“Debemos
de
de
diferenciar
la
privacidad
como
concepto
de
cuando
es
un
problema.
En
primera
lugar
como
concepto
es
poco
tenida
en
cuenta
por
la
población.
Se
reciben
servicios
aparentemente
gratuitos
a
cambio
del
tratamiento
de
su
información
personal,
sin
ser
consciente
que
su
forma
de
pago
es
privacidad.
Muchas
veces
se
aceptan
las
condiciones
legales
sin
leerlas.
En
el
momento
que
tenemos
un
problema
es
cuando
le
damos
importancia
a
nuestra
privacidad”,
son
las
reflexiones
de
Ricard
Martínez,
presidente
de
APEP,
asociación
de
expertos
en
privacidad
que
hace
alrededor
de
este
28
de
Enero Dia
Mundial
de
la
Privacidad.
Con
él,
analizamos
el
entorno
que
vivimos
donde
da
la
sensación
que
los
Gobiernos
van
a
reforzar
la
seguridad
frente
al
terrorismo
yihaidista
sin
que
sepamos
de
qué
manera
puede
evitarse
la
merma
de
derechos:
“Este
contexto
es
bastante
complejo;
me
preocupa
que
se
tomen
decisiones
en
un
ambiente
de
poca
reflexión.
El
sentido
común
señala
que
las
fuerzas
de
seguridad
necesitan
herramientas
para
la
investigación
y
una
parte
de
lo
actividad
del
yihaidismo
y
otro
tipo
de
terrorismo
tiene
lugar
en
Internet
y
comunicaciones”,
apunta.
Y
aboga
por
una
proporcionalidad
de
la
respuesta
que
se
dé a
cualquier
amenaza
para
no
menoscabar
derechos
fundamentales.
En
primera
persona
“Este
Día
Internacional
de
la
privacidad
conmemora
el
Convenio
108/81
de
28
de
enero,
punto
de
partida
de
la
tutela
europea
de
la
protección
de
datos.
Hay
que
remontarse
al
Lander
Hest
cuando
en
1974
se
publica
la
primera
norma
sobre
privacidad.
Con
posterioridad
se
aprobó
la
ley
sueca
y la
Privacy
Act
de
1974
de
EEUU.
Con
posterioridad
hay
dos
recomendaciones
para
ficheros
públicos
de
1978
y 79
que
marcan
los
trabajos
del
Consejo
de
Europa
y
finalmente
ese
28
de
enero
de
1981
se
proclama
el
citado
Convenio
del
que
estamos
hablando
que
es
el
que
define
el
sistema
europeo
de
protección
de
datos.
Desde
APEP,
asociación
que
engloba
a
los
expertos
en
privacidad
a
nivel
nacional,
emitimos
todos
los
años
una
nota
de
prensa
y al
mismo
tiempo,
por
segundo
año
consecutivo
abrimos
nuestra
web
a
colaboraciones
de
asociados
y
terceros
que
reflexionen
sobre
esta
fecha.
Todo
ello
cristaliza
en
una
publicación
monográfica.
En
nuestro
caso,
para
nuestra
organización
el
28
de
enero
lo
celebramos
todo
el
año
con
esa
labor
de
fomento
de
la
privacidad
y de
estar
muy
cerca
del
mundo
de
la
empresa
y
los
ciudadanos
para
explicarles
los
cambios
que
se
generan
en
esta
actividad.
Este
28
de
enero
es
una
fecha
específica
que
sirve
para
poner
en
valor
lo
que
es
la
privacidad.
“
Sr.
Martínez,
Celebramos
este
28
de
Enero
con
cierta
inquietud,
los
Gobiernos
europeos
hablan
de
más
seguridad
pero
no
sabremos
si
estas
medidas
afectarán
a
derechos
fundamentales.
Este
contexto
es
bastante
complejo;
me
preocupa
que
se
tomen
decisiones
en
un
ambiente
de
poca
reflexión.
El
sentido
común
señala
que
las
fuerzas
de
seguridad
necesitan
herramientas
para
la
investigación
y
una
parte
de
lo
actividad
del
yihaidismo
y
otro
tipo
de
terrorismo
tiene
lugar
en
Internet
y
comunicaciones.
Nosotros
como
profesionales
debemos
analizar
esta
situación
y su
viabilidad.
Hay
que
darse
cuenta
el
Tribunal
Europeo
de
Derechos
Humanos
ha
definido
muy
bien
las
reglas
del
juego
en
un
entorno
de
este
tipo.
En
sus
resoluciones
ha
dejado
claro
qué
condiciones
se
admiten
para
restringir
el
derecho
a la
vida
privada.
“Si uno mira la LOPD y su artículo 2 excluye como competencias de la AEPD respecto de los ficheros creados contra la lucha antiterrorista y delincuencia organizada.” |
Tiene
que
ver
con
el
artículo
8
del
Convenio
y
las
excepciones
del
párrafo
segundo,
en
este
contexto
la
seguridad
ciudadana
y la
investigación
del
delito
son
una
de
ellas.
Otra
condición
señala
que
esta
situación
se
gestione
con
una
norma
del
rango
jurídico
suficiente
de
acuerdo
con
el
sistema
jurídico
del
que
se
trate.
Y la
tercera
que
es
la
más
relevante
tiene
que
ver
con
la
proporcionalidad.
La
medida
debe
ser
necesaria
en
nuestro
entorno
democrático
y la
más
adecuada
posible.
Llegado
a
este
punto
si
los
Gobiernos
necesitaran
ciertas
herramientas
para
investigar
e
indexar
sospechosos
de
corte
terrorismo,
lo
fundamental
será
tanto
cumplir
estos
requisitos
y al
mismo
tiempo
como
se
articulan
los
mecanismos
de
control
de
esta
metida.
Interesante
reflexión,
pero
es
evidente
que
es
necesario
este
tipo
de
control
para
que
la
privacidad
nuestra
esté
salvaguardada.
Claro
eso
es
fundamental.
Recuerde
que
el
año
pasado
el
TJUE
tuvo
un
fallo
importante
sobre
la
directiva
europea
de
conservación
de
datos
de
tráfico.
En
ese
fallo
se
habla
de
desproporcionado
el
carácter
de
esa
directiva
al
vulnerar
los
artículos
7 y
8 de
la
Carta
de
Derechos
Humanos
de
la
UE.
Y es
que
la
proporcionalidad
es
una
herramienta
a
tener
en
cuenta.
La
citada
directiva
indexaba
toda
la
población
sin
ninguna
distinción.
Con
este
fallo
delante
nuestros
gobernantes
deberían
poder
crear
un
sistema
lo
menos
invasivo
posible
y
que
ayudará
a la
finalidad
que
se
busca
de
identificar
sospechosos
o
investigar
delitos
cometidos.
Lo
esencial,
por
tanto,
es
que
se
defina
legislativamente
una
norma
europeo
de
cooperación
judicial
y
policial
en
este
tema
que
sea
muy
preciso
en
cuanto
al
tratamiento
de
la
información
y su
volumen.
¿Cómo
está
gestionado
este
asunto
en
nuestra
legislación
en
estos
momentos?
En
España
sigue
vigente
la
ley
25/2007
que
comparte
con
la
directiva
europea
de
conservación
de
datos
el
que
se
guardan
los
datos
de
todos
los
ciudadanos,
hace
algo
que
no
hace
dicha
directiva
y es
establecer
unos
controles
judiciales.
De
esa
forma
hasta
que
no
lo
diga
un
juez
no
se
acceden
a
esos
datos
de
las
comunicaciones.
Lo
fundamental,
por
tanto,
si
se
va a
tratar
una
información
es
en
qué
condiciones
se
va a
hacer
y
sobre
todo
los
controles
que
se
harán.
En
mi
opinión
personal
habría
que
diseñar
dos
tipos
de
controles,
uno
el
control
judicial
cuando
corresponda
previo
sobre
todo
en
el
tema
de
las
comunicaciones.
En
otros
casos
como
los
temas
de
videovigilancia
se
puede
poner
a
disposición
del
juez
en
setenta
y
dos
horas
con
posterioridad.
Al
mismo
tiempo
se
pueden
diseñar
controles
posteriores
mediante
audits,
informes
sobre
la
actuación
de
nuestras
fuerzas
de
seguridad
y
que
sean
debatidos
en
la
Comisión
de
Interior
del
Congreso
y
entidades
como
la
AEPD
o el
Defensor
del
Pueblo.
¿En
este
contexto
se
puede
deducir
que
nuestra
privacidad
está
amenazada?
Hay
que
matizar
bien
esta
respuesta.
Si
nos
situamos
en
el
caso
Snowden
con
escuchas
telefónicas
ordenadas
por
el
Gobierno
de
los
EEUU
la
realidad
indica
que
es
así.
El
Estado
procesa
nuestros
datos
sin
control
en
esta
situación
puede
hablarse
de
amenazas
a
nuestra
privacidad.
Ahora
el
control
a
nuestra
privacidad
pueden
hacerlo
operadores
públicos
como
privados.
No
podemos
olvidar
que
en
esta
sociedad
de
la
información
siempre
quedan
rastros
de
lo
que
hacemos.
Ahora
aunque
tenemos
más
conciencia
de
lo
que
es
la
privacidad
parece
que
no
tomamos
muchas
precauciones
de
lo
que
hacemos.
Solo
cuando
tenemos
un
problema
advertimos
la
importancia
de
ser
prudente
con
la
gestión
de
nuestros
datos
personales.
“La función del DPO, Data Privacy Officer, será clave en las empresas a medio plazo y órgano de interlocución con el regulador.” |
Nadie
duda
que
hay
amenazas
sobre
nuestra
privacidad
pero
va a
ser
complicado
evitar
los
riesgos
en
una
sociedad
cuyo
pilar
central
es
controlar
esa
información.
Lo
fundamental
es
contar
con
una
buena
regulación
que
legitimen
el
tratamiento
de
esa
información.
Estas
reglas
del
juego
adecuadas
serán
la
garantía
de
nuestra
libertad
y
del
a
protección
de
nuestra
privacidad.
No
podemos
demonizar
la
sociedad
de
la
información.
La
tenemos
ahí
y va
a
seguir
creciendo.
Lo
que
hay
que
hacer
es
crear
el
marco
legal
estable
que
sirvan
para
gestionar
cualquier
problema
que
surja
y
que
garantice
los
derechos
de
los
ciudadanos.
Lo
que
parece
preocupante
es
que
los
Gobiernos
estén
ocupando
el
papel
de
los
reguladores
de
protección
de
datos
en
Europa.
Si
uno
mira
la
LOPD
y su
artículo
2
excluye
como
competencias
de
la
AEPD
respecto
de
los
ficheros
creados
contra
la
lucha
antiterrorista
y
delincuencia
organizada.
Unicamente
hay
que
notificar
a la
Agencia
la
existencia
del
fichero
para
su
conocimiento.
En
este
caso
la
única
tutela
para
los
ficheros
es
la
tutela
judicial.
Lo
que
reivindicamos
los
expertos
en
privacidad
es
que
siendo
expertos
en
la
gestión
de
herramientas
que
ayudan
a la
gestión
de
la
privacidad
y su
trazabilidad
y
seguridad
de
los
tratamientos
se
tenga
en
cuenta
estos
criterios.
El
problema
no
es
tanto
que
el
Estado
procese
ciertos
datos
relevantes
sino
tener
una
normativa
que
permita
que
los
cuerpos
y
fuerzas
de
seguridad
actuando
de
modo
democrático
puedan
hacer
su
trabajo
sabiendo
los
ciudadanos
que
existirán
organismos
que
preservarán
su
libertad.
¿Será
posible
llegar
a
unos
criterios
generales
europeos
en
materia
de
seguridad
que
protejan
nuestros
derechos
fundamentales?
Ese
estándar
europeo
ya
se
estaba
trabajando
en
él.
Junto
con
la
propuesta
de
Reglamento
hay
una
propuesta
de
directiva
sobre
el
tratamiento
de
los
datos
en
el
ámbito
policial.
Ya
hay
un
camino
recorrido
y
una
decisión
de
la
UE
sobre
estos
temas.
Por
todo
ello
debería
poderse
lograr
esa
uniformidad
a la
que
usted
alude.
Lo
que
sucede
y no
hay
que
olvidarlo
y
por
eso
está
vigente
la
Ley
25/2007
y no
ha
desaparecido
tras
el
fallo
del
TJUE
sobre
directiva
de
conservación
de
datos
de
la
que
hablábamos
antes
es
que
esa
materia
la
competencia
sigue
siendo
estatal.
De
hecho
es
posible
que
tendrán
que
plantearse
algún
cambio
en
el
Tratado
de
Schengen
para
que
sea
más
flexible.
Sabemos
además
que
España
quiere
abanderar
el
tema
del
Registro
de
Pasajeros,
el
famoso
PNR
y
que
luego
se
convierta
en
directiva
europea.
Este
es
un
tema
delicado
del
que
se
carecen
datos
claros
sobre
su
funcionamiento.
Ni
siquiera
sabemos
las
personas
detenidas
por
el
Gobierno
de
EEUU
por
el
uso
de
esta
aplicación
tecnológica
llamada
PNR.
Sin
datos
no
se
puede
llegar
a
una
conclusión
al
respecto.
Creo
que
el
propio
Ministro
del
Interior
debería
aportar
datos
y
cifras
que
acreditasen
la
utilidad
de
este
programa
de
control
de
pasajeros.
Sin
embargo,
a
nivel
jurídico
para
adoptar
ese
tipo
de
medidas
hay
que
probar
que
sea
una
medida
adecuada,
eficaz
y
que
no
hay
una
medida
mejor.
Esa
es
la
mejor
manera
de
regular
estos
datos.
Mientras
tanto
en
España
se
va a
aprobar
un
Código
Penal
donde
hay
nuevos
tipos
relacionados
con
el
acoso
en
Internet
y la
difusión
de
videos
a
través
de
la
red.
Habrá
que
ver
como
se
articula
en
la
práctica
estos
nuevos
tipos.
De
todas
formas
aplicados
a
los
menores
siempre
hay
una
conducta
instrumental
previa
que
supone
apropiarse
de
información
personal.
En
otros
es
la
propia
explotación
personal
la
que
puede
causar
el
daño.
Hay
aspectos
graves,
como
los
videos
donde
se
afecta
la
intimidad
sexual
especialmente
de
la
mujer
y se
la
denigra,
videos
con
imágenes
de
menores
que
se
explotan
con
ciertos
fines
merecen
la
máxima
represión
de
nuestro
ordenamiento
porque
son
conductas
en
absoluto
tolerables.
En
este
nuevo
Código
Penal
espero
que
quede
bien
regulado
lo
que
se
entiende
por
suplantación
de
identidad
en
la
red.
Hay
que
darse
cuenta
que
puede
ser
un
elemento
para
cometer
un
delito.
Otro
tema
de
actualidad
tiene
que
ver
con
los
ciberataques.
Sabiendo
que
según
expertos
colegas
suyos
son
imparables:
¿Cómo
minimizar
los
riesgos
de
ellos?
Es
otro
tema
complejo,
hay
que
darse
cuenta
que
una
gran
parte
de
las
empresas
e
este
país
llegaron
al
concepto
de
seguridad
desde
la
LOPD
y de
su
primer
Reglamento
donde
se
hablaba
de
seguridad
con
carácter
normativo.
Los
expertos
en
protección
de
datos
sabemos
lo
importante
que
es
proteger
la
información.
Desde
la
perspectiva
del
cumplimiento
normativo
y
funcionamiento
del
negocio
hay
que
darse
cuenta
que
invertir
en
seguridad
es
algo
crucial.
En
este
contexto
se
trata
de
trasladar
esa
cultura
de
seguridad
tanto
a
los
usuarios
como
a
los
clientes.
En
EEUU
en
varios
estados
se
habla
de
la
notificación
obligatoria
de
quiebras
de
seguridad
al
cliente
final.
En
nuestro
caso
el
paquete
Telecom
de
directivas
lo
establece
para
esas
empresas
a la
vez
que
en
la
Propuesta
General
de
Reglamento
también
se
contempla.
Seguridad
es
un
concepto
de
carácter
integral
que
implica
a
los
sectores
públicos
y a
los
privados
y
una
mejor
colaboración
entre
ambos
sectores.
Además
habrá
que
ir
implicando
al
cliente
final
y a
personas
que
pueden
ser
claves
para
impulsar
nuestras
políticas.
Sobre
el
Privacy
By
design,
que
regulará
la
protección
de
datos
tras
la
aprobación
del
Reglamento,
¿será
posible
encontrar
esos
parámetros
europeos?
Hay
que
señalar
que
quien
esté
aplicando
la
normativa
europea
de
protección
de
datos
ya
está
cumpliendo
con
los
parámetros
del
Privacy
By
design.
Será
un
elemento
clave
para
el
negocio
en
los
próximos
años
y
que
dotará
a
los
procesos
de
tratamiento
personal
de
información
de
gran
calidad.
No
podemos
olvidar
que
el
uso
de
la
información
es
clave
para
tomar
decisiones.
Con
este
concepto
se
ganará
en
seguridad
jurídica
y en
seguridad
en
el
tratamiento
de
la
información
que
se
maneja.
De
ese
esfuerzo
solo
pueden
salir
beneficios.
Finalizamos
esta
conversación.
¿Qué
valoración
hace
de
los
nuevos
retos
de
Internet,
como
ve
Big
Data,
drones
o
Internet
de
las
cosas?
Son
retos
que
hay
que
abordar
con
prudencia.
En
esta
evolución
tecnológica
sin
límites
el
papel
de
los
expertos
en
privacidad
va a
ser
importante.
Se
trata
de
ver
como
se
contrasta
la
aplicación
de
la
tecnología
con
la
protección
de
los
derechos
de
los
individuos
donde
el
experto
en
privacidad
será
en
crucial.
La
respuesta
sobre
el
uso
de
estas
nuevas
aplicaciones
no
puede
ser
ni
blanco
ni
negro.
Habrá
que
ver
que
uso
se
hace
de
ella
y
que
controles
hay
para
asegurar
nuestros
derechos.
En
ese
escenario,
reitero
el
papel
del
experto
en
privacidad
será
más
relevante.
La
función
del
DPO,
Data
Privacy
Officer,
será
clave
en
las
empresas
a
medio
plazo
y
órgano
de
interlocución
con
el
regulador.
SUMARIOS:
|