“Sólo el 10% de las empresas europeas podrían cumplir con la nueva normativa de protección de datos”
Leopoldo Mallo, director general de Alcatraz Solutions, expertos en cumplimiento normativo, profundiza en esta entrevista en las implicaciones de la nueva ley de protección de datos propuesta por Europa.


A primeros de año la Unión Europea anunciaba una revisión de la Ley de Protección de Datos del Viejo Continente. Se exige más control de los datos y se contemplan cuantiosas multas para los que no cumplan con una propuesta que pocas empresas europeas estarían en condiciones de cumplir.

En su calidad de expertos en cumplimiento normativos, la empresa Alcatraz Solutions ha sido la única de las contactadas en poder cumplimentar un cuestionario que la redacción de ChannelBiz elaboró consciente de los cambios que muchas empresas van a tener que adoptar para poder cumplir la nueva propuesta de ley.

- ¿Cuáles cree que son los objetivos de la Comisión Europea con estas revisión?
Entendemos que la Comisión Europea pretende con esta revisión unificar el régimen sancionador, en aras de hacer una normativa sobre protección de datos mucho más regulada y normalizada. Actualmente existen 27 países en la Unión Europa y 27 leyes distintas, dado que cada país puede aplicar la singularidad del mismo a su propia Ley, lo que provoca que no existan dos iguales. Entiendo que esto preocupa a la Comisión Europea y de ahí esta propuesta de cambio.

- ¿Cree que es necesaria una revisión?
Basándome en la anterior respuesta, Sí, es necesario unificar el criterio existente sobre Protección de datos en los diferentes países de la Unión Europea y esto es un paso más hacia ello.

- ¿Cree que la nueva directiva es demasiado exigente con la empresa sin poner límites a los usuarios, que son quienes libremente ceden sus datos?
La normativa sobre protección de datos tiene por objeto garantizar el poder de disposición y el control por parte de los interesados –titulares de los datos- en relación al tratamiento que de sus datos hagan las organizaciones de índole pública o privada. Es como consecuencia de este contenido que los interesados deben consentir y estar debidamente informados sobre el tratamiento de sus datos, puesto que son ellos los únicos capacitados para disponer de los mismos. Es por esta razón que las empresas deben garantizar la seguridad de la información que el interesado les ha autorizado a utilizar y, es también por este motivo, que debe informársele sobres las violaciones de datos (brechas de seguridad) que se produzcan en relación a dichos tratamientos, ya que puede ser un criterio determinante a la hora de decidir contratar con una organización u otra, y por tanto autorizarla para tratar sus datos.

El problema principal del texto de la propuesta es que es demasiado generalista y está supeditado a su concreción a través de actos delegados de la Comisión, a través de los cuales, esperemos, se module y defina con mayor claridad el régimen de obligaciones aplicables a responsables y encargados del tratamiento; entre ellas, que se concrete en qué casos debe comunicarse una brecha de seguridad, ya que realizar dicho trámite para cualquier “incidencia” que se produzca en relación a los sistemas de información que tratan los datos de carácter personal supondría una carga administrativa innecesaria e injustificada, sobre todo si se tiene presente que una de las finalidades del Reglamento propuesto podría ser simplificar los trámites exigibles para el cumplimiento de esta normativa.

- ¿Cambiaría alguno de los puntos de la nueva ley? ¿Quizá las multas?
Creo que no es tanto entrar a valorar si las sanciones son las adecuadas o no, lo que si es cierto, es que dependiendo de los países, el que exista sanción es un elemento “motivador” para que las empresas se adapten, quizás no sea lo más adecuado, pero es una manera de hacer que esta Ley se cumpla. La idea de esta propuesta es endurecer las sanciones, sobre todo a las empresas multinacionales, de ahí la propuesta del 2% de la facturación mundial de la Compañía.

- Las nuevas propuestas, ¿nos asemejan más con la directiva de protección de datos de Estados Unidos?
No. Actualmente en los Estados Unidos no existe propiamente una normativa sobre protección de datos personales de carácter integral. La protección ofrecida por la legislación norteamericana es parcial, en cuanto que  se extiende sólo a la protección del individuo contra la intrusión del gobierno y, por tanto, no regula el uso de la información por el sector privado en general, sino por sectores concretos que ha sido regulados por leyes federales diferenciadas.  Recientemente la Casa Blanca ha lanzado un proyecto de ley sobre la Privacidad como Derecho de los Consumidores, en el que se regulan un conjunto de principios reguladores sobre cómo las empresas deben manejar la información personal de los consumidores.

Este proyecto de ley es bastante controvertida desde el momento que no tiene fuerza coactiva de ningún tipo, se prevén derechos y principios de actuación que deben implantarse por la entidades privadas pero no se prevé ninguna sanción si sus preceptos se incumplen. Además sólo protege la información de las personas físicas únicamente en tanto tengan la condición de consumidores, haya una relación comercial con la entidad que trata la información, no con carácter general, con cualquier interesado. Otra característica reseñable de esta norma es que el derecho de cancelación no tiene el mismo contenido que en el ámbito europeo, ya que la entidad podrá seguir tratando la información si considera que sigue siéndole de utilidad aunque el consumidor se dé de baja del servicio de que se trate. Por otro lado, a nivel estadounidense, también debe tenerse presente el proyecto de ley conocido como CISPA, que supone que el gobierno pueda recabar datos en la red de cualquier ciudadano en el país; esta injerencia se legitima, entre otros argumentos, por la persecución de la delincuencia cibernética o ciber-delincuencia (definida como cualquier delito que implique interrupción en la red, hacking o piratería además de cualquier violación de la CFAA).

Realizando un análisis comparativo de la normativa europea y la estadounidense no puede entenderse que con la aprobación de la propuesta de Reglamento presentada por la Comisión, Europa se aproxime a las leyes federales de EEUU. Nuestra normativa persigue garantizar el poder de disposición y control de los interesados sobre sus datos, a diferencia de la legislación norteamericana que tiene como objetivos la seguridad del Estado a cualquier precio y permitir el uso de la información mientras ésta sea útil para la entidad que la trata vaciando de contenido el principio de calidad.

- La Unión Europea se propone proteger los datos de los ciudadanos europeos aunque estén en Estados Unidos. ¿Cómo cree que será posible?
De igual forma que sucede en otras materias, en las que podrían aplicarse diversas legislaciones nacionales o ser competentes diferentes foros, deberá resolverse mediante la aplicación de las normas de derecho internacional. Si la controversia se planteará en alguno de los Estados de la Unión, se aplicaría el Reglamento General de Protección de Datos de conformidad con el ámbito previsto en su articulado, según el cual “el presente Reglamento de aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados ; o con el control de su conducta”.

La resolución o sentencia que se dictase y tuviese que desplegar efectos en un Estado no miembro, debería ser reconocida o ejecutada por las autoridades competentes en el país de que se trate de conformidad con su ordenamiento jurídico. En el caso de Estados Unidos como quiera que no existe ninguna obligación por parte de los tribunales estatales y federales en cuanto a reconocimiento automático de sentencias extranjeras, ni existen tratados o convenios internacionales firmados ni ratificados en la materia, habría que estar a las normas de cortesía internacional y al principio de cosa juzgada.

- ¿Qué supone esta nueva normativa para los proveedores de cloud?
Los proveedores de servicios en la nube son por definición encargados del tratamiento y la propuesta de Reglamento incrementa las garantías que éstos deben de cumplir en relación al tratamiento de datos personales por cuenta del responsable del tratamiento. Actualmente, además de implantar las medidas de seguridad necesarias para garantizar la seguridad de la información que tratan, deben suscribir el pertinente contrato de acceso regulando las condiciones del tratamiento que desarrollarían en nombre del responsable y, en su caso, detallar dichos tratamientos en su documento de seguridad. Con la propuesta comunitaria, asumen nuevos deberes, como la conservación de la documentación asociada a la gestión de la protección de datos, de forma que por cada tratamiento que realicen deben conservar la información mínima descrita en el Reglamento, o la necesidad de realizar una  evaluación de riesgos para determinar las medidas apropiadas para garantizar un nivel de seguridad adecuado; o, designar un delegado de protección de datos en los casos previstos por la norma comunitaria, etc. Además el régimen sancionador podrá aplicársele directamente, no sólo por un incumplimiento de las instrucciones recibidas por el responsable, sino por la comisión de cualquiera de las conductas tipificadas como sancionable (p.ej. no conservar la documentación que hemos comentado anteriormente podrá sancionarse con multa de hasta 500.000 euros o, si se trata de una empresa, de hasta el 1% del volumen de negocios anual a nivel mundial).

- ¿Qué país europeo cree que a fecha de hoy estaría más cerca de la ley con las nuevas propuestas?
Lamentablemente no podemos identificar España como país europeo cree que a fecha de hoy estaría más cerca de la ley con las nuevas propuestas. Partiendo de que la nueva propuesta prevé figuras como el Delegado de Protección de Datos, que es una institución que hasta de día de hoy no era obligatorio ni había sido previsto en la mayoría de legislaciones de los Estados Miembros de la Unión Europea, podríamos identificar como países más próximos a Alemania y Países Bajos, que sí han previsto este tipo de figuras (La primera referencia normativa de la institución, aplicada al régimen jurídico del tratamiento de datos personales, la encontramos en la Ley Federal de Protección de Datos de la República Federal Alemana de 1977, en la cual cada departamento administrativo o empresa privada que procesaba datos nominativos debía designar un comisario de protección de datos dependiente de la entidad tratante, con formación profesional calificada, quien velaría por la observancia de la ley, sin quedar sujeto a instrucciones superiores para tal fin).

Asimismo, aquellas organizaciones con una tradición en materia de gestión de seguridad de la información, en los términos previstos por la ISO/IEC 27001, siempre estarán más próximas al cumplimiento de estas propuestas ya que la misma introduce conceptos propios de este sector de actividad, como es el análisis de riesgos.

-  A fecha de hoy, ¿cuántas empresas europeas cree que podrían cumplir la nueva directiva? ¿cuántas serían capaces de detectar una brecha de seguridad?
Según la memoria emitida por la AEPD en relación a las actividades desarrolladas en el año, el porcentaje de cumplimiento de la normativa sobre protección de datos a nivel español, actualmente se sitúa entorno al 18%. En este sentido, teniendo presente que dicho porcentaje se refiere a la legalización de ficheros, no a la gestión de la seguridad propiamente y, por tanto, a la detección y resolución de incidencias o brechas de seguridad, puede concluirse que dicho porcentaje será bastante inferior al indicado. Estas cifras pueden extrapolarse al resto de Estados miembros, de forma que podría concluirse, teniendo en cuenta la existencia de otras normas aplicables y la propia evolución de esta materia en cada Estado, que alrededor del 5-10% de las empresas europeas podrían empezar a implantar la propuesta de Reglamento.

Existen estudios y/o encuestas realizadas por varios organizaciones públicas y privadas, como Iron Mountain y PwC., entre otras, en las que se analizan por ejemplo el grado de gestión de la seguridad de la información confidencial a nivel europeo, siempre en un porcentaje superior al 50% de los encuestados se detecta una mala gestión; bien por desconocimiento de la producción de incidencias, bien por falta de supervisión de las medidas de seguridad definidas con carácter preventivo para evitar su producción, bien por la falta de formación de los sujetos intervinientes en su gestión.

- ¿Cree que la directiva será una oportunidad de negocio para las empresas de seguridad?
Por supuesto que sí. Es un mercado que tiene mucho por hacer. No sólo la Protección de Datos es un mercado potencial importante, piensa que sólo en nuestro país estamos hablando de un mercado potencial, tan sólo en Pymes, de más de 1.300 millones de euros, pero el negocio más importante es todo lo que rodea al cumplimiento de esta Ley, en este y en cualquier país.

Las empresas de consultoría o seguridad tecnológica tienen mucho trabajo, colaborando con las empresas, en la adaptación de las medidas adecuadas para el cumplimiento de la normativa de Protección de datos.

URL:http://www.channelbiz.es/2012/05/08/solo-el-10-de-las-empresas-europeas-podrian-cumplir-con-la-nueva-normativa-de-proteccion-de-datos/

FUENTE:ChannelBiz

8 de Mayo de 2012

Primacía del Derecho Comunitario

Nulidad del artículo 10.2.b del Real Decreto 1720/2007 que desarrolla la Ley Orgánica de Protección de Datos
Se plantea ante la Sala de lo Contencioso-Administrativo del Tribunal Supremo por la Federación de Comercio electrónico y Marketing Directo recurso contencioso-administrativo contra el Real Decreto 1720/2007 que desarrolla la Ley Orgánica de Protección de Datos (en adelante L.O.P.D.), interesando la nulidad de diversos artículos del citado Real Decreto.



El Tribunal Supremo dictó un auto por el que planteó diversas cuestiones prejudiciales a resolver por el Tribunal de Justicia de la Unión Europea.

El Tribunal de Justicia de la Unión Europea resolvió, diciendo que la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995 relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de éstos datos, debe interpretarse en el sentido de que es contraria a toda normativa nacional de los Estados miembros el que cuando sea necesario el tratamiento de datos personales para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el/los tercero/s a los que se comunique los datos, se exija, si no hay consentimiento del interesado, no sólo que se respeten los derechos y libertades de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo categóricamente todo tratamiento que no figure en dichas fuentes.

También declara que el artículo 7 f) de la Directiva 95/46/CE tiene efecto directo ante los Estados miembros de la Unión Europea.

Ante esta resolución del Tribunal de Justicia de la Unión Europea  el Tribunal Supremo dicta sentencia en la que no cuestionándose la primacía del Derecho Comunitario declara la nulidad del artículo 10.2.b del Real Decreto  1720/2007 de desarrollo de la L.O.P.D. al establecer este apartado exigencias adicionales para habilitar el tratamiento de datos previsto en el artículo 7 f) de la Directiva.

También se declara incompetente para derogar lo dispuesto por el art. 6.2 de la LOPD.

En resúmen, la circunstancia  de que los datos figuren en fuentes accesibles al público se considera un requisito adicional no permitido por la normativa comunitaria.

La consecuencia práctica de esta anulación es que ya no se requiere que los datos figuren en fuentes accesibles al público para tratar datos sin consentimiento. Sin embargo, debe realizarse en cada caso una ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Si realizada esa ponderación prevalece el interés del responsable, podrán tratarse los datos sin consentimiento; si prevalecen los derechos afectados del interesado, no se podrá.

FUENTE:Legal Today

El número de ficheros inscritos es muy pequeño
La protección de datos ocupa un lugar todavía secundario para las empresas


Cuatro años después de la entrada en vigor del Reglamento que desarrolla la Ley Orgánica de Protección de Datos (LOPD) todavía son muchas las empresas para las que este apartado de su quehacer diario sigue ocupando un lugar secundario, como lo refleja que a 30 de abril de 2012 tan sólo 99.370 entidades de titularidad privada de Castilla-La Mancha habían inscrito ficheros de carácter personal en el Registro General de Protección de Datos

Una cifra pequeña si se tiene en cuenta que prácticamente todas las empresas y autónomos, por no decir el cien por cien, manejan algún dato susceptible de comunicarse con carácter obligatorio a este Registro.

Y es que cualquier información que permita identificar a una persona (nombre y apellidos, DNI, teléfono, dirección física o electrónica, matrícula de coche, imagen, etc.) y que se recoja, por ejemplo, mediante un formulario de alta de usuario o cliente, se grabe en una aplicación informática, se conserve almacenada, se consulte, comunique o permita el acceso a terceras partes se considera tratamiento de datos personales y está sujeta al cumplimiento de la Ley Orgánica de Protección de Datos (LOPD).

En función de si dispone, o no, de un sistema que garantice la protección de esa información la broma puede salir por una multa que va de los 900 a los 600.000 euros (la media está en 60.000 euros).

A pesar de las cuantías de las sanciones, sólo un 18% de las empresas españolas (591.727) está adaptado a la LOPD. Según el Directorio Central de Empresas, el número de empresas existente en España a 1 de enero de 2010 se elevaba a 3.287.374 (el 99,98% de ellas pequeñas y medianas, pymes), por lo que realmente no llegan a 600.000 las empresas que están adaptadas a la normativa y disponen de un sistema para proteger los datos personales de sus clientes, trabajadores, asociados, etcétera.

Distribución geográfica
Por Comunidades Autónomas, Cataluña (con 164.045 empresas adaptadas), Madrid (125.896 empresas), Andalucía (con 101.187 empresas) y Valencia (con 91.577 empresas) son las que suman más unidades productivas adaptadas a la normativa que legisla la protección de datos.

No obstante, el porcentaje de empresas que cumplen con la LOPD en estas comunidades se queda en el 27%, para la de Cataluña; 25% en la de Madrid, 20,3% en la de Andalucía, y un 26% en Valencia. Un dato preocupante si se tiene en cuenta que entre estas cuatro comunidades están ubicadas casi el 60% de todas las pequeñas y medianas empresas de España.

Por lo que respecta a nuestra región, el número total de empresas que cumplen con la LOPD es de 24.625, lo que representa un 18,69%. Por provincias destaca en su grado de cumplimiento Albacete, con 7.519 centros productivos adaptados a la Ley Orgánica de Protección de Datos (un 27,60%), siendo Ciudad Real la que tiene un porcentaje menor, con 7.208 empresas (un 15,49%).

Durante el ejercicio 2010 se adaptaron 8.658 empresas en toda la Comunidad, lo que supuso un incremento del 54,22%.

La media de incorporaciones de las empresas al cumplimiento de la LOPD durante 2010 por Comunidad Autónoma fue del 45,65%. La Ciudad Autónoma de Melilla fue, con 224 empresas adaptadas durante 2010, la que alcanzó un mayor porcentaje, un 135%, de incorporaciones a la Ley Orgánica de Protección de Datos durante ese ejercicio. Le siguen Murcia, con un 59%; Ceuta, con un 58% y Andalucía, con un 56%.

Por contra, Cataluña, con un 19,8%, fue la región en la que menos centros productivos se adaptaron durante 2010 a la LODP.

URL:http://eldiadigital.es/not/52189/la_proteccion_de_datos_ocupa_un_lugar_todavia_secundario_para_las_empresas/es/

FUENTE:eldiadigital.es

Desde que fue publicado el servicio Street View de Google en 2007. que consiste en mostrar imágenes captadas a pie de calle desde las cámaras montadas sobre automóviles sobre las imágenes de fondo que son captadas vía satélite que componen los mapas de Google. ha sido objeto de polémica porque a través de ese servicio se captan y publican imágenes y situaciones en muchos casos no deseadas.

De esta forma, en diversas ocasiones Google ha sido requerida por las autoridades de Protección de Datos de la Unión Europea en relación al tiempo de conservación de las imágenes, los datos e imágenes que captan, lugares, finalidad y medios para conseguir eficazmente la eliminación.

Actualmente, la alarma ha saltado en EEUU como consecuencia de la investigación e informe realizado por la FCC (la Comisión Federal de Comunicaciones de EEUU) en el que se asegura que Google es consciente de la recopilación de datos de carácter personal tan importantes como contraseñas, e-mails que obtiene a través de redes wifi abiertas, así como recopilación de datos de los historiales de navegación en buscadores y correos electrónicos personales que se envía a través de redes que carecen de seguridad. (nota citar la fuente de la noticia de EL MUNDO O DE LA AGENCIA EFE)

Hechos estos que de ser ciertos serían gravísimos ya que no solo supondría una violación del derecho a la intimidad, sino un delito contra el secreto de las comunicaciones, entre otros.

En España, la Ley Orgánica 1/1982 de 5 de mayo de Protección civil de derechos al honor, Intimidad personal y propia Imagen garantiza en su artículo 1 la protección de estos derechos considerados fundamentales en el artículo 18.1 de la CE frente a todo género de injerencia o intromisiones ilegítimas.

Por otro lado, los artículos 5 y 6 de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal establecen la necesidad de contar con autorización del interesado para el tratamiento de sus datos de carácter personal, así como de que se le informe de la finalidad de dicho tratamiento y período de conservación de los datos, no encontrándose el tratamiento que se pude hacer a través de este servicio en las excepciones previstas en el número 2 del artículo 6.

Aunque la captación de imágenes se realice en sitios públicos y se utilicen técnicas de anonimización de imágenes de personas y se retiren a petición del interesado una vez sean publicadas, a mi entender no es suficiente para garantizar los derechos que se ven afectados pues viendo las imágenes se identifica claramente a las personas por otros datos o circunstancias asociados y porque el consentimiento es previo a la publicación de la imagen.

Por último habrá que tener especial atención con los menores respecto de los que se necesitará contar con autorización de los padres o sus tutores.

Todo ello, entiendo, ha motivado que la Agencia Española de Protección de Datos esté especialmente preocupada y haya tomado la iniciativa de publicar la nota en su página web,en relación a la nueva campaña de captación de imágenes en diversas provincias españolas por los vehículos del servicio de google street view y requerir a google que informe con carácter previo sobre el tipo de datos que serán recogidos, la finalidad de la recogida, lugares y períodos de conservación de los datos personales recogidos en las imágenes, los procedimientos para anonimizar los datos y para su eliminación.

FUENTE:diariojurídico.com