“Es necesario potenciar la figura del Data Privacy Officer en las empresas españolas” ISMS Forum Spain presentó entidad creada para potenciar la seguridad informática en las empresas, de la que Ecija Abogados es miembro integrante activo, recientemente en Madrid, en un acto al que asistieron cerca de cien expertos en privacidad de datos, su nuevo proyecto, el Data Privacy Institute (DPI). Según explicó el director de esta iniciativa, Antoni Bosch, el DPI nace con la vocación de aglutinar a todas las personas y organizaciones comprometidas e interesadas en la privacidad y la protección de datos personales; promover la formación de sus asociados y facilitar les cauces de interlocución con las administraciones y autoridades de control. Abierto a profesionales, instituciones, empresas, docentes y estudiantes, “El DPI pretende asimismo se runa vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles y de otros países de habla hispana”, añadió Bosch.

La puesta en marcha de esta entidad coincide prácticamente en el tiempo con la organización de la V Asamblea general del ISM Forum Spain a la que acudieron Más de 110 organizaciones y empresas públicas y privadas, de los más diversos sectores, Para Carlos Alberto Saiz, vicepresidente de esta entidad y socio de Ecija Abogados responsable del área de NT, Compliance y Protección de datos” Una de las claves de una buena política de seguridad de la información pasa por tener una Dirección concienciada con los riesgos a los que se expone su organización y deciden invertir en las contramedidas adecuadas para proteger sus activos de información, y por tanto, su negocio.” Desde su punto de vista los asesores jurídicos van teniendo un papel cada vez más importante en esta materia, puesto que también son más las normas de Compliance que afectan a la seguridad de la información y que incrementan los controles internos que hay que implantar en las organizaciones para defender los intereses de los accionistas, de clientes e incluso de todos los empleados”.

Carlos Alberto Saíz es el responsable del area de NT, Compliance y Protección de datos de Ecija Abogados. Es Licenciado en Derecho por la Universidad de Alcalá de Henares. Madrid y Master por la Universidad Pontificia de Comillas ICADE. Como responsable de NT de Ecija Abogados ha desarrollado diversos proyectos de auditoria en materia de protección de datos para empresas como Marsh, Mediadores de Seguros; Clínica de Navarra; Sogecable, Arsys o Mahou. Otros proyectos que ha puesto en marcha tienen que ver con la coordinación del Proyecto “Factbook Datos Personales”, en colaboración con la editorial Aranzadi (2008). Autor del Libro “Contratos de Internet” publicado en septiembre de 2002, por la editorial Aranzadi. Profesor de diversos Masters sobre Derecho de Nuevas Tecnologías y habitual conferenciante en Seminarios de expertos en materia de Protección de Datos.

¿Podría decirnos cuáles son los objetivos de esta nueva jornada que organiza ISM FORUM de la que usted es vicepresidente?

«En esta jornada se ha pretendido analizar el papel de liderazgo del CISO (Chief Information Security Officer) como motor principal para la implantación de las políticas de seguridad y cumplimiento normativo dentro de la organización. Asimismo durante el evento se han repasado los modelos y estructuras más óptimas de la organización de la gestión de la Seguridad de la Información.»


Es evidente que la seguridad es algo nuevo para las empresas y los riesgos de sufrir un ataque es elevado, ¿cómo se puede contrarrestar estas amenazas?

«La Seguridad es una disciplina relativamente nueva para muchas compañías, y las amenazas crecen tan rápido que tenemos que ser muy ágiles para proteger nuestro negocio. Por ello, resulta fundamental desarrollar modelos de organización y estructura que permitan a las entidades conocer y gestionar sus riesgos, definir un procedimiento de toma de decisiones en seguridad e implantar unas políticas reales conforme a nuestro estado de situación y permeables para que lleguen a todos los usuarios de la organización. Conseguir este equilibrio en estos tiempos supone un gran reto para un CISO».

¿Cuál es la clave de una buena política de seguridad en una empresa y qué papel juega el asesor jurídico dentro de la misma?

Cada negocio y cada empresa es diferente y algunas se enfrentan a amenazas que otras no tienen. Una de las claves de una buena política de seguridad de la información pasa por tener una Dirección concienciada con los riesgos a los que se expone su organización y deciden invertir en las contramedidas adecuadas para proteger sus activos de información, y por tanto, su negocio. Los asesores jurídicos van teniendo un papel cada vez más importante en esta materia, puesto que también son más las normas de Compliance que afectan a la seguridad de la información y que incrementan los controles internos que hay que implantar en las organizaciones para defender los intereses de los accionistas, de clientes e incluso de empleados.

¿En este contexto como valora las críticas de la AGPD a la falta de seguridad de las redes sociales? ¿Cómo podría modificarse estas herramientas de cara a un mejor funcionamiento?

Las redes sociales y las herramientas colaborativas son un fenómeno imparable, tanto en las comunidades sociales como dentro de las empresas y al igual que como casi todo lo que tiene que ver con tecnología, el Derecho va por detrás de la realidad. Es fundamental buscar un equilibrio entre el disfrute de estas herramientas y la seguridad jurídica de las personas. Me consta que existe un esfuerzo por parte de las principales redes sociales para imponer criterios que otorguen más seguridad, sobre todo de cara a la protección de menores, pero posiblemente el futuro de estas herramientas pasen por la Autorregulación y los Códigos de Conducta.

En este contexto de fomento de las pruebas electrónicas ¿cómo se combinan con la legislación de Protección de Datos? ¿Por qué es una legislación tan restrictiva a este respecto?

La normativa de protección de datos tiene algún tipo de impacto en una ingente cantidad de acciones empresariales y societarias, y es que el manejo de datos personales es el día a día de la gran mayoría de empresas de servicios. La obtención, custodia y presentación de pruebas electrónicas también se ve afectada por la LOPD, y a pesar de que todavía queda mucho por hacer, las compañías empiezan a tomar sus medidas para poder establecer criterios de trazabilidad de forma legal sin que ello tenga un impacto negativo posterior cuando vayan a ser utilizadas tales pruebas. Creo que todo el mundo es consciente de la dureza de las sanciones económicas establecidas legalmente por la LOPD, y sería deseable una futura modificación legal para poder acotar de forma más proporcional los incumplimientos de la norma.

De todas formas sigue habiendo reticencias de cara a la aceptación de la prueba electrónica ¿Cuál es el principal inconveniente para que la prueba electrónica se acepte en los juzgados?

Es importante que los magistrados tengan una visión más amplia de las nuevas tecnologías para poder asumir el valor que pueden llegar a aportar este tipo de pruebas. Se está trabajando mucho a nivel de formación e información, aunque queda mucho camino por recorrer.

¿Por qué cree que no hay una unanimidad en los magistrados a la hora de tomar en serio la prueba electrónica como válida en determinados procesos?

El desconocimiento y desconfianza que existe sobre la tecnología puede que sea la línea diferencial de unos y otros. Una prueba electrónica puede ser mucho más fiable que una prueba tradicional en papel, pero desde los abogados, hasta los magistrados necesitan conocer cuales deben ser los criterios de obtención, custodia y presentación de esa prueba. Es lógico que exista una cierta resistencia al cambio, no es fácil empezar a asumir cosas diferentes a la manera de trabajar de hace siglos.

¿A su juicio en qué ámbito del derecho, laboral, civil o mercantil es más complicado incluir la prueba electrónica como elemento clave en estos litigios?

Normalmente en derecho laboral únicamente es una parte la que hace valer la prueba electrónica, que es la empresa, por lo que a nivel tecnológico puede resultar más sencillo. En procesos donde existen más partes implicadas y más tecnologías, la comprensión del tema puede ser más difícil aún.

¿Cómo valora en este contexto el esfuerzo de la Admon por impulsar la llamada Sociedad de la Información? ¿Qué opinión tiene sobre la LISI?

La Administración está haciendo un gran esfuerzo para el impulso de la Sociedad de la Información, y los proyectos que desarrolla el INTECO son buena muestra de ello. Ya ha habido normas previas a la LISI que pretendían objetivos similares en otro momento. Creo que es una norma ambiciosa, que empieza a ser cumplida e implantada por las empresas, sobre todo en lo referente a la necesidad de una vía telemática de contratación con clientes para fomentar el uso de la firma electrónica, si bien su principal problema es la falta de régimen sancionador, que la convierte, de momento y hasta que se publique su Reglamento, en unos principios con buenas intenciones.

¿Podría explicarnos el trabajo de los abogados de ECIJA como asesores en materia de seguridad? ¿Qué valor añadido aporta a su cliente en esta materia?

«En ECIJA nos hemos adaptado a nuevas realidades de negocio que implican el empleo de tecnologías que puedan ayudar a nuestros clientes a proteger sus activos de negocio de manera global. Hemos creado soluciones innovadoras para ayudar a nuestros clientes a establecer sistemas de Compliance, Gestión de Riesgos, Anti-Fraude y Protección de marcas en Internet. Como ejemplo nuestro servicio como entidad participante de la red CSIRT se traduce en la prestación de un soporte principalmente de carácter jurídico a aquellas entidades que se encuentren ante un «cyber-incidente» y precisen de ayuda para resolverlo. En la actualidad la cobertura de la red incluye los países de España, Mexico, los EE.UU. – donde se generan la mayor parte de los incidentes de fraude electrónico.

¿Cómo puede fomentarse las buenas prácticas relacionadas con la prueba electrónica? ¿Qué opinión le merece entidades como AEDEL?

Se han creado varios foros y asociaciones de profesionales que son muy útiles para fomentar el debate neutral de las necesidades, requisitos y problemas de las pruebas electrónicas. Además creo que es fundamental trabajar a nivel europeo, como por ejemplo se hace en Workgroups para la lucha del fraude en internet, para lograr diseñar unas buenas prácticas comunes tanto en metodología como en exigencia de requisitos tecnológicos para que luego todo eso tenga un trasfondo legal y una aceptación general por parte de jueces y magistrados.

Por último, ahora que se habla de cambios tecnológicos para mejorar la administración de justicia. ¿Cómo ve el problema de la nueva oficina judicial?

La envergadura del proyecto es grande y su ejecución total conforme a los objetivos que se marcaron inicialmente es compleja. Se ha encontrado y se encontrará con muchos problemas aún (modificaciones normativas importantes, compatibilidades tecnológicas, tensiones entre jueces y secretarios, etc.) No obstante, su consecución con éxito lograría acercar la justicia al ciudadano y optimizar los recursos de los órganos jurisdiccionales para ganar agilidad y eficacia.

Dejar una respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.