>s <strong>de</strong> control.<br />
REVISIÓN Y<br />
ACTUALIZACIÓN<br />
Determinación d<strong>el</strong> Régim<strong>en</strong> y procedimi<strong>en</strong>tos internos, así como responsables asignados<br />
para <strong>la</strong> revisión y actualización <strong>de</strong> <strong>la</strong>s BCRs.<br />
CONTENIDO MÍNIMO DE UNA NORMA CORPORATIVA VINCULANTE (BCRs) SEGÚN LA<br />
PROPUESTA DE REGLAMENTO UE DE PROTECCIÓN DE DATOS<br />
PROPUESTA DE REGLAMENTO (artículo 43.2)<br />
GT 29<br />
Estructura, miembros e i<strong>de</strong>ntificación <strong>de</strong> responsable; WP 108-<br />
Transfer<strong>en</strong>cias (tipología, categoría <strong>de</strong> datos, tipo tratami<strong>en</strong>tos y sus fines,<br />
tipo <strong>de</strong> interesados y nombre d<strong>el</strong> tercer/os países <strong>en</strong> cuestión;<br />
WP 108 (4 -7)<br />
WP 133<br />
Carácter jurídicam<strong>en</strong>te vincu<strong>la</strong>nte, a niv<strong>el</strong> interno y externo; WP 108-5<br />
Principios g<strong>en</strong>erales <strong>en</strong> materia <strong>de</strong> protección <strong>de</strong> datos: WP 108-8.2<br />
Derechos <strong>de</strong> los interesados y medios para ejercerlos<br />
Aceptación <strong>de</strong> responsabilida<strong>de</strong>s y posibilidad <strong>de</strong> exoneración.<br />
Forma <strong>de</strong> cumplimi<strong>en</strong>to d<strong>el</strong> Deber <strong>de</strong> Información a los interesados <strong>sobre</strong> <strong>la</strong>s<br />
normas corporativas vincu<strong>la</strong>ntes.<br />
WP 108-8.2.5<br />
WP 153<br />
WP 108<br />
WP 74<br />
WP 108-5.11, 5.13 y<br />
5.14<br />
Tareas d<strong>el</strong> d<strong>el</strong>egado <strong>de</strong> protección <strong>de</strong> datos <strong>de</strong>signado (artículo 35 RGPDUE) WP 74<br />
Mecanismos internos para garantizar que se verifica <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s normas corporativas<br />
vincu<strong>la</strong>ntes;<br />
Mecanismos para comunicar y registrar <strong>la</strong>s modificaciones introducidas <strong>en</strong> <strong>la</strong>s políticas y<br />
notificar<strong>la</strong>s a <strong>la</strong> autoridad <strong>de</strong> control;<br />
Mecanismo <strong>de</strong> cooperación con <strong>la</strong> autoridad <strong>de</strong> control para garantizar <strong>el</strong> cumplimi<strong>en</strong>to,<br />
poni<strong>en</strong>do a disposición los resultados <strong>de</strong> <strong>la</strong>s verificaciones <strong>de</strong> <strong>la</strong>s medidas.<br />
WP 108 (6.1)<br />
WP 153<br />
WP 108 (9.1)<br />
WP 74 (4.2)<br />
WP 108 (5.21)<br />
2.5.- RÉGIMEN DE RESPONSABILIDAD.<br />
Es requisito indisp<strong>en</strong>sable <strong>la</strong> <strong>de</strong>signación <strong>de</strong> un responsable, <strong>de</strong>ntro d<strong>el</strong> territorio <strong>de</strong> <strong>la</strong><br />
Unión Europea, d<strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s medidas y <strong>la</strong>s garantías a los <strong>de</strong>rechos <strong>de</strong> los<br />
interesados, así como hacerse cargo <strong>de</strong> <strong>la</strong>s sanciones que puedan <strong>de</strong>rivarse <strong>de</strong> infracciones<br />
d<strong>el</strong> país <strong>de</strong>stino Encargado d<strong>el</strong> tratami<strong>en</strong>to, pudi<strong>en</strong>do ser <strong>la</strong> misma matriz d<strong>el</strong><br />
Grupo Empresarial, o si ésta ti<strong>en</strong>e su se<strong>de</strong> fuera d<strong>el</strong> territorio d<strong>el</strong> Espacio Económico<br />
Europeo, aqu<strong>el</strong><strong>la</strong> <strong>de</strong>signada por <strong>la</strong> misma matriz.<br />
65
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
El artículo 43.2 f) <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, <strong>de</strong>sarrol<strong>la</strong>ndo<br />
lo previsto <strong>en</strong> <strong>el</strong> WP 108 d<strong>el</strong> GT 29, ya prevé este aspecto, <strong>de</strong>ntro d<strong>el</strong> régim<strong>en</strong><br />
<strong>de</strong> responsabilidad d<strong>el</strong> Grupo Multinacional <strong>en</strong> <strong>la</strong> aprobación y cont<strong>en</strong>ido mínimo <strong>de</strong> <strong>la</strong>s<br />
BCRs, y concretam<strong>en</strong>te cuando <strong>la</strong> se<strong>de</strong> social d<strong>el</strong> grupo <strong>de</strong> socieda<strong>de</strong>s no esta <strong>en</strong> <strong>la</strong> UE<br />
/ EEE, <strong>el</strong> grupo <strong>de</strong> empresas <strong>de</strong>berá <strong>de</strong>signar un miembro europeo con responsabilida<strong>de</strong>s<br />
d<strong>el</strong>egadas a cargo <strong>de</strong> asegurar que, cualquier miembro extranjero d<strong>el</strong> grupo <strong>de</strong> multinacional<br />
ajusta sus activida<strong>de</strong>s <strong>de</strong> procesami<strong>en</strong>to, <strong>la</strong> interfaz con <strong>la</strong> principal autoridad,<br />
<strong>de</strong> forma según <strong>la</strong>s BCRs establecidas, puesto que será <strong>la</strong> Entidad con responsabilidad<br />
d<strong>el</strong>egada <strong>la</strong> que t<strong>en</strong>drá que hacer fr<strong>en</strong>te <strong>de</strong> <strong>la</strong>s comp<strong>en</strong>saciones a<strong>de</strong>cuadas y d<strong>el</strong> pago,<br />
<strong>en</strong> caso <strong>de</strong> daños producidos, por <strong>la</strong> vio<strong>la</strong>ción <strong>de</strong> <strong>la</strong>s reg<strong>la</strong>s corporativas vincu<strong>la</strong>ntes por<br />
parte <strong>de</strong> cualquier miembro d<strong>el</strong> grupo <strong>de</strong> socieda<strong>de</strong>s.<br />
T<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta que, <strong>en</strong> caso <strong>de</strong> conflicto, <strong>el</strong> interesado <strong>de</strong>mandante pue<strong>de</strong> <strong>el</strong>egir<br />
<strong>la</strong> jurisdicción aplicable, pudi<strong>en</strong>do ser ésta <strong>la</strong> d<strong>el</strong> país orig<strong>en</strong> <strong>de</strong> <strong>la</strong> transfer<strong>en</strong>cia <strong>de</strong> los<br />
datos, o bi<strong>en</strong> <strong>la</strong> jurisdicción <strong>de</strong> <strong>la</strong> se<strong>de</strong> u <strong>en</strong>tidad europea <strong>en</strong> <strong>el</strong> que se d<strong>el</strong>egan <strong>la</strong>s responsabilida<strong>de</strong>s,<br />
es necesario establecer un marco <strong>de</strong> protección que abarque <strong>el</strong> cumplimi<strong>en</strong>to<br />
<strong>de</strong> <strong>la</strong>s posibles regu<strong>la</strong>ciones que apliqu<strong>en</strong> a <strong>la</strong> proce<strong>de</strong>ncia <strong>de</strong> los datos. Así<br />
mismo, y a pesar <strong>de</strong> <strong>el</strong>lo, <strong>la</strong> aplicación <strong>de</strong> <strong>la</strong>s medidas <strong>de</strong> seguridad necesarias establecidas<br />
por <strong>la</strong> <strong>en</strong>tidad responsable, no exim<strong>en</strong> <strong>de</strong> <strong>la</strong> necesidad d<strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> legis<strong>la</strong>ción<br />
local d<strong>el</strong> país <strong>de</strong>stino.<br />
La se<strong>de</strong> o aqu<strong>el</strong><strong>la</strong> <strong>en</strong>tidad miembro que <strong>de</strong>be establecer <strong>el</strong> marco <strong>de</strong> control <strong>sobre</strong> <strong>la</strong>s<br />
medidas <strong>de</strong> seguridad imp<strong>la</strong>ntadas, a<strong>de</strong>más <strong>de</strong> aceptar <strong>la</strong> responsabilidad y comprometerse<br />
a adoptar <strong>la</strong>s medidas necesarias para remediar los actos <strong>de</strong> los otros miembros<br />
d<strong>el</strong> grupo <strong>de</strong> empresas fuera <strong>de</strong> <strong>la</strong> Unión Europea <strong>de</strong>berá comprometerse, <strong>en</strong> su caso,<br />
a pagar una in<strong>de</strong>mnización por los daños producidos por <strong>la</strong> vio<strong>la</strong>ción <strong>de</strong> <strong>la</strong>s reg<strong>la</strong>s corporativas<br />
vincu<strong>la</strong>ntes por parte <strong>de</strong> cualquier miembro vincu<strong>la</strong>do por <strong>el</strong> régim<strong>en</strong>.<br />
El grupo multinacional <strong>de</strong>berá adjuntar <strong>la</strong>s evi<strong>de</strong>ncias a su solicitud <strong>de</strong> autorización <strong>de</strong><br />
que <strong>la</strong> se<strong>de</strong> <strong>de</strong> <strong>la</strong> UE o <strong>la</strong> <strong>en</strong>tidad <strong>de</strong>signada ti<strong>en</strong>e activos sufici<strong>en</strong>tes <strong>en</strong> <strong>la</strong> UE para<br />
cubrir <strong>el</strong> pago <strong>de</strong> <strong>la</strong> in<strong>de</strong>mnización por incumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s BCRs <strong>en</strong> circunstancias<br />
normales o que ha tomado medidas para asegurar que no sería capaz <strong>de</strong> satisfacer<br />
tales <strong>de</strong>mandas <strong>en</strong> esa medida (por ejemplo: <strong>la</strong> cobertura d<strong>el</strong> seguro <strong>de</strong> responsabilidad<br />
civil). Al marg<strong>en</strong> <strong>de</strong> todo lo anterior, <strong>de</strong>be t<strong>en</strong>erse <strong>en</strong> cu<strong>en</strong>ta que, para algunos grupos<br />
con <strong>de</strong>terminadas estructuras corporativas, no siempre es posible imponer a una <strong>en</strong>tidad<br />
específica toda <strong>la</strong> responsabilidad por <strong>el</strong> incumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s BCRs. En estos<br />
casos, <strong>el</strong> GT 29 reconoce que <strong>el</strong> grupo multinacional pue<strong>de</strong> <strong>de</strong>mostrar por qué no es<br />
posible que <strong>el</strong>los <strong>de</strong>sign<strong>en</strong> una <strong>en</strong>tidad única <strong>en</strong> <strong>la</strong> UE y pue<strong>de</strong>n proponer otros mecanismos<br />
<strong>de</strong> responsabilidad que se ajust<strong>en</strong> a <strong>la</strong> organización.<br />
Por ejemplo, <strong>la</strong> creación <strong>de</strong> un mecanismo <strong>de</strong> responsabilidad solidaria <strong>en</strong>tre los importadores<br />
<strong>de</strong> datos y los exportadores <strong>de</strong> datos como se ve <strong>en</strong> <strong>la</strong>s Cláusu<strong>la</strong>s Contractuales<br />
Tipo <strong>de</strong> <strong>la</strong> Unión Europea 2001/497/CE <strong>de</strong> 15 <strong>de</strong> junio <strong>de</strong> 2001, o para <strong>de</strong>finir un<br />
régim<strong>en</strong> <strong>de</strong> responsabilidad alternativo basado <strong>en</strong> <strong>la</strong>s obligaciones <strong>de</strong> dilig<strong>en</strong>cia <strong>de</strong>bida<br />
según lo prescrito <strong>en</strong> <strong>el</strong> estándar <strong>de</strong> <strong>la</strong> UE cláusu<strong>la</strong>s contractuales 2004/915/CE <strong>de</strong> 27<br />
66
<strong>de</strong> diciembre <strong>de</strong> 2004, y <strong>en</strong> última instancia, <strong>en</strong> r<strong>el</strong>ación a <strong>la</strong>s transfer<strong>en</strong>cias a Encargados<br />
d<strong>el</strong> Tratami<strong>en</strong>to, es <strong>la</strong> aplicación d<strong>el</strong> mecanismo <strong>de</strong> <strong>la</strong> responsabilidad <strong>de</strong> <strong>la</strong>s cláusu<strong>la</strong>s<br />
contractuales estándar 2002/16/CE <strong>de</strong> 27 <strong>de</strong> diciembre <strong>de</strong> 2001.<br />
Las autorida<strong>de</strong>s <strong>de</strong> protección <strong>de</strong> datos pue<strong>de</strong>n aceptar esas soluciones alternativas <strong>de</strong><br />
responsabilidad estudiando cada caso individualm<strong>en</strong>te. En cualquier caso, resulta necesario<br />
que cualquier mecanismo alternativo garantice <strong>el</strong> respeto y cumplimi<strong>en</strong>to <strong>de</strong> los<br />
<strong>de</strong>rechos <strong>de</strong> los interesados y no supongan un m<strong>en</strong>oscabo <strong>de</strong> dichos <strong>de</strong>rechos.<br />
2.6.- HACIA LAS BCRs FOR PROCESSORS.<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
La principal v<strong>en</strong>taja <strong>de</strong> <strong>la</strong>s “Bilding Corporate Rules for Proccessors” es que aportan a<br />
los Responsables d<strong>el</strong> Fichero confianza y transpar<strong>en</strong>cia <strong>en</strong> <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> los requerimi<strong>en</strong>tos<br />
normativos aplicables al tratami<strong>en</strong>to <strong>de</strong> datos personales por un Encargado<br />
<strong>de</strong> Tratami<strong>en</strong>to, estando éstos sometidos al cumplimi<strong>en</strong>to <strong>de</strong> BCRs concretas, y<br />
proporcionando <strong>la</strong> transpar<strong>en</strong>cia necesaria que garantice <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> los <strong>de</strong>beres<br />
y obligaciones previstos por <strong>la</strong> legis<strong>la</strong>ción <strong>de</strong> aplicación (medidas <strong>de</strong> seguridad, incluso<br />
si <strong>el</strong> <strong>en</strong>cargado transfiere datos a terceros subcontratados, ubicados <strong>de</strong>ntro o<br />
fuera <strong>de</strong> <strong>la</strong> Unión Económica Europea), estandarización <strong>de</strong> los cont<strong>en</strong>idos mínimos <strong>de</strong><br />
los acuerdos contractuales <strong>de</strong> prestaciones <strong>de</strong> servicios que impliqu<strong>en</strong> tratami<strong>en</strong>tos<br />
<strong>de</strong> datos, a<strong>de</strong>cuación al <strong>en</strong>torno <strong>de</strong> tratami<strong>en</strong>to…<br />
En cualquier caso, los <strong>el</strong>em<strong>en</strong>tos a t<strong>en</strong>er pres<strong>en</strong>te son los que se ilustran <strong>en</strong> <strong>la</strong> figura<br />
sigui<strong>en</strong>te:<br />
67
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
2.7.- LAS BCR’S Y LAS NORMAS “SAFE HARBOUR”<br />
La consi<strong>de</strong>ración <strong>de</strong> “Puerto seguro” ha recibido críticas, principalm<strong>en</strong>te, por lo s<strong>en</strong>cillo<br />
que resulta obt<strong>en</strong>er <strong>el</strong> certificado y <strong>la</strong>s escasas garantías que éstas ofrec<strong>en</strong> tanto al<br />
afectado (titu<strong>la</strong>r <strong>de</strong> los datos), como a los Responsables <strong>de</strong> Fichero <strong>en</strong> sus r<strong>el</strong>aciones<br />
con Encargados d<strong>el</strong> Tratami<strong>en</strong>tos sujetos a este tipo <strong>de</strong> normas.<br />
Se observan como <strong>de</strong>bilida<strong>de</strong>s:<br />
A. La obt<strong>en</strong>ción d<strong>el</strong> certificado pasa por abonar <strong>la</strong>s tasas correspondi<strong>en</strong>tes y hacer una<br />
<strong>de</strong>c<strong>la</strong>ración <strong>en</strong> <strong>la</strong> cual se compromete a cumplir con 7 principios <strong>de</strong> <strong>privacidad</strong>:<br />
1. Notice: Deber <strong>de</strong> información (o notificación).<br />
2. Choice: El principio d<strong>el</strong> principio d<strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to d<strong>el</strong> afectado.<br />
3. Transfers to Third Parties: Países miembros <strong>de</strong> <strong>la</strong> Unión Europea.<br />
4. Access: (Ejercicio <strong>de</strong> Derechos)<br />
5. Security: El principio <strong>de</strong> seguridad <strong>de</strong> los datos.<br />
6. Data Integrity: El principio <strong>de</strong> calidad <strong>de</strong> los datos.<br />
7. Enforcem<strong>en</strong>t: Mecanismos in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>tes <strong>de</strong> resolución <strong>de</strong> conflictos y verificación<br />
d<strong>el</strong> cumplimi<strong>en</strong>to, con potestad para sancionar.<br />
B. La verificación d<strong>el</strong> cumplimi<strong>en</strong>to se realiza por <strong>la</strong> <strong>en</strong>tidad d<strong>el</strong> país (<strong>en</strong> <strong>el</strong> caso <strong>de</strong> España<br />
por <strong>la</strong> AEPD), sin un control externo.<br />
En <strong>de</strong>finitiva, <strong>la</strong>s BCRs, actualm<strong>en</strong>te, se han erigido como <strong>la</strong> herrami<strong>en</strong>ta a<strong>de</strong>cuada para<br />
<strong>la</strong> legitimación, legalización y cumplim<strong>en</strong>to <strong>de</strong> <strong>la</strong>s premisas <strong>de</strong> <strong>la</strong> Protección <strong>de</strong> Datos<br />
personales, <strong>en</strong> <strong>el</strong> s<strong>en</strong>o <strong>de</strong> Grupos multinacionales, con se<strong>de</strong>s <strong>en</strong> difer<strong>en</strong>tes países, incluso<br />
fuera <strong>el</strong> Espacio Económico Europeo, ámbito geográfico <strong>de</strong> aplicación <strong>de</strong> <strong>la</strong> Directiva<br />
y su <strong>futuro</strong> Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong> Protección <strong>de</strong> Datos Personales.<br />
CONCLUSIONES<br />
Los principios básicos que <strong>de</strong>be regir todo movimi<strong>en</strong>to <strong>de</strong> datos personales, mediante Transfer<strong>en</strong>cias<br />
Internacionales son: licitud, calidad, proporcionalidad, cons<strong>en</strong>timi<strong>en</strong>to, información,<br />
finalidad y responsabilidad, <strong>de</strong>bi<strong>en</strong>do cumplirse <strong>de</strong>s<strong>de</strong> <strong>la</strong> recogida d<strong>el</strong> dato hasta <strong>la</strong> recepción<br />
<strong>de</strong> <strong>la</strong> última transfer<strong>en</strong>cia. Estos principios resultan ser <strong>la</strong> base d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos <strong>en</strong><br />
Grupos Multinacionales, y los objetivos d<strong>el</strong>imitar <strong>en</strong> <strong>la</strong>s BCRs para que éstas puedan cumplir<br />
con su principal finalidad, que no es otra que <strong>la</strong> <strong>de</strong> agilizar <strong>el</strong> tratami<strong>en</strong>tos <strong>de</strong> datos <strong>en</strong>tre <strong>en</strong>tida<strong>de</strong>s<br />
<strong>de</strong> un mismo Grupo Empresarial, sin vulnerar los <strong>de</strong>rechos y liberta<strong>de</strong>s d<strong>el</strong> individuo<br />
<strong>en</strong> <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> sus datos personales.<br />
La “pon<strong>de</strong>ración d<strong>el</strong> riesgo” y <strong>la</strong> “evaluación d<strong>el</strong> impacto” d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos <strong>en</strong> los <strong>de</strong>rechos<br />
y liberta<strong>de</strong>s por Grupos Multinacionales, supon<strong>en</strong> <strong>la</strong> aplicación d<strong>el</strong> principio <strong>de</strong> proporcionalidad<br />
<strong>en</strong> <strong>la</strong> d<strong>el</strong>imitación <strong>de</strong> obligaciones para responsables y <strong>en</strong>cargados d<strong>el</strong> tratami<strong>en</strong>to,<br />
<strong>de</strong>terminando su Responsabilidad (horizontal) y <strong>el</strong> alcance y cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> protección <strong>de</strong><br />
datos personales.<br />
68
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Por otro <strong>la</strong>do, para los gran<strong>de</strong>s proveedores multinacionales <strong>de</strong> outsourcing global y servicios<br />
<strong>de</strong> cloud computing…, <strong>la</strong>s BCRs for Proccesors repres<strong>en</strong>tan una oportunidad para ampliar su<br />
base <strong>de</strong> cli<strong>en</strong>tes <strong>de</strong> <strong>la</strong> UE mediante <strong>la</strong> simplificación d<strong>el</strong> proceso para los cli<strong>en</strong>tes pot<strong>en</strong>ciales<br />
(especialm<strong>en</strong>te <strong>la</strong>s PYME) y cumplir con sus obligaciones <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> los datos. Los<br />
<strong>de</strong>stinatarios <strong>de</strong> estos servicios <strong>de</strong>b<strong>en</strong> ser consci<strong>en</strong>tes, sin embargo, que son responsables<br />
<strong>de</strong> los datos y que <strong>la</strong>s BCRs no se pue<strong>de</strong>n utilizar para transferir y/o d<strong>el</strong>egar <strong>en</strong> modo alguno<br />
sus obligaciones legales al proveedor <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to, sino más bi<strong>en</strong> <strong>de</strong>terminar<br />
<strong>la</strong>s reg<strong>la</strong>s <strong>en</strong> <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos.<br />
BIBLIOGRAFÍA/REFERENCIAS<br />
Working Docum<strong>en</strong>t WP 74: Transfers of personal data to third countries: Applying Article<br />
26 (2) of the EU Data Protection Directive to Binding Corporate Rules for International<br />
Data Transfers, adopted on June 3, 2003<br />
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2003_<strong>en</strong>.htm<br />
Working Docum<strong>en</strong>t WP 108: Establishing a mod<strong>el</strong> checklist application for approval of<br />
Binding Corpate Rules, adopted on April 14, 2005 http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2005_<strong>en</strong>.htm<br />
Working Docum<strong>en</strong>t WP 133: Recomm<strong>en</strong>dation 1/2007 on the Standard Application for<br />
Approval of Binding Corporate Rules for the Transfer of Personal Data<br />
http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/2007_<strong>en</strong>.htm<br />
Working Docum<strong>en</strong>t WP 195: 02/2012 setting up a table with the <strong>el</strong>em<strong>en</strong>ts and principles<br />
to be found in Processor Binding Corporate Rules (June 6, 2012), avai<strong>la</strong>ble at http://ec.europa.eu/justice/data-protection/article-29/docum<strong>en</strong>tation/opinionrecomm<strong>en</strong>dation/files/2012/wp195_<strong>en</strong>.pdf<br />
(<strong>la</strong>st visited November 30, 2012).”<br />
Working Docum<strong>en</strong>t WP 155 on Frequ<strong>en</strong>tly Asked Questions (FAQs) r<strong>el</strong>ated to Binding<br />
Corporate Rules Adopted on 24 June 2008 As <strong>la</strong>st Revised and adopted on 8 April 2009”<br />
Working Docum<strong>en</strong>t WP 153 setting up a table with the <strong>el</strong>em<strong>en</strong>ts and principles to be<br />
found in Binding Corporate Rules Adopted on 24 June 2008<br />
Resolución <strong>de</strong> Madrid <strong>de</strong> 5/11/2009 (COM (2011) 635 final) <strong>sobre</strong> los Estándares Internacionales<br />
<strong>sobre</strong> Protección <strong>de</strong> Datos Personales <strong>de</strong> <strong>la</strong> UE.<br />
Mem<strong>en</strong>to experto Francis Lefebvre – Protección <strong>de</strong> Datos – actualizado a 15 <strong>de</strong> julio <strong>de</strong><br />
2012<br />
Todo Protección <strong>de</strong> Datos – CISS Grupo Wolters Kluwer - 2012<br />
69
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
70
Cap. 5<br />
La nueva<br />
configuración <strong>de</strong> los<br />
<strong>de</strong>rechos<br />
<strong>de</strong> los<br />
interesados.
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
72
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
ABSTRACT<br />
Según <strong>la</strong> Exposición <strong>de</strong> Motivos <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
<strong>de</strong> <strong>la</strong> Comisión Europea “(…) La rápida evolución tecnológica ha supuesto nuevos retos para<br />
<strong>la</strong> protección <strong>de</strong> los datos personales. Se ha increm<strong>en</strong>tado <strong>en</strong>ormem<strong>en</strong>te <strong>la</strong> magnitud d<strong>el</strong> intercambio<br />
y <strong>la</strong> recogida <strong>de</strong> datos. La tecnología permite que tanto <strong>la</strong>s empresas privadas<br />
como <strong>la</strong>s autorida<strong>de</strong>s públicas utilic<strong>en</strong> datos personales <strong>en</strong> una esca<strong>la</strong> sin prece<strong>de</strong>ntes a <strong>la</strong><br />
hora <strong>de</strong> <strong>de</strong>sarrol<strong>la</strong>r sus activida<strong>de</strong>s. Las personas físicas difun<strong>de</strong>n un volum<strong>en</strong> cada vez mayor<br />
<strong>de</strong> información personal a esca<strong>la</strong> mundial. La tecnología ha transformado tanto <strong>la</strong> economía<br />
como <strong>la</strong> vida social. (…)”.<br />
Luego, una mejor protección d<strong>el</strong> <strong>de</strong>recho fundam<strong>en</strong>tal a <strong>la</strong> Protección <strong>de</strong> Datos personales<br />
resulta c<strong>la</strong>ve para g<strong>en</strong>erar <strong>la</strong> <strong>de</strong>bida confianza <strong>en</strong> los ciudadanos <strong>en</strong> lo que concierne a su actividad<br />
<strong>en</strong> línea y, <strong>en</strong> paral<strong>el</strong>o, también para <strong>el</strong> <strong>de</strong>sarrollo pl<strong>en</strong>o <strong>de</strong> <strong>la</strong>s diversas estrategias<br />
que integra <strong>la</strong> Ag<strong>en</strong>da Digital Europea. En este s<strong>en</strong>tido, <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong><br />
Protección <strong>de</strong> Datos hace especial hincapié <strong>en</strong> <strong>la</strong> protección <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los m<strong>en</strong>ores<br />
<strong>en</strong> Internet.<br />
Por lo que, tal y como <strong>de</strong>c<strong>la</strong>ra <strong>la</strong> propia Comisión Europea <strong>en</strong> <strong>la</strong> citada Propuesta, “(…) Ha llegado<br />
(…) <strong>el</strong> mom<strong>en</strong>to <strong>de</strong> establecer un marco más sólido y coher<strong>en</strong>te <strong>en</strong> materia <strong>de</strong> protección<br />
<strong>de</strong> datos <strong>en</strong> <strong>la</strong> UE, con una aplicación estricta que permita <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> <strong>la</strong> economía<br />
digital <strong>en</strong> <strong>el</strong> mercado interior, otorgue a los ciudadanos <strong>el</strong> control <strong>de</strong> sus propios datos y refuerce<br />
<strong>la</strong> seguridad jurídica y práctica <strong>de</strong> los operadores económicos y <strong>la</strong>s autorida<strong>de</strong>s públicas<br />
(…)”.<br />
Pues bi<strong>en</strong>, para <strong>la</strong> consecución d<strong>el</strong> citado objetivo, resulta imprescindible acometer <strong>el</strong> pertin<strong>en</strong>te<br />
análisis previo y, <strong>en</strong> su caso, reforzami<strong>en</strong>to <strong>de</strong> <strong>la</strong> actual regu<strong>la</strong>ción <strong>de</strong> los <strong>de</strong>rechos <strong>de</strong><br />
los interesados <strong>en</strong> <strong>el</strong> ámbito <strong>de</strong> <strong>la</strong> Protección <strong>de</strong> Datos personales <strong>en</strong> <strong>el</strong> s<strong>en</strong>o <strong>de</strong> <strong>la</strong> Unión Europea,<br />
t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta que <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> Protección <strong>de</strong> Datos <strong>de</strong> carácter personal tampoco<br />
es un <strong>de</strong>recho absoluto, sino que se ha <strong>de</strong> consi<strong>de</strong>rar <strong>en</strong> r<strong>el</strong>ación con su función <strong>en</strong> <strong>la</strong><br />
sociedad, es <strong>de</strong>cir, cohonestarse con otros tantos <strong>de</strong>rechos fundam<strong>en</strong>tales igualm<strong>en</strong>te reconocidos<br />
(libertad <strong>de</strong> expresión; libertad <strong>de</strong> comunicación; <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> tut<strong>el</strong>a judicial efectiva;<br />
<strong>de</strong>rechos <strong>de</strong> los m<strong>en</strong>ores; <strong>el</strong> <strong>de</strong>recho <strong>de</strong> acceso a los docum<strong>en</strong>tos; <strong>la</strong> libertad <strong>de</strong><br />
empresa, etc.).<br />
A continuación, se realiza una somera revisión <strong>de</strong> <strong>la</strong>s principales modificaciones dispuestas<br />
a tal fin por parte <strong>de</strong> <strong>la</strong> proyectada reforma europea, tomando <strong>en</strong> consi<strong>de</strong>ración también <strong>la</strong>s<br />
propuestas <strong>de</strong> modificación respecto al Reg<strong>la</strong>m<strong>en</strong>to cont<strong>en</strong>idas <strong>en</strong> <strong>el</strong> docum<strong>en</strong>to <strong>de</strong> 31 <strong>de</strong><br />
mayo dirigido por <strong>la</strong> Presi<strong>de</strong>ncia ir<strong>la</strong>n<strong>de</strong>sa al Consejo.<br />
73
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
DESARROLLO<br />
A fin <strong>de</strong> examinar <strong>la</strong> nueva configuración <strong>de</strong> los <strong>de</strong>rechos <strong>de</strong> los interesados que se prevé <strong>en</strong><br />
<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to, se han i<strong>de</strong>ntificado tres bloques temáticos <strong>de</strong> interés y que se han catalogado,<br />
respectivam<strong>en</strong>te, como transversal, específico y r<strong>el</strong>ativo a procesos <strong>de</strong> <strong>de</strong>f<strong>en</strong>sa o rec<strong>la</strong>mación<br />
tal y como se indica a continuación.<br />
1. BLOQUE TEMÁTICO TRANSVERSAL.<br />
1.1: CONSIDERACIONES GENERALES.<br />
Tal y como se infiere <strong>de</strong> los arts.11 a 13 <strong>de</strong> <strong>la</strong> propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to, <strong>en</strong> éste se refuerzan<br />
los principios <strong>de</strong> transpar<strong>en</strong>cia y <strong>de</strong> información adaptada, accesible, int<strong>el</strong>igible,<br />
c<strong>la</strong>ra y s<strong>en</strong>cil<strong>la</strong> por lo que respecta al tratami<strong>en</strong>to <strong>de</strong> datos personales y al ejercicio <strong>de</strong><br />
los <strong>de</strong>rechos <strong>de</strong> los interesados.<br />
Por otra parte, <strong>en</strong> lo que concierne a los procedimi<strong>en</strong>tos y mecanismos para <strong>el</strong> ejercicio<br />
<strong>de</strong> los <strong>de</strong>rechos <strong>de</strong> los interesados se <strong>de</strong>staca lo que sigue:<br />
a) Se manti<strong>en</strong>e <strong>el</strong> <strong>de</strong>ber d<strong>el</strong> Responsable <strong>de</strong> prever, con carácter g<strong>en</strong>eral, procedimi<strong>en</strong>tos<br />
y mecanismos <strong>de</strong> carácter gratuito que permitan y facilit<strong>en</strong> <strong>el</strong> ejercicio <strong>de</strong> los <strong>de</strong>rechos<br />
<strong>de</strong> los interesados.<br />
b) Se incluye <strong>la</strong> obligación d<strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> informar sin <strong>de</strong>mora al<br />
interesado y, a más tardar, <strong>en</strong> <strong>el</strong> p<strong>la</strong>zo <strong>de</strong> un mes a partir <strong>de</strong> <strong>la</strong> recepción <strong>de</strong> <strong>la</strong> solicitud,<br />
<strong>de</strong> si se ha tomado alguna medida con arreglo a lo dispuesto <strong>en</strong> <strong>el</strong> artículo 13<br />
y <strong>en</strong> los artículos 15 a 19 y <strong>de</strong>bi<strong>en</strong>do facilitar <strong>la</strong> información solicitada.<br />
c) El p<strong>la</strong>zo al que alu<strong>de</strong> <strong>el</strong> apartado b) podrá prorrogarse un mes, si varios interesados ejerc<strong>en</strong><br />
sus <strong>de</strong>rechos y si su cooperación es necesaria, <strong>en</strong> una medida razonable, para impedir<br />
un esfuerzo innecesario y <strong>de</strong>sproporcionado por parte d<strong>el</strong> responsable d<strong>el</strong><br />
tratami<strong>en</strong>to. Si <strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to se niega a dar curso a <strong>la</strong> solicitud d<strong>el</strong><br />
interesado, le informará <strong>de</strong> <strong>la</strong>s razones <strong>de</strong> <strong>la</strong> <strong>de</strong>negación y <strong>de</strong> <strong>la</strong> posibilidad <strong>de</strong> pres<strong>en</strong>tar<br />
una rec<strong>la</strong>mación ante <strong>la</strong> Autoridad <strong>de</strong> Control, así como <strong>de</strong> recurrir a los tribunales.<br />
d) La Comisión podrá establecer formu<strong>la</strong>rios y procedimi<strong>en</strong>tos normalizados para <strong>la</strong> comunicación<br />
contemp<strong>la</strong>da <strong>en</strong> <strong>el</strong> apartado b), incluido <strong>el</strong> formato <strong>el</strong>ectrónico, con especial<br />
at<strong>en</strong>ción al caso <strong>de</strong> microempresas y PYMES.<br />
e) Por último, se <strong>de</strong>staca que <strong>la</strong> última versión d<strong>el</strong> Consejo introduce un nuevo apartado<br />
que establece que cuando <strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to ti<strong>en</strong>e razonables dudas<br />
<strong>sobre</strong> <strong>la</strong> i<strong>de</strong>ntidad <strong>de</strong> <strong>la</strong> persona que hace <strong>la</strong> solicitud prevista <strong>en</strong> los artículos 15 a<br />
19, éste pue<strong>de</strong> solicitar <strong>el</strong> suministro <strong>de</strong> información adicional necesaria para confirmar<br />
<strong>la</strong> i<strong>de</strong>ntidad d<strong>el</strong> interesado.<br />
1.2: DERECHOS EN RELACIÓN CON LOS DESTINATARIOS (ARTÍCULO 13).<br />
Los mismos están <strong>en</strong> r<strong>el</strong>ación directa con <strong>la</strong> obligación d<strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> comunicar cualquier rectificación o supresión llevada a cabo con arreglo a los artícu-<br />
74
los 16 y 17 a cada uno <strong>de</strong> los <strong>de</strong>stinatarios a los que se hayan comunicado los datos,<br />
salvo que <strong>el</strong>lo sea imposible o exija un esfuerzo <strong>de</strong>sproporcionado.<br />
1.3: DERECHO A LA INFORMACIÓN (ARTÍCULO 14).<br />
Es <strong>el</strong> <strong>de</strong>recho d<strong>el</strong> interesado a ser informado, con carácter g<strong>en</strong>eral, <strong>en</strong> <strong>el</strong> mom<strong>en</strong>to <strong>de</strong><br />
<strong>la</strong> recogida <strong>de</strong> sus datos personales, al m<strong>en</strong>os, <strong>de</strong> ciertos extremos, por ejemplo, <strong>la</strong><br />
i<strong>de</strong>ntidad y los datos <strong>de</strong> contacto d<strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to y, <strong>en</strong> su caso, <strong>de</strong> su<br />
repres<strong>en</strong>tante y d<strong>el</strong> D<strong>el</strong>egado <strong>de</strong> Protección <strong>de</strong> Datos, los fines d<strong>el</strong> tratami<strong>en</strong>to a que<br />
se <strong>de</strong>stinan los datos personales, <strong>el</strong> p<strong>la</strong>zo <strong>de</strong> conservación <strong>de</strong> los datos personales o<br />
<strong>la</strong> exist<strong>en</strong>cia <strong>de</strong> <strong>de</strong>rechos personales, <strong>en</strong>tre otros <strong>de</strong> interés.<br />
1.4: DERECHO DE ACCESO (ARTÍCULO 15).<br />
Es <strong>el</strong> <strong>de</strong>recho a obt<strong>en</strong>er d<strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to confirmación <strong>de</strong> si se están tratando<br />
o no sus datos personales, así como a obt<strong>en</strong>er información al respecto (fines d<strong>el</strong><br />
tratami<strong>en</strong>to, categorías <strong>de</strong> datos personales <strong>de</strong> que se trate; <strong>de</strong>stinatarios, etc.). También<br />
t<strong>en</strong>drá <strong>de</strong>recho a que le comunique los datos personales objeto <strong>de</strong> tratami<strong>en</strong>to. Si<br />
<strong>el</strong> interesado realiza <strong>la</strong> solicitud <strong>en</strong> formato <strong>el</strong>ectrónico, <strong>la</strong> información se facilitará <strong>en</strong><br />
ese mismo formato, pudi<strong>en</strong>do <strong>la</strong> Comisión especificar formu<strong>la</strong>rios y procedimi<strong>en</strong>tos<br />
normalizados a tal fin.<br />
1.5: DERECHO DE RECTIFICACIÓN (ARTÍCULO 16).<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Se manti<strong>en</strong>e <strong>el</strong> <strong>de</strong>recho d<strong>el</strong> interesado a <strong>de</strong>recho a obt<strong>en</strong>er d<strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to<br />
<strong>la</strong> rectificación <strong>de</strong> los datos personales que le conciern<strong>en</strong> cuando tales datos result<strong>en</strong><br />
inexactos, así como su <strong>de</strong>recho a que se complet<strong>en</strong> los datos personales cuando<br />
estos result<strong>en</strong> incompletos, <strong>en</strong> particu<strong>la</strong>r, mediante una <strong>de</strong>c<strong>la</strong>ración rectificativa adicional.<br />
El docum<strong>en</strong>to d<strong>el</strong> Consejo aña<strong>de</strong> un nuevo párrafo a este artículo limitando este <strong>de</strong>recho<br />
<strong>de</strong> rectificación cuando los datos que se trat<strong>en</strong> sean con fines <strong>de</strong> investigación<br />
histórica, estadística y ci<strong>en</strong>tífica.<br />
1.6: DERECHO AL OLVIDO Y A LA SUPRESIÓN (ARTÍCULO 17).<br />
Entre <strong>la</strong>s noveda<strong>de</strong>s más significativas introducidas por a Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos <strong>de</strong>staca <strong>el</strong> <strong>de</strong>nominado “<strong>de</strong>recho al olvido”, tratando <strong>el</strong> legis<strong>la</strong>dor<br />
con su regu<strong>la</strong>ción un cambio radical <strong>en</strong> <strong>la</strong> manera <strong>de</strong> gestionar <strong>la</strong> <strong>privacidad</strong> y<br />
g<strong>en</strong>erando un interesante <strong>de</strong>bate <strong>sobre</strong> su alcance, legitimidad y los límites d<strong>el</strong> ejercicio<br />
<strong>de</strong> este <strong>de</strong>recho.<br />
Los ciudadanos son cada vez más consci<strong>en</strong>tes <strong>de</strong> su <strong>de</strong>recho a <strong>la</strong> protección <strong>de</strong> los<br />
datos personales y <strong>el</strong>lo les lleva a cuestionarse <strong>sobre</strong> <strong>el</strong> tratami<strong>en</strong>to que terceros realizan<br />
o pret<strong>en</strong><strong>de</strong>n realizar respecto a su información personal y, con <strong>el</strong>lo, si resulta conv<strong>en</strong>i<strong>en</strong>te<br />
o necesario ejercitar <strong>la</strong> canc<strong>el</strong>ación o supresión <strong>de</strong> sus datos fr<strong>en</strong>te a los<br />
mismos. Al respecto, resultan l<strong>la</strong>mativos los datos que arroja <strong>la</strong> última Memoria publicada<br />
por <strong>la</strong> Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> datos <strong>de</strong> 2011, don<strong>de</strong> se pone <strong>de</strong> manifiesto<br />
que <strong>de</strong> <strong>la</strong>s tres solicitu<strong>de</strong>s iniciales <strong>de</strong> Tut<strong>el</strong>a recibidas <strong>en</strong> <strong>la</strong> Ag<strong>en</strong>cia <strong>en</strong> 2007 se<br />
75
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
ha pasado a 160 rec<strong>la</strong>maciones <strong>en</strong> 2011, lo que duplica a<strong>de</strong>más <strong>el</strong> número <strong>de</strong> <strong>la</strong>s recibidas<br />
respecto al año anterior.<br />
Según prevé <strong>el</strong> artículo 17 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
<strong>el</strong> interesado t<strong>en</strong>drá <strong>de</strong>recho a que <strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to suprima los datos<br />
personales que le conciern<strong>en</strong> y se abst<strong>en</strong>ga <strong>de</strong> darles más difusión, especialm<strong>en</strong>te <strong>en</strong><br />
lo que respecta a los datos personales proporcionados por <strong>el</strong> interesado si<strong>en</strong>do m<strong>en</strong>or<br />
<strong>de</strong> edad cuando concurran <strong>la</strong>s condiciones dispuestas <strong>en</strong> este precepto. Luego <strong>el</strong> “<strong>de</strong>recho<br />
al olvido” se pue<strong>de</strong> <strong>de</strong>finir como <strong>el</strong> <strong>de</strong>recho que ti<strong>en</strong>e <strong>el</strong> titu<strong>la</strong>r <strong>de</strong> un dato personal<br />
a borrar, bloquear o suprimir información personal <strong>en</strong> los términos y condiciones indicadas<br />
<strong>en</strong> <strong>el</strong> citado artículo.<br />
Tal y como indica Sebastián Zarate, algunos autores concib<strong>en</strong> <strong>el</strong> “<strong>de</strong>recho al olvido” <strong>en</strong><br />
un doble s<strong>en</strong>tido: “como <strong>de</strong>recho a olvidar y como <strong>de</strong>recho a ser olvidado”. Pudi<strong>en</strong>do<br />
analizarse <strong>de</strong> dos formas. El primero, como un <strong>de</strong>recho <strong>de</strong> caducidad <strong>de</strong> información<br />
personal, por ejemplo, por haber cesado <strong>la</strong> finalidad <strong>de</strong> tratami<strong>en</strong>to que justifica <strong>el</strong><br />
mismo o, incluso, por haberse opuesto <strong>el</strong> interesado al tratami<strong>en</strong>to <strong>en</strong> coher<strong>en</strong>cia con<br />
<strong>el</strong> artículo 19 <strong>de</strong> a Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, y <strong>el</strong> segundo,<br />
como un <strong>de</strong>recho a olvidar información que pueda aparecer negativa para <strong>la</strong> persona,<br />
es <strong>de</strong>cir, lo que algún autor ha <strong>de</strong>nominado como <strong>de</strong> “nuevo comi<strong>en</strong>zo”, o dicho <strong>de</strong><br />
forma más coloquial, un “borrón y cu<strong>en</strong>ta nueva”.<br />
En todo caso, con <strong>el</strong> fin <strong>de</strong> reforzar <strong>el</strong> <strong>de</strong>nominado “<strong>de</strong>recho al olvido” <strong>el</strong> legis<strong>la</strong>dor<br />
obliga a los Responsables d<strong>el</strong> tratami<strong>en</strong>to que hayan hecho públicos datos personales<br />
a informar a los terceros que estén tratando estos datos <strong>de</strong> que un interesado le solicita<br />
que supriman sus datos (supresión <strong>de</strong> cualquier <strong>en</strong><strong>la</strong>ce a esos datos personales, o a<br />
cualquier copia o réplica <strong>de</strong> los mismos), <strong>de</strong>bi<strong>en</strong>do tomar todas <strong>la</strong>s medidas razonables,<br />
incluidas medidas técnicas, <strong>en</strong> lo que respecta a los datos <strong>de</strong> cuya publicación sea responsable.<br />
Asimismo, se <strong>de</strong>staca <strong>la</strong> obligación d<strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> implem<strong>en</strong>tar<br />
mecanismos para garantizar que se respetan los p<strong>la</strong>zos fijados para <strong>la</strong><br />
supresión <strong>de</strong> datos personales y/o para <strong>el</strong> exam<strong>en</strong> periódico <strong>de</strong> <strong>la</strong> necesidad <strong>de</strong> conservar<br />
los datos.<br />
Por lo anteriorm<strong>en</strong>te expuesto ¿po<strong>de</strong>mos hab<strong>la</strong>r <strong>de</strong> un “<strong>de</strong>recho al olvido” como tal,<br />
o ¿estamos más bi<strong>en</strong> ante un <strong>de</strong>recho subjetivo <strong>de</strong> canc<strong>el</strong>ación. Al respecto, tal y<br />
como reconoce <strong>el</strong> Abogado G<strong>en</strong>eral D. Nilo Jääskin<strong>en</strong> <strong>en</strong> sus conclusiones pres<strong>en</strong>tadas<br />
<strong>el</strong> 25 <strong>de</strong> Junio d<strong>el</strong> 2013 <strong>la</strong> Directiva 95/46/CE <strong>en</strong> sus artículos 12, letra b) y 14 letra a),<br />
no establece un <strong>de</strong>recho g<strong>en</strong>eral al olvido <strong>en</strong> <strong>el</strong> s<strong>en</strong>tido <strong>de</strong> que <strong>el</strong> titu<strong>la</strong>r d<strong>el</strong> dato está<br />
facultado al borrado <strong>de</strong> sus datos personales que consi<strong>de</strong>ra lesivos o contrarios a sus<br />
intereses.<br />
Ahora bi<strong>en</strong>, <strong>el</strong> “<strong>de</strong>recho al olvido” no pue<strong>de</strong> concebirse como un <strong>de</strong>recho, <strong>en</strong> modo alguno,<br />
absoluto. De hecho, <strong>el</strong> apartado 3 d<strong>el</strong> artículo17 prevé <strong>la</strong> necesaria conservación<br />
<strong>de</strong> los datos <strong>en</strong> <strong>de</strong>terminados supuestos como <strong>el</strong> ejercicio d<strong>el</strong> <strong>de</strong>recho a <strong>la</strong> libertad <strong>de</strong><br />
expresión <strong>de</strong> conformidad con lo dispuesto <strong>en</strong> <strong>el</strong> artículo 80; por motivos <strong>de</strong> interés público;<br />
<strong>en</strong> <strong>el</strong> ámbito <strong>de</strong> <strong>la</strong> salud pública <strong>de</strong> conformidad con lo dispuesto <strong>en</strong> <strong>el</strong> artículo<br />
76
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
81;con fines <strong>de</strong> investigación histórica, estadística y ci<strong>en</strong>tífica <strong>de</strong> conformidad con lo dispuesto<br />
<strong>en</strong> <strong>el</strong> artículo 83; para <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> una obligación legal <strong>de</strong> conservar los<br />
datos personales; o <strong>en</strong> los casos contemp<strong>la</strong>dos <strong>en</strong> <strong>el</strong> apartado 4 d<strong>el</strong> mismo precepto.<br />
Así <strong>de</strong>staca <strong>el</strong> conflicto d<strong>el</strong> “<strong>de</strong>recho al olvido” con <strong>la</strong> libertad <strong>de</strong> expresión (artículo 80).<br />
Al respecto, <strong>el</strong> artículo 11 <strong>de</strong> <strong>la</strong> Carta <strong>de</strong> los Derechos Fundam<strong>en</strong>tales <strong>de</strong> <strong>la</strong> Unión Europea<br />
establece que toda persona ti<strong>en</strong>e <strong>de</strong>recho a <strong>la</strong> libertad <strong>de</strong> expresión. Este <strong>de</strong>recho<br />
compr<strong>en</strong><strong>de</strong> <strong>la</strong> libertad <strong>de</strong> opinión y <strong>la</strong> libertad <strong>de</strong> recibir o comunicar informaciones o<br />
i<strong>de</strong>as sin que pueda haber injer<strong>en</strong>cia <strong>de</strong> autorida<strong>de</strong>s públicas y sin consi<strong>de</strong>ración <strong>de</strong><br />
fronteras. La propuesta d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to con <strong>el</strong> fin <strong>de</strong> garantizar este <strong>de</strong>recho establece<br />
que <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos personales solo con fines periodísticos, o con fines <strong>de</strong> expresión<br />
artística o literaria, <strong>de</strong>be disfrutar <strong>de</strong> una excepción a los requisitos <strong>de</strong> <strong>de</strong>terminadas<br />
disposiciones d<strong>el</strong> pres<strong>en</strong>te Reg<strong>la</strong>m<strong>en</strong>to, con <strong>el</strong> fin <strong>de</strong> conciliar <strong>el</strong> <strong>de</strong>recho a <strong>la</strong><br />
protección <strong>de</strong> los datos <strong>de</strong> carácter personal con <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> libertad <strong>de</strong> expresión,<br />
y <strong>en</strong> especial, <strong>el</strong> <strong>de</strong>recho <strong>de</strong> recibir o comunicar informaciones. Es más, incidi<strong>en</strong>do <strong>en</strong><br />
lo anterior <strong>el</strong> docum<strong>en</strong>to d<strong>el</strong> Consejo establece que <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> protección <strong>de</strong> datos<br />
<strong>de</strong> carácter personal coexiste con otros <strong>de</strong>rechos fundam<strong>en</strong>tales, específicam<strong>en</strong>te con<br />
<strong>el</strong> <strong>de</strong>recho a <strong>la</strong> libertad <strong>de</strong> expresión. Por otra parte, <strong>en</strong> este docum<strong>en</strong>to también se contemp<strong>la</strong><br />
ya <strong>la</strong> posibilidad <strong>de</strong> divulgar datos personales <strong>en</strong> los docum<strong>en</strong>tos oficiales <strong>de</strong> interés<br />
público (libertad <strong>de</strong> acceso a los docum<strong>en</strong>tos públicos).<br />
En todo caso, <strong>la</strong> configuración final d<strong>el</strong> <strong>de</strong>recho al olvido parece estar sujeta, <strong>en</strong> gran<br />
medida, a <strong>la</strong> interpretación judicial que finalm<strong>en</strong>te pudiera emitir <strong>el</strong> Tribunal <strong>de</strong> Justicia<br />
<strong>de</strong> <strong>la</strong> Unión Europea como respuesta a <strong>la</strong>s cuestiones prejudiciales que le ha p<strong>la</strong>nteado<br />
<strong>la</strong> Sa<strong>la</strong> <strong>de</strong> lo Cont<strong>en</strong>cioso-Administrativo <strong>de</strong> <strong>la</strong> Audi<strong>en</strong>cia Nacional <strong>en</strong> España <strong>sobre</strong> <strong>la</strong> interpretación<br />
<strong>de</strong> <strong>la</strong> Directiva 95/46/CE <strong>en</strong> r<strong>el</strong>ación con <strong>la</strong> actividad <strong>de</strong> los motores <strong>de</strong><br />
búsqueda <strong>de</strong> Internet, a fin <strong>de</strong> que <strong>el</strong> citado Tribunal pudiera pronunciarse <strong>sobre</strong> <strong>la</strong> responsabilidad<br />
<strong>de</strong> los motores <strong>de</strong> búsqueda y <strong>de</strong> los titu<strong>la</strong>res <strong>de</strong> sitios web y para que precisara<br />
acerca <strong>de</strong> <strong>la</strong> posibilidad o no <strong>de</strong> impedir y, <strong>en</strong> su caso, bajo qué condiciones, <strong>la</strong><br />
in<strong>de</strong>xación <strong>de</strong> información parcial.<br />
En este ámbito, <strong>el</strong> abogado G<strong>en</strong>eral D. Nilo Jääskin<strong>en</strong> <strong>en</strong> sus conclusiones no vincu<strong>la</strong>ntes<br />
publicadas <strong>el</strong> 25 <strong>de</strong> Junio d<strong>el</strong> 2013 consi<strong>de</strong>ra que i) <strong>el</strong> proveedor <strong>de</strong> servicios <strong>de</strong><br />
motor <strong>de</strong> búsqueda <strong>en</strong> internet no pue<strong>de</strong> cumplir <strong>la</strong>s obligaciones d<strong>el</strong> responsable <strong>de</strong><br />
tratami<strong>en</strong>to y por tanto ninguna autoridad nacional <strong>de</strong> protección <strong>de</strong> datos pue<strong>de</strong> requerir<br />
al proveedor <strong>de</strong> servicios <strong>de</strong> motor <strong>de</strong> búsqueda <strong>en</strong> internet que retire información,<br />
salvo <strong>en</strong> los supuestos que <strong>el</strong> proveedor <strong>de</strong> servicios no respete los códigos <strong>de</strong> exclusión<br />
ii) que <strong>la</strong> Directiva no establece ningún “<strong>de</strong>recho al olvido” g<strong>en</strong>eralizado. Por tanto,<br />
no pue<strong>de</strong> invocarse tal <strong>de</strong>recho fr<strong>en</strong>te a proveedores <strong>de</strong> servicios <strong>de</strong> motor <strong>de</strong> búsqueda<br />
<strong>sobre</strong> <strong>la</strong> base <strong>de</strong> <strong>la</strong> Directiva, aun cuando ésta se interpreta con arreglo a <strong>la</strong> Carta<br />
<strong>de</strong> los Derechos Fundam<strong>en</strong>tales <strong>de</strong> <strong>la</strong> Unión Europea. Ahora bi<strong>en</strong>, se <strong>de</strong>staca que <strong>la</strong>s<br />
conclusiones d<strong>el</strong> Abogado G<strong>en</strong>eral, aun t<strong>en</strong>i<strong>en</strong>do gran r<strong>el</strong>evancia, no vincu<strong>la</strong>n al Tribunal<br />
<strong>de</strong> Justicia, por lo que resulta prematuro, tal y como ha indicado expresam<strong>en</strong>te <strong>la</strong> propia<br />
Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> Datos, <strong>de</strong>ducir cuál será <strong>el</strong> criterio final d<strong>el</strong> órgano<br />
judicial <strong>sobre</strong> <strong>la</strong>s cuestiones jurídicas p<strong>la</strong>nteadas.<br />
77
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
1.6: DERECHO A LA PORTABILIDAD DE LOS DATOS (ARTÍCULO 18):<br />
Se contemp<strong>la</strong> este nuevo <strong>de</strong>recho, <strong>el</strong> cual, opera <strong>en</strong> una doble verti<strong>en</strong>te, a saber:<br />
1) La posibilidad <strong>de</strong> obt<strong>en</strong>er una copia <strong>de</strong> los datos personales objeto d<strong>el</strong> tratami<strong>en</strong>to<br />
<strong>en</strong> un formato <strong>el</strong>ectrónico estructurado y comúnm<strong>en</strong>te utilizado que le permita seguir<br />
utilizándolos y;<br />
2) La posibilidad <strong>de</strong> transferir datos <strong>de</strong> un sistema <strong>de</strong> tratami<strong>en</strong>to automatizado a otro<br />
<strong>en</strong> un formato <strong>el</strong>ectrónico comúnm<strong>en</strong>te utilizado. Sólo es <strong>de</strong> aplicación para los datos<br />
automatizados, y no se especifica mucho <strong>sobre</strong> <strong>el</strong> formato <strong>en</strong> que se <strong>de</strong>b<strong>en</strong> proporcionar<br />
<strong>la</strong> copia para <strong>la</strong> portabilidad y es que, a<strong>de</strong>más, <strong>en</strong> ambos casos, se faculta a<br />
<strong>la</strong> Comisión, por <strong>la</strong> vía <strong>de</strong> los pertin<strong>en</strong>tes actos <strong>de</strong> ejecución, para especificar <strong>el</strong> formato<br />
<strong>el</strong>ectrónico contemp<strong>la</strong>do, así como <strong>la</strong>s normas técnicas, modalida<strong>de</strong>s y procedimi<strong>en</strong>tos<br />
para <strong>la</strong> transmisión <strong>de</strong> datos personales. Todo <strong>el</strong>lo sin perjuicio y con<br />
respeto, parece matizar <strong>el</strong> último docum<strong>en</strong>to d<strong>el</strong> Consejo, <strong>de</strong> los <strong>de</strong>rechos <strong>de</strong> propiedad<br />
int<strong>el</strong>ectual que concurran. Por último, <strong>el</strong> docum<strong>en</strong>to d<strong>el</strong> Consejo incluye un<br />
nuevo apartado don<strong>de</strong> se <strong>el</strong>imina <strong>la</strong> posibilidad d<strong>el</strong> ejercicio <strong>de</strong> <strong>la</strong> portabilidad cuando<br />
los datos sólo se us<strong>en</strong> para fines <strong>de</strong> investigación histórica, estadística o ci<strong>en</strong>tífica.<br />
1.7: DERECHO DE OPOSICIÓN Y ELABORACIÓN DE PERFILES (ARTÍCULOS 19 Y 20).<br />
En <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos se ha hecho una sustanciosa<br />
modificación <strong>en</strong> <strong>la</strong> redacción reafirmando <strong>el</strong> ejercicio d<strong>el</strong> <strong>de</strong>recho <strong>de</strong> oposición,<br />
para que se haga efectiva <strong>de</strong>s<strong>de</strong> <strong>el</strong> mom<strong>en</strong>to <strong>de</strong> <strong>la</strong> pres<strong>en</strong>tación <strong>de</strong> <strong>la</strong> solicitud, y no se<br />
trat<strong>en</strong> directam<strong>en</strong>te para fines comerciales cuando <strong>el</strong> interesado así lo haya manifestado.<br />
Este <strong>de</strong>recho se ofrecerá explícitam<strong>en</strong>te al interesado <strong>de</strong> manera int<strong>el</strong>igible y será<br />
c<strong>la</strong>ram<strong>en</strong>te distinguible <strong>de</strong> cualquier otra información. Al igual que <strong>en</strong> <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> portabilidad<br />
<strong>de</strong> los datos, <strong>el</strong> docum<strong>en</strong>to d<strong>el</strong> Consejo se p<strong>la</strong>ntea <strong>la</strong> inclusión <strong>de</strong> un nuevo<br />
apartado don<strong>de</strong> se <strong>el</strong>imina <strong>la</strong> posibilidad d<strong>el</strong> ejercicio d<strong>el</strong> <strong>de</strong>recho cuando los datos sólo<br />
se us<strong>en</strong> para fines <strong>de</strong> investigación histórica, estadística o ci<strong>en</strong>tífica. Por lo que respecta<br />
a <strong>la</strong> <strong>el</strong>aboración <strong>de</strong> perfiles, aunque no pue<strong>de</strong> reconocerse como un nuevo <strong>de</strong>recho <strong>de</strong><br />
los interesados, si parece regu<strong>la</strong>rse <strong>de</strong> una forma más profusa y <strong>de</strong>tal<strong>la</strong>da.<br />
1.8: LIMITACIONES (ARTÍCULO 21).<br />
Este precepto permite, <strong>en</strong> <strong>de</strong>finitiva, que a niv<strong>el</strong> comunitario o a niv<strong>el</strong> <strong>de</strong> los diversos<br />
Estados Miembros se pueda limitar a través <strong>de</strong> <strong>la</strong>s pertin<strong>en</strong>tes medidas normativas <strong>el</strong><br />
alcance <strong>de</strong> <strong>la</strong>s obligaciones y <strong>de</strong> los <strong>de</strong>rechos previstos <strong>en</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos, cuando tal limitación constituya una medida necesaria y proporcional<br />
<strong>en</strong> una sociedad <strong>de</strong>mocrática para salvaguardar otros intereses o <strong>de</strong>rechos<br />
igualm<strong>en</strong>te protegibles indicados <strong>en</strong> aquél (<strong>la</strong> seguridad pública; <strong>la</strong> prev<strong>en</strong>ción, <strong>la</strong> investigación,<br />
<strong>la</strong> <strong>de</strong>tección y <strong>el</strong> <strong>en</strong>juiciami<strong>en</strong>to <strong>de</strong> infracciones p<strong>en</strong>ales; <strong>la</strong> protección d<strong>el</strong> interesado<br />
o <strong>de</strong> los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> otras personas, etc.). Como se pue<strong>de</strong><br />
apreciar, <strong>en</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos se modifica, <strong>en</strong><br />
parte, <strong>la</strong> <strong>en</strong>umeración <strong>de</strong> supuestos, intereses y <strong>de</strong>rechos que pue<strong>de</strong>n justificar estas<br />
78
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
medidas respecto a lo indicado <strong>en</strong> <strong>el</strong> artículo 13 <strong>de</strong> <strong>la</strong> Directiva 95/46/CE, <strong>en</strong> don<strong>de</strong> se<br />
m<strong>en</strong>cionan también <strong>de</strong> forma expresa otros supuestos como <strong>la</strong> <strong>de</strong>f<strong>en</strong>sa y <strong>la</strong> seguridad<br />
nacional. Estos supuestos se retoman e incorporan <strong>de</strong> nuevo, precisam<strong>en</strong>te, <strong>en</strong> <strong>el</strong> docum<strong>en</strong>to<br />
d<strong>el</strong> Consejo. Asimismo, también aum<strong>en</strong>tan <strong>la</strong>s previsiones que <strong>de</strong>be cont<strong>en</strong>er,<br />
como mínimo, <strong>la</strong> medida legis<strong>la</strong>tiva que pret<strong>en</strong>da adoptarse al amparo <strong>de</strong> este artículo.<br />
2. BLOQUE TEMÁTICO ESPECÍFICO.<br />
2.1: DERECHO A LA COMUNICACIÓN DE UNA VIOLACIÓN DE DATOS PERSONA-<br />
LES AL INTERESADO (ARTÍCULO 32).<br />
Conforme a este artículo, cuando sea probable que <strong>la</strong> vio<strong>la</strong>ción <strong>de</strong> datos personales<br />
afecte negativam<strong>en</strong>te a <strong>la</strong> protección <strong>de</strong> los datos personales o a <strong>la</strong> <strong>privacidad</strong> d<strong>el</strong> interesado,<br />
<strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to (<strong>de</strong>spués <strong>de</strong> haber procedido a <strong>la</strong> notificación<br />
a <strong>la</strong> Autoridad <strong>de</strong> Control por dicha vio<strong>la</strong>ción sin <strong>de</strong>mora injustificada y, <strong>de</strong> ser posible,<br />
a más tardar <strong>en</strong> 24 horas <strong>de</strong>spués <strong>de</strong> que haya t<strong>en</strong>ido constancia <strong>de</strong> <strong>el</strong><strong>la</strong> conforme <strong>el</strong><br />
artículo31), comunicará al interesado, sin <strong>de</strong>mora injustificada, <strong>la</strong> vio<strong>la</strong>ción <strong>de</strong> datos personales.<br />
Ahora bi<strong>en</strong>, <strong>la</strong> comunicación <strong>de</strong> una vio<strong>la</strong>ción <strong>de</strong> datos personales al interesado<br />
no será necesaria si <strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong>muestra, a satisfacción <strong>de</strong> <strong>la</strong> Autoridad<br />
<strong>de</strong> Control, que ha implem<strong>en</strong>tado medidas <strong>de</strong> protección tecnológica apropiadas<br />
y que estas medidas se han aplicado a los datos afectados por <strong>la</strong> vio<strong>la</strong>ción. Resulta l<strong>la</strong>mativo<br />
que <strong>en</strong> <strong>el</strong> docum<strong>en</strong>to d<strong>el</strong> Consejo <strong>el</strong> p<strong>la</strong>zo <strong>de</strong> 24 horas se proponga ampliar<br />
hasta 72 horas, ampliación <strong>de</strong> p<strong>la</strong>zo que, por lo tanto, se tras<strong>la</strong>da al p<strong>la</strong>zo r<strong>el</strong>ativo a <strong>la</strong><br />
notificación d<strong>el</strong> interesado no haciéndo<strong>la</strong>, a<strong>de</strong>más, necesaria <strong>en</strong> más casos, es <strong>de</strong>cir, <strong>el</strong><br />
Responsable d<strong>el</strong> tratami<strong>en</strong>to ti<strong>en</strong>e más supuestos a los que acogerse para no notificar<br />
<strong>la</strong> brecha se seguridad al interesado. De esta forma, se flexibilizan y r<strong>el</strong>ajan <strong>la</strong>s obligaciones<br />
para <strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to <strong>en</strong> estos casos.<br />
2.2: DERECHOS DE LOS INTERESADOS Y EVALUACIÓN DE IMPACTO RELATIVA A<br />
LA PROTECCIÓN DE DATOS (PIA) (ARTÍCULO 33).<br />
El PIA es obligatorio <strong>en</strong> <strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>to que <strong>en</strong>trañ<strong>en</strong> riesgos específicos<br />
para los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los interesados <strong>en</strong> razón <strong>de</strong> su naturaleza, alcance<br />
o fines (tratami<strong>en</strong>to <strong>de</strong> datos basados <strong>en</strong> perfiles, datos s<strong>en</strong>sibles, datos salud, control<br />
<strong>de</strong> áreas <strong>de</strong> acceso público con vi<strong>de</strong>o vigi<strong>la</strong>ncia, especialm<strong>en</strong>te cuando se utilic<strong>en</strong> a<br />
gran esca<strong>la</strong>, datos <strong>sobre</strong> m<strong>en</strong>ores y datos g<strong>en</strong>éticos o datos biométricos). Así, <strong>la</strong> norma<br />
conti<strong>en</strong>e una <strong>de</strong>scripción <strong>sobre</strong> lo que <strong>el</strong> asesorami<strong>en</strong>to <strong>de</strong>be cont<strong>en</strong>er, los riesgos, <strong>la</strong>s<br />
medidas que <strong>de</strong>b<strong>en</strong> adoptarse para superarlos, <strong>la</strong>s salvaguardas que <strong>de</strong>b<strong>en</strong> existir para<br />
asegurar <strong>la</strong> protección <strong>de</strong> datos y <strong>el</strong> cumplimi<strong>en</strong>to <strong>de</strong> esa regu<strong>la</strong>ción. En <strong>el</strong> PIA <strong>el</strong> pap<strong>el</strong><br />
<strong>de</strong> los interesados es muy importante, tal y como establece <strong>el</strong> artículo 33.4 <strong>de</strong> <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, ya que <strong>en</strong> <strong>el</strong> informe se <strong>de</strong>be especificar<br />
qué esfuerzos ha hecho <strong>la</strong> organización para consultar con los interesados,<br />
recabar sus opiniones e i<strong>de</strong>as <strong>sobre</strong> los posibles impactos <strong>de</strong> <strong>privacidad</strong>, <strong>la</strong> forma <strong>en</strong><br />
que dicha <strong>privacidad</strong> podría verse afectada por <strong>el</strong> proyecto (positiva y / o negativam<strong>en</strong>te)<br />
y cómo los impactos negativos pue<strong>de</strong>n ser mitigados, evitados, o <strong>el</strong>iminados. Por úl-<br />
79
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
timo, <strong>la</strong> ex<strong>en</strong>ción que se establece <strong>en</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos respecto al uso <strong>de</strong> los PIA cuando <strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to sea una autoridad<br />
u organismo públicos y cuando <strong>el</strong> tratami<strong>en</strong>to se efectúe <strong>en</strong> cumplimi<strong>en</strong>to <strong>de</strong><br />
una obligación legal, no parece aceptable habida cu<strong>en</strong>ta que mucho organismos públicos<br />
tratan datos personales especialm<strong>en</strong>te s<strong>en</strong>sibles, y que <strong>en</strong> dichas <strong>en</strong>tida<strong>de</strong>s pue<strong>de</strong><br />
existir una ruptura <strong>en</strong> <strong>la</strong> seguridad y consecu<strong>en</strong>tem<strong>en</strong>te los interesados verse muy afectados.<br />
Por consigui<strong>en</strong>te, sería recom<strong>en</strong>dable que <strong>la</strong>s <strong>en</strong>tida<strong>de</strong>s públicas sean <strong>la</strong>s primeras<br />
<strong>en</strong> abrazar e implem<strong>en</strong>tar este tipo <strong>de</strong> medidas <strong>en</strong> aras a reforzar <strong>la</strong> protección <strong>de</strong><br />
los interesados.<br />
2.3: DERECHOS DE LOS INTERESADOS Y DELEGADO DE PROTECCIÓN DE DATOS<br />
(DPO) (ARTÍCULO 35).<br />
De conformidad con <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos se exige<br />
<strong>la</strong> contratación d<strong>el</strong> mismo cuando: (i) <strong>el</strong> tratami<strong>en</strong>to sea llevado a cabo por una autoridad<br />
u organismo público;(ii) <strong>el</strong> tratami<strong>en</strong>to sea llevado a cabo por una empresa que emplee<br />
a dosci<strong>en</strong>tas cincu<strong>en</strong>ta personas o más y (iii) <strong>la</strong>s activida<strong>de</strong>s principales d<strong>el</strong> Responsable<br />
o d<strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to consistan <strong>en</strong> operaciones <strong>de</strong> tratami<strong>en</strong>to que, <strong>en</strong> razón<br />
<strong>de</strong> su naturaleza, alcance y/o fines, requieran un seguimi<strong>en</strong>to periódico y sistemático<br />
<strong>de</strong> los interesados. A <strong>la</strong> vista <strong>de</strong> sus funciones (artículo 37), esta figura ti<strong>en</strong>e un pap<strong>el</strong><br />
importante <strong>en</strong> <strong>el</strong> <strong>de</strong>bido tratami<strong>en</strong>to y at<strong>en</strong>ción a los <strong>de</strong>rechos <strong>de</strong> los interesados <strong>en</strong> <strong>el</strong><br />
marco <strong>de</strong> <strong>la</strong> organización d<strong>el</strong> Responsable d<strong>el</strong> tratami<strong>en</strong>to. Lam<strong>en</strong>tablem<strong>en</strong>te, <strong>en</strong> <strong>el</strong><br />
Docum<strong>en</strong>to d<strong>el</strong> Consejo esta figura se torna <strong>de</strong> obligatoria <strong>en</strong> <strong>de</strong>terminados supuestos<br />
a totalm<strong>en</strong>te opcional.<br />
2.4: DERECHOS DE LOS INTERESADOS EN EL MARCO DE LA ELABORACIÓN DE<br />
CÓDIGOS TIPO (ARTÍCULO 38).<br />
Los códigos <strong>de</strong> conducta promovidos por <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos constituy<strong>en</strong> una exc<strong>el</strong><strong>en</strong>te oportunidad, por <strong>la</strong> vía <strong>de</strong> <strong>la</strong> autorregu<strong>la</strong>ción,<br />
<strong>de</strong> reforzar y amplificar los <strong>de</strong>rechos <strong>de</strong> los interesados, <strong>sobre</strong> todo, <strong>en</strong><br />
lo que concierne a <strong>la</strong> información y protección <strong>de</strong> los niños. De acuerdo con <strong>el</strong> resultado<br />
<strong>de</strong> <strong>la</strong> sesión d<strong>el</strong> Consejo <strong>de</strong> marzo 2013, <strong>en</strong> r<strong>el</strong>ación a los mismos se han<br />
vu<strong>el</strong>to a redactar <strong>en</strong>teram<strong>en</strong>te los artículos <strong>sobre</strong> los códigos <strong>de</strong> conducta (artículo<br />
38) y los mecanismos <strong>de</strong> certificación (artículo 39) y se han introducido nuevos artículos<br />
<strong>sobre</strong> <strong>el</strong> control <strong>de</strong> los códigos <strong>de</strong> conducta (artículo 38 bis) y los organismos<br />
y procedimi<strong>en</strong>tos <strong>de</strong> certificación (artículo 39 bis). Igualm<strong>en</strong>te, varios Estados<br />
Miembros consi<strong>de</strong>ran que hay más marg<strong>en</strong> para inc<strong>en</strong>tivar <strong>el</strong> uso <strong>de</strong> los códigos<br />
aprobados y <strong>de</strong> los mecanismos <strong>de</strong> protección <strong>de</strong> los datos <strong>de</strong> certificación aprobados<br />
mediante <strong>el</strong> establecimi<strong>en</strong>to <strong>de</strong> vínculos más estrechos <strong>en</strong>tre estos artículos<br />
y <strong>el</strong> proceso <strong>de</strong> evaluación <strong>de</strong> riesgos <strong>de</strong> los artículos 22, 23, 26 y 30 r<strong>el</strong>ativos a <strong>la</strong>s<br />
obligaciones d<strong>el</strong> Responsable y d<strong>el</strong> Encargado <strong>de</strong> <strong>la</strong> protección <strong>de</strong> datos, perfeccionando<br />
los criterios para distinguir los difer<strong>en</strong>tes tipos <strong>de</strong> riesgo que puedan dar<br />
lugar a difer<strong>en</strong>tes tipos <strong>de</strong> obligaciones <strong>de</strong> los Responsables y Encargados. Aparece<br />
así <strong>en</strong> <strong>el</strong> nuevo texto <strong>la</strong> utilización <strong>de</strong> datos seudónimos como medio para<br />
80
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
pon<strong>de</strong>rar <strong>la</strong>s obligaciones d<strong>el</strong> Responsable y d<strong>el</strong> Encargado <strong>de</strong> <strong>la</strong> protección <strong>de</strong><br />
datos <strong>en</strong> <strong>de</strong>terminados casos.<br />
Las asociaciones y otros organismos que repres<strong>en</strong>t<strong>en</strong> a categorías <strong>de</strong> responsables<br />
d<strong>el</strong> tratami<strong>en</strong>to <strong>en</strong> varios Estados Miembros podrán pres<strong>en</strong>tar a <strong>la</strong> Comisión proyectos<br />
<strong>de</strong> códigos <strong>de</strong> conducta, así como modificaciones o ampliaciones <strong>de</strong> códigos <strong>de</strong> conducta<br />
exist<strong>en</strong>tes.<br />
3. BLOQUE TEMÁTICO RELATIVO A PROCESOS DE DEFENSA O RECLAMACIÓN.<br />
3.1. DERECHO A PRESENTAR UNA RECLAMACIÓN ANTE UNA AUTORIDAD DE<br />
CONTROL (ARTÍCULO 73).<br />
De acuerdo con <strong>el</strong> artículo 73, <strong>la</strong>s personas físicas o naturales, <strong>de</strong>finidas <strong>en</strong> <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos como interesados, están legitimadas para<br />
pres<strong>en</strong>tar rec<strong>la</strong>maciones cuando <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> los datos que les conciern<strong>en</strong>, no se<br />
efectúe <strong>de</strong> acuerdo con lo que dispone dicha Propuesta. Las rec<strong>la</strong>maciones vincu<strong>la</strong>das<br />
con <strong>la</strong> ejecución <strong>de</strong> tratami<strong>en</strong>tos no acor<strong>de</strong>s con <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong><br />
Protección <strong>de</strong> Datos, ti<strong>en</strong><strong>en</strong> un cont<strong>en</strong>ido amplio: acceso, rectificación, olvido y supresión,<br />
oposición, hechos que supongan <strong>la</strong> conculcación <strong>de</strong> <strong>la</strong>s obligaciones d<strong>el</strong> Responsable<br />
o d<strong>el</strong> Encargado d<strong>el</strong> tratami<strong>en</strong>to, <strong>en</strong>tre otras. Conforme a este precepto, están<br />
legitimadas para interponer una rec<strong>la</strong>mación, <strong>la</strong>s personas físicas, calificadas como interesados,<br />
y <strong>la</strong>s personas jurídicas (organismos, asociaciones, organizaciones) cuya finalidad<br />
sea “proteger los <strong>de</strong>rechos e intereses <strong>de</strong> los interesados” <strong>en</strong> materia <strong>de</strong><br />
protección <strong>de</strong> datos al ost<strong>en</strong>tar un interés legítimo para pres<strong>en</strong>tar <strong>la</strong> rec<strong>la</strong>mación ante<br />
<strong>la</strong> Autoridad <strong>de</strong> Control. El artículo 73 también contemp<strong>la</strong> <strong>la</strong> posibilidad <strong>de</strong> que los interesados<br />
y/o <strong>la</strong>s personas jurídicas citadas anteriorm<strong>en</strong>te, pres<strong>en</strong>t<strong>en</strong> <strong>la</strong> rec<strong>la</strong>mación<br />
ante “<strong>la</strong> Autoridad <strong>de</strong> Control <strong>de</strong> cualquier Estado Miembro” <strong>de</strong> <strong>la</strong> UE cuando <strong>el</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> los datos personales no responda a los requerimi<strong>en</strong>tos <strong>de</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos.<br />
3.2. DERECHO A UN RECURSO JUDICIAL CONTRA UNA AUTORIDAD DE CON-<br />
TROL (ARTÍCULO 74).<br />
Conforme a este artículo 74 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos,<br />
cuando <strong>la</strong> Autoridad <strong>de</strong> Control no informe al interesado respecto d<strong>el</strong> “curso o resultado<br />
<strong>de</strong> <strong>la</strong> rec<strong>la</strong>mación” <strong>en</strong> <strong>el</strong> p<strong>la</strong>zo <strong>de</strong> 3 meses, o no cursara <strong>la</strong> misma, <strong>el</strong> interesado pue<strong>de</strong><br />
interponer un recurso judicial, ante los órganos jurisdiccionales d<strong>el</strong> Estado Miembro<br />
don<strong>de</strong> <strong>la</strong> Autoridad <strong>de</strong> Control está establecida. El cont<strong>en</strong>ido d<strong>el</strong> recurso judicial guarda<br />
r<strong>el</strong>ación con <strong>la</strong> tut<strong>el</strong>a <strong>de</strong> los <strong>de</strong>rechos d<strong>el</strong> interesado: acceso, rectificación, oposición,<br />
olvido y supresión, etc. También están legitimados para interponer un recurso judicial<br />
contra <strong>la</strong>s <strong>de</strong>cisiones <strong>de</strong> una Autoridad <strong>de</strong> Control, los organismos, asociaciones, organizaciones,<br />
que cita <strong>el</strong> anterior artículo 73. El interesado, <strong>de</strong> acuerdo con <strong>el</strong> artículo 74,<br />
también pue<strong>de</strong> solicitar a <strong>la</strong> Autoridad <strong>de</strong> Control d<strong>el</strong> Estado Miembro, don<strong>de</strong> habitualm<strong>en</strong>te<br />
resi<strong>de</strong>, que ejercite <strong>en</strong> su nombre, una acción ante una Autoridad <strong>de</strong> Control<br />
compet<strong>en</strong>te <strong>de</strong> otro Estado Miembro cuya <strong>de</strong>cisión le concierne.<br />
81
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
3.3. DERECHO A UN RECURSO JUDICIAL CONTRA UN RESPONSABLE O ENCAR-<br />
GADO (ARTÍCULO 75).<br />
Tal y como prevé <strong>el</strong> artículo 75 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong><br />
Datos, y sin perjuicio <strong>de</strong> los recursos administrativos disponibles, <strong>la</strong>s personas físicas<br />
t<strong>en</strong>drán <strong>de</strong>recho a un recurso judicial cuando consi<strong>de</strong>r<strong>en</strong> que los <strong>de</strong>rechos que les asist<strong>en</strong><br />
han sido conculcados como consecu<strong>en</strong>cia <strong>de</strong> un tratami<strong>en</strong>to <strong>de</strong> sus datos personales<br />
no coher<strong>en</strong>te con <strong>la</strong> citada Propuesta. Las acciones contra un Responsable o<br />
Encargado <strong>de</strong>berán ejercitarse ante los órganos jurisdiccionales d<strong>el</strong> Estado Miembro <strong>en</strong><br />
<strong>el</strong> que <strong>el</strong> Responsable o Encargado t<strong>en</strong>ga un establecimi<strong>en</strong>to. Alternativam<strong>en</strong>te, tales<br />
acciones podrán ejercitarse ante los órganos jurisdiccionales d<strong>el</strong> Estado Miembro <strong>en</strong><br />
que <strong>el</strong> interesado t<strong>en</strong>ga su resi<strong>de</strong>ncia habitual, a m<strong>en</strong>os que <strong>el</strong> Responsable sea una autoridad<br />
pública que actúa <strong>en</strong> ejercicio d<strong>el</strong> po<strong>de</strong>r público. Los Estados Miembros <strong>de</strong>berán<br />
ejecutar <strong>la</strong>s resoluciones <strong>de</strong>finitivas <strong>de</strong> los órganos jurisdiccionales indicadas.<br />
3.4. NORMAS COMUNES PARA LOS PROCEDIMIENTOS JUDICIALES (ARTÍCULO 76).<br />
El artículo 76 <strong>de</strong> <strong>la</strong> misma contemp<strong>la</strong> <strong>la</strong> opción <strong>de</strong> que <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Control establecidas<br />
<strong>en</strong> los países <strong>de</strong> <strong>la</strong> UE puedan acudir a los órganos jurisdiccionales para reforzar<br />
<strong>la</strong> coher<strong>en</strong>cia d<strong>el</strong> régim<strong>en</strong> europeo <strong>de</strong> protección <strong>de</strong> datos personales y que <strong>el</strong> cont<strong>en</strong>ido<br />
<strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos se observe. Esta tarea<br />
<strong>de</strong> “armonización” implica <strong>el</strong> suministro <strong>de</strong> información <strong>en</strong>tre los órganos jurisdiccionales<br />
localizados <strong>en</strong> los Estados Miembros, para saber si <strong>el</strong> órgano jurisdiccional compet<strong>en</strong>te<br />
d<strong>el</strong> Estado al que se dirige <strong>el</strong> primero, ti<strong>en</strong>e <strong>en</strong> curso un procedimi<strong>en</strong>to paral<strong>el</strong>o,<br />
contemp<strong>la</strong>ndo <strong>la</strong> opción <strong>de</strong> que <strong>el</strong> órgano jurisdiccional que solicita <strong>la</strong> información,<br />
cuando aprecie i<strong>de</strong>ntidad <strong>en</strong> <strong>la</strong> medida, <strong>de</strong>cisión o práctica pueda susp<strong>en</strong><strong>de</strong>r <strong>el</strong> procedimi<strong>en</strong>to<br />
que inició.<br />
3.5. DERECHO A INDEMNIZACIÓN Y RESPONSABILIDAD (ARTÍCULO 77).<br />
Según <strong>el</strong> artículo 77, cualquier persona natural que sufra un perjuicio <strong>de</strong>rivado <strong>de</strong> una<br />
operación <strong>de</strong> tratami<strong>en</strong>to ilegal o vincu<strong>la</strong>do con un acto incompatible con <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, ti<strong>en</strong>e <strong>de</strong>recho a obt<strong>en</strong>er una in<strong>de</strong>mnización<br />
que repare <strong>el</strong> daño causado por <strong>el</strong> Responsable o Encargado d<strong>el</strong> tratami<strong>en</strong>to. Este <strong>de</strong>recho<br />
a <strong>la</strong> in<strong>de</strong>mnización pue<strong>de</strong> sustanciarse <strong>en</strong> un marco <strong>de</strong> responsabilidad civil extracontractual<br />
como contractual. Para que <strong>la</strong> in<strong>de</strong>mnización sea factible, <strong>el</strong> perjuicio<br />
sufrido <strong>de</strong>be t<strong>en</strong>er una estrecha conexión con una operación <strong>de</strong> tratami<strong>en</strong>to ilegal o<br />
con un acto no compatible con <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos.<br />
El daño producido pue<strong>de</strong> t<strong>en</strong>er carácter <strong>de</strong> emerg<strong>en</strong>te o implicar un lucro cesante. El<br />
perjuicio sufrido hay que acreditarlo y evaluarlo. Cuando concurran varios responsables<br />
o <strong>en</strong>cargados d<strong>el</strong> tratami<strong>en</strong>to, <strong>el</strong> artículo 77 p<strong>la</strong>ntea que <strong>la</strong> responsabilidad es solidaria<br />
para qui<strong>en</strong>es intervi<strong>en</strong><strong>en</strong> <strong>en</strong> <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos personales, los mismos <strong>de</strong>b<strong>en</strong> asumir<br />
<strong>el</strong> importe total <strong>de</strong> los daños. Esto no excluye que uno <strong>de</strong> corresponsables acredite<br />
que no es posible imputárs<strong>el</strong>e los hechos que g<strong>en</strong>eraron <strong>el</strong> daño, pues su actuación fue<br />
dilig<strong>en</strong>te, concurr<strong>en</strong> causas <strong>de</strong> fuerza mayor, por ejemplo, quedando exonerado <strong>de</strong> <strong>la</strong><br />
obligación <strong>de</strong> in<strong>de</strong>mnizar <strong>el</strong> perjuicio causado mediante <strong>el</strong> abono <strong>de</strong> <strong>la</strong> cuantía <strong>de</strong> in<strong>de</strong>mnización<br />
que le correspondiere.<br />
82
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
4. TRATAMIENTO ESPECÍFICO DE LOS DATOS DE LOS MENORES (ARTÍCULOS 6, 8, 11,<br />
17, 33, 38 Y 52).<br />
Si por algo se caracteriza <strong>la</strong> nueva propuesta regu<strong>la</strong>toria europea <strong>en</strong> materia <strong>de</strong> Protección <strong>de</strong><br />
Datos personales es, precisam<strong>en</strong>te, por <strong>la</strong> introducción <strong>de</strong> modificaciones normativas <strong>de</strong> interés<br />
<strong>en</strong> torno a <strong>la</strong> licitud y condiciones d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> los datos personales <strong>de</strong> los niños<br />
respecto a los servicios <strong>de</strong> <strong>la</strong> sociedad <strong>de</strong> <strong>la</strong> información que se les ofrec<strong>en</strong> <strong>de</strong> forma directa.<br />
Así, <strong>el</strong> mero hecho <strong>de</strong> introducir, por primera vez, una <strong>de</strong>finición legal <strong>de</strong> “niño” a través d<strong>el</strong><br />
artículo 4 <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, basada <strong>en</strong> <strong>la</strong> Conv<strong>en</strong>ción<br />
<strong>de</strong> Naciones Unidas <strong>sobre</strong> Derechos d<strong>el</strong> Niño, -y que no incluía <strong>la</strong> Directiva 95/46/CE-,<br />
ya supone un importante avance que pone <strong>de</strong> r<strong>el</strong>ieve <strong>la</strong> importancia <strong>de</strong> esta materia. Entre<br />
otros, <strong>la</strong> proyectada reforma normativa ofrece los sigui<strong>en</strong>tes <strong>el</strong>em<strong>en</strong>tos <strong>de</strong> interés:<br />
• Consolida <strong>el</strong> principio <strong>de</strong> protección específica a los m<strong>en</strong>ores como principio informador<br />
d<strong>el</strong> sistema.<br />
• P<strong>la</strong>ntea una especial consi<strong>de</strong>ración <strong>de</strong> los intereses, <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los niños<br />
<strong>en</strong> <strong>el</strong> juicio o evaluación que <strong>de</strong>ba realizarse respecto a <strong>la</strong> <strong>de</strong>terminación d<strong>el</strong> interés legítimo<br />
d<strong>el</strong> responsable.<br />
• Implica <strong>la</strong> obligatoriedad <strong>en</strong> <strong>el</strong> uso <strong>de</strong> un l<strong>en</strong>guaje accesible, c<strong>la</strong>ro, l<strong>la</strong>no y fácilm<strong>en</strong>te<br />
compr<strong>en</strong>sible para los m<strong>en</strong>ores respecto a cualquier información y comunicación que<br />
se les dirija.<br />
• Posibilita <strong>la</strong> especificación por <strong>la</strong> Comisión <strong>de</strong> formu<strong>la</strong>rios tipo <strong>en</strong> r<strong>el</strong>ación con <strong>el</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> datos personales <strong>de</strong> los niños.<br />
• Reconoce <strong>la</strong> especial pertin<strong>en</strong>cia <strong>de</strong> los <strong>de</strong>rechos <strong>de</strong> rectificación y d<strong>el</strong> «<strong>de</strong>recho al olvido»<br />
<strong>en</strong> <strong>el</strong> caso <strong>de</strong> que los interesados hubieran dado su cons<strong>en</strong>timi<strong>en</strong>to si<strong>en</strong>do niños.<br />
• Prevé que sólo será lícito tratar datos <strong>de</strong> m<strong>en</strong>ores <strong>de</strong> 13 años si media <strong>la</strong> autorización<br />
<strong>de</strong> su correspondi<strong>en</strong>te repres<strong>en</strong>tante legal. El responsable d<strong>el</strong> tratami<strong>en</strong>to, por tanto,<br />
hará esfuerzos razonables para obt<strong>en</strong>er un cons<strong>en</strong>timi<strong>en</strong>to verificable, t<strong>en</strong>i<strong>en</strong>do <strong>en</strong><br />
cu<strong>en</strong>ta <strong>la</strong> tecnología disponible. Será posible <strong>la</strong> adopción <strong>de</strong> medidas específicas para<br />
<strong>la</strong>s microempresas y PYMES.<br />
• Propone que <strong>la</strong> Comisión pueda: 1) Especificar los criterios y condiciones aplicables a<br />
los métodos <strong>de</strong> obt<strong>en</strong>ción d<strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to verificable, así como para establecer formu<strong>la</strong>rios<br />
normalizados a tal fin; 2) Determinar los criterios y condiciones <strong>en</strong> r<strong>el</strong>ación<br />
con <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to <strong>de</strong> los niños y; 3) Adoptar formu<strong>la</strong>rios tipo <strong>en</strong> r<strong>el</strong>ación con <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to<br />
<strong>de</strong> los niños.<br />
• Respecto a <strong>la</strong> evaluación d<strong>el</strong> impacto r<strong>el</strong>ativa a <strong>la</strong> protección <strong>de</strong> datos, cuando <strong>la</strong>s operaciones<br />
<strong>de</strong> tratami<strong>en</strong>to <strong>en</strong>trañ<strong>en</strong> riesgos específicos para los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong><br />
los interesados, <strong>en</strong>tre <strong>la</strong>s que se citan, <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos personales <strong>en</strong> ficheros<br />
a gran esca<strong>la</strong> r<strong>el</strong>ativos a niños, prevé que <strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong>ba recabar<br />
<strong>la</strong> opinión <strong>de</strong> los interesados o <strong>de</strong> sus repres<strong>en</strong>tantes <strong>en</strong> r<strong>el</strong>ación con <strong>el</strong> tratami<strong>en</strong>to previsto.<br />
83
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
• En lo r<strong>el</strong>ativo a <strong>la</strong> <strong>el</strong>aboración <strong>de</strong> códigos <strong>de</strong> conducta, promueve que se t<strong>en</strong>ga especialm<strong>en</strong>te<br />
<strong>en</strong> cu<strong>en</strong>ta <strong>la</strong> información y <strong>la</strong> protección <strong>de</strong> los niños.<br />
• Pot<strong>en</strong>cia que <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Control realic<strong>en</strong> activida<strong>de</strong>s <strong>de</strong> s<strong>en</strong>sibilización <strong>sobre</strong> los<br />
riesgos, normas, garantías y <strong>de</strong>rechos r<strong>el</strong>ativos al tratami<strong>en</strong>to <strong>de</strong> datos personales, con<br />
especial at<strong>en</strong>ción a los niños.<br />
CONCLUSIONES<br />
D<strong>el</strong> análisis realizado cabe concluir que, sin duda, <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos t<strong>en</strong>drá un impacto significativo <strong>en</strong> los <strong>de</strong>rechos <strong>de</strong> los interesados, <strong>en</strong> aspectos<br />
como:<br />
• Se refuerzan los principios <strong>de</strong> transpar<strong>en</strong>cia y <strong>de</strong> información adaptada, accesible, int<strong>el</strong>igible,<br />
c<strong>la</strong>ra y s<strong>en</strong>cil<strong>la</strong>.<br />
• Se homog<strong>en</strong>iza <strong>en</strong> un mes <strong>el</strong> p<strong>la</strong>zo <strong>de</strong> respuesta al ejercicio <strong>de</strong> <strong>de</strong>rechos.<br />
• Se regu<strong>la</strong> <strong>el</strong> “<strong>de</strong>recho al olvido”, expresión que ti<strong>en</strong>e difer<strong>en</strong>tes variantes <strong>en</strong> función <strong>de</strong><br />
los datos a que pueda referirse y <strong>de</strong> los efectos que se pret<strong>en</strong>dan <strong>de</strong> <strong>la</strong> misma.<br />
• Se incorpora al interesado como una <strong>de</strong> <strong>la</strong>s partes a comunicar <strong>la</strong> concurr<strong>en</strong>cia <strong>de</strong> una<br />
brecha <strong>de</strong> seguridad, lógicam<strong>en</strong>te cuando le afecte, y <strong>en</strong> difer<strong>en</strong>tes p<strong>la</strong>zos <strong>de</strong>p<strong>en</strong><strong>de</strong> si<br />
hab<strong>la</strong>mos <strong>de</strong> <strong>la</strong> Propuesta <strong>de</strong> <strong>la</strong> Comisión o d<strong>el</strong> Consejo.<br />
• Se establec<strong>en</strong> diversas vías para <strong>la</strong> rec<strong>la</strong>mación por <strong>la</strong> vulneración <strong>de</strong> los <strong>de</strong>rechos regu<strong>la</strong>dos,<br />
que pue<strong>de</strong>n llegar hasta <strong>la</strong> civil para <strong>la</strong> rec<strong>la</strong>mación <strong>de</strong> daños.<br />
• Se regu<strong>la</strong>n <strong>de</strong> manera específica, <strong>de</strong>tal<strong>la</strong>da y con cierto niv<strong>el</strong> <strong>de</strong> precisión que resulta<br />
necesario (veremos si sufici<strong>en</strong>te o no), los <strong>de</strong>rechos <strong>de</strong> los m<strong>en</strong>ores y los requisitos<br />
para <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> sus datos personales.<br />
84
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
BIBLIOGRAFÍA / REFERENCIAS.<br />
Carta <strong>de</strong> los Derechos Fundam<strong>en</strong>tales <strong>de</strong> <strong>la</strong> UE.<br />
Sebastián Zarate Rojas “La problemática <strong>en</strong>tre <strong>el</strong> <strong>de</strong>recho al olvido y <strong>la</strong> libertad <strong>de</strong> pr<strong>en</strong>sa”.<br />
Marzo-mayo 2013. .<br />
Nilo Jääskin<strong>en</strong>. Conclusiones d<strong>el</strong> Abogado pres<strong>en</strong>tadas <strong>el</strong> 25 <strong>de</strong> junio d<strong>el</strong> 2013. Asunto<br />
C131/12:<br />
Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> Datos. Memoria 2011.<br />
Casino Ruiz, Migu<strong>el</strong> Áng<strong>el</strong>. “El periódico <strong>de</strong> ayer, <strong>el</strong> <strong>de</strong>recho al olvido <strong>en</strong> internet y otras<br />
noticias”. Civitas Revista españo<strong>la</strong> <strong>de</strong> Derecho Administrativo nº 156/2012.<br />
Lacasta Casado, Ramón, y otros, Auditoría <strong>de</strong> <strong>la</strong> Protección <strong>de</strong> Datos, Editorial Bosch, S<br />
A, Barc<strong>el</strong>ona 2009.<br />
Llácer Matacás, María Rosa, Coordinadora, Protección <strong>de</strong> Datos Personales <strong>en</strong> <strong>la</strong> Sociedad<br />
<strong>de</strong> <strong>la</strong> Información y <strong>la</strong> Vigi<strong>la</strong>ncia, La Ley, Wolters Kluwer España, S A, Madrid 2011.<br />
Palomar Olmeda, Alberto, Codirector, y otros, Com<strong>en</strong>tario al Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong> <strong>de</strong>sarrollo <strong>de</strong><br />
<strong>la</strong> Ley Orgánica 15/1999, <strong>de</strong> 13 <strong>de</strong> diciembre, <strong>de</strong> Protección <strong>de</strong> Datos <strong>de</strong> Carácter Personal,<br />
Editorial Aranzadi, S A, Pamplona 2008.<br />
Sierra Gil <strong>de</strong> <strong>la</strong> Cuesta, Ignacio, Coordinador, Tratado <strong>de</strong> Responsabilidad Civil, Editorial<br />
Bosch, S A, Barc<strong>el</strong>ona 2008.<br />
Wright, David, and Paul <strong>de</strong> Hert, , Springer, Dordrecht, 2012.<br />
Privacy Impact Assessm<strong>en</strong>t Overview, Privacy Impact Assessm<strong>en</strong>t Gui<strong>de</strong>, Privacy Impact<br />
Assessm<strong>en</strong>t International Study by ICO.<br />
The state of the art in privacy impact assessm<strong>en</strong>t- David Wright-Bruss<strong>el</strong>s 2012.<br />
Finn, Rach<strong>el</strong>, David Wright y Micha<strong>el</strong> Frie<strong>de</strong>wald, “Siete tipos <strong>de</strong> <strong>la</strong> <strong>privacidad</strong>”, <strong>en</strong> Serge<br />
Gutwirth, Yves Poullet et al. (eds.),<br />
Protección <strong>de</strong> datos europea: <strong>la</strong> mayoría <strong>de</strong> edad, Springer, Dordrecht, 2013.<br />
Raab, Charles and David Wright, “”, Chapter 17, in David Wright and Paul De Hert (eds.),<br />
Privacy Impact Assessm<strong>en</strong>t , Springer, Dordrecht, 2012.<br />
S<strong>el</strong>f Regu<strong>la</strong>tion and Co<strong>de</strong>s of Practice-Data Protection Comissioner.<br />
Article 29 Working Party papers nº 74, 107, 108 y 204.<br />
Les règles internes d’<strong>en</strong>treprise (BCR)-Un co<strong>de</strong> <strong>de</strong> conduite pour les <strong>en</strong>treprises- CNIL.<br />
85
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
86
Cap. 6<br />
Seguridad:<br />
Análisis <strong>de</strong> riesgos,<br />
RLOPD y Estándares<br />
<strong>de</strong> Seguridad <strong>de</strong><br />
<strong>la</strong> Información.
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
88
1. ANÁLISIS DE RIESGOS HACIA HERRAMIENTAS PET Y LA EVALUACIÓN PURA DE LA<br />
PROTECCIÓN DE LA PRIVACIDAD.<br />
RESUMEN<br />
A difer<strong>en</strong>cia d<strong>el</strong> actual RLOPD, que <strong>de</strong>tal<strong>la</strong> <strong>en</strong> su Título VIII <strong>la</strong> r<strong>el</strong>ación <strong>de</strong> medidas <strong>de</strong> seguridad<br />
que se <strong>de</strong>b<strong>en</strong> implem<strong>en</strong>tar según <strong>la</strong> naturaleza <strong>de</strong> los datos, <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos introduce un <strong>en</strong>foque basado <strong>en</strong> <strong>el</strong> riesgo, <strong>de</strong><br />
modo que <strong>la</strong>s medidas técnicas y organizativas <strong>de</strong> seguridad <strong>de</strong>b<strong>en</strong> v<strong>en</strong>ir <strong>de</strong>terminadas<br />
por una previa evaluación <strong>de</strong> riesgos.<br />
Esto supone un importante cambio, <strong>en</strong> <strong>el</strong> que se modifica <strong>la</strong> obligatoriedad <strong>de</strong> implem<strong>en</strong>tar<br />
un catálogo <strong>de</strong> medidas <strong>de</strong> seguridad concretas por <strong>la</strong> responsabilidad <strong>de</strong> evaluar<br />
<strong>el</strong> riesgo que <strong>en</strong>traña para <strong>la</strong> <strong>privacidad</strong> <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos, así como <strong>la</strong><br />
implem<strong>en</strong>tación <strong>de</strong> <strong>la</strong>s medidas <strong>de</strong> seguridad apropiadas para mitigar estos riesgos.<br />
Otra importante novedad es <strong>la</strong> introducción <strong>de</strong> <strong>la</strong> variable <strong>de</strong> los costes <strong>de</strong> <strong>la</strong>s medidas<br />
<strong>de</strong> seguridad. La <strong>de</strong>terminación <strong>de</strong> controles, <strong>en</strong> respuesta a los riesgos i<strong>de</strong>ntificados,<br />
<strong>de</strong>berá t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta <strong>la</strong>s técnicas exist<strong>en</strong>tes y los costes <strong>de</strong> implem<strong>en</strong>tación, lo que<br />
establece una c<strong>la</strong>ra <strong>de</strong>cisión por <strong>la</strong> gestión <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> basada <strong>en</strong> riesgos. No obstante,<br />
se introduce una in<strong>de</strong>terminación respecto a cómo valorar si un <strong>de</strong>terminado<br />
coste se consi<strong>de</strong>ra excesivo.<br />
Por otro <strong>la</strong>do, <strong>la</strong>s modificaciones propuestas <strong>en</strong> mayo <strong>de</strong> 2013 por <strong>el</strong> Consejo introduc<strong>en</strong><br />
<strong>el</strong> concepto <strong>de</strong> utilización <strong>de</strong> seudónimos, promovi<strong>en</strong>do siempre que sea posible un<br />
tratami<strong>en</strong>to <strong>de</strong> los datos <strong>de</strong> forma que no sean atribuidos a una persona física sin <strong>el</strong> uso<br />
<strong>de</strong> información adicional. En este contexto, cabe <strong>de</strong>stacar <strong>el</strong> pap<strong>el</strong> que <strong>la</strong>s herrami<strong>en</strong>tas<br />
PET (Privacy Enhancing Technologies) podrán <strong>de</strong>sempeñar, <strong>en</strong> cuanto que su utilización,<br />
t<strong>en</strong>ida <strong>en</strong> cu<strong>en</strong>ta <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño <strong>de</strong> los nuevos tratami<strong>en</strong>tos <strong>de</strong> datos, pue<strong>de</strong>n disminuir<br />
<strong>el</strong> riesgo para <strong>la</strong> <strong>privacidad</strong> y, por tanto, <strong>la</strong>s medidas <strong>de</strong> seguridad adicionales necesarias.<br />
CONTENIDO<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
El Responsable d<strong>el</strong> Fichero o Encargado <strong>de</strong> Tratami<strong>en</strong>to <strong>de</strong>berá i<strong>de</strong>ntificar los riesgos<br />
que supone <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos <strong>en</strong> términos <strong>de</strong> <strong>privacidad</strong> <strong>de</strong> los interesados y<br />
cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> normativa europea.<br />
La evaluación <strong>de</strong> riesgo <strong>de</strong>be ir más allá <strong>de</strong> <strong>la</strong> mera observancia d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong><br />
datos propuesto y <strong>la</strong> i<strong>de</strong>ntificación y recom<strong>en</strong>dación <strong>de</strong> controles a implem<strong>en</strong>tar. Durante<br />
<strong>la</strong> realización <strong>de</strong> este ejercicio, se <strong>de</strong>be evaluar si exist<strong>en</strong> alternativas que sin suponer<br />
una pérdida <strong>de</strong> funcionalidad pres<strong>en</strong>t<strong>en</strong> un m<strong>en</strong>or riesgo <strong>de</strong> <strong>privacidad</strong> y, <strong>en</strong><br />
consecu<strong>en</strong>cia, unos m<strong>en</strong>ores requisitos <strong>de</strong> seguridad. Se <strong>de</strong>berán contestar a preguntas<br />
como estas:<br />
• ¿Es necesario recopi<strong>la</strong>r todos los datos <strong>de</strong> carácter personal pret<strong>en</strong>didos ¿Podría<br />
ofrecer <strong>el</strong> servicio a los usuarios <strong>de</strong> forma anónima<br />
• Si no es así, ¿Cuáles son los datos mínimos que necesito sin per<strong>de</strong>r funcionalidad<br />
89
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
• ¿Quién necesita acce<strong>de</strong>r a qué datos ¿He i<strong>de</strong>ntificado <strong>el</strong> personal estrictam<strong>en</strong>te<br />
necesario que necesitará acceso a los datos <strong>de</strong> carácter personal<br />
• ¿Puedo trabajar con datos seudónimos ¿pue<strong>de</strong> al m<strong>en</strong>os una parte d<strong>el</strong> personal<br />
trabajar con <strong>el</strong>los<br />
Es <strong>en</strong> este punto don<strong>de</strong> <strong>la</strong>s herrami<strong>en</strong>tas PET, t<strong>en</strong>idas <strong>en</strong> cu<strong>en</strong>ta <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño d<strong>el</strong><br />
nuevo tratami<strong>en</strong>to <strong>de</strong> datos, pue<strong>de</strong>n ayudarnos a disminuir <strong>el</strong> riesgo <strong>de</strong> <strong>privacidad</strong>, y por<br />
tanto <strong>la</strong>s medidas <strong>de</strong> seguridad adicionales necesarias y los costes <strong>de</strong> implem<strong>en</strong>tación.<br />
El concepto <strong>de</strong> herrami<strong>en</strong>tas PET se exti<strong>en</strong><strong>de</strong> a tecnologías para proteger o mejorar <strong>la</strong><br />
<strong>privacidad</strong> <strong>de</strong> una persona. Tradicionalm<strong>en</strong>te, <strong>la</strong>s herrami<strong>en</strong>tas PET han estado asociadas<br />
a herrami<strong>en</strong>tas que proporcionan un grado <strong>de</strong> anonimato a <strong>la</strong>s personas, que les<br />
permit<strong>en</strong> proteger su verda<strong>de</strong>ra i<strong>de</strong>ntidad, permiti<strong>en</strong>do al usuario utilizar servicios <strong>de</strong><br />
forma anónima mant<strong>en</strong>i<strong>en</strong>do <strong>el</strong> control <strong>sobre</strong> su información, que rev<strong>el</strong>a sólo cuando es<br />
estrictam<strong>en</strong>te necesario.<br />
La opción <strong>de</strong> <strong>la</strong> anonimización <strong>de</strong> los datos personales, <strong>en</strong> <strong>la</strong> que no se registran datos<br />
que i<strong>de</strong>ntifican a un individuo, supone <strong>la</strong> máxima protección <strong>de</strong> los datos personales<br />
y <strong>el</strong> inmediato cumplimi<strong>en</strong>to <strong>de</strong> los requisitos legales. No obstante, por supuesto no<br />
siempre es posible aplicar anonimización <strong>en</strong> tanto que <strong>el</strong> registro <strong>de</strong> los datos personales<br />
sea un <strong>el</strong>em<strong>en</strong>to es<strong>en</strong>cial. En estos casos, una técnica PET importante se refiere<br />
a <strong>la</strong> separación <strong>de</strong> los datos <strong>en</strong> varios <strong>en</strong>tornos. Un <strong>en</strong>torno conti<strong>en</strong>e los datos<br />
personales <strong>de</strong> i<strong>de</strong>ntificación y los <strong>de</strong>más <strong>en</strong>tornos <strong>el</strong> resto <strong>de</strong> información que concierne<br />
a cada uno <strong>de</strong> los individuos que, por separado, no ti<strong>en</strong><strong>en</strong> s<strong>en</strong>sibilidad <strong>en</strong><br />
cuanto a protección <strong>de</strong> datos personales, ya que por sí solos no son atribuibles a una<br />
persona i<strong>de</strong>ntificable.<br />
Estas posibilida<strong>de</strong>s <strong>de</strong> seudonimización se m<strong>en</strong>cionan <strong>de</strong> forma reiterada <strong>en</strong> <strong>el</strong> texto<br />
propuesto <strong>en</strong> mayo <strong>de</strong> 2013 por <strong>el</strong> Consejo <strong>de</strong> Europa <strong>en</strong> difer<strong>en</strong>tes ámbitos d<strong>el</strong> docum<strong>en</strong>to.<br />
Cabe seña<strong>la</strong>r que estas técnicas permit<strong>en</strong> a responsables y <strong>en</strong>cargados aplicar<br />
<strong>la</strong>s medidas <strong>de</strong> seguridad a<strong>de</strong>cuadas para proteger los datos personales <strong>de</strong> forma más<br />
racional, c<strong>en</strong>trándose don<strong>de</strong> es estrictam<strong>en</strong>te necesario.<br />
Una vez <strong>de</strong>terminado <strong>el</strong> nuevo tratami<strong>en</strong>to <strong>de</strong> datos, se <strong>de</strong>berá t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta que <strong>la</strong><br />
evaluación d<strong>el</strong> riesgo <strong>de</strong> <strong>privacidad</strong> <strong>de</strong>be abarcar todo <strong>el</strong> ciclo <strong>de</strong> vida <strong>de</strong> los datos. Esta<br />
evaluación <strong>de</strong> riesgos <strong>de</strong>be t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta <strong>la</strong>s am<strong>en</strong>azas, <strong>en</strong> base a su probabilidad e<br />
impacto, tanto <strong>de</strong> <strong>la</strong> protección <strong>de</strong> los datos personales y <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los interesados,<br />
como d<strong>el</strong> riesgo <strong>de</strong> cumplimi<strong>en</strong>to para <strong>la</strong> organización que <strong>en</strong>traña cada una <strong>de</strong><br />
estas fases.<br />
Los responsables y <strong>en</strong>cargados <strong>de</strong>berán at<strong>en</strong><strong>de</strong>r a <strong>la</strong> tipología <strong>de</strong> datos recabados, finalidad,<br />
los flujos <strong>de</strong> información, acceso por parte <strong>de</strong> terceros, cesiones, tratami<strong>en</strong>to,<br />
conservación o <strong>de</strong>strucción <strong>de</strong> los datos, <strong>en</strong>tre otros aspectos. Para <strong>el</strong>lo, será necesario<br />
mant<strong>en</strong>er un método sistemático <strong>de</strong> análisis, que i<strong>de</strong>ntifique qué vulnerabilida<strong>de</strong>s pres<strong>en</strong>ta<br />
<strong>el</strong> nuevo tratami<strong>en</strong>to <strong>de</strong> datos respecto a los difer<strong>en</strong>tes controles <strong>de</strong> <strong>privacidad</strong><br />
necesarios.<br />
90
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Al respecto, <strong>la</strong> propuesta <strong>de</strong> normativa europea no m<strong>en</strong>ciona un método <strong>de</strong> análisis <strong>de</strong><br />
riesgo concreto, por lo que se podría tomar <strong>de</strong> refer<strong>en</strong>cia cualquiera <strong>de</strong> los métodos<br />
más ext<strong>en</strong>didos <strong>en</strong> <strong>el</strong> mercado. Exist<strong>en</strong> diversos estándares y bu<strong>en</strong>as prácticas que<br />
podrían tomarse como base (CRAMM, ISO/IEC 27005, MAGERIT, etc.), si bi<strong>en</strong> <strong>en</strong> <strong>la</strong><br />
práctica <strong>la</strong>s organizaciones ti<strong>en</strong><strong>de</strong>n a g<strong>en</strong>erar sus propias instancias <strong>de</strong> estos métodos<br />
tomando como base una <strong>de</strong> estas normas o incluso una combinación <strong>de</strong> <strong>la</strong>s mismas.<br />
En cualquier caso, <strong>la</strong> evaluación <strong>de</strong> riesgos <strong>de</strong>berá contemp<strong>la</strong>r los distintos ámbitos<br />
que puedan llegar a afectar a <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los distintos grupos <strong>de</strong> afectados <strong>sobre</strong><br />
los que se vaya a realizar un tratami<strong>en</strong>to <strong>de</strong> datos. En <strong>la</strong> sigui<strong>en</strong>te tab<strong>la</strong>, se muestra <strong>el</strong><br />
catálogo <strong>de</strong> controles <strong>de</strong> <strong>privacidad</strong> propuesto por <strong>el</strong> NIST (National Institute of Standars<br />
and Technology), lo que podría ser un marco <strong>de</strong> refer<strong>en</strong>cia para <strong>la</strong> realización <strong>de</strong> <strong>la</strong> evaluación<br />
<strong>de</strong> riesgo <strong>de</strong> <strong>privacidad</strong>.<br />
CONTROLES DE PRIVACIDAD<br />
Legitimidad y Finalidad<br />
Legitimidad para <strong>la</strong> recolección <strong>de</strong> los datos<br />
Finalidad d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos<br />
Accountability, auditoría y riesgos<br />
Gobierno <strong>de</strong> <strong>la</strong> <strong>privacidad</strong><br />
Análisis <strong>de</strong> Impacto <strong>de</strong> Privacidad y evaluación <strong>de</strong> riesgos<br />
Requisitos <strong>de</strong> <strong>privacidad</strong> con prestadores <strong>de</strong> servicios<br />
Monitorización y Auditoría<br />
Formación y Conci<strong>en</strong>ciación<br />
Reporte cumplimi<strong>en</strong>to<br />
Seguridad <strong>en</strong> <strong>el</strong> Ciclo <strong>de</strong> Vida <strong>de</strong> Desarrollo d<strong>el</strong> Software<br />
Control y Registro <strong>de</strong> Acceso a <strong>la</strong> información<br />
Calidad e Integridad d<strong>el</strong> dato<br />
Calidad d<strong>el</strong> Dato<br />
Integridad d<strong>el</strong> Dato<br />
Minimización y ret<strong>en</strong>ción <strong>de</strong> los datos<br />
Utilización mínima <strong>de</strong> datos personales<br />
Ret<strong>en</strong>ción y Destrucción d<strong>el</strong> dato<br />
El hecho <strong>de</strong> seguir un método sistemático <strong>de</strong> evaluación <strong>de</strong> riesgos <strong>de</strong>be <strong>en</strong>riquecerse<br />
con los nuevos retos para <strong>la</strong> <strong>privacidad</strong> que <strong>la</strong> evolución tecnológica pueda ir pres<strong>en</strong>tando,<br />
t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta que ésta siempre se pres<strong>en</strong>ta previam<strong>en</strong>te a <strong>la</strong> legis<strong>la</strong>ción<br />
que le sea <strong>de</strong> aplicación. Conceptos ya conocidos como <strong>el</strong> Cloud Computing, <strong>la</strong>s Re<strong>de</strong>s<br />
Sociales, uso <strong>de</strong> APPs, o <strong>la</strong> más reci<strong>en</strong>te Big Data, son algunos <strong>de</strong> los ejemplos que me-<br />
91
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
rec<strong>en</strong> actualm<strong>en</strong>te una especial at<strong>en</strong>ción d<strong>el</strong> evaluador. Cabe seña<strong>la</strong>r <strong>en</strong> este bloque los<br />
actuales riesgos que actualm<strong>en</strong>te pres<strong>en</strong>ta <strong>el</strong> conocido como BYOD (Bring Your Own<br />
Device), <strong>en</strong> cuanto a <strong>la</strong> pérdida <strong>de</strong> control <strong>sobre</strong> <strong>la</strong> información que supone <strong>el</strong> hecho <strong>de</strong><br />
que ésta se <strong>en</strong>cu<strong>en</strong>tre <strong>en</strong> un dispositivo personal d<strong>el</strong> trabajador.<br />
Para cada uno <strong>de</strong> los controles <strong>de</strong> <strong>privacidad</strong> que sean <strong>de</strong> aplicación, se <strong>de</strong>be observar<br />
qué posibles vulnerabilida<strong>de</strong>s introduciría <strong>el</strong> nuevo tratami<strong>en</strong>to <strong>de</strong> datos. Los riesgos <strong>de</strong><br />
<strong>privacidad</strong> <strong>de</strong>tectados <strong>de</strong>berán mitigarse, tras<strong>la</strong>darse o aceptarse justificadam<strong>en</strong>te, mom<strong>en</strong>to<br />
<strong>en</strong> <strong>el</strong> que se i<strong>de</strong>ntificarán y propondrán <strong>la</strong>s medidas <strong>de</strong> seguridad técnicas y organizativas<br />
necesarias para garantizar una seguridad a<strong>de</strong>cuada <strong>de</strong> los datos.<br />
EN CONCLUSIÓN<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos requiere que Responsables y<br />
Encargados <strong>de</strong> tratami<strong>en</strong>to asuman <strong>el</strong> pap<strong>el</strong> <strong>de</strong> proteger <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los afectados<br />
más allá <strong>de</strong> <strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> una serie <strong>de</strong> medidas <strong>de</strong> seguridad concretas. Serán,<br />
por tanto, los propios responsables y <strong>en</strong>cargados qui<strong>en</strong>es <strong>de</strong>berán evaluar <strong>el</strong> riesgo<br />
que supone para <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los afectados <strong>en</strong> tratami<strong>en</strong>to <strong>de</strong> datos que realizan.<br />
Esta evaluación <strong>de</strong> riesgo pue<strong>de</strong> conllevar a una mayor conci<strong>en</strong>cia <strong>sobre</strong> <strong>la</strong> necesidad<br />
<strong>de</strong> ceñirse a los tratami<strong>en</strong>tos <strong>de</strong> datos estrictam<strong>en</strong>te necesarios, lo que podría impulsar<br />
<strong>la</strong> utilización <strong>de</strong> tecnologías que minimic<strong>en</strong> <strong>el</strong> riesgo <strong>de</strong> <strong>privacidad</strong> mediante técnicas <strong>de</strong><br />
seudonimización o anonimización <strong>de</strong> <strong>la</strong> información, aum<strong>en</strong>tando <strong>de</strong> este modo <strong>la</strong>s garantías<br />
<strong>de</strong> protección <strong>de</strong> <strong>la</strong> información personal <strong>de</strong> los ciudadanos.<br />
Por otro <strong>la</strong>do, <strong>la</strong> in<strong>de</strong>terminación <strong>en</strong> <strong>la</strong> propuesta <strong>de</strong> normativa respecto a <strong>la</strong> aplicación<br />
<strong>de</strong> medidas <strong>de</strong> seguridad, <strong>de</strong>jando a Responsables y Encargados <strong>de</strong> tratami<strong>en</strong>to <strong>la</strong> <strong>la</strong>bor<br />
<strong>de</strong> evaluar los riesgos y <strong>de</strong>terminar <strong>la</strong>s medidas <strong>de</strong> seguridad <strong>en</strong> función <strong>de</strong> su coste<br />
<strong>de</strong> implem<strong>en</strong>tación, podría dar lugar a que <strong>de</strong>terminados sectores adoptaran tolerancias<br />
al riesgo no <strong>de</strong>seables, que se <strong>de</strong>berán corregir, por ejemplo, mediante autorregu<strong>la</strong>ción.<br />
2. REGLAMENTO DE LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS.<br />
RESUMEN<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos promueve un <strong>en</strong>foque global<br />
<strong>de</strong> <strong>la</strong> protección <strong>de</strong> los datos <strong>de</strong> <strong>la</strong> ciudadanía, y por <strong>en</strong><strong>de</strong> <strong>de</strong> <strong>la</strong> protección <strong>de</strong> su <strong>privacidad</strong>,<br />
<strong>en</strong> los 27 países <strong>de</strong> <strong>la</strong> Unión Europea. Para llevarlo a cabo pret<strong>en</strong><strong>de</strong> introducir una<br />
serie <strong>de</strong> medidas que garantic<strong>en</strong> <strong>el</strong> <strong>de</strong>recho a <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> <strong>la</strong> ciudadanía <strong>en</strong> <strong>el</strong> uso y<br />
tratami<strong>en</strong>to <strong>de</strong> sus datos personales, ya por los servicios proporcionados <strong>de</strong>s<strong>de</strong> <strong>la</strong> sociedad<br />
<strong>de</strong> <strong>la</strong> información, los nuevos sistemas fruto d<strong>el</strong> avance <strong>de</strong> <strong>la</strong>s nuevas tecnologías<br />
o los sistemas tradicionales. Todo <strong>el</strong>lo con in<strong>de</strong>p<strong>en</strong><strong>de</strong>ncia <strong>de</strong> que estos<br />
tratami<strong>en</strong>tos sean realizados por <strong>en</strong>tida<strong>de</strong>s públicas o privadas, que se <strong>en</strong>cu<strong>en</strong>tr<strong>en</strong> <strong>de</strong>ntro<br />
<strong>de</strong> <strong>la</strong> Unión o que prest<strong>en</strong> servicios a su ciudadanía, aunque no se <strong>en</strong>cu<strong>en</strong>tr<strong>en</strong> establecidos<br />
<strong>en</strong> <strong>la</strong> misma, lo que pret<strong>en</strong><strong>de</strong> <strong>el</strong>iminar <strong>de</strong>marcaciones territoriales <strong>en</strong> <strong>el</strong> actual<br />
contexto <strong>de</strong> globalización.<br />
92
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
CONTENIDO<br />
En <strong>el</strong> año 2004 <strong>el</strong> Diccionario <strong>de</strong> <strong>la</strong> l<strong>en</strong>gua españo<strong>la</strong> (DRAE) reconoce <strong>el</strong> término <strong>privacidad</strong><br />
como <strong>el</strong> “ámbito <strong>de</strong> <strong>la</strong> vida privada que se ti<strong>en</strong>e <strong>de</strong>recho a proteger <strong>de</strong> cualquier<br />
intromisión”.<br />
El principal garante <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> <strong>en</strong> <strong>la</strong> recogida y <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> los datos personales<br />
es <strong>la</strong> necesidad <strong>de</strong> obt<strong>en</strong>er <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to d<strong>el</strong> interesado. A este respecto <strong>la</strong><br />
Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos, amplía <strong>el</strong> concepto <strong>de</strong> cons<strong>en</strong>timi<strong>en</strong>to<br />
d<strong>el</strong> interesado, <strong>en</strong> r<strong>el</strong>ación al establecido <strong>en</strong> <strong>el</strong> RLOPD, estableci<strong>en</strong>do que este<br />
a<strong>de</strong>más <strong>de</strong> repres<strong>en</strong>tar <strong>la</strong> manifestación <strong>de</strong> voluntad, libre, inequívoca, específica e informada<br />
para <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> sus datos personales, <strong>de</strong>berá ser explícito, <strong>de</strong>duciéndose<br />
c<strong>la</strong>ram<strong>en</strong>te que <strong>el</strong> afectado acepta <strong>de</strong> una forma c<strong>la</strong>ra y precisa al tratami<strong>en</strong>to <strong>de</strong><br />
sus datos. Esto implica que <strong>el</strong> tratami<strong>en</strong>to sólo será lícito si se dispone con este cons<strong>en</strong>timi<strong>en</strong>to<br />
o respon<strong>de</strong> alguna <strong>de</strong> <strong>la</strong>s excepciones contemp<strong>la</strong>das por <strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE, no <strong>de</strong>jando cabida a otras excepciones que pue<strong>de</strong>n pres<strong>en</strong>tarse para ciertos tratami<strong>en</strong>tos,<br />
don<strong>de</strong> resulta complejo solicitar <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to previo a <strong>la</strong> recogida, como<br />
por ejemplo <strong>en</strong> <strong>la</strong> insta<strong>la</strong>ción <strong>de</strong> <strong>de</strong>terminadas cookies como <strong>la</strong>s analíticas, abri<strong>en</strong>do <strong>la</strong><br />
posibilidad <strong>de</strong> po<strong>de</strong>r oponerse al tratami<strong>en</strong>to inmediatam<strong>en</strong>te <strong>de</strong>spués <strong>de</strong> <strong>la</strong> recogida.<br />
Al mismo tiempo, establece que, <strong>la</strong> responsabilidad <strong>de</strong> probar que éste cons<strong>en</strong>timi<strong>en</strong>to<br />
ha sido otorgado recae <strong>sobre</strong> <strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to y que éste cons<strong>en</strong>timi<strong>en</strong>to<br />
pue<strong>de</strong> ser revocado <strong>en</strong> cualquier mom<strong>en</strong>to.<br />
Otro aspecto <strong>de</strong> gran r<strong>el</strong>evancia, que también afecta al cons<strong>en</strong>timi<strong>en</strong>to, es <strong>la</strong> importancia<br />
que <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos otorga a <strong>la</strong> <strong>privacidad</strong><br />
<strong>de</strong> los niños <strong>en</strong> su r<strong>el</strong>ación con los servicios <strong>de</strong> <strong>la</strong> sociedad <strong>de</strong> <strong>la</strong> información. Para <strong>el</strong>lo<br />
se establece que este tratami<strong>en</strong>to sólo podrá realizarse, <strong>en</strong> <strong>el</strong> caso <strong>de</strong> m<strong>en</strong>ores <strong>de</strong> 13<br />
años, cuando se haya recabado previam<strong>en</strong>te <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to d<strong>el</strong> padre o tutor d<strong>el</strong><br />
niño. Por <strong>el</strong> contrario, <strong>la</strong> normativa actual se pres<strong>en</strong>ta más restrictiva, don<strong>de</strong> <strong>el</strong> RLOPD<br />
establece ésta barrera <strong>en</strong> los <strong>de</strong> 14 años y no sólo <strong>en</strong> los servicios <strong>en</strong> línea sino <strong>en</strong><br />
todos los ámbitos, aspectos que supon<strong>en</strong> adicionalm<strong>en</strong>te retos tecnológicos. Por <strong>el</strong><br />
contrario, se consi<strong>de</strong>ran m<strong>en</strong>or <strong>de</strong> edad, a los m<strong>en</strong>ores <strong>de</strong> 18 años. Así mismo, indica<br />
expresam<strong>en</strong>te que <strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to hará los esfuerzos razonables para<br />
obt<strong>en</strong>er este cons<strong>en</strong>timi<strong>en</strong>to <strong>de</strong> forma verificable y t<strong>en</strong>i<strong>en</strong>do <strong>en</strong> cu<strong>en</strong>ta <strong>la</strong> tecnología disponible.<br />
A este respecto, cabría esperar que se consi<strong>de</strong>ra como “esfuerzos razonables”,<br />
y si este “esfuerzo” se medirá igual si se trata <strong>de</strong> una pequeña o gran empresa, sin dar<br />
cabida a aplicar estos criterios para recabar <strong>el</strong> cons<strong>en</strong>timi<strong>en</strong>to como se expuso <strong>en</strong> <strong>el</strong><br />
ejemplo <strong>de</strong> cookies d<strong>el</strong> apartado anterior.<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos incorpora nuevos principios <strong>en</strong><br />
<strong>la</strong> <strong>de</strong> protección <strong>de</strong> datos a los ya exist<strong>en</strong>tes (calidad, información, <strong>de</strong>ber <strong>de</strong> secreto y<br />
cons<strong>en</strong>timi<strong>en</strong>to), como son <strong>el</strong> “principio <strong>de</strong> transpar<strong>en</strong>cia” <strong>en</strong> <strong>la</strong> recogida y tratami<strong>en</strong>to<br />
<strong>de</strong> los datos, <strong>en</strong> <strong>la</strong>s r<strong>el</strong>aciones d<strong>el</strong> interesado con <strong>el</strong> <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to mediante<br />
<strong>el</strong> establecimi<strong>en</strong>to <strong>de</strong> mecanismos s<strong>en</strong>cillos para <strong>el</strong> ejercicio <strong>de</strong> sus <strong>de</strong>rechos y <strong>en</strong> <strong>la</strong>s<br />
r<strong>el</strong>aciones con <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Control. Este principio <strong>de</strong>bería redundar <strong>en</strong> un cambio<br />
<strong>de</strong> ori<strong>en</strong>tación <strong>en</strong> <strong>la</strong> redacción <strong>de</strong> <strong>la</strong>s actuales políticas <strong>de</strong> <strong>privacidad</strong> y condiciones <strong>de</strong><br />
uso, favoreci<strong>en</strong>do <strong>la</strong> compr<strong>en</strong>sión <strong>de</strong> <strong>la</strong>s mismas.<br />
93
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
El “principio <strong>de</strong> r<strong>en</strong>dición <strong>de</strong> cu<strong>en</strong>tas” (accountability) <strong>en</strong> <strong>la</strong> gestión que se hace <strong>de</strong> los<br />
datos personales, obligando al responsable d<strong>el</strong> tratami<strong>en</strong>to a adoptar políticas e implem<strong>en</strong>tar<br />
medidas apropiadas para asegurar y po<strong>de</strong>r <strong>de</strong>mostrar que <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> los<br />
datos personales se lleva conforme a lo indicado <strong>en</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong><br />
Protección <strong>de</strong> Datos.<br />
Como <strong>el</strong>em<strong>en</strong>to novedoso, cabe <strong>de</strong>stacar también <strong>la</strong> regu<strong>la</strong>ción d<strong>el</strong> “<strong>de</strong>recho al olvido”<br />
cuyo ejercicio por parte <strong>de</strong> los afectados se <strong>en</strong>fr<strong>en</strong>ta actualm<strong>en</strong>te a un vacío legal, t<strong>en</strong>i<strong>en</strong>do<br />
que ser ejercitado con <strong>la</strong> normativa actual, mediante <strong>la</strong> solicitud d<strong>el</strong> ejercicio d<strong>el</strong><br />
<strong>de</strong>recho <strong>de</strong> canc<strong>el</strong>ación o <strong>el</strong> <strong>de</strong> oposición. En particu<strong>la</strong>r, este <strong>de</strong>recho obliga a los responsables<br />
d<strong>el</strong> tratami<strong>en</strong>to a suprimir los datos y a abst<strong>en</strong>erse <strong>de</strong> dar más difusión sin<br />
<strong>de</strong>mora. En <strong>el</strong> caso <strong>de</strong> medios <strong>de</strong> comunicación y boletines oficiales este concepto se<br />
<strong>en</strong>ti<strong>en</strong><strong>de</strong> como <strong>el</strong> establecimi<strong>en</strong>to <strong>de</strong> mecanismos que limit<strong>en</strong> su localización a través<br />
<strong>de</strong> <strong>la</strong>s técnicas <strong>de</strong> in<strong>de</strong>xación <strong>en</strong> los motores <strong>de</strong> búsqueda. Si bi<strong>en</strong> es cierto, esta última<br />
medida no <strong>de</strong>ja <strong>de</strong> ser una bu<strong>en</strong>a práctica cuyo limitante simplem<strong>en</strong>te recae <strong>en</strong> <strong>el</strong> bu<strong>en</strong><br />
hacer <strong>de</strong> estos motores <strong>de</strong> búsqueda, lo que no impi<strong>de</strong> técnicam<strong>en</strong>te su acceso.<br />
Este vacío incita nuevas oportunida<strong>de</strong>s tecnológicas que <strong>de</strong>ban <strong>de</strong>sarrol<strong>la</strong>r <strong>la</strong> posibilidad<br />
<strong>de</strong> disponer <strong>de</strong> un control efectivo <strong>de</strong> los datos por parte d<strong>el</strong> usuario <strong>en</strong> un contexto globalizado.<br />
También se regu<strong>la</strong>n <strong>la</strong>s circunstancias que habilitan su ejercicio, <strong>en</strong>tre <strong>la</strong>s que se contemp<strong>la</strong>,<br />
cuando los datos personales hayan sido proporcionados por <strong>el</strong> interesado<br />
si<strong>en</strong>do m<strong>en</strong>or <strong>de</strong> edad, aludi<strong>en</strong>do a que no se es consci<strong>en</strong>te <strong>de</strong> los riesgos que implica<br />
<strong>el</strong> tratami<strong>en</strong>to.<br />
Por otro <strong>la</strong>do se introduce <strong>el</strong> “<strong>de</strong>recho <strong>de</strong> oponerse a <strong>la</strong> <strong>el</strong>aboración <strong>de</strong> perfiles”, mediante<br />
<strong>el</strong> cual se garantiza que toda persona ti<strong>en</strong>e <strong>de</strong>recho a oponerse al tratami<strong>en</strong>to <strong>de</strong><br />
sus datos cuando estos t<strong>en</strong>ga por objeto evaluar aspectos <strong>de</strong> su personalidad, o su<br />
r<strong>en</strong>dimi<strong>en</strong>to profesional, económico, etc.<br />
Otro cambio importante respecto a <strong>la</strong> normativa actual, es <strong>la</strong> <strong>de</strong>terminación <strong>de</strong> <strong>la</strong>s medidas<br />
<strong>de</strong> seguridad a aplicar, <strong>el</strong> RLOPD establece <strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> medidas con <strong>el</strong><br />
establecimi<strong>en</strong>to <strong>de</strong> tres niv<strong>el</strong>es <strong>de</strong> seguridad acumu<strong>la</strong>tivos <strong>en</strong> función d<strong>el</strong> niv<strong>el</strong> <strong>de</strong> los<br />
datos tratados, c<strong>la</strong>ram<strong>en</strong>te tipificados. Por <strong>el</strong> contrario <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE<br />
<strong>de</strong> Protección <strong>de</strong> Datos obliga a los responsables y <strong>en</strong>cargados d<strong>el</strong> tratami<strong>en</strong>to a implem<strong>en</strong>tar<br />
medidas técnicas y organizativas que garantic<strong>en</strong> <strong>la</strong> seguridad <strong>de</strong> los tratami<strong>en</strong>tos<br />
<strong>en</strong> función <strong>de</strong> los riesgos a los cuales están expuestos, <strong>la</strong> naturaleza <strong>de</strong> los datos y<br />
<strong>el</strong> coste <strong>de</strong> implem<strong>en</strong>tarlo, aspecto que podría inclinar una cierta subjetividad. Es aquí<br />
don<strong>de</strong> aparece como novedad <strong>el</strong> concepto <strong>de</strong> “Privacy Impact Assessm<strong>en</strong>t” que permitirá<br />
precisam<strong>en</strong>te analizar este impacto <strong>sobre</strong> <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los datos cuando los<br />
tratami<strong>en</strong>tos <strong>en</strong>trañ<strong>en</strong> riesgos específicos para los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los interesados<br />
<strong>en</strong> función <strong>de</strong> su naturaleza, alcance o fines con <strong>el</strong> fin <strong>de</strong> <strong>de</strong>terminar <strong>la</strong>s correspondi<strong>en</strong>tes<br />
medidas <strong>de</strong> seguridad.<br />
Si bi<strong>en</strong> es cierto que estas nuevas obligaciones pres<strong>en</strong>tan un alineami<strong>en</strong>to con normativas<br />
y estándares <strong>de</strong> seguridad internacionales, no se concreta <strong>la</strong> metodología a seguir.<br />
94
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Otro aspecto importante es <strong>el</strong> concepto <strong>de</strong> “Data Breach Notification”, obligación impuesta<br />
a los responsables o <strong>en</strong>cargados d<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> notificar a <strong>la</strong>s Autorida<strong>de</strong>s<br />
<strong>de</strong> Control <strong>la</strong>s “fugas <strong>de</strong> información”, introduci<strong>en</strong>do este nuevo concepto y <strong>de</strong>finiéndose<br />
como toda vio<strong>la</strong>ción <strong>de</strong> <strong>la</strong> seguridad que ocasione <strong>la</strong> <strong>de</strong>strucción acci<strong>de</strong>ntal o<br />
ilícita, <strong>la</strong> pérdida, alteración, comunicación no autorizada o <strong>el</strong> acceso a datos personales<br />
transmitidos, conservados, o tratados <strong>de</strong> otra forma.<br />
Esta notificación <strong>de</strong>berá <strong>de</strong> realizarse <strong>en</strong> un p<strong>la</strong>zo no superior a 24 horas una vez se haya<br />
t<strong>en</strong>ido constancia <strong>de</strong> <strong>la</strong> misma. Pero esta obligación, va más allá, cuando se t<strong>en</strong>gan<br />
sospechas <strong>de</strong> que pue<strong>de</strong> afectar a <strong>la</strong> <strong>privacidad</strong> <strong>de</strong> los afectados, esta comunicación <strong>de</strong>berá<br />
<strong>de</strong> hacerse ext<strong>en</strong>sible a los mismos. Obligación que pres<strong>en</strong>ta ciertas ambigüeda<strong>de</strong>s<br />
<strong>en</strong> <strong>la</strong> tipificación d<strong>el</strong> tipo <strong>de</strong> inci<strong>de</strong>nte a comunicar, y <strong>el</strong> escaso marg<strong>en</strong> <strong>de</strong> tiempo<br />
para su realización. Esto se traduce <strong>en</strong> un gran cambio <strong>en</strong> <strong>la</strong> concepción <strong>de</strong> <strong>la</strong> gestión<br />
<strong>de</strong> los inci<strong>de</strong>ntes <strong>de</strong> seguridad que afectan a los datos personales por parte <strong>de</strong> <strong>la</strong>s empresas<br />
y <strong>la</strong>s instituciones.<br />
El gran cambio <strong>en</strong> <strong>la</strong> concepción <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> vi<strong>en</strong>e <strong>de</strong> <strong>la</strong> mano <strong>de</strong> <strong>la</strong> introducción <strong>de</strong><br />
un nuevo precepto, <strong>la</strong> protección <strong>de</strong> los datos personales <strong>de</strong>s<strong>de</strong> <strong>el</strong> diseño y por <strong>de</strong>fecto:<br />
“Data protection by <strong>de</strong>sign and by <strong>de</strong>fault.” El concepto es c<strong>la</strong>ve pues consiste <strong>en</strong> introducir<br />
<strong>la</strong> seguridad como un requisito más, involucrando a los difer<strong>en</strong>tes stakehol<strong>de</strong>rs<br />
<strong>de</strong> <strong>la</strong> organización, evaluando <strong>el</strong> impacto <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> con anterioridad a <strong>la</strong> puesta <strong>en</strong><br />
marcha <strong>de</strong> cualquier acción que implique un tratami<strong>en</strong>to <strong>de</strong> datos personales.<br />
A este respecto, <strong>en</strong> r<strong>el</strong>ación a <strong>la</strong> adquisición y/o <strong>de</strong>sarrollo <strong>de</strong> productos <strong>de</strong> software <strong>de</strong><br />
seguridad acor<strong>de</strong>s a <strong>la</strong> normativa implica que los proveedores <strong>de</strong> soluciones <strong>de</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> datos <strong>de</strong>berán incluir esta concepción <strong>de</strong> requisito <strong>en</strong> <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> <strong>la</strong>s<br />
mismas. Esta obligación está <strong>en</strong> gran parte <strong>en</strong> consonancia con <strong>la</strong> Disposición Adicional<br />
Única d<strong>el</strong> RLOPD, que recoge que estos productos <strong>de</strong>berán <strong>de</strong> incluir una <strong>de</strong>scripción<br />
técnica d<strong>el</strong> niv<strong>el</strong> <strong>de</strong> seguridad alcanzado.<br />
Por otro <strong>la</strong>do, <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos hace refer<strong>en</strong>cia<br />
a <strong>la</strong> introducción <strong>de</strong> mecanismos y s<strong>el</strong>los <strong>de</strong> certificación <strong>en</strong> protección <strong>de</strong> datos, aporta<br />
otro aspecto novedoso, iniciativa que <strong>de</strong> llevarse a cabo, dará garantías <strong>de</strong> <strong>privacidad</strong> a<br />
los afectados por <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> sus datos y condicionará <strong>la</strong> <strong>el</strong>ección <strong>de</strong> <strong>la</strong>s empresas<br />
y organismos a <strong>la</strong>s cuales confiarán sus datos.<br />
Por último, los Estados Miembros estarán obligados a <strong>la</strong> creación <strong>de</strong> Autorida<strong>de</strong>s <strong>de</strong><br />
Control que contribuyan a fom<strong>en</strong>tar <strong>el</strong> conocimi<strong>en</strong>to <strong>de</strong> los ciudadanos <strong>de</strong> los riesgos,<br />
garantías, normas y <strong>de</strong>rechos que les asist<strong>en</strong> a <strong>la</strong> par <strong>de</strong> investigar <strong>la</strong>s rec<strong>la</strong>maciones<br />
que se les remitan. Estas funciones, <strong>en</strong> <strong>la</strong> actual normativa reca<strong>en</strong> a niv<strong>el</strong> estatal <strong>sobre</strong><br />
<strong>la</strong> Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> Datos y a niv<strong>el</strong> autonómico <strong>sobre</strong> <strong>la</strong> Ag<strong>en</strong>cia Vasca<br />
<strong>de</strong> Protección <strong>de</strong> Datos y <strong>la</strong> Autoridad Cata<strong>la</strong>na <strong>de</strong> Protección <strong>de</strong> Datos. A<strong>de</strong>más <strong>la</strong> Propuesta<br />
<strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos prevé <strong>la</strong> <strong>de</strong>signación <strong>de</strong> una “v<strong>en</strong>tanil<strong>la</strong><br />
única” fr<strong>en</strong>te a <strong>la</strong> cual podrán ejercitar sus <strong>de</strong>rechos los afectados, <strong>en</strong> aqu<strong>el</strong>los<br />
casos, que <strong>el</strong> responsable o <strong>en</strong>cargado d<strong>el</strong> tratami<strong>en</strong>to se <strong>en</strong>cu<strong>en</strong>tre establecido <strong>en</strong><br />
varios Estados Miembros. Esta “v<strong>en</strong>tanil<strong>la</strong> única” recaerá <strong>sobre</strong> <strong>la</strong> Autoridad <strong>de</strong> Control<br />
95
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
<strong>en</strong> <strong>la</strong> que se <strong>en</strong>cu<strong>en</strong>tre <strong>el</strong> principal establecimi<strong>en</strong>to d<strong>el</strong> Responsable o Encargado d<strong>el</strong><br />
tratami<strong>en</strong>to.<br />
EN CONCLUSIÓN<br />
Por consigui<strong>en</strong>te <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos pret<strong>en</strong><strong>de</strong> garantizar<br />
<strong>el</strong> <strong>de</strong>recho a <strong>la</strong> <strong>privacidad</strong> mediante <strong>la</strong> implem<strong>en</strong>tación <strong>de</strong> medidas que redun<strong>de</strong>n<br />
<strong>en</strong> un mayor control respecto al tratami<strong>en</strong>to <strong>de</strong> sus datos por parte <strong>de</strong> los individuos<br />
y reforzando <strong>la</strong>s obligaciones impuestas a los responsables y <strong>en</strong>cargados d<strong>el</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> los ficheros que prest<strong>en</strong> sus servicios <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> Unión Europea. No obstante,<br />
cada vez resulta <strong>de</strong> una mayor complejidad <strong>la</strong> <strong>de</strong>terminación <strong>de</strong> <strong>la</strong> ubicación <strong>de</strong><br />
<strong>la</strong> información <strong>de</strong>rivada <strong>de</strong> paradigmas como <strong>el</strong> Cloud Computing.<br />
La g<strong>en</strong>eración <strong>de</strong> confianza es un aspecto c<strong>la</strong>ve para garantizar <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> <strong>la</strong> sociedad<br />
<strong>de</strong> <strong>la</strong> información. A este respecto <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos establece <strong>la</strong> necesidad <strong>de</strong> incorporar <strong>la</strong> <strong>privacidad</strong> <strong>de</strong>s<strong>de</strong> su concepción. Este<br />
punto adquiere vital importancia <strong>en</strong> los productores <strong>de</strong> software, que <strong>de</strong>berán <strong>de</strong> incorporar<br />
<strong>la</strong> seguridad como requisito <strong>en</strong> función <strong>de</strong> los riesgos exist<strong>en</strong>tes.<br />
No se <strong>de</strong>be olvidar que <strong>la</strong> aplicación <strong>de</strong> <strong>la</strong> norma no es un proceso ais<strong>la</strong>do, sino su aplicación<br />
coexiste con otras normas exist<strong>en</strong>tes. No cabe duda <strong>de</strong> que un mayor control<br />
<strong>de</strong> <strong>la</strong> información inci<strong>de</strong> <strong>sobre</strong> una m<strong>en</strong>or exposición <strong>de</strong> los datos. Es por <strong>el</strong>lo que, por<br />
un <strong>la</strong>do, este proceso <strong>de</strong> actualización <strong>de</strong>bería <strong>de</strong> incidir <strong>sobre</strong> regu<strong>la</strong>ciones actuales,<br />
<strong>en</strong> especial <strong>en</strong> <strong>el</strong> ámbito <strong>de</strong> <strong>la</strong> administración pública don<strong>de</strong> es posible que se <strong>de</strong>ban<br />
re<strong>de</strong>finir obsoletos procedimi<strong>en</strong>tos como por ejemplo <strong>la</strong>s notificaciones colectivas basadas<br />
<strong>en</strong> boletines oficiales, <strong>en</strong> aras <strong>de</strong> garantizar un verda<strong>de</strong>ro y mayor control <strong>de</strong> <strong>la</strong><br />
información.<br />
No obstante, por otro <strong>la</strong>do, <strong>en</strong> este contexto cabe un análisis <strong>sobre</strong> si <strong>la</strong> tecnología actual<br />
respon<strong>de</strong> ante un cumplimi<strong>en</strong>to efectivo que garantice realm<strong>en</strong>te <strong>la</strong> <strong>privacidad</strong> <strong>de</strong><br />
<strong>la</strong> información. Es posible que esta viabilidad este marcada por <strong>la</strong> necesidad <strong>de</strong> inversiones<br />
ante proyecto <strong>de</strong> I+D+i don<strong>de</strong> <strong>la</strong> seguridad supone un c<strong>la</strong>ro reto para <strong>el</strong> crecimi<strong>en</strong>to<br />
estratégico <strong>de</strong> <strong>la</strong>s organizaciones y <strong>en</strong> g<strong>en</strong>eral <strong>de</strong> <strong>la</strong> Sociedad <strong>de</strong> <strong>la</strong> Información.<br />
Retos como <strong>de</strong>sarrol<strong>la</strong>r mecanismos tecnológicos para servicios Cloud que permitan limitar<br />
<strong>la</strong> exposición <strong>de</strong> datos a través <strong>de</strong> técnicas <strong>de</strong> cifrado transpar<strong>en</strong>tes don<strong>de</strong> <strong>el</strong><br />
cli<strong>en</strong>te t<strong>en</strong>ga <strong>el</strong> control <strong>de</strong> su información, más allá <strong>de</strong> <strong>la</strong>s establecidas <strong>en</strong> transito, nuevos<br />
mecanismos <strong>de</strong> aut<strong>en</strong>ticación más allá <strong>de</strong> los tradicionales o incluso <strong>de</strong>sarrollo <strong>de</strong><br />
herrami<strong>en</strong>tas.<br />
3. ESTÁNDARES DE SEGURIDAD DE LA INFORMACIÓN.<br />
La adopción <strong>de</strong> estándares, bu<strong>en</strong>as prácticas, marcos <strong>de</strong> refer<strong>en</strong>cia y/o normativas reconocidas<br />
<strong>en</strong> <strong>el</strong> ámbito <strong>de</strong> <strong>la</strong> Seguridad <strong>de</strong> <strong>la</strong> Información pue<strong>de</strong> consi<strong>de</strong>rarse como un factor <strong>de</strong>terminante<br />
que favorece e incluso garantiza <strong>el</strong> a<strong>de</strong>cuado cumplimi<strong>en</strong>to <strong>de</strong> lo dispuesto <strong>en</strong> <strong>la</strong><br />
Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos. Exist<strong>en</strong> difer<strong>en</strong>tes y diversos estándares<br />
que, <strong>de</strong> forma total o parcial, establec<strong>en</strong> un a<strong>de</strong>cuado conjunto <strong>de</strong> medidas, protocolos,<br />
96
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
etc. a seguir <strong>en</strong> materia <strong>de</strong> seguridad <strong>de</strong> <strong>la</strong> información. At<strong>en</strong>di<strong>en</strong>do a <strong>la</strong> cantidad y diversidad<br />
<strong>de</strong> publicaciones exist<strong>en</strong>tes hemos creído conv<strong>en</strong>i<strong>en</strong>te c<strong>en</strong>trarnos <strong>en</strong> aqu<strong>el</strong><strong>la</strong>s más repres<strong>en</strong>tativas<br />
y que ti<strong>en</strong><strong>en</strong> un mayor alineami<strong>en</strong>to con <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección<br />
<strong>de</strong> Datos. Esta r<strong>el</strong>ación <strong>de</strong> estándares y bu<strong>en</strong>as prácticas son:<br />
A) ESTÁNDARES ISO (International Organization for Standardization)<br />
Normas internacionales <strong>de</strong> una <strong>en</strong>tidad <strong>de</strong> reconocido prestigio y con un amplio <strong>de</strong>spliegue<br />
a niv<strong>el</strong> internacional. Con r<strong>el</strong>ación a <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong> información <strong>de</strong>stacamos<br />
<strong>la</strong>s sigui<strong>en</strong>tes refer<strong>en</strong>cias:<br />
ISO/IEC 27001:2005 (Information Security Managem<strong>en</strong>t System - Requirem<strong>en</strong>ts)<br />
ISO/IEC 27002:2005 (Co<strong>de</strong> of Practice for Information Security Managem<strong>en</strong>t)<br />
ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation)<br />
ISO/IEC 13335 (IT Security Managem<strong>en</strong>t)<br />
ISO 31000 (Risk managem<strong>en</strong>t — Principles and guid<strong>el</strong>ines)<br />
B) BRITISH STANDARDS INSTITUTION (BSI)<br />
De forma simi<strong>la</strong>r a ISO, BSI es una <strong>en</strong>tidad reconocida internacionalm<strong>en</strong>te que ha <strong>el</strong>aborado<br />
distintos estándares y bu<strong>en</strong>as prácticas r<strong>el</strong>ativas a <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong> información<br />
y aspectos r<strong>el</strong>acionados.<br />
C) PCI DDS - PAYMENT CARD INDUSTRY DATA SECURITY STANDARD<br />
Estándar <strong>de</strong>sarrol<strong>la</strong>da por <strong>la</strong>s principales compañías comercializadoras <strong>de</strong> tarjetas <strong>de</strong><br />
crédito con <strong>el</strong> objetivo <strong>de</strong> mejorar <strong>la</strong> seguridad <strong>de</strong> los datos involucrados <strong>en</strong> <strong>la</strong>s transacciones<br />
financieras a través <strong>de</strong> distintos medios <strong>de</strong> pago.<br />
D) COBIT (ISACA)<br />
CobiT (Control Objectives for Information and r<strong>el</strong>ated Technology) es un marco <strong>de</strong> refer<strong>en</strong>cia<br />
focalizado <strong>en</strong> <strong>el</strong> Gobierno <strong>de</strong> <strong>la</strong>s IT. Está <strong>de</strong>sarrol<strong>la</strong>do por <strong>el</strong> ITGI (IT Governance<br />
Institute) <strong>de</strong> <strong>la</strong> Information Systems Audit and Control Association (ISACA).<br />
E) ITIL (INFORMATION TECHNOLOGY INFRASTRUCTURE LIBRARY)<br />
Marco <strong>de</strong> refer<strong>en</strong>cia <strong>de</strong>sarrol<strong>la</strong>do por <strong>la</strong> OGC (Office of Governm<strong>en</strong>t Commerce) que<br />
<strong>de</strong>scribe un conjunto <strong>de</strong> prácticas recom<strong>en</strong>dadas (best practices) <strong>en</strong> <strong>la</strong> <strong>en</strong>trega <strong>de</strong> los<br />
servicios TI.<br />
F) INFORMATION SECURITY FORUM (ISF)<br />
ISF publica periódicam<strong>en</strong>te un informe o estándar <strong>de</strong> bu<strong>en</strong>as prácticas r<strong>el</strong>ativas a <strong>la</strong><br />
seguridad <strong>de</strong> <strong>la</strong> información.<br />
Adicionalm<strong>en</strong>te a estas refer<strong>en</strong>cias también hay que consi<strong>de</strong>rar <strong>la</strong> significativa cantidad <strong>de</strong><br />
normas, marcos <strong>de</strong> refer<strong>en</strong>cia, etc. exist<strong>en</strong>tes, que <strong>de</strong>ntro <strong>de</strong> un ámbito geográfico concreto<br />
y/o sectorial para una industria <strong>de</strong>terminada (SOX, HIPAA, etc.), complem<strong>en</strong>tan <strong>el</strong> alcance<br />
estos estándares principales. D<strong>el</strong> mismo modo, también exist<strong>en</strong> distintas <strong>en</strong>tida<strong>de</strong>s, organismos,<br />
asociaciones, etc. (NIST, ISSA, ASISonline, ENISA, IETF, ETSI, etc.) <strong>de</strong> toda índole que<br />
a distintos niv<strong>el</strong>es <strong>de</strong>sarrol<strong>la</strong>n estándares <strong>de</strong> seguridad <strong>de</strong> <strong>la</strong> información y/o aspectos afines.<br />
97
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
4. ASPECTOS DE PRIVACIDAD EN ISO/IEC 27001:2013<br />
INTRODUCCIÓN<br />
La Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos pret<strong>en</strong><strong>de</strong> establecer un nuevo<br />
<strong>en</strong>foque global que responda mejor al rápido <strong>de</strong>sarrollo <strong>de</strong> <strong>la</strong>s tecnologías.<br />
Este nuevo <strong>en</strong>foque global incluye una nueva perspectiva <strong>en</strong> lo que se refiere al niv<strong>el</strong><br />
<strong>de</strong> protección <strong>de</strong> los datos personales <strong>en</strong> <strong>el</strong> aspecto tecnológico. Un niv<strong>el</strong> <strong>de</strong> protección<br />
a<strong>de</strong>cuado aplicado <strong>en</strong> <strong>el</strong> almac<strong>en</strong>ami<strong>en</strong>to y tratami<strong>en</strong>to <strong>de</strong> los datos personales ha <strong>de</strong><br />
garantizar <strong>la</strong> disponibilidad, aut<strong>en</strong>ticidad, integridad y confi<strong>de</strong>ncialidad <strong>de</strong> estos.<br />
La norma ISO/IEC 27001:2013, que proporciona un mod<strong>el</strong>o <strong>de</strong> Sistema <strong>de</strong> Gestión <strong>de</strong><br />
<strong>la</strong> Seguridad <strong>de</strong> <strong>la</strong> Información, pue<strong>de</strong> ayudar a establecer los requisitos necesarios<br />
para garantizar <strong>el</strong> niv<strong>el</strong> <strong>de</strong> protección necesario <strong>en</strong> <strong>el</strong> almac<strong>en</strong>ami<strong>en</strong>to y tratami<strong>en</strong>to <strong>de</strong><br />
los datos personales, así como cumplir con los nuevos requerimi<strong>en</strong>tos establecidos <strong>en</strong><br />
<strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos.<br />
DESARROLLO<br />
La norma ISO/IEC 27001:2013 pue<strong>de</strong> servir <strong>de</strong> guía para po<strong>de</strong>r <strong>de</strong>finir e implem<strong>en</strong>tar políticas,<br />
procesos, sistemas y controles <strong>de</strong> seguridad <strong>en</strong> una organización parti<strong>en</strong>do <strong>de</strong><br />
un análisis y tratami<strong>en</strong>to <strong>de</strong> riesgos <strong>de</strong> <strong>la</strong> información, <strong>en</strong> <strong>la</strong> que están incluidos los<br />
datos personales, adaptados a <strong>la</strong>s necesida<strong>de</strong>s <strong>de</strong> <strong>la</strong> organización.<br />
Todas <strong>la</strong>s organizaciones, in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te <strong>de</strong> su tamaño, naturaleza o tipo, pue<strong>de</strong>n<br />
aplicar esta norma para gestionar <strong>la</strong> mayoría <strong>de</strong> requerimi<strong>en</strong>tos <strong>de</strong> seguridad que establece<br />
<strong>la</strong> propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to.<br />
Sigui<strong>en</strong>do <strong>la</strong>s directrices <strong>de</strong> <strong>la</strong> norma ISO/IEC 27001:2013, para po<strong>de</strong>r establecer un<br />
sistema <strong>de</strong> gestión <strong>de</strong> seguridad <strong>de</strong> <strong>la</strong> información <strong>en</strong> una organización es imprescindible<br />
<strong>la</strong> máxima implicación <strong>de</strong> <strong>la</strong> Dirección <strong>de</strong> <strong>la</strong> organización aportando su compromiso<br />
y li<strong>de</strong>razgo <strong>en</strong> <strong>la</strong> implem<strong>en</strong>tación d<strong>el</strong> sistema.<br />
Otro aspecto muy importante es t<strong>en</strong>er un alto conocimi<strong>en</strong>to <strong>de</strong> <strong>la</strong> organización tanto a<br />
niv<strong>el</strong> interno como externo, <strong>en</strong> los aspectos más importantes que puedan ser r<strong>el</strong>evantes<br />
y afect<strong>en</strong> a <strong>la</strong> información.<br />
Una vez s<strong>en</strong>tadas <strong>la</strong>s bases <strong>de</strong>finidas anteriorm<strong>en</strong>te se ha <strong>de</strong> <strong>de</strong>cidir <strong>el</strong> sistema <strong>de</strong> análisis<br />
y gestión d<strong>el</strong> riesgo que se va a utilizar y establecer los criterios a seguir.<br />
Una vez <strong>de</strong>terminados los riesgos se han <strong>de</strong> <strong>de</strong>terminar <strong>la</strong>s medidas para mitigarlos y<br />
es aquí don<strong>de</strong> se pue<strong>de</strong>n aplicar los controles <strong>de</strong>finidos <strong>en</strong> <strong>el</strong> anexo A <strong>de</strong> <strong>la</strong> norma<br />
ISO/IEC 27001:2013 y que se <strong>de</strong>tal<strong>la</strong>n <strong>en</strong> otra norma r<strong>el</strong>acionada: ISO/IEC 27002:2013<br />
Código <strong>de</strong> Bu<strong>en</strong>as prácticas para <strong>la</strong> gestión <strong>de</strong> <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong> información.<br />
La norma ISO/IEC 27001:2013 también <strong>de</strong>fine como establecer los objetivos <strong>de</strong> seguridad,<br />
los recursos y compet<strong>en</strong>cias, <strong>la</strong> p<strong>la</strong>nificación, <strong>el</strong> seguimi<strong>en</strong>to y evaluación, <strong>la</strong> mejora<br />
continua y otros aspectos r<strong>el</strong>acionados con <strong>la</strong> gestión <strong>de</strong> <strong>la</strong> seguridad.<br />
98
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
Los controles y los objetivos <strong>de</strong> control <strong>de</strong> refer<strong>en</strong>cia a aplicar para <strong>la</strong> mitigación <strong>de</strong> los<br />
riesgos <strong>de</strong> seguridad incluy<strong>en</strong> los sigui<strong>en</strong>tes:<br />
• Políticas <strong>de</strong> seguridad.<br />
• Organización <strong>de</strong> <strong>la</strong> información.<br />
• Seguridad <strong>en</strong> recursos humanos.<br />
• Gestión <strong>de</strong> activos <strong>de</strong> información.<br />
• Control <strong>de</strong> accesos.<br />
• Criptografía.<br />
• Seguridad física y ambi<strong>en</strong>tal.<br />
• Seguridad <strong>en</strong> <strong>la</strong>s operaciones.<br />
• Transfer<strong>en</strong>cia <strong>de</strong> información.<br />
• Adquisición <strong>de</strong> sistemas, <strong>de</strong>sarrollo y mant<strong>en</strong>imi<strong>en</strong>to.<br />
• R<strong>el</strong>ación con proveedores.<br />
• Gestión <strong>de</strong> los inci<strong>de</strong>ntes <strong>de</strong> seguridad.<br />
• Continuidad <strong>de</strong> negocio.<br />
• Cumplimi<strong>en</strong>to con requerimi<strong>en</strong>tos legales y contractuales.<br />
El <strong>de</strong>sarrollo <strong>en</strong> <strong>de</strong>talle <strong>de</strong> cómo aplicar estos controles y sus objetivos están <strong>en</strong> <strong>la</strong><br />
norma ISO 27002;2013.<br />
CONCLUSIONES<br />
Las normas ISO/IEC 27001:2013 y ISO/IEC 27002:2013 pue<strong>de</strong>n ayudar a todas <strong>la</strong>s organizaciones<br />
a aplicar los requerimi<strong>en</strong>tos que se establec<strong>en</strong> <strong>en</strong> <strong>la</strong> Propuesta <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
UE <strong>de</strong> Protección <strong>de</strong> Datos para proteger los datos personales así como <strong>el</strong> resto<br />
<strong>de</strong> información que es responsabilidad <strong>de</strong> <strong>la</strong> organización tanto si <strong>la</strong> gestiona <strong>el</strong><strong>la</strong> misma<br />
como si <strong>la</strong> gestiona un tercero.<br />
99
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
BIBLIOGRAFÍA/REFERENCIAS<br />
Dutch data protection authority - Privacy <strong>en</strong>hancing technologies – a white paper for <strong>de</strong>cision<br />
makers (2004)<br />
http://www.dutchdpa.nl/downloads_overig/PET_whitebook.pdfrefer=true&theme=purple<br />
NIST- National Institute of Standars and Technology - SP800-53 Rev.4. Security and Privacy<br />
Controls for Fe<strong>de</strong>ral Information Systems and Organizations (2013)<br />
ENISA - Risk Managem<strong>en</strong>t: Implem<strong>en</strong>tation principles and Inv<strong>en</strong>tories for Risk Managem<strong>en</strong>t/Risk<br />
Assessm<strong>en</strong>t methods and tolos (2006)<br />
Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> Datos / Guía <strong>sobre</strong> <strong>el</strong> uso <strong>de</strong> <strong>la</strong>s cookies (2013).<br />
Diario <strong>de</strong> Sesiones d<strong>el</strong> Congreso <strong>de</strong> los Diputados” / Comparec<strong>en</strong>cia d<strong>el</strong> señor director<br />
<strong>de</strong> <strong>la</strong> Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> Datos (Rodríguez Álvarez), para informar <strong>sobre</strong><br />
<strong>la</strong> memoria <strong>de</strong> <strong>la</strong> Ag<strong>en</strong>cia Españo<strong>la</strong> <strong>de</strong> Protección <strong>de</strong> Datos correspondi<strong>en</strong>te al año 2011.<br />
A petición propia. (Número <strong>de</strong> expedi<strong>en</strong>te 212/000483) (2012).<br />
Article 29 Data Protection Working Party. Working Docum<strong>en</strong>t 02/2013 providing guidance<br />
on obtaining cons<strong>en</strong>t for cookies<br />
https://resili<strong>en</strong>ce.<strong>en</strong>isa.europa.eu/article-13/shortlist-of-networks-and-informationsecurity-standards<br />
https://www.securityforum.org/shop/p-71-167<br />
http://www.infosec.gov.hk/<strong>en</strong>glish/technical/files/overview.pdf<br />
http://www.iso27001security.com/html/others.html<br />
http://www.nisc.go.jp/<strong>en</strong>g/pdf/K304-101e.pdf<br />
ISO/IEC 27001:2013. Sistemas <strong>de</strong> Gestión <strong>de</strong> <strong>la</strong> Seguridad <strong>de</strong> <strong>la</strong> Información.<br />
ISO/IEC 27002:2013. Código <strong>de</strong> bu<strong>en</strong>as prácticas para <strong>la</strong> gestión <strong>de</strong> <strong>la</strong> seguridad <strong>de</strong> <strong>la</strong> información.<br />
100
Cap. 7<br />
Accountability:<br />
cómo <strong>de</strong>mostrar <strong>el</strong><br />
cumplimi<strong>en</strong>to <strong>de</strong><br />
manera connuada<br />
y sost<strong>en</strong>ible
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
102
ABSTRACT<br />
El apartado empieza <strong>de</strong>fini<strong>en</strong>do lo que es Accountability, cómo, cuándo y dón<strong>de</strong> surge y<br />
dón<strong>de</strong> está más ext<strong>en</strong>dida, todo <strong>el</strong>lo <strong>de</strong>ntro <strong>de</strong> un p<strong>la</strong>nteami<strong>en</strong>to formal y g<strong>en</strong>eral. A continuación<br />
pasa al terr<strong>en</strong>o <strong>de</strong> <strong>la</strong> Privacidad y <strong>la</strong> Protección <strong>de</strong> Datos don<strong>de</strong> se com<strong>en</strong>tan sus inicios,<br />
quiénes empezaron, <strong>el</strong> porqué <strong>de</strong> <strong>la</strong> necesidad <strong>de</strong> <strong>la</strong> misma y los tipos exist<strong>en</strong>tes.<br />
Continúa con un resum<strong>en</strong> <strong>de</strong> <strong>la</strong>s pautas que <strong>el</strong> Grupo <strong>de</strong> Trabajo d<strong>el</strong> Artículo 29 (GT29) establece<br />
<strong>en</strong> <strong>el</strong> Dictam<strong>en</strong> 3/2010 <strong>sobre</strong> esta materia.<br />
También, y aunque <strong>el</strong> estudio se realiza <strong>sobre</strong> <strong>el</strong> borrador <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong> <strong>en</strong>ero <strong>de</strong> 2012<br />
emitido por <strong>la</strong> Comisión Europea, se expon<strong>en</strong> <strong>la</strong>s t<strong>en</strong><strong>de</strong>ncias que marca <strong>la</strong> propuesta d<strong>el</strong> Consejo<br />
<strong>de</strong> <strong>la</strong> Unión Europea <strong>de</strong> mayo <strong>de</strong> 2013.<br />
Es importante reseñar lo que establec<strong>en</strong> otras accountabilities para mejor <strong>en</strong>t<strong>en</strong><strong>de</strong>r este concepto,<br />
concretándose <strong>en</strong> <strong>la</strong>s sigui<strong>en</strong>tes:<br />
• Principios <strong>de</strong> accountability para <strong>el</strong> <strong>de</strong>sarrollo sost<strong>en</strong>ible: Norma <strong>de</strong> principios <strong>de</strong> accountability<br />
AA1000APS (2008).<br />
• Stakehol<strong>de</strong>r Engagem<strong>en</strong>t Handbook.<br />
• ISO 26000:2010 - Guía <strong>de</strong> responsabilidad social.<br />
• Global Reporting Initiative (GRI).<br />
• Accountability educacional: posibilida<strong>de</strong>s y <strong>de</strong>safíos para América Latina a partir <strong>de</strong><br />
<strong>la</strong> experi<strong>en</strong>cia internacional (CIDE y PREAL).<br />
Por último, se establec<strong>en</strong> los vectores <strong>de</strong> principios y medidas que servirán para <strong>el</strong> correspondi<strong>en</strong>te<br />
estudio <strong>de</strong> los artículos d<strong>el</strong> borrador <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to que se <strong>en</strong>cu<strong>en</strong>tran <strong>en</strong> <strong>el</strong> ámbito<br />
<strong>de</strong> lo que <strong>en</strong>t<strong>en</strong><strong>de</strong>mos como accountability.<br />
En concreto los sigui<strong>en</strong>tes principios:<br />
1. La obligación <strong>de</strong> <strong>la</strong> organización <strong>de</strong> adoptar políticas internas tomando <strong>en</strong> consi<strong>de</strong>ración<br />
criterios externos, es <strong>de</strong>cir, con los objetivos que marca <strong>la</strong> Ley.<br />
2. Mecanismos que pongan <strong>en</strong> práctica <strong>la</strong>s políticas <strong>de</strong> <strong>privacidad</strong>, incluy<strong>en</strong>do herrami<strong>en</strong>tas,<br />
formación, conci<strong>en</strong>ciación y educación.<br />
3. Sistemas internos que asegur<strong>en</strong> que <strong>la</strong>s herrami<strong>en</strong>tas funcionan, mediante revisiones<br />
y verificaciones o auditorías externas.<br />
4. Transpar<strong>en</strong>cia y mecanismos <strong>de</strong> participación individual.<br />
5. Medios <strong>de</strong> solución y aplicación <strong>de</strong> posibles brechas o inci<strong>de</strong>ntes <strong>de</strong> seguridad.<br />
Y <strong>la</strong>s sigui<strong>en</strong>tes medidas:<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
1. Establecer una política <strong>de</strong> seguridad.<br />
2. Sancionar <strong>el</strong> proyecto <strong>de</strong> accountability al máximo niv<strong>el</strong> <strong>de</strong> <strong>la</strong> organización.<br />
3. Disponer <strong>de</strong> personal <strong>de</strong>dicado a <strong>la</strong> función <strong>de</strong> <strong>la</strong> <strong>privacidad</strong> y que esté formado y especializado<br />
mediante <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> políticas <strong>de</strong> formación y s<strong>en</strong>sibilización.<br />
103
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
4. Revisar periódicam<strong>en</strong>te <strong>la</strong>s políticas y los riesgos.<br />
5. Implem<strong>en</strong>tar mecanismos para gestión <strong>de</strong> inci<strong>de</strong>ntes y rec<strong>la</strong>maciones <strong>de</strong> usuarios.<br />
6. Implem<strong>en</strong>tar mecanismos <strong>de</strong> <strong>en</strong>forcem<strong>en</strong>t interno.<br />
7. Establecer un mecanismo interno <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> quejas.<br />
8. Aplicar procedimi<strong>en</strong>tos <strong>de</strong> verificación y supervisión que garantic<strong>en</strong> que <strong>la</strong>s medidas<br />
no sean solo nominales sino que se apliqu<strong>en</strong> y funcion<strong>en</strong> <strong>en</strong> <strong>la</strong> práctica (auditorías<br />
internas o externas, etc.).<br />
9. Establecer <strong>la</strong> posibilidad <strong>de</strong> <strong>en</strong>forcem<strong>en</strong>t externo.<br />
104
ACCOUNTABILITY<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
DESARROLLO<br />
El término “accountability” pue<strong>de</strong> <strong>de</strong>finirse <strong>de</strong> diversas maneras, una <strong>de</strong> <strong>el</strong><strong>la</strong>s se refiere al<br />
<strong>de</strong>ber <strong>de</strong> informar <strong>de</strong> <strong>la</strong>s políticas y actuaciones <strong>de</strong> una organización, <strong>de</strong> justificar sus actos<br />
y <strong>de</strong> someterse a cualquier tipo <strong>de</strong> control a<strong>de</strong>cuado para verificar <strong>la</strong> consist<strong>en</strong>cia <strong>de</strong> <strong>la</strong> información.<br />
Surge <strong>de</strong> <strong>la</strong> necesidad <strong>de</strong> hacer más transpar<strong>en</strong>tes <strong>la</strong>s acciones y <strong>de</strong>cisiones y <strong>de</strong> dar cu<strong>en</strong>ta<br />
<strong>de</strong> <strong>la</strong>s políticas y <strong>la</strong>s prácticas que realiza <strong>la</strong> m<strong>en</strong>cionada organización <strong>en</strong> todas sus facetas.<br />
Esto hace que también se le dé <strong>la</strong> acepción <strong>de</strong> “r<strong>en</strong>dición <strong>de</strong> cu<strong>en</strong>tas”. Sin embargo, <strong>el</strong> concepto<br />
accountability es más amplio puesto que aña<strong>de</strong> <strong>el</strong> concepto <strong>de</strong> responsabilidad al <strong>de</strong><br />
r<strong>en</strong>dición <strong>de</strong> cu<strong>en</strong>tas. El segundo concepto correspon<strong>de</strong> a una obligación legal, mi<strong>en</strong>tras que<br />
<strong>el</strong> primero conlleva más una obligación moral y prov<strong>en</strong>i<strong>en</strong>te <strong>de</strong> una <strong>de</strong>cisión voluntaria <strong>de</strong> <strong>la</strong><br />
organización.<br />
La accountability es una responsabilidad d<strong>el</strong> órgano <strong>de</strong> gobierno como actuación colegiada,<br />
<strong>el</strong> cual <strong>de</strong>be informar no sólo <strong>sobre</strong> aspectos pragmáticos como <strong>el</strong> <strong>de</strong> <strong>la</strong>s actuaciones realizadas<br />
(gestión), sino también <strong>de</strong> otros aspectos que forman parte <strong>de</strong> <strong>la</strong> política y <strong>la</strong> ética d<strong>el</strong><br />
gobierno y que afectan a su propio modo <strong>de</strong> actuar.<br />
Este concepto aparece <strong>en</strong> los años 60 <strong>en</strong> Estados Unidos y llega a Europa <strong>en</strong> los 70, estando<br />
más ext<strong>en</strong>dida <strong>en</strong> <strong>el</strong> mundo anglosajón.<br />
Después d<strong>el</strong> p<strong>la</strong>nteami<strong>en</strong>to g<strong>en</strong>eral <strong>de</strong> lo que significa accountability y equiparando <strong>la</strong> Organización<br />
o Compañía con <strong>el</strong> Responsable d<strong>el</strong> Tratami<strong>en</strong>to <strong>de</strong> datos <strong>de</strong> <strong>la</strong> Normativa <strong>sobre</strong> Protección<br />
<strong>de</strong> Datos Personales, se llega a lo que este término significa o pue<strong>de</strong> significar <strong>en</strong> <strong>el</strong><br />
terr<strong>en</strong>o <strong>de</strong> <strong>la</strong> Privacidad y <strong>la</strong> Protección <strong>de</strong> datos. En este caso y <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> Unión Europea<br />
se trata <strong>de</strong> lograr <strong>la</strong> aplicación <strong>de</strong> medidas apropiadas y eficaces que garantic<strong>en</strong> <strong>la</strong> observancia<br />
<strong>de</strong> los principios y obligaciones que dispone <strong>la</strong> Directiva 95/46/CE (<strong>en</strong> este mom<strong>en</strong>to), así<br />
como <strong>la</strong> disposición y <strong>de</strong>mostración <strong>de</strong> ese cumplimi<strong>en</strong>to cuando se lo solicitaran <strong>la</strong>s Autorida<strong>de</strong>s<br />
<strong>de</strong> Control. Para <strong>el</strong>lo se ha procedido a su inclusión <strong>en</strong> <strong>la</strong> futura Normativa europea<br />
<strong>de</strong> Protección <strong>de</strong> Datos para tras<strong>la</strong>dar sus principios <strong>de</strong> <strong>la</strong> teoría a <strong>la</strong> práctica.<br />
Para <strong>el</strong>lo, <strong>en</strong> <strong>el</strong> año 2009 nace <strong>el</strong> Proyecto Galway (grupo <strong>de</strong> trabajo internacional cuyos miembros<br />
provi<strong>en</strong><strong>en</strong> d<strong>el</strong> sector público y privado, con <strong>la</strong> función <strong>de</strong> dar una <strong>de</strong>finición <strong>de</strong> <strong>el</strong>em<strong>en</strong>tos<br />
que <strong>de</strong>b<strong>en</strong> <strong>de</strong>finir un proyecto <strong>de</strong> accountability), con <strong>la</strong> i<strong>de</strong>a originaria <strong>de</strong> servir para mejorar<br />
los flujos <strong>de</strong> datos internacionales y mejorar <strong>la</strong> gestión interna <strong>de</strong> protección <strong>de</strong> datos. En este<br />
mismo año se dan los Estándares internacionales <strong>de</strong> Madrid (“Propuesta Conjunta <strong>de</strong> Estándares<br />
Internacionales <strong>de</strong> Protección <strong>de</strong> Datos y Privacidad”), que ti<strong>en</strong><strong>en</strong> otra <strong>de</strong>finición que se<br />
c<strong>en</strong>tra <strong>en</strong> <strong>la</strong> adopción <strong>de</strong> medidas para cumplir <strong>la</strong> norma y para po<strong>de</strong>r <strong>de</strong>mostrar que se cumple.<br />
El proyecto continúa <strong>en</strong> <strong>el</strong> año 2010 <strong>en</strong> París c<strong>en</strong>trándose <strong>en</strong> cómo <strong>el</strong> Regu<strong>la</strong>dor pue<strong>de</strong> realizar<br />
<strong>la</strong>s mediciones y qué parámetros pue<strong>de</strong> una organización obt<strong>en</strong>er para <strong>de</strong>mostrar que cumple.<br />
La tercera fase d<strong>el</strong> proyecto aborda cómo verificar que una organización sea “accountable”,<br />
analizándose los medios <strong>de</strong> verificación y estableciéndose los <strong>el</strong>em<strong>en</strong>tos <strong>de</strong><br />
105
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
comprobación que significan que una organización cumple, no solo <strong>de</strong> lo obligatorio sino <strong>de</strong><br />
una disponibilidad a <strong>de</strong>mostrar que ti<strong>en</strong>e medidas y que éstas funcionan.<br />
También se estudió <strong>la</strong> posibilidad <strong>de</strong> emitir certificaciones, aspecto que no sólo ti<strong>en</strong>e <strong>en</strong><br />
cu<strong>en</strong>ta <strong>el</strong> mínimo <strong>de</strong> medidas legales a respetar sino también su grado <strong>de</strong> cumplimi<strong>en</strong>to e<br />
incluso <strong>el</strong> grado <strong>de</strong> exc<strong>el</strong><strong>en</strong>cia <strong>de</strong> cumplimi<strong>en</strong>to más allá <strong>de</strong> los mínimos legales. En este<br />
s<strong>en</strong>tido, se hab<strong>la</strong>ba <strong>de</strong> dos tipos: g<strong>en</strong>eral (cumplir <strong>la</strong> ley) y voluntaria (algo más que cumplir<br />
<strong>la</strong> ley) lo que pue<strong>de</strong> dar lugar a s<strong>el</strong>los <strong>de</strong> cumplimi<strong>en</strong>to (muy parecido a lo que ahora lo l<strong>la</strong>mamos<br />
autorregu<strong>la</strong>ción).<br />
Por <strong>la</strong> importancia que ti<strong>en</strong>e <strong>en</strong> esta materia <strong>el</strong> Dictam<strong>en</strong> 3/2010 d<strong>el</strong> GT29 convi<strong>en</strong>e resumir <strong>la</strong>s<br />
pautas <strong>de</strong> lo que este grupo <strong>de</strong> trabajo establece <strong>en</strong> cuanto a sus aspectos fundam<strong>en</strong>tales:<br />
I. El GT29 establece lo que consi<strong>de</strong>ra que <strong>de</strong>b<strong>en</strong> ser <strong>la</strong>s bases para, <strong>en</strong> <strong>la</strong> futura modificación<br />
<strong>de</strong> <strong>la</strong> Normativa europea <strong>sobre</strong> Protección <strong>de</strong> Datos, establecer <strong>el</strong> l<strong>la</strong>mado principio<br />
<strong>de</strong> responsabilidad o “accountability”.<br />
El reconocimi<strong>en</strong>to expreso d<strong>el</strong> principio <strong>de</strong> responsabilidad figura <strong>en</strong> <strong>la</strong>s Directrices <strong>sobre</strong><br />
Privacidad adoptadas <strong>en</strong> 1980 por <strong>la</strong> OCDE. Reci<strong>en</strong>tem<strong>en</strong>te fue incluido <strong>en</strong> los Estándares<br />
internacionales <strong>de</strong> Madrid, <strong>de</strong>sarrol<strong>la</strong>das por <strong>la</strong> Confer<strong>en</strong>cia Internacional <strong>de</strong> Autorida<strong>de</strong>s<br />
<strong>de</strong> Protección <strong>de</strong> Datos <strong>en</strong> 2009. También ha quedado incorporado a <strong>la</strong> propuesta <strong>de</strong><br />
norma más reci<strong>en</strong>te <strong>de</strong> ISO 29100 y es uno <strong>de</strong> los conceptos principales d<strong>el</strong> Marco <strong>de</strong> <strong>privacidad</strong><br />
<strong>de</strong> CEAP y <strong>de</strong> sus normas <strong>de</strong> <strong>privacidad</strong> transfronteriza. Asimismo se alu<strong>de</strong> a <strong>la</strong><br />
responsabilidad <strong>en</strong> los principios <strong>de</strong> información leal <strong>de</strong> Canadá incluidos <strong>en</strong> su Ley <strong>de</strong> Protección<br />
<strong>de</strong> <strong>la</strong> Información Personal y <strong>de</strong> Docum<strong>en</strong>tos <strong>el</strong>ectrónicos. Por último, <strong>la</strong>s Normas<br />
Corporativas Vincu<strong>la</strong>ntes (Binding Corporate Rules o BCRs) que se utilizan <strong>en</strong> <strong>el</strong> contexto<br />
<strong>de</strong> <strong>la</strong>s transfer<strong>en</strong>cias <strong>de</strong> datos internacionales reflejan <strong>el</strong> principio <strong>de</strong> responsabilidad.<br />
II. El GT29 parte <strong>de</strong> <strong>la</strong> base <strong>de</strong> que, para respetar a<strong>de</strong>cuadam<strong>en</strong>te <strong>la</strong> protección <strong>de</strong> datos<br />
<strong>de</strong>ntro <strong>de</strong> una organización, es necesario que forme parte <strong>de</strong> los valores comprometidos<br />
y <strong>la</strong>s prácticas <strong>de</strong> ésta. Ya <strong>en</strong> su docum<strong>en</strong>to <strong>sobre</strong> “El Futuro <strong>de</strong> <strong>la</strong> Privacidad” (WP 168),<br />
manifestaba que <strong>el</strong> vig<strong>en</strong>te marco jurídico se había mostrado insufici<strong>en</strong>te para garantizar<br />
que los requisitos <strong>de</strong> protección <strong>de</strong> datos se tradujeran <strong>en</strong> mecanismos eficaces que<br />
aportaran una auténtica protección y, por tanto, que era necesario que se incluyera un<br />
principio <strong>de</strong> responsabilidad <strong>en</strong> <strong>la</strong> revisión <strong>de</strong> <strong>la</strong> Directiva 95/46. No obstante, hay que<br />
t<strong>en</strong>er <strong>en</strong> cu<strong>en</strong>ta que una disposición <strong>sobre</strong> responsabilidad <strong>en</strong> realidad no repres<strong>en</strong>ta una<br />
gran novedad, puesto que no impone requisitos que no estuvieran ya implícitos <strong>en</strong> <strong>la</strong> legis<strong>la</strong>ción<br />
vig<strong>en</strong>te.<br />
El principio <strong>de</strong> responsabilidad requiere que los responsables <strong>de</strong> tratami<strong>en</strong>tos <strong>de</strong> datos<br />
apliqu<strong>en</strong> medidas a<strong>de</strong>cuadas y eficaces para poner <strong>en</strong> práctica los principios y obligaciones<br />
<strong>de</strong> <strong>la</strong> Directiva y a<strong>de</strong>más <strong>de</strong>mostrar este extremo cuando se les solicitara.<br />
Pero <strong>la</strong> propuesta <strong>de</strong>be aportar seguridad jurídica, a <strong>la</strong> vez <strong>de</strong> estar formu<strong>la</strong>da <strong>en</strong> términos<br />
sufici<strong>en</strong>tem<strong>en</strong>te amplios como para que aqu<strong>el</strong><strong>la</strong> sea modu<strong>la</strong>ble.<br />
III. El término “accountability” no es fácil <strong>de</strong> traducir fuera d<strong>el</strong> mundo anglosajón, <strong>de</strong> don<strong>de</strong><br />
provi<strong>en</strong>e, y apunta <strong>sobre</strong> todo al modo <strong>en</strong> que se ejerc<strong>en</strong> <strong>la</strong>s compet<strong>en</strong>cias y al modo <strong>en</strong><br />
106
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
que esto pue<strong>de</strong> comprobarse. Sólo cuando <strong>la</strong> responsabilidad funciona <strong>en</strong> <strong>la</strong> práctica<br />
pue<strong>de</strong> <strong>de</strong>sarrol<strong>la</strong>rse <strong>la</strong> confianza sufici<strong>en</strong>te.<br />
Como complem<strong>en</strong>to al principio <strong>de</strong> responsabilidad se pue<strong>de</strong>n diseñar requisitos particu<strong>la</strong>res,<br />
como <strong>la</strong> obligación <strong>de</strong> realizar evaluaciones <strong>de</strong> impacto <strong>sobre</strong> <strong>la</strong> <strong>privacidad</strong> o <strong>el</strong> nombrami<strong>en</strong>to<br />
<strong>de</strong> responsables <strong>de</strong> protección <strong>de</strong> datos.<br />
IV. La “arquitectura jurídica” <strong>de</strong> los mecanismos <strong>de</strong> responsabilidad p<strong>la</strong>ntearía dos niv<strong>el</strong>es:<br />
1. Un requisito reg<strong>la</strong>m<strong>en</strong>tario básico para todos los Responsables d<strong>el</strong> Tratami<strong>en</strong>to, con<br />
dos <strong>el</strong>em<strong>en</strong>tos:<br />
a. La aplicación <strong>de</strong> medidas/procedimi<strong>en</strong>tos.<br />
b. El mant<strong>en</strong>imi<strong>en</strong>to <strong>de</strong> pruebas <strong>de</strong> dicho extremo.<br />
2. Sistemas discrecionales <strong>de</strong> responsabilidad que superaran los requisitos jurídicos mínimos<br />
<strong>de</strong> los principios subyac<strong>en</strong>tes <strong>de</strong> protección <strong>de</strong> datos y <strong>la</strong>s modalida<strong>de</strong>s <strong>de</strong> aplicación<br />
o <strong>de</strong> garantía <strong>de</strong> <strong>la</strong> eficacia <strong>de</strong> <strong>la</strong>s mismas.<br />
V. Una propuesta concreta d<strong>el</strong> principio <strong>de</strong> responsabilidad, para <strong>el</strong> GT29, <strong>de</strong>bería fom<strong>en</strong>tar<br />
<strong>la</strong> adopción <strong>de</strong> medidas concretas y prácticas, convirti<strong>en</strong>do los principios g<strong>en</strong>erales <strong>de</strong><br />
protección <strong>de</strong> datos <strong>en</strong> estrategias y procedimi<strong>en</strong>tos concretos <strong>de</strong>finidos al niv<strong>el</strong> d<strong>el</strong> Responsable<br />
d<strong>el</strong> Tratami<strong>en</strong>to <strong>de</strong> datos <strong>en</strong> cumplimi<strong>en</strong>to <strong>de</strong> <strong>la</strong>s leyes y reg<strong>la</strong>m<strong>en</strong>tos aplicables.<br />
El tipo <strong>de</strong> medidas no se especificaría <strong>en</strong> <strong>el</strong> texto <strong>de</strong> <strong>la</strong> disposición g<strong>en</strong>eral <strong>sobre</strong> responsabilidad.<br />
Posteriorm<strong>en</strong>te, <strong>la</strong>s ori<strong>en</strong>taciones que dieran <strong>la</strong>s Autorida<strong>de</strong>s nacionales <strong>de</strong> Protección<br />
<strong>de</strong> Datos, <strong>el</strong> GT29 o <strong>la</strong> Comisión podrían especificar <strong>el</strong> mínimo <strong>de</strong> medidas<br />
específicas que constituyeran medidas a<strong>de</strong>cuadas.<br />
Para <strong>la</strong> aplicación eficaz <strong>de</strong> dichas medidas sería necesario atribuir compet<strong>en</strong>cias y formar<br />
al personal implicado <strong>en</strong> <strong>la</strong>s operaciones <strong>de</strong> tratami<strong>en</strong>to, <strong>de</strong>signando a<strong>de</strong>más responsables<br />
<strong>de</strong> protección <strong>de</strong> datos. Cuando <strong>el</strong> tratami<strong>en</strong>to sea más amplio o complejo o <strong>de</strong> alto<br />
riesgo, <strong>la</strong> eficacia <strong>de</strong> <strong>la</strong>s medidas adoptadas <strong>de</strong>berá verificarse periódicam<strong>en</strong>te, mediante<br />
seguimi<strong>en</strong>tos o auditorías externas o internas.<br />
A pesar <strong>de</strong> <strong>el</strong>lo, no <strong>de</strong>be olvidarse que <strong>la</strong> observancia d<strong>el</strong> principio <strong>de</strong> responsabilidad no<br />
implica necesariam<strong>en</strong>te que <strong>el</strong> responsable d<strong>el</strong> tratami<strong>en</strong>to cump<strong>la</strong> los principios materiales<br />
<strong>de</strong> <strong>la</strong> Directiva, es <strong>de</strong>cir, no ofrece presunción jurídica <strong>de</strong> cumplimi<strong>en</strong>to ni sustituye<br />
a ninguno <strong>de</strong> dichos principios.<br />
Algunas medidas comunes <strong>de</strong> responsabilidad, según <strong>el</strong> GT29, podrían ser:<br />
• Establecimi<strong>en</strong>to <strong>de</strong> procedimi<strong>en</strong>tos internos previos a <strong>la</strong> creación <strong>de</strong> nuevas operaciones<br />
<strong>de</strong> tratami<strong>en</strong>tos <strong>de</strong> datos.<br />
• Establecimi<strong>en</strong>to <strong>de</strong> políticas escritas y vincu<strong>la</strong>ntes <strong>de</strong> protección <strong>de</strong> datos que se t<strong>en</strong>gan<br />
<strong>en</strong> cu<strong>en</strong>ta y se valor<strong>en</strong> <strong>en</strong> nuevas operaciones <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos.<br />
• Cartografía <strong>de</strong> procedimi<strong>en</strong>tos que garantic<strong>en</strong> <strong>la</strong> i<strong>de</strong>ntificación correcta <strong>de</strong> todas <strong>la</strong>s<br />
operaciones <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos y <strong>el</strong> mant<strong>en</strong>imi<strong>en</strong>to <strong>de</strong> operaciones <strong>de</strong> tratami<strong>en</strong>to<br />
<strong>de</strong> datos.<br />
107
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
• Nombrami<strong>en</strong>to <strong>de</strong> un responsable <strong>de</strong> protección <strong>de</strong> datos y otras personas responsables.<br />
• Formación a los miembros d<strong>el</strong> personal.<br />
• Establecimi<strong>en</strong>to <strong>de</strong> procedimi<strong>en</strong>tos <strong>de</strong> gestión d<strong>el</strong> acceso y <strong>de</strong> <strong>la</strong>s <strong>de</strong>mandas <strong>de</strong> corrección<br />
y <strong>el</strong>iminación <strong>de</strong> datos con transpar<strong>en</strong>cia para <strong>la</strong>s personas interesadas.<br />
• Establecimi<strong>en</strong>to <strong>de</strong> un mecanismo interno <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> quejas.<br />
• Establecimi<strong>en</strong>to <strong>de</strong> procedimi<strong>en</strong>tos internos eficaces <strong>de</strong> gestión y notificación <strong>de</strong> fallos<br />
<strong>de</strong> seguridad.<br />
• Realización <strong>de</strong> evaluaciones <strong>de</strong> impacto <strong>sobre</strong> <strong>la</strong> <strong>privacidad</strong> <strong>en</strong> circunstancias específicas.<br />
• Aplicación y supervisión <strong>de</strong> procedimi<strong>en</strong>tos <strong>de</strong> verificación que garantic<strong>en</strong> que <strong>la</strong>s medidas<br />
no sean solo nominales, sino que se apliqu<strong>en</strong> y funcion<strong>en</strong> <strong>en</strong> <strong>la</strong> práctica (auditorías<br />
internas o externas, etc.).<br />
VI. Estas medidas han <strong>de</strong> ser modu<strong>la</strong>res, puesto que un <strong>en</strong>foque <strong>de</strong> “tal<strong>la</strong> única” tan sólo forzaría<br />
a los Responsables d<strong>el</strong> Tratami<strong>en</strong>to a embutirse <strong>en</strong> estructuras mal adaptadas y acabaría<br />
fracasando. La modu<strong>la</strong>ción estaría <strong>en</strong> función <strong>de</strong> los riesgos y <strong>la</strong> naturaleza <strong>de</strong> los<br />
datos, <strong>el</strong> tamaño <strong>de</strong> <strong>la</strong>s operaciones, los objetivos <strong>de</strong>c<strong>la</strong>rados d<strong>el</strong> tratami<strong>en</strong>to, <strong>la</strong>s transfer<strong>en</strong>cias<br />
<strong>de</strong> datos previstas y <strong>el</strong> tipo <strong>de</strong> datos tratados, <strong>de</strong> modo principal.<br />
Para evitar que una excesiva flexibilidad pueda abocar a <strong>la</strong> incertidumbre, se aconseja que<br />
<strong>la</strong> Comisión o <strong>el</strong> propio GT29 establezcan directrices <strong>de</strong> armonización para aportar mayor<br />
seguridad. También sería útil <strong>de</strong>sarrol<strong>la</strong>r un programa <strong>de</strong> cumplimi<strong>en</strong>to <strong>de</strong> datos tipo, con<br />
se hizo con <strong>la</strong>s BCRs.<br />
VII. El pap<strong>el</strong> <strong>de</strong> <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Protección <strong>de</strong> Datos <strong>en</strong> este contexto no queda r<strong>el</strong>egado,<br />
ni hurtado <strong>de</strong> compet<strong>en</strong>cias, sino que <strong>la</strong>s b<strong>en</strong>eficiará, puesto que t<strong>en</strong>drán <strong>la</strong> compet<strong>en</strong>cia<br />
<strong>de</strong> recabar d<strong>el</strong> Responsable d<strong>el</strong> Tratami<strong>en</strong>to pruebas <strong>de</strong> cumplimi<strong>en</strong>to d<strong>el</strong> principio <strong>de</strong><br />
responsabilidad. Si <strong>la</strong> información que solicite <strong>la</strong> autoridad no se proporciona, esta t<strong>en</strong>drá<br />
causa directa <strong>de</strong> actuación contra los Responsables d<strong>el</strong> Tratami<strong>en</strong>to, in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>tem<strong>en</strong>te<br />
<strong>de</strong> <strong>la</strong> supuesta vio<strong>la</strong>ción <strong>de</strong> otros principios. Por tanto, <strong>la</strong> actividad <strong>de</strong> <strong>la</strong>s autorida<strong>de</strong>s se<br />
c<strong>en</strong>trará más <strong>en</strong> su función “ex post” que <strong>en</strong> su función “ex ante”.<br />
Si un responsable d<strong>el</strong> tratami<strong>en</strong>to no respeta sus compromisos <strong>en</strong> políticas internas vincu<strong>la</strong>ntes<br />
podrá ser sancionado, a mayores <strong>de</strong> <strong>la</strong> vio<strong>la</strong>ción concreta <strong>de</strong> los principios materiales<br />
<strong>de</strong> protección <strong>de</strong> datos.<br />
Por último, <strong>la</strong>s Autorida<strong>de</strong>s <strong>de</strong> Protección <strong>de</strong> Datos también podrán t<strong>en</strong>er un pap<strong>el</strong> c<strong>la</strong>ve<br />
<strong>en</strong> <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> normas <strong>de</strong> certificación y <strong>de</strong>sempeñar un pap<strong>el</strong> <strong>en</strong> <strong>la</strong> certificación <strong>de</strong><br />
los organismos <strong>de</strong> certificación.<br />
Aunque este apartado se <strong>de</strong>sarrol<strong>la</strong> fundam<strong>en</strong>talm<strong>en</strong>te <strong>sobre</strong> <strong>el</strong> borrador <strong>de</strong> Reg<strong>la</strong>m<strong>en</strong>to<br />
<strong>de</strong> <strong>la</strong> Comisión europea <strong>de</strong> <strong>en</strong>ero 2012, convi<strong>en</strong>e mostrar <strong>la</strong>s modificaciones propuestas<br />
por <strong>el</strong> Consejo <strong>de</strong> <strong>la</strong> Unión Europea mayo <strong>de</strong> 2013:<br />
108
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
• Este trabajo no ha sido acordado por todas <strong>la</strong>s D<strong>el</strong>egaciones y está p<strong>en</strong>di<strong>en</strong>te <strong>de</strong> ser<br />
revisado por <strong>la</strong>s d<strong>el</strong>egaciones <strong>de</strong> Chequia, Hungría, Ho<strong>la</strong>nda, Polonia y Reino Unido.<br />
• En este docum<strong>en</strong>to hay D<strong>el</strong>egaciones que consi<strong>de</strong>ran que <strong>la</strong> forma jurídica escogida no<br />
es <strong>la</strong> a<strong>de</strong>cuada, sino que preferirían una directiva.<br />
• A lo <strong>la</strong>rgo <strong>de</strong> este último mandato, <strong>de</strong> Presi<strong>de</strong>ncia ir<strong>la</strong>n<strong>de</strong>sa, ha habido int<strong>en</strong>sos <strong>de</strong>bates<br />
d<strong>el</strong> Capítulo IV (Obligaciones d<strong>el</strong> Responsable y d<strong>el</strong> Encargado), concretam<strong>en</strong>te <strong>el</strong> artículo<br />
22 (Obligaciones d<strong>el</strong> Responsable d<strong>el</strong> Tratami<strong>en</strong>to).<br />
• Se le ha dado una nueva redacción con una “cláusu<strong>la</strong> horizontal”, basada <strong>en</strong> <strong>el</strong> riesgo.<br />
Esto significa que <strong>la</strong> naturaleza, contexto, alcance y objetivos <strong>de</strong> <strong>la</strong>s activida<strong>de</strong>s <strong>de</strong> tratami<strong>en</strong>to<br />
y los riegos que surg<strong>en</strong> por los <strong>de</strong>rechos y liberta<strong>de</strong>s <strong>de</strong> los interesados se<br />
t<strong>en</strong>drán <strong>en</strong> cu<strong>en</strong>ta para <strong>de</strong>terminar <strong>la</strong>s medidas apropiadas que han <strong>de</strong> adoptar <strong>el</strong> Responsable<br />
<strong>de</strong> acuerdo con <strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to.<br />
• D<strong>en</strong>tro d<strong>el</strong> <strong>en</strong>foque basado <strong>en</strong> <strong>el</strong> riesgo, se han ajustado <strong>la</strong>s obligaciones <strong>de</strong> notificación<br />
<strong>de</strong> <strong>la</strong>s vio<strong>la</strong>ciones <strong>de</strong> datos.<br />
• Se han perfeccionado los criterios para distinguir los difer<strong>en</strong>tes tipos <strong>de</strong> riesgo que puedan<br />
dar lugar a difer<strong>en</strong>tes tipos <strong>de</strong> obligaciones <strong>de</strong> los Responsables y Encargados.<br />
• Se está <strong>de</strong>sarrol<strong>la</strong>ndo <strong>la</strong> aplicación <strong>de</strong> forma voluntaria <strong>de</strong> los códigos <strong>de</strong> conducta y los<br />
mecanismos <strong>de</strong> certificación por parte <strong>de</strong> los Responsables y Encargados, como medio<br />
para <strong>de</strong>mostrar <strong>el</strong> cumplimi<strong>en</strong>to d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to. En <strong>el</strong> curso <strong>de</strong> los <strong>de</strong>bates <strong>sobre</strong> <strong>el</strong><br />
Capítulo IV, se han perfeccionado los criterios para distinguir los difer<strong>en</strong>tes tipos <strong>de</strong><br />
riesgo que puedan dar lugar a difer<strong>en</strong>tes tipos <strong>de</strong> obligaciones <strong>de</strong> los Responsables y<br />
Encargados.<br />
OTRAS ACCOUNTABILITY<br />
Con objeto <strong>de</strong> dar una mayor visibilidad <strong>de</strong> lo que repres<strong>en</strong>ta <strong>el</strong> concepto objeto <strong>de</strong> este apartado<br />
d<strong>el</strong> Estudio <strong>en</strong> otros sectores, parece a<strong>de</strong>cuado mostrar otras accountabilities:<br />
PRINCIPIOS DE ACCOUNTABILITY PARA EL DESARROLLO SOSTENIBLE:<br />
NORMA DE PRINCIPIOS DE ACCOUNTABILITY AA1000APS (2008)<br />
Define Accountability como “<strong>el</strong> reconocimi<strong>en</strong>to, asunción <strong>de</strong> responsabilidad y actitud transpar<strong>en</strong>te<br />
<strong>sobre</strong> los impactos <strong>de</strong> <strong>la</strong>s políticas, <strong>de</strong>cisiones, acciones, productos y <strong>de</strong>sempeño<br />
asociado a una organización”. La norma pret<strong>en</strong><strong>de</strong> ayudar a <strong>la</strong>s organizaciones que <strong>de</strong>sarrol<strong>la</strong>n<br />
un <strong>en</strong>foque responsable y estratégico <strong>de</strong> <strong>la</strong> sost<strong>en</strong>ibilidad a <strong>en</strong>t<strong>en</strong><strong>de</strong>r, gestionar y mejorar su<br />
<strong>de</strong>sempeño.<br />
Incluye tres principios básicos Accountability:<br />
1. Inclusividad: Implicación con grupos <strong>de</strong> interés.<br />
2. R<strong>el</strong>evancia: Determinación <strong>de</strong> <strong>la</strong> r<strong>el</strong>evancia e importancia <strong>de</strong> un asunto para <strong>la</strong> organización<br />
y sus grupos <strong>de</strong> interés.<br />
3. Capacidad <strong>de</strong> Respuesta: Respuesta <strong>de</strong> una organización a los asuntos <strong>de</strong> los grupos<br />
<strong>de</strong> interés que afectan su <strong>de</strong>sempeño <strong>en</strong> materia <strong>de</strong> sost<strong>en</strong>ibilidad, si<strong>en</strong>do responsable<br />
ante <strong>el</strong>los.<br />
109
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
STAKEHOLDER ENGAGEMENT HANDBOOK<br />
En este manual se establec<strong>en</strong> una serie <strong>de</strong> bu<strong>en</strong>as prácticas <strong>sobre</strong> <strong>el</strong> compromiso con los<br />
stakehol<strong>de</strong>rs. Esto es lo que <strong>el</strong> Marco <strong>de</strong> <strong>la</strong> Serie AA1000 <strong>de</strong>nomina <strong>el</strong> principio dominante<br />
<strong>de</strong> ‘inclusividad’. Se seña<strong>la</strong> que <strong>la</strong> inclusividad se logra a través <strong>de</strong> <strong>la</strong> adhesión a tres principios<br />
fundam<strong>en</strong>tales:<br />
1. R<strong>el</strong>evancia (“Materiality”): Requiere saber qué temas preocupan y son importantes<br />
para su organización y sus stakehol<strong>de</strong>rs.<br />
2.Exhaustividad (“Complet<strong>en</strong>ess”): Supone <strong>la</strong> compr<strong>en</strong>sión y <strong>la</strong> gestión <strong>de</strong> los impactos<br />
r<strong>el</strong>evantes y <strong>la</strong>s opiniones y necesida<strong>de</strong>s pertin<strong>en</strong>tes <strong>de</strong> los stakehol<strong>de</strong>rs, a<strong>de</strong>más <strong>de</strong><br />
sus percepciones y expectativas.<br />
3.Capacidad <strong>de</strong> respuesta (“Responsiv<strong>en</strong>ess”): Implica respon<strong>de</strong>r a los impactos r<strong>el</strong>evantes<br />
y a <strong>la</strong>s inquietu<strong>de</strong>s <strong>de</strong> los stakehol<strong>de</strong>rs.<br />
ISO 26000:2010 GUÍA DE RESPONSABILIDAD SOCIAL<br />
Esta es una norma internacional que proporciona ori<strong>en</strong>tación a todo tipo <strong>de</strong> organizaciones<br />
<strong>sobre</strong> conceptos, términos y <strong>de</strong>finiciones <strong>en</strong> materia <strong>de</strong> responsabilidad social, <strong>en</strong>tre otros:<br />
• R<strong>en</strong>dición <strong>de</strong> cu<strong>en</strong>tas: Una organización <strong>de</strong>be r<strong>en</strong>dir cu<strong>en</strong>tas por:<br />
− Los impactos <strong>de</strong> sus <strong>de</strong>cisiones y activida<strong>de</strong>s <strong>en</strong> <strong>la</strong> sociedad, <strong>la</strong> economía y medio<br />
ambi<strong>en</strong>te, especialm<strong>en</strong>te <strong>la</strong>s consecu<strong>en</strong>cias negativas significativas.<br />
− Las acciones tomadas para prev<strong>en</strong>ir <strong>la</strong> repetición <strong>de</strong> impactos negativos involuntarios<br />
e imprevistos.<br />
• Transpar<strong>en</strong>cia: Una organización <strong>de</strong>bería ser transpar<strong>en</strong>te <strong>en</strong> sus <strong>de</strong>cisiones y activida<strong>de</strong>s<br />
que impactan <strong>en</strong> <strong>la</strong> sociedad y <strong>el</strong> medio ambi<strong>en</strong>te:<br />
− Rev<strong>el</strong>ar <strong>de</strong> forma c<strong>la</strong>ra, precisa y completa y <strong>en</strong> un grado razonable y sufici<strong>en</strong>te <strong>la</strong> información<br />
<strong>sobre</strong> <strong>la</strong>s políticas, <strong>de</strong>cisiones y activida<strong>de</strong>s <strong>de</strong> <strong>la</strong>s que es responsable, incluy<strong>en</strong>do<br />
sus impactos conocidos y probables.<br />
− Esta información <strong>de</strong>bería estar fácilm<strong>en</strong>te disponible y ser directam<strong>en</strong>te accesible y<br />
<strong>en</strong>t<strong>en</strong>dible para aqu<strong>el</strong>los que se han visto o podrían verse afectados <strong>de</strong> manera significativa.<br />
− Debería ser oportuna y basada <strong>en</strong> hechos.<br />
− Debería pres<strong>en</strong>tarse <strong>de</strong> manera c<strong>la</strong>ra y objetiva, para permitir que <strong>la</strong>s partes interesadas<br />
evalú<strong>en</strong> con exactitud <strong>el</strong> impacto que <strong>la</strong>s <strong>de</strong>cisiones y activida<strong>de</strong>s <strong>de</strong> <strong>la</strong> organización<br />
produc<strong>en</strong> <strong>sobre</strong> sus respectivos intereses.<br />
• Respeto a los intereses <strong>de</strong> <strong>la</strong>s partes interesadas: I<strong>de</strong>ntificación e involucrami<strong>en</strong>to con<br />
<strong>la</strong>s partes interesadas.<br />
GLOBAL REPORTING INITIATIVE (GRI)<br />
La <strong>el</strong>aboración <strong>de</strong> una memoria <strong>de</strong> sost<strong>en</strong>ibilidad compr<strong>en</strong><strong>de</strong> <strong>la</strong> medición, divulgación y r<strong>en</strong>dición<br />
<strong>de</strong> cu<strong>en</strong>tas (accountability) fr<strong>en</strong>te a grupos <strong>de</strong> interés internos y externos <strong>en</strong> r<strong>el</strong>ación<br />
110
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
con <strong>el</strong> <strong>de</strong>sempeño <strong>de</strong> <strong>la</strong> organización con respecto al objetivo d<strong>el</strong> <strong>de</strong>sarrollo sost<strong>en</strong>ible.<br />
ACCOUNTABILITY EDUCACIONAL:<br />
POSIBILIDADES Y DESAFÍOS PARA AMÉRICA LATINA A PARTIR DE LA<br />
EXPERIENCIA INTERNACIONAL (CIDE Y PREAL)<br />
Seña<strong>la</strong> que accountability es <strong>en</strong> parte una r<strong>en</strong>dición a los interesados o involucrados por los<br />
resultado d<strong>el</strong> proceso educativo, lo que a su vez se espera t<strong>en</strong>ga como consecu<strong>en</strong>cia un aum<strong>en</strong>to<br />
<strong>de</strong> los niv<strong>el</strong>es <strong>de</strong> responsabilización <strong>de</strong> cada actor <strong>sobre</strong> tal proceso.<br />
Se i<strong>de</strong>ntificaron 4 condiciones necesarias para un sistema <strong>de</strong> accountability educativa:<br />
1. Estándares: Conocer los resultados esperados <strong>de</strong> <strong>la</strong>s escu<strong>el</strong>as.<br />
2.Información: Es necesario contar con información <strong>sobre</strong> dichos resultados.<br />
3.Consecu<strong>en</strong>cias: Es necesario contar con un sistema objetivo <strong>de</strong> accountability que incluya<br />
consecu<strong>en</strong>cias si <strong>el</strong> <strong>de</strong>sempeño cae por <strong>de</strong>bajo <strong>de</strong> los estándares <strong>de</strong>seados.<br />
4.Autoridad: Las escu<strong>el</strong>as (y <strong>la</strong>s comunida<strong>de</strong>s que estas ati<strong>en</strong><strong>de</strong>n) <strong>de</strong>b<strong>en</strong> contar con autoridad<br />
para efectuar cambios y mejoras.<br />
CONCLUSIONES<br />
Por último y a modo <strong>de</strong> resum<strong>en</strong>, <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> este subapartado quiere proponer una<br />
serie <strong>de</strong> principios y medidas basados <strong>en</strong> difer<strong>en</strong>tes fu<strong>en</strong>tes, que se <strong>en</strong>ti<strong>en</strong><strong>de</strong>n aplicables a<br />
<strong>la</strong> accountability <strong>en</strong> Privacidad y Protección <strong>de</strong> Datos. En concreto, los sigui<strong>en</strong>tes cinco principios<br />
es<strong>en</strong>ciales:<br />
1. Compromiso <strong>de</strong> <strong>la</strong> Organización para <strong>la</strong> “r<strong>en</strong>dición <strong>de</strong> cu<strong>en</strong>tas” así como <strong>la</strong> adopción <strong>de</strong><br />
políticas internas coher<strong>en</strong>tes. Una organización <strong>de</strong>be <strong>de</strong>mostrar su voluntad y capacidad<br />
<strong>de</strong> ser responsable y r<strong>en</strong>dir cu<strong>en</strong>tas por <strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> datos que realice. La política<br />
interna a implem<strong>en</strong>tar <strong>de</strong>be ser acor<strong>de</strong> a criterios externos como son <strong>la</strong>s exig<strong>en</strong>cias legales<br />
o códigos <strong>de</strong> bu<strong>en</strong>as prácticas. Debe proporcionar al individuo un vehículo <strong>de</strong> protección<br />
eficaz <strong>de</strong> su <strong>privacidad</strong>, e implem<strong>en</strong>tar mecanismos <strong>de</strong> supervisión. Todo <strong>el</strong>lo<br />
se <strong>de</strong>be aprobar por <strong>la</strong> organización <strong>en</strong> su más alto niv<strong>el</strong> y, a su vez, aplicarse a todos<br />
los niv<strong>el</strong>es <strong>de</strong> <strong>la</strong> organización.<br />
2.Mecanismos para poner <strong>en</strong> práctica <strong>la</strong> política <strong>de</strong> <strong>privacidad</strong>, incluy<strong>en</strong>do herrami<strong>en</strong>tas<br />
que facilit<strong>en</strong> su conocimi<strong>en</strong>to y cumplimi<strong>en</strong>to, y formación/conci<strong>en</strong>ciación: Se <strong>de</strong>b<strong>en</strong><br />
buscar herrami<strong>en</strong>tas que facilit<strong>en</strong> <strong>la</strong> toma <strong>de</strong> <strong>de</strong>cisiones para <strong>la</strong> protección y uso a<strong>de</strong>cuado<br />
<strong>de</strong> los datos, <strong>la</strong> formación <strong>sobre</strong> <strong>el</strong> uso <strong>de</strong> esas herrami<strong>en</strong>tas y procesos para asegurar<br />
<strong>el</strong> cumplimi<strong>en</strong>to por parte <strong>de</strong> los usuarios <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> <strong>en</strong>tidad.<br />
3.Sistemas <strong>de</strong> supervisión continua a niv<strong>el</strong> interno y estudios <strong>de</strong> control y verificación externa:<br />
Las empresas que recopi<strong>la</strong>n y utilizan <strong>la</strong> información personal <strong>de</strong>b<strong>en</strong> supervisar<br />
y validar si <strong>la</strong>s políticas que se han adoptado y aplicado son eficaces para proteger y asegurar<br />
los datos.<br />
Se <strong>de</strong>b<strong>en</strong> establecer programas para garantizar que los mecanismos se utilizan <strong>de</strong> manera<br />
a<strong>de</strong>cuada por los usuarios <strong>de</strong> los datos personales internos y externos a <strong>la</strong> propia<br />
111
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
<strong>en</strong>tidad.<br />
Se <strong>de</strong>berán realizar auditorías con carácter periódico a través <strong>de</strong> una <strong>en</strong>tidad in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>te<br />
o bi<strong>en</strong> internam<strong>en</strong>te a fin <strong>de</strong> verificar y <strong>de</strong>mostrar que cumple con los requisitos<br />
<strong>de</strong> r<strong>en</strong>dición <strong>de</strong> cu<strong>en</strong>tas. En <strong>el</strong> caso <strong>de</strong> que <strong>la</strong> auditoría se realizase <strong>de</strong> manera interna,<br />
los auditores <strong>de</strong>berán reportar los resultados a una <strong>en</strong>tidad in<strong>de</strong>p<strong>en</strong>di<strong>en</strong>te <strong>de</strong> <strong>la</strong> organización.<br />
4.Transpar<strong>en</strong>cia y mecanismos <strong>de</strong> participación individual: Para facilitar <strong>la</strong> participación individual,<br />
los procedimi<strong>en</strong>tos <strong>de</strong> <strong>la</strong> organización <strong>de</strong>b<strong>en</strong> ser transpar<strong>en</strong>tes. En este apartado<br />
exist<strong>en</strong> dos <strong>el</strong>em<strong>en</strong>tos c<strong>la</strong>ve, como son: <strong>la</strong> articu<strong>la</strong>ción <strong>de</strong> procedimi<strong>en</strong>tos <strong>de</strong><br />
información <strong>de</strong>ntro <strong>la</strong> organización, y <strong>la</strong> publicación <strong>de</strong> un aviso <strong>de</strong> <strong>privacidad</strong>. Las <strong>en</strong>tida<strong>de</strong>s<br />
responsables pue<strong>de</strong>n promover <strong>la</strong> transpar<strong>en</strong>cia a través <strong>de</strong> avisos <strong>de</strong> <strong>privacidad</strong>,<br />
iconos, ví<strong>de</strong>os u otros mecanismos.<br />
5.Medios para <strong>la</strong> reparación d<strong>el</strong> daño causado: La organización <strong>de</strong>be establecer <strong>en</strong> su política<br />
<strong>de</strong> <strong>privacidad</strong> medios para reparar <strong>el</strong> daño que se pueda causar a <strong>la</strong>s personas <strong>en</strong><br />
<strong>el</strong> tratami<strong>en</strong>to <strong>de</strong> sus datos personales por <strong>el</strong> fracaso <strong>de</strong> <strong>la</strong>s políticas y prácticas internas.<br />
Se <strong>de</strong>be i<strong>de</strong>ntificar a una persona <strong>de</strong>ntro <strong>de</strong> <strong>la</strong> organización que asuma <strong>la</strong> función<br />
<strong>de</strong> ser <strong>el</strong> primer punto <strong>de</strong> contacto para <strong>la</strong> resolución <strong>de</strong> controversias y establecer un<br />
procedimi<strong>en</strong>to <strong>en</strong> virtud d<strong>el</strong> cual <strong>la</strong>s quejas sean revisadas y tratadas. También se podría<br />
externalizar este servicio para at<strong>en</strong><strong>de</strong>r y resolver <strong>la</strong>s quejas <strong>de</strong> los usuarios.<br />
Tales principio se concretarían <strong>en</strong> <strong>la</strong>s sigui<strong>en</strong>tes medidas:<br />
1. Establecer una política <strong>de</strong> seguridad: Establecimi<strong>en</strong>to <strong>de</strong> políticas escritas y vincu<strong>la</strong>ntes<br />
<strong>de</strong> protección <strong>de</strong> datos que se t<strong>en</strong>gan <strong>en</strong> cu<strong>en</strong>ta y se valor<strong>en</strong> <strong>en</strong> nuevas operaciones<br />
<strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos (p.e., cumplimi<strong>en</strong>to <strong>de</strong> los criterios <strong>de</strong> calidad <strong>de</strong> datos, notificación,<br />
principios <strong>de</strong> seguridad, acceso, etc.) que <strong>de</strong>b<strong>en</strong> ponerse a disposición <strong>de</strong> <strong>la</strong>s<br />
personas interesadas.<br />
2.Sancionar <strong>el</strong> proyecto <strong>de</strong> accountability al máximo niv<strong>el</strong> <strong>de</strong> <strong>la</strong> organización.<br />
3.Disponer <strong>de</strong> personal <strong>de</strong>dicado a <strong>la</strong> función <strong>de</strong> <strong>la</strong> Privacidad y que esté formado y especializado<br />
mediante <strong>el</strong> <strong>de</strong>sarrollo <strong>de</strong> políticas <strong>de</strong> formación y s<strong>en</strong>sibilización:<br />
a. Nombrami<strong>en</strong>to <strong>de</strong> un Responsable <strong>de</strong> Protección <strong>de</strong> Datos y otras personas responsables<br />
<strong>de</strong> <strong>la</strong> protección <strong>de</strong> datos,<br />
b.Oferta a<strong>de</strong>cuada <strong>de</strong> protección <strong>de</strong> datos y formación a los miembros d<strong>el</strong> personal;<br />
esto <strong>de</strong>be incluir a los procesadores (o responsables d<strong>el</strong> proceso) <strong>de</strong> datos personales<br />
(como los directores <strong>de</strong> recursos humanos), pero también a los administradores <strong>de</strong><br />
tecnologías <strong>de</strong> <strong>la</strong> información, directores <strong>de</strong> unida<strong>de</strong>s comerciales, etc.,<br />
c. Deb<strong>en</strong> asignarse recursos sufici<strong>en</strong>tes para <strong>la</strong> gestión <strong>de</strong> <strong>la</strong> <strong>privacidad</strong>.<br />
4.Revisar periódicam<strong>en</strong>te <strong>la</strong>s políticas y los riesgos.<br />
5.Implem<strong>en</strong>tar mecanismos para gestión <strong>de</strong> inci<strong>de</strong>ntes y rec<strong>la</strong>maciones <strong>de</strong> usuarios, para<br />
<strong>la</strong> gestión d<strong>el</strong> acceso y <strong>de</strong> <strong>la</strong>s <strong>de</strong>mandas <strong>de</strong> corrección y <strong>el</strong>iminación <strong>de</strong> datos, con<br />
transpar<strong>en</strong>cia para <strong>la</strong>s personas interesadas.<br />
112
6.Implem<strong>en</strong>tar mecanismos <strong>de</strong> <strong>en</strong>forcem<strong>en</strong>t interno:<br />
a. Establecimi<strong>en</strong>to <strong>de</strong> procedimi<strong>en</strong>tos internos previos a <strong>la</strong> creación <strong>de</strong> nuevas operaciones<br />
<strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos personales (revisión interna, evaluación, etc.),<br />
b. Cartografía <strong>de</strong> procedimi<strong>en</strong>tos que garantic<strong>en</strong> <strong>la</strong> i<strong>de</strong>ntificación correcta <strong>de</strong> todas <strong>la</strong>s<br />
operaciones <strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos y <strong>el</strong> mant<strong>en</strong>imi<strong>en</strong>to <strong>de</strong> un inv<strong>en</strong>tario <strong>de</strong> operaciones<br />
<strong>de</strong> tratami<strong>en</strong>to <strong>de</strong> datos,<br />
c. Establecimi<strong>en</strong>to <strong>de</strong> procedimi<strong>en</strong>tos internos <strong>de</strong> gestión y notificación eficaces <strong>de</strong><br />
fallos <strong>de</strong> seguridad,<br />
d. Realización <strong>de</strong> evaluaciones <strong>de</strong> impacto <strong>sobre</strong> <strong>la</strong> <strong>privacidad</strong> <strong>en</strong> circunstancias específicas.<br />
7. Aplicar procedimi<strong>en</strong>tos <strong>de</strong> verificación y supervisión que garantic<strong>en</strong> que <strong>la</strong>s medidas no<br />
sean solo nominales, sino que se apliqu<strong>en</strong> y funcion<strong>en</strong> <strong>en</strong> <strong>la</strong> práctica (auditorías internas<br />
o externas, etc.).<br />
8.Establecer <strong>la</strong> posibilidad <strong>de</strong> <strong>en</strong>forcem<strong>en</strong>t externo.<br />
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
113
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
ARTÍCULOS<br />
ARTÍCULOS DEL REGLAMENTO DE LA UE,<br />
RELACIONADOS CON LOS PRINCIPIOS BÁSICOS DE ACCOUNTABILITY A APLICAR<br />
5.F X<br />
PRINCIPIO 1 PRINCIPIO 2 PRINCIPIO 3 PRINCIPIO 4 PRINCIPIO 5<br />
11.1 X<br />
12 X X<br />
17.7 X X<br />
22.1 X X<br />
22.2 A) C) Y E) X X X<br />
23.1 X X<br />
23.2 X X<br />
29.1 X<br />
29.2 X<br />
30.1 X<br />
30.2 X<br />
31.1 X X<br />
31.4 X X<br />
32.1 X<br />
33.1 X X<br />
34.6 X X<br />
35.1 X<br />
36.1<br />
37.1 X<br />
38.1 X X<br />
39.1 X X<br />
42.2 A) B) C) Y D) X<br />
*Los preceptos d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong> <strong>la</strong> UE seña<strong>la</strong>dos <strong>en</strong> rojo, son aqu<strong>el</strong>los directam<strong>en</strong>te<br />
r<strong>el</strong>acionados con Accountability.<br />
114
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
ARTÍCULOS DEL REGLAMENTO DE LA UE, RELACIONADOS CON LAS MEDIDAS A APLICAR<br />
ARTÍCULO<br />
5.F X<br />
MEDIDA 1 MEDIDA 2 MEDIDA3 MEDIDA 4 MEDIDA 5 MEDIDA 6 MEDIDA 7 MEDIDA 8 MEDIDA 9<br />
11.1 X X X<br />
12 X X X<br />
17.7 X<br />
22.1 X X<br />
22.2 A) C) Y E) X X X<br />
23.1 X X<br />
23.2 X X<br />
29.1 X X<br />
29.2 X X<br />
30.1 X<br />
30.2 X<br />
31.1 X X X X<br />
31.4 X X X<br />
32.1 X X<br />
33.1 X X<br />
34.6 X X X<br />
35.1 X<br />
36.1<br />
37.1 X X X X X X X X X<br />
38.1 X X X X X<br />
39.1 X X<br />
42.2 A) B) C) Y D) X X<br />
*Los preceptos d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to <strong>de</strong> <strong>la</strong> UE seña<strong>la</strong>dos <strong>en</strong> rojo, son aqu<strong>el</strong>los directam<strong>en</strong>te<br />
r<strong>el</strong>acionados con Accountability.<br />
115
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
RELACIÓN ENTRE LOS PRINCIPIOS BÁSICOS Y LAS MEDIDAS A APLICAR EN ACCOUNTABILITY<br />
PRINCIPIOS<br />
MEDIDAS<br />
PRIMERA SEGUNDA TERCERA CUARTA QUINTA SEXTA SÉPTIMA OCTAVA NOVENA<br />
PRIMERO X X X X X X X<br />
SEGUNDO X X X X X X<br />
TERCERO X X X X X X X<br />
CUARTO X X X X X X<br />
QUINTO X X X<br />
116
II Estudio d<strong>el</strong> Reg<strong>la</strong>m<strong>en</strong>to UE <strong>de</strong> Protección <strong>de</strong> Datos<br />
BIBLIOGRAFÍA / REFERENCIAS<br />
Dictam<strong>en</strong> 3/2010, <strong>sobre</strong> principios <strong>de</strong> responsabilidad, Grupo <strong>de</strong> trabajo d<strong>el</strong> artículo 29.<br />
Estándares Internacionales <strong>de</strong> Protección <strong>de</strong> Datos y Privacidad (2009).<br />
Recursos y Publicaciones <strong>de</strong> “The C<strong>en</strong>tre for Information Policy Lea<strong>de</strong>rship”.<br />
AA10000APS Norma <strong>de</strong> principios <strong>de</strong> accountability (2008).<br />
Directrices <strong>sobre</strong> Privacidad <strong>de</strong> <strong>la</strong> OCDE (1980).<br />
ISO 29100 (Information technology — Security techniques — Privacy framework).<br />
Marco <strong>de</strong> <strong>privacidad</strong> <strong>de</strong> CEAP (Foro <strong>de</strong> Cooperación Económica Asia-Pacífico).<br />
Stakehol<strong>de</strong>r Engagem<strong>en</strong>t Handbook<br />
ISO 26000:2010 Guía <strong>de</strong> responsabilidad social<br />
Global reporting initiative (GRI)<br />
The Future of Privacy: Joint contribution to the Consultation of the European Commission<br />
on the legal framework for the fundam<strong>en</strong>tal right to protection of personal - WP<br />
168<br />
Accountability educacional: posibilida<strong>de</strong>s y <strong>de</strong>safíos para américa <strong>la</strong>tina a partir <strong>de</strong> <strong>la</strong> experi<strong>en</strong>cia<br />
internacional (CIDE y PREAL)<br />
Cutt, J. y Murray, V. (2000): Accountability and Effectiv<strong>en</strong>ess Evaluation in Non-Profit Organizations.<br />
Routledge. London.<br />
Gray, R. (et al) (1996): Accounting and accountability, changes and chall<strong>en</strong>ges in corporate<br />
and <strong>en</strong>vironm<strong>en</strong>tal reporting. Pr<strong>en</strong>tice Hall.<br />
Slim, H. (2002): GAT Authority The Legitimacy and Accountability of Non-governm<strong>en</strong>tal<br />
organisations.<br />
117
Reflexiones <strong>sobre</strong> <strong>el</strong> <strong>futuro</strong> <strong>de</strong> <strong>la</strong> Privacidad <strong>en</strong> Europa<br />
118
Más información www.ismsforum.es<br />
C/ Cast<strong>el</strong>ló, 24, 5º Derecha, Escalera 1 28001 Madrid T.: 34 91 186 13 50