La Agencia Española de Protección de Datos (AEPD) celebró, el pasado viernes, la ‘5ª Sesión Anual Abierta de la AEPD’ en el Teatro Real de Madrid, a la que acudieron más de 1.200 expertos. Durante el acto de apertura de la jornada, el director de la Agencia, José Luis Rodríguez Álvarez, señaló que “sin protección de datos no hay confianza y sin confianza no habrá un desarrollo sólido de la economía digital”.
Rodríguez Álvarez se refirió al actual proceso de reforma de la normativa europea de protección de datos y remarcó que “estamos en unos tiempos en los que es más importante que nunca compatibilizar la garantía del derecho a la privacidad con la promoción del desarrollo tecnológico y la actividad económica en general”. Al mismo tiempo, insistió en que “la protección de datos, correctamente configurada y aplicada, no sólo no es un obstáculo a la innovación y al desarrollo sino que es una condición necesaria para generar en los ciudadanos confianza en los bienes y servicios de la economía digital”.
Por otra parte, el director de la AEPD vaticinó que el cloud computing es una de las materias de las que la Agencia se ocupará en los próximos años “porque en la medida en que configura un nuevo paradigma de prestación de servicios exige clarificar y adaptar numerosos aspectos relacionados con la protección de los datos personales”.
En este contexto, se refirió a la Guía para clientes que contraten servicios de cloud computing, presentada en el marco de la jornada y señaló que “hemos optado por una guía eminentemente práctica que, sin prescindir del rigor técnico, facilite incluso a los no iniciados el conocimiento sobre qué es el cloud computing, cuáles son los elementos de riesgo que se deben tener en cuenta y qué garantías se deben recabar y asegurar en el momento de la contratación”. También hizo mención a que este nuevo paradigma impone mayores exigencias tanto a los clientes como a los proveedores de servicios. A estos va dirigido un segundo documento presentado hoy, que contiene orientaciones encaminadas a proporcionar mayor seguridad jurídica, precisando los requisitos que son necesarios para cumplir con la legislación española.
Respecto a las comúnmente conocidas como cookies, el director de la AEPD subrayó que, tras un periodo de diálogo y análisis conjunto con los sujetos obligados, el próximo día 29 se presentará públicamente la Guía sobre el uso de cookies, “la primera guía en Europa elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria”. En este sentido, puso de relieve que España se sitúa “en una posición muy favorable para lograr la implementación de la normativa europea con garantías y con el menor impacto posible en el sector”.
El director de la AEPD también hizo mención a la cuestión prejudicial planteada por la Audiencia Nacional en relación con el ‘derecho al olvido’, que actualmente está siendo analizada por el Tribunal de Justicia de la UE. En este sentido, confió en que la sentencia del Tribunal permita a las Autoridades Europeas de Protección de Datos dar a los ciudadanos una respuesta adecuada a sus crecientes demandas en relación con el ejercicio de su derecho a la protección de datos en Internet.
Por su parte, y en el primer bloque de la jornada el adjunto al director de la AEPD, Jesús Rubí, presentó la Guía para clientes que contraten servicios de cloud computing, un documento práctico que pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios en la nube. El documento, dirigidoa pymes, microempresas, profesionales y administraciones públicas, analiza, entre otros aspectos, las diferentes modalidades de servicios en la nube, los riesgos, las obligaciones de las partes y la legislación aplicable. En paralelo, la AEPD también ha elaborado una publicación llamada Orientaciones para los prestadores de servicios de cloud computing, que hace hincapié en las garantías que deben cumplir las empresas que ofrecen estos servicios.
Dentro de este primer bloque, Rubí expuso las pautas para facilitar el cumplimiento de la nueva regulación en materia de cookies, derivada de la entrada en vigor del Real Decreto-ley 13/2012, por el cual se modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico para exigir el consentimiento del usuario al instalar cookies. En este sentido, el adjunto al director de la AEPD ha recordado que para instalar estos dispositivos es necesario recabar el consentimiento del usuario.
En el segundo bloque de la jornada, dedicado a abordar las principales novedades en materia de protección de datos en el ámbito nacional e internacional, el abogado del Estado-jefe de la AEPD, Agustín Puente, se refirió a las sentencias más destacadas y a los informes jurídicos más relevantes de la AEPD en 2012.
El subdirector general de Inspección de Datos de la AEPD, José López Calvo, abordó los principales casos tramitados en el último año en el área de inspección. López Calvo puso de relieve el incremento sustancial que ha experimentado el número de denuncias por suplantación de identidad, en especial en el área de suministro y comercialización de energía y agua, en un 222%, y en telecomunicaciones, en un 92% con respecto a 2011.
Junto a ello, destacó el incremento del 13% en las reclamaciones de tutela por no haber atendido solicitudes de ‘derecho al olvido’. El subdirector general de Inspección de Datos de la AEPD, subrayó, asimismo, la concurrencia de múltiples resoluciones por difusión indebida en Internet de datos asociados a asuntos como partes de baja médica, fotografías, sentencias o atestados policiales.
Posteriormente, el subdirector general del Registro General de la AEPD, Julián Prieto, se refirió a la puesta en marcha del nuevo modelo de transferencia internacional de datos entre un prestador de servicios establecido en España y un subcontratista situado en un país que no garantiza un nivel adecuado de protección de datos personales, que viene a mejorar la posición de los encargados de tratamiento establecidos en la UE, y ha repasado los aspectos más destacados desde su implantación de este modelo en 2012.
Asimismo, Prieto puso de relieve la apuesta de la Agencia para avanzar en la búsqueda de soluciones que hagan más flexibles las transferencias internacionales de datos, como en el marco de los servicios de cloud computing. En esa misma línea, también destacó la aprobación de normas corporativas vinculantes (BCR´s, por sus siglas en inglés) para transferencias entre encargados de tratamiento de una misma corporación.
En el ámbito de los desarrollos internacionales, el coordinador del Área de Internacional de la AEPD, Rafael García, centró su intervención en la revisión del marco europeo de protección de datos y en la evolución que ha seguido desde que la Comisión Europea presentara en enero de 2012 su propuesta para actualizar la normativa de protección de datos en la UE. García destacó que, tras la publicación de los informes Albrecht y Droutsas y la votación por parte del Parlamento Europeo prevista para el 29 de mayo sobre los textos del reglamento y la directiva, se está a la espera de que el Consejo alcance una posición común para iniciar los “trílogos”, es decir, la negociación del reglamento a tres bandas entre el Parlamento, el Consejo y la Comisión Europea.
El coordinador del Área de Internacional de la AEPD también se refirió a algunos de los temas que actualmente se encuentran abiertos en el marco de la negociación de la nueva normativa de protección de datos, por ejemplo, el carácter de dato personal de los datos pseudónimos, cómo queda regulado el derecho al olvido o el consentimiento explícito, las obligaciones que impone el reglamento -como la obligación de notificar rápidamente las quiebras de seguridad- o el capítulo de sanciones.