En un contexto donde se mantiene el debate entre privacidad y derecho de la información en nuestra sociedad, La Agencia de Protección de Datos de la Comunidad de Madrid acaba de presentar la publicación «PRINCIPIOS Y DERECHOS DE PROTECCIÓN DE DATOS PERSONALES: Doctrina de la Agencia de Protección de Datos de la Comunidad de Madrid 2002 – 2009″ “En esta obra la APDCM ha querido recopilar en un único texto, a modo de compendio”, señala Emilio Aced, uno de sus subdirectores, “ el acervo jurídico acumulado por esta Institución en los últimos años, a partir de sus informes jurídicos y sus resoluciones en los que se interpretan los principales conceptos de la normativa de protección de datos personales en relación con las administraciones públicas y demás entes sometidos a su disciplina y control.”Entre estos informes jurídicos, destacan, por ejemplo, la publicación en los medios de prensa de la víctimas del atentado terrorista del 11-M, el uso de la huella dactilar para verificar el horario de los trabajadores, la publicación de datos personales en Boletines Oficiales, la instalación de cámaras de videovigilancia, o la monitorización del correo electrónico por parte del empresario. “Acabamos de firmar un convenio con el Data Privacy Institute, explica Aced. “Se trata de promover en la sociedad un mayor conocimiento del derecho fundamental a la protección de datos personales a través de actuaciones de formación, asesoría e investigación. Creemos que son positivas que existan, como ya lo hay Europa entidades que engloben a los expertos en privacidad”.
Emilio Aced es Licenciado en CC. Matemáticas (Sección de Ciencias de la Computación) por la Universidad Complutense de Madrid, Master en Investigación Operativa por la misma Universidad, Master en Dirección de Sistemas y Tecnologías de la Información y las Comunicaciones por la Universidad Politécnica de Madrid.Pertenece al Cuerpo Superior de Sistemas y Tecnologías de la Información de la Administración del Estado, estando en situación de Excedencia de la Escala de Analistas de la Seguridad Social.
En la actualidad es Subdirector General de Registro de Ficheros y Consultoría de la Agencia de Protección de Datos de la Comunidad de Madrid y con anterioridad desempeñó las labores de Subdirector General de Inspección y Tutela de Derechos en esta misma institución a la que pertenece desde el año 2005.
Durante más de diez años desarrolló su labor profesional en la Agencia Española de Protección de Datos, como Subdirector de la Inspección de Datos y como Adjunto al Director, periodo en el que se ha encargado de la coordinación de las relaciones internacionales de la Agencia, a la que ha representado en distintos foros internacionales entre los que podemos citar el Grupo de Trabajo de Autoridades Europeas de Protección de Datos (Grupo de Trabajo del Artículo 29) y el Comité Consultivo del Convenio 108 del Consejo de Europa. Además, ha sido miembro de las Autoridades Comunes de Control de Schengen, Sistema de Información Aduanero y Europol, de la cual fue Vicepresidente y Presidente.
Además, ha participado y participa como experto en diversos proyectos de la Unión Europea y del Consejo de Europa, habiendo elaborado informes sobre diversos proyectos legislativos en varios países. Asiste regularmente a las Conferencias Europeas e Internacionales de Autoridades de Protección de Datos y es ponente en las mismas y otros eventos nacionales e internacionales sobre esta materia.
Imparte con frecuencia cursos y conferencias sobre asuntos relacionados con la protección de datos personales y ha publicado numerosos trabajos sobre este tema.
Señor Aced, para el que no conozca el organismo autonómico de protección de datos madrileños, ¿qué actividad realiza y cómo se coordina con la Agencia Española de Protección de Datos?
La Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) realiza numerosas actividades de formación y concienciación en los principios y derechos de protección de datos, tanto para los responsables de ficheros como para los ciudadanos. Además, atiende las denuncias y reclamaciones que presentan las personas que entienden que se han vulnerado sus derechos y, en su caso, sanciona las conductas infractoras o defiende el derecho a acceder a los datos personales o a rectificar o cancelar los erróneos o inadecuados.
La cooperación con la Agencia Española de Protección de Datos siempre ha sido y es intensa y provechosa y la coordinación se produce en varios ámbitos y niveles: desde los cauces formales para la necesaria comunicación institucional entre ambas hasta el diálogo más informal entre los miembros de las dos autoridades y las tareas y actividades conjuntas y compartidas en los diversos grupos de trabajo en los que participan todas las agencias de protección de datos españolas.
En un momento como el actual, donde se cumplen los primeros dos años del Reglamento que da vida a la LOPD, ¿que valoración puede hacer de la misma?
La LOPD supuso la adecuación de la legislación española, que databa del año 1992, a los preceptos de la Directiva europea de Protección de Datos y, por lo tanto, significó la adopción por parte de España de los altos estándares de protección de datos de la Unión Europea y, por ello, el juicio sobre la misma solo puede ser positivo ya que alineó nuestro sistema de protección de datos con los estándares más elevados del mundo. Además, dentro de dichos estándares, hay que hacer notar que la ley española es una de las normas europeas e internacionales que más garantías otorga a las personas cuyos datos se procesan.
En relación con el Reglamento de desarrollo de la LOPD, aunque como toda norma jurídica pueda tener aspectos mejorables, en conjunto, su aportación ha sido muy positiva y ha mejorado la seguridad jurídica de las tareas que llevan a cabo los responsables de tratamiento y al ejercicio de sus derechos por parte de los ciudadanos.
Su entidad acaba de publicar una monografía, Principios y Derechos de Protección de Datos Personales, ¿qué hueco han pretendido cubrir con la aparición de esta publicación?
Desde su fundación en 1997 la APDCM ha venido desarrollando una ingente labor de asesoramiento a los responsables de ficheros de las AA.PP. de la Comunidad de Madrid: regional, local, universitaria y corporaciones de derecho público. A lo largo de estos años la Agencia ha tenido ocasión de pronunciarse sobre numerosísimas cuestiones que preocupan a los responsables de ficheros, profesionales y estudiosos de la materia. El libro “Principios y Derechos de Protección de Datos Personales” presenta de una manera sistemática y organizada en base a los principios y derechos de la ley lo más relevante de este corpus doctrinal y, de esta manera, proporciona una herramienta que creemos puede resultar muy valiosa como elemento de referencia a la hora de tomar decisiones y buscar soluciones a los problemas de gestión de una manera compatible y respetuosa con la privacidad de las personas.
El DPI firma un convenio de colaboración con su entidad, ¿podría comentarnos cuáles son los términos del acuerdo? ¿Qué opinión le merece que exista una entidad que reúna a los expertos en privacidad? ¿Hay algún antecedente europeo en estos temas?
La finalidad del convenio es establecer líneas eficaces de colaboración entre la Agencia de Protección de Datos de la Comunidad de Madrid y el Data Privacy Institute con el objetivo de promover en la sociedad un mayor conocimiento del derecho fundamental a la protección de datos personales a través de actuaciones de formación, asesoría e investigación.
Sobre la existencia de entidades que aglutinen a los expertos en privacidad, la APDCM considera que son muy positivas tanto para la formación de profesionales cualificados como para la difusión de los principios de protección de datos en la sociedad y el establecimiento de estándares de cualificación que ayuden a crear un mercado cada vez más transparente en la provisión de servicios de privacidad.
En Europa existen diversas asociaciones que agrupan a las personas encargadas de protección de datos (Data Protection Officials, según su denominación estándar internacional) y asesores jurídicos de compañías multinacionales tales como EPON (European Privacy Officers Network) o EPOF (European Privacy Officers Forum). Con un carácter más general existe la International Privacy Professionals Association (IAPP) que agrupa a expertos y profesionales de privacidad de todo el mundo.
Cuando los expertos hablan de adoptar un marco global que facilite la protección de datos de carácter personal a nivel mundial, ¿es realmente un objetivo o un ideal?
Desde mi punto de vista, es una necesidad imperiosa. Si queremos que las personas se sientan protegidas y con sus derechos salvaguardados en la sociedad de la información global en la que vivimos –y la confianza es uno de los pilares capitales para el desarrollo del comercio, la e-Administración y los servicios en la Red- es imprescindible que se logre un acuerdo sobre los elementos básicos que regulan el tratamiento de los datos personales en cualquier lugar del mundo, incluyendo mecanismos eficaces de supervisión que los ciudadanos puedan invocar cuando entiendan que sus derechos han sido vulnerados y, en última instancia, para que sean capaces de obtener reparaciones a los daños que una utilización ilegítima de sus datos les haya podido causar.
Sobre la certificación que ha puesto en marcha la DPI, la Certified Data Privacy ¿cómo cree que debería implantarse en nuestro país? ¿Realmente hay mucha piratería de falsos expertos en protección de datos?
Las certificaciones son elementos muy útiles para dotar de transparencia al mercado y para ayudar en el proceso de toma de decisiones cuando de contratar los servicios de un profesional de la protección de datos se trata. Por ello, la Certified Data Privacy, así como otras que puedan coexistir con ella, si se establecen con criterios rigurosos y se gestionan con la debida seriedad –como sin duda es el caso de la CDP- pueden prestar un gran servicio para crear un mercado de sana competencia en el que haya elementos objetivos para decidir sobre la cualificación de los profesionales que operan en el mercado.
Por otra parte, no corresponde a las autoridades de control pronunciarse sobre la calidad de los servicios ofertados por unas u otras compañías. Son los responsables de ficheros los que han de valorar si un profesional satisface o no sus expectativas o los requisitos mínimos para realizar una labor adecuada.
¿Cuál es la clave de una buena política de seguridad en una empresa o institución y qué papel juega el asesor jurídico dentro de la misma?
La implantación de una buena política de seguridad se basa en la puesta en marcha de un conjunto de acciones, técnicas, legales y organizativas, que cooperan entre ellas para minimizar los riesgos de sufrir un incidente de seguridad. Pero, sin ninguna duda, el componente crucial para implantar una seguridad adecuada es el compromiso y el liderazgo de la dirección de la organización. Sin este respaldo, por muy buenos medios técnicos y cuantiosas inversiones que se realicen, por muy preparados y dedicados que sean los profesionales jurídicos y técnicos de la misma, no se conseguirá que la actitud correcta impregne a todos los estamentos de la organización.
Hablar de privacidad implica hacerlo de Internet, ¿qué medidas deberían tomar las redes sociales más conocidas para mejorar su política de protección de datos?
Recientemente, el Grupo de Trabajo europeo de Autoridades de Protección de Datos ha aprobado un documento analizando distintos aspectos de los tratamientos de datos personales que llevan a cabo las redes sociales y entre sus conclusiones principales figuraba la necesidad de que las mismas proporcionen información clara y completa a sus usuarios sobre la identidad del responsable, los tratamientos de datos que se realizan y su finalidad así como los posibles riesgos para la privacidad.
Igualmente, se les requería que, por defecto, se establecieran parámetros respetuosos con la privacidad, que se incluyera un enlace en la página inicial a un gestor de reclamaciones de privacidad, que se ajustara la actividad comercial a la normativa de protección de datos, que se establecieran plazos máximos de conservación de datos de usuarios inactivos y se garantizara la supresión de cuentas abandonadas.
Del mismo modo, también se pedían medidas especiales en relación con los menores -especialmente en la verificación de la edad-, la garantía de los derechos de acceso, rectificación, cancelación y oposición así como un sistema sencillo de tratamiento de quejas y reclamaciones.
Finalmente, a los usuarios se les recomienda que no introduzcan información de terceros sin el consentimiento de los mismos.
¿Cree que la indexación de los perfiles por parte de los buscadores es un elemento que habría que evitar por ser un riesgo evidente?
Siguiendo con la lógica expuesta en la pregunta anterior, la situación deseable sería que, por defecto, los perfiles creados en las redes sociales no fueran indexados por los buscadores y solo en el caso de que un usuario explícitamente así lo pidiera se produjera dicha indexación.
¿De qué manera se podrían controlar las posibles suplantaciones de usuarios y el exceso de información que el usuario incluye en su perfil personal?
La mejor herramienta para conseguir unos usuarios más conscientes de los riesgos que para su privacidad pueden tener los tratamientos que se llevan a cabo en las redes sociales es la formación y la concienciación de los mismos para que puedan tomar decisiones informadas acerca de qué información comparten y con quién lo hacen y, en este empeño, la labor de los medios de comunicación es imprescindible para hacer llegar este mensaje a todos los ciudadanos.
Por su parte, las redes sociales deben también contribuir adoptando las políticas que he mencionado en otras respuestas e intentando poner en marcha mecanismos para dar respuesta rápida a los casos de suplantación de personalidad que se producen.
Por último, ¿hay alguna forma de romper o equilibrar el binomio, protección de datos con libertad de información?
Tanto la libertad de información como la protección de datos son derechos constitucionales de todos los ciudadanos pero, como el resto de derechos, no son absolutos y, cuando se enfrentan, ha de buscarse el equilibrio adecuado para que ambos puedan subsistir y ninguno de ellos se vacíe de contenido. En esta labor, la tarea de las autoridades de protección de datos es de capital importancia ya que son las llamadas a establecer los criterios iniciales relativos a lo que debe ceder el derecho a la protección de datos en cada caso y, para ello, tener muy en cuenta la jurisprudencia de los Altos Tribunales para guiarlas en esa tarea. Y, por supuesto, como últimos garantes de los derechos de los ciudadanos, ante el caso de discrepancias insalvables entre las partes, serán los tribunales de justicia los llamados a encontrar este equilibrio.
