El pasado 3 de noviembre tuvo lugar uno de los encuentros sobre privacidad más importantes del momento. Bajo el lema “Problemas actuales de la Privacidad y la Seguridad de la Información” se celebró el III Foro del Data Privacy Institute (DPI) en la sede del Consejo General de Colegios de Médicos de España. Algunos de los temas clave de esta jornada que se abordaron por expertos y asistentes fueron: el Impacto del Cloud Computing en la privacidad; la Seguridad de la información en el sector sanitario; y el uso privado de los medios informáticos por parte de los trabajadores en las organizaciones. Entre los participantes, mencionar las intervenciones de de Carlos Sáiz, vice-presidente de ISMS Forum Spain y socio del área de Governance, Risk & Compliance de ECIJA, Ricard Martínez Martínez, Coordinador del Área de Estudios de la Agencia Española de Protección de Datos (AEPD), representantes de Catsalut, el CGCOM y el SERMAS, así como expertos de CSA-ES, expertos de empresas como Bankinter, Check Point, Grupo FCC y Microsoft; y algunos de los primeros Certified Data Privacy Professionals, que debatieron sobre los retos de los profesionales del sector. DIARIOJURIDICO ha conversado con Carlos Sáiz vicepresidente de ISMS Forum, subdirector del DPI y socio de Governance, Risk & Compliance de ECIJA quien ha hecho un breve resumen de este foro de expertos en privacidad.

Prácticamente a diario, los medios de comunicación llevan a sus portadas noticias referidas a la filtración, pérdida o publicación masiva de datos sensibles –incluso críticos- por parte de empresas e instituciones en los más diversos países. Informes recientes publicados por INTECO (Instituto Nacional de Tecnologías de la Comunicación) arrojan datos preocupantes, como que sólo un 14% de las pymes españolas declara conocer el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (en vigor desde abril de 2008); o que del total de pymes con ficheros automatizados, solo el 37% afirma haberlos declarado en el registro de la AEPD (peor aún, pues contrastado este dato en la Agencia, sólo un 16% de las pymes los han declarado en realidad).

En contraste con esta falta de concienciación, los expertos están de acuerdo en que, tanto en el ámbito nacional como internacional, nos dirigimos a un entorno en el que la regulación relativa a protección de datos personales cobrará cada vez mayor importancia. Sin embargo, las organizaciones aún no prestan la necesaria atención a este capítulo y la figura del Data Privacy Officer (DPO) no está lo suficientemente reconocida y asentada en nuestro país, pese a que informes del Article 29 Working Party o de la propia Comisión Europea defienden desde hace años la necesidad de crearla. Tampoco existe una oferta formativa adecuada para la preparación de estos especialistas, ni una organización que los agrupe para dar visibilidad a su trabajo y facilitar su desarrollo y crecimiento profesional.

Por todo ello, conscientes de la importancia de la protección de datos y de su estrecho vínculo con el gobierno de la seguridad de la información, ISMS Forum Spain ha puesto en marcha desde hace más de un año, un nuevo proyecto, el Data Privacy Institute (DPI), cuya vocación es aglutinar a todas las personas y organizaciones que tienen interés y responsabilidades en la privacidad y la protección de datos personales, promoviendo la formación y excelencia de sus asociados y facilitándoles cauces de interlocución con las administraciones y autoridades de control. El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles.

Los socios de ISMS Forum Spain pasan a ser miembros del DPI automáticamente y podrán acceder por ello en condiciones preferentes a las actividades e iniciativas que se organicen en el seno de este nuevo instituto.

¿Podría hacernos un balance de la actividad del DPI, como lugar de encuentro de expertos en seguridad y privacidad? ¿Previsiones para el próximo año?

El DPI nace con la vocación de aglutinar a todas las personas y organizaciones comprometidas e interesadas en la privacidad y la protección de datos personal, promoviendo la formación de sus asociados y facilitándoles cauces de interlocución con las administraciones y autoridades de control. Asimismo pretende ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles y de otros países de habla hispana.

Entre las actividades que el DPI ha venido desarrollando desde su fundación en julio de 2009 podemos destacar la puesta en marcha de la primera Certificación española en el ámbito de la privacidad y protección de datos de carácter personal: Certified Data Privacy Professional (CDPP) y la convocatoria de tres ediciones del Foro del DPI en Madrid y Barcelona, que han aglutinado a cientos de representantes del ámbito de la privacidad a nivel nacional y europeo.

Señor Saíz ¿qué grandes conclusiones pueden extraerse de esta III Foro del Data Privacy Institute cumbre de expertos en seguridad y protección de datos?

La jornada ha sido muy interesante y se ha generado un importante debate en torno a varias cuestiones de privacidad y seguridad donde podríamos resaltar:

la necesidad de tener en cuenta desde la puesta en marcha de cualquier iniciativa los aspectos de cumplimiento normativo y privacidad ante los nuevos proyectos y realidades de la actividad comercial y pública (cloud computing, redes sociales, telemedicina, etc.).

lo fundamental de seguir apostando por la concienciación y formación en seguridad y privacidad, tanto a los usuarios que aportan sus datos a multitud de organizaciones, como a los profesionales que tienen que hacer cumplir la LOPD.

Es evidente que el Cloud Computing es una de las herramientas más novedosas para las empresas, ¿cómo puede gestionarse su privacidad?

El Cloud Computing representa un nuevo paradigma de contratación de servicios informáticos hacia el que avanzan muchísimas organizaciones. El hecho de que nuestra información se mueva de forma “líquida” entre toda la infraestructura, a veces internacional, de un proveedor de servicios de Cloud supone algunos problemas que no vienen resueltos de forma directa en nuestra normativa actual.

Creo que tenemos un gran reto que es buscar mecanismos que garanticen un adecuado equilibrio entre la oferta comercial de los servicios de Cloud, las exigencias de seguridad de los clientes y el cumplimiento normativo local que aplique dentro de una estructura informática internacional. Para ello será fundamental interpretar la normativa adecuándose a esta realidad, trabajar en Estándares y Buenas Prácticas de Privacidad y tener un buen asesoramiento en los instrumentos contractuales (SLA’s, condiciones generales…).

Otro asunto que se ha tratado es la seguridad en los centros hospitalarios, ¿cuáles son las principales deficiencias en el cumplimiento de la protección de datos por los hospitales?

Según datos del último informe publicado por la AEPD sobre el nivel de cumplimiento de la LOPD en más de 600 centros sanitarios públicos y privados de toda España salvo los de las Comunidades que cuenta con Autoridad de control autonómica (“Informe de cumplimiento de la LOPD en Hospitales“) destaca el hecho de que los centros sanitarios privados presentan índices de cumplimiento elevados, mientras que los públicos muestran mayores deficiencias y menores niveles de cumplimiento.

De acuerdo con el Informe los principales incumplimientos se manifiestan en la realización de auditorías bienales obligatorias de seguridad, en la implantación de medidas de seguridad y custodia de información, así como, en la inclusión de cláusulas informativas en la recogida de datos personales.

Desde mi punto de vista, a las importantes deficiencias reflejadas en el Informe de la AEPD, que ponen de manifiesto la necesidad de adoptar cuantas medidas sean oportunas para garantizar el correcto cumplimiento de la normativa de protección de datos personales, es preciso añadir las obligaciones derivadas del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad, de aplicación, entre otros, al sector sanitario público en su prestación de servicios telemáticos a los ciudadanos.

Todo lo expuesto, pone de manifiesto la necesidad de una aproximación de cumplimiento integrada de ambas normas por cuanto que presentan elementos comunes en su alcance a través de la adopción de medidas de seguridad de diversa índole (técnicas, organizativas y jurídicas).

También se ha discutido sobre uso privado de los medios informáticos por parte de los trabajadores en las organizaciones. ¿Hay algún punto de reflexión común que se pueda destacar en este debate?

Desde una Sentencia del TS del año 2007 todas las grandes compañías tienen clara la necesidad de regular qué se permite y qué se prohíbe hacer con los medios informáticos que la empresa pone a disposición de los empleados. Desde mi punto de vista, la dificultad reside en implantar los controles y las medidas adecuadas y proporcionales para garantizar las expectativas de privacidad de los trabajadores y las posibilidades de vigilancia de los trabajadores por parte de la empresa, ya que no existe un consenso en la industria sobre qué se puede entender como “uso privado razonable de los medios informáticos de la empresa”.

En un momento como el actual, donde se cumplen los primeros dos años del Reglamento que da vida a la LOPD, ¿que valoración puede hacer de la misma?

Tenemos normativa en protección de datos desde el año 92 con la LORTAD, se ha hecho un esfuerzo importante en cumplir de forma básica con la normativa actual, incluido en nuevo Reglamento, pero aún queda mucho trabajo para enfrentarnos a los retos que Internet supone en el día a día, el carácter mundial y de tráfico de información en redes de comunicaciones y potenciar una cultura de la privacidad y la seguridad que sea asumida por las organizaciones desde su ADN.

Cuando los expertos hablan de adoptar un marco global que facilite la protección de datos de carácter personal a nivel mundial., ¿es realmente un objetivo o un ideal?

Es un objetivo porque responde a una necesidad real para hacer frente a un problema existente, pero es muy difícil. En el marco europeo existe un gran consenso de una política base de protección de datos personales y los Estándares Internacional impulsados por nuestra AEPD son un buen intento de dar un paso más allá, pero aún queda un interesante reto en el que todos los profesionales tenemos que aportar para dar solución de privacidad común a la realidad de un mundo globalizado y comunicado por un lado, y lleno de fronteras y de intereses, por otro.

Sobre la certificación que ha puesto en marcha la DPI, la Certified Data Privacy Proffesional ¿cómo se va a desarrollar este tema en nuestro país? ¿Realmente hay mucha piratería de falsos expertos en protección de datos?

La obtención de esta Certificación acredita un alto nivel de especialización en la normativa española en materia de protección de datos de carácter personal, tanto a nivel nacional como en un contexto europeo e internacional, así como un dominio de los fundamentos que rigen la seguridad de la información.

Nuestra visión es que la realidad normativa y la importancia cada vez mayor de la privacidad en la actividad de las organizaciones públicas y privadas exigen profesionales cualificados con capacidad para alinear las necesidades de las corporaciones y el respeto de los derechos de las personas. El hecho de que la normativa no regule por ejemplo quién puede realizar las Auditorías de protección de datos ha generado una distorsión en un mercado a veces canibalizado.

De ahí la necesidad de una Certificación en español de referencia en la materia, para que las organizaciones puedan tener algunas garantías sobre el nivel de conocimiento a la hora de contratar personal interno, abogados, consultores, auditores… Por este motivo ISMS Forum a través del DPI, ha puesto en marcha la primera Certificación española en el ámbito de la privacidad y protección de datos de carácter personal: Certified Data Privacy Professional (CDPP).

Para obtener la certificación CDPP, los candidatos deberán superar el examen de certificación CDPP y además acreditar al menos tres años de experiencia en el ámbito de la privacidad y la protección de datos. Para más información: https://www.ismsforum.es/dpi/dpi_cdpp.php

Por último, en un escenario donde Internet tiene cada vez más importancia ¿Cuál es la clave de una buena política de seguridad en una empresa o institución y qué papel juega el asesor jurídico dentro de la misma?

Estamos ante una normativa muy transversal en una organización donde es necesario regularizar ficheros de personal, clientes, proveedores, accionistas, marketing, etc. desde un punto de vista jurídico, organizativo y técnico. Los retos de los asesores jurídicos son una gran especialización en la materia, familiarizarse con conceptos de tecnología y gestión de riesgos, conocer el negocio de la compañía y un gran sentido práctico para lograr descender desde lo abstracto de la norma a la implantación real de procedimientos eficaces en una organización.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.