Crónica de la XIX Jornada Internacional de Seguridad de la Información

Crónica de la XIX Jornada Internacional de Seguridad de la Información

Celebrada el 11 de mayo en Madrid, en esta jornada pudimos escuchar a algunos de los máximos representantes españoles y europeos del sector de la protección de datos y la ciberseguridad

El pasado 11 de mayo se celebró la XIX Jornada Internacional de Seguridad de la Información en el Círculo de Bellas Artes de Madrid, organizada por ISMS Forum.

Durante la jornada, intervinieron expertos, profesionales y representantes institucionales del sector de la seguridad de la información y protección de datos que analizaron temas de actualidad como, las notificaciones de violaciones de datos en el seno de la empresa, la estadística actual de los ataques informáticos a los sistemas de seguridad de las mismas, el ya por todos conocido Reglamento General de Protección de Datos (RGPD), el Privacy Shield o la publicación del Código de Buenas Prácticas en Protección de Datos para proyectos de Big Data.

Ponentes como Giovanni Buttarelli, Supervisor Europeo de Protección de Datos, o Isabelle Falque-Pierrotin, Presidenta del Grupo de Europeo de Protección de Datos del artículo 29 (GT29), y a nivel nacional, el INCIBE (Instituto Nacional de Ciberseguridad de España) o Mar España, Directora de la Agencia Española de Protección de Datos (AEPD), pusieron de manifiesto, entre otros, los siguientes temas:

  • Los riesgos y amenazas que conlleva la automatización y digitalización de procesos en el seno de una organización.
  • La ciberseguridad como eje fundamental y garantía de la transformación digital en las empresas y en la sociedad.
  • De qué manera la instauración del Big Data hace necesario unos servicios a medida.
  • La evolución del Data Center Corporativo o CPD (Centro de Proceso de Datos).
  • El hecho de que fenómenos como IOT (Internet of Things) o la Inteligencia Artificial supondrán una revolución tecnológica, destacando la importancia de conocer su alcance e implicaciones en materia de seguridad y privacidad.
  • Las implicaciones prácticas que conllevará para el sector empresarial las notificaciones de las brechas de seguridad y su impacto en el negocio.
Intervención de Isabelle Falque-Pierrotin, presidenta del GT29

Con respecto al Reglamento General de Protección de Datos (RGPD), la presidenta del GT29, advirtió que se encuentran trabajando activamente para implementar el nuevo marco legal europeo en consonancia con las distintas Autoridades Europeas, evitando de esta forma que se produzca una disparidad o diferencias significativas entre ellas en cuanto a la interpretación del texto normativo.

Falque-Pierrotin comentó que, en concreto, están estudiando sobre asuntos como el sistema de certificación, la elaboración de perfiles y cuestiones que se suscitan en relación con el consentimiento de los interesados. También adelantó que están elaborando unas guías para responsables y encargados sobre el RGPD.

Asimismo advirtió sobre las posibles implicaciones que van a tener los Delegados de Protección de Datos (o DPO, por sus siglas en inglés) para cumplir con el principio de “Accountability” y el cambio de paradigma para las Autoridades de Protección de Datos ya que ha habido un incremento de casos con impacto internacional y no solo nacional.

El GT29 es plenamente consciente de este cambio paradigmático y de la gran “revolución” que supone la entrada del RGPD y puso de manifiesto la necesidad de aprovechar este tiempo previo antes de mayo de 2018 para adaptar cuanto antes el nuevo esquema normativo.

Por último, la presidenta opinó que el Privacy Shield, a pesar de suponer una mejora en comparación con el antiguo Safe Harbour, se muestran preocupados por la necesidad de concretar los compromisos de Estados Unidos en este sector a raíz de la última elección presidencial. En palabras de la presidenta del GT29 “es esencial que contemos con el apoyo de EEUU para demostrar eficiencia en el Privacy Shield”.

Intervención de Giovanni Buttarelli, Supervisor Europeo de Protección de Datos

Por su parte, el Supervisor Europeo de Protección de Datos incidió sobretodo en la necesidad de colaborar con las distintas Autoridades Europeas en cuanto a la aplicabilidad del RGPD.

Buttarelli destacó la importancia de la seguridad como factor clave que se traduce en la calidad de la empresa debiendo no solo centrarnos en la protección de los derechos fundamentales ya que según dijo el Supervisor “la seguridad es primordial para la regulación de los datos”. También consideró que nuestra normativa era exigente y más estricta que antes, en donde la mayor preocupación de la protección de datos, a su entender, se encuentra en las transferencias internacionales de datos.

Por último, defendió la necesidad de evitar la improvisación a la hora de aplicar las normas y analizar cuanto antes las formas de cumplir con el principio de “Accountability” o responsabilidad proactiva que parte de la premisa del deber de demostrar que efectivamente se cumple con la norma. “Debemos ir más allá del mero cumplimiento, no es una lista cerrada de obligaciones” decía Buttarelli. Asimismo, opinó que debemos guiarnos fundamentalmente por las directrices del GT29 y así intentar minimizar al máximo la burocracia.

Intervención de Mar España, Directora de la AEPD

La Directora de la AEPD, centró sobretodo su intervención en la elaboración del Código de Buenas Prácticas en Proyectos de Big Data y, aunque el mismo ya está disponible en la web de la AEPD, dio algunas pinceladas respecto al mismo. Os comentamos algunas:

  • No se trata de una guía teórica, sino eminentemente práctica y basada en la experiencia.
  • Ofrece distintos planteamientos o formas de entender los procesos de Big Data, no solo teniendo en cuenta los beneficios que produce el fenómeno sino que se revelan los riesgos y dificultades que se plantean hoy en día en esos casos. Por ejemplo, hasta dónde llega el principio de transparencia o el principio de información al ciudadano en los casos en que los datos puedan ser inexactos.
  • Uno de los propósitos de dicho Código es que el tratamiento de Big Data esté en consonancia con los derechos y libertades de los ciudadanos y la LOPD para evitar un tratamiento distorsionado de datos y que ello pueda producir discriminación o estigmatización en los interesados y que ello pueda terminar afectando los resultados del proceso.
  • En la guía se definen los principios para legitimar el tratamiento en los procesos de Big Data, teniendo en cuenta, por un lado que el RGPD considera inválido consentimiento tácito y por otro lado, los casos en los que existe un interés legítimo. En es sentido, el Código define las posibles limitaciones a tener en cuenta cuando se declare un interés legítimo en función de los derechos y libertades de los ciudadanos.
  • Por otro lado, la Directora enumeró algunos aspectos en los que el RGPD puede influir en los procesos de Big Data, como son:
    • Es importante definir cuándo estamos ante un interés legítimo en estos procesos teniendo en cuenta la ponderación de los derechos e intereses de los ciudadanos.
    • El RGPD habilita a que los Estados miembros regulen las condiciones para el tratamiento de los datos sensibles.
    • En cuanto a las medidas de seguridad, el RGPD cambia sustancialmente con respecto a la anterior normativa. Como sabemos, las medidas ya no vendrán tasadas, lo que, a juicio de la Directora, supone flexibilidad para las grandes empresas a la hora de llevar a cabo procesos de Big Data. De esta manera, pueden hacer un análisis adaptado al proceso concreto e instaurar las medidas y evaluación de impacto acordes a su organización. La Directora apuntó que de esta manera se evitaba que el marco normativo quedará desfasado.
    • Se subrayó el derecho a la protección de datos como valor fundamental a la hora de obtener beneficios en procesos de Big Data.
    • Puso de manifiesto la necesidad de cumplir en este tipo de procesos con el principio de minimización de los datos de forma conjunta con el principio de proporcionalidad ya que a mayor volumen de datos mayor riesgo para los derechos y libertades de las personas.

Por otra parte, Mar España informó de que el GT29 está trabajando en la elaboración de un mecanismo de certificación para los DPO (o Data Privacy Officer) que aunque no siendo de carácter obligatorio, sí aportará seguridad jurídica a las empresas que necesiten contratarlo.

También nos recordó que el RGPD establece mecanismos de pseudonimización que, además, facilitan el cumplimiento de las obligaciones del Responsable y Encargado del tratamiento. En caso de que el tratamiento de los datos no esté basado en el consentimiento del individuo, la pseudonimización puede ayudar a que dicho tratamiento sea lícito con base legal en un fin de interés legítimo. Pero según comentó Mar España, este mecanismo no justifica la falta de medidas de seguridad ni la ausencia de información a los interesados o, en su caso, de su consentimiento.

Por otro lado, desde la AEPD se está trabajando para poder facilitar a los responsables y encargados herramientas para las evaluaciones de impacto y los análisis de riesgo de las empresas, estableciendo en las mismas diferencias según se trate de pymes o multinacionales.

Asimismo, están alineando esfuerzos y colaborando con el sector privado y público, así como con instituciones como la AEAT o la TGSS.

Conclusión

Podemos concluir que en el foro se adivinó una gran actividad y actitud colaborativa entre las principales instituciones nacionales y europeas en torno a la implementación del RGPD, ya que se deduce un intento constante de unificar la interpretación y aplicación de los distintos retos y cuestiones que se van planteando sobre la citada norma.

En definitiva, el Foro ha puesto de manifiesto la constancia y conciencia que tienen actualmente las empresas e instituciones alrededor de la aplicación y protección de la privacidad de los datos.

Lara Puyol

Departamento Legal

Galería de fotos