Tag Archives: APEP

Taller APEP sobre «Cloud Computing»

Ayer se celebró en Madrid un Taller Práctico sobre Protección de Datos Personales en el «Cloud Computing», uno de los temas de moda en materia de protección de datos, organizado por la Asociación Profesional Española de Privacidad (APEP). El objetivo de la jornada era que facilitar que se pueda «discriminar, entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la LOPD, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia».

Manuel García Sánchez, de la Agencia Española de Protección de Datos, explicó las características esenciales del Cloud, así como los factores de impulso, las barreras para su adopción y los riesgos asociados, incidiendo en uno de los problemas fundamentales: la deslocalización. Manuel recomendó que la adopción de servicios de computación en nube se haga de forma gradual y planificada, analizando los riesgos que se asumen al elegir un determinado proveedor. Recordó que la responsabilidad del responsable del fichero no decae por su falta de poder negociador respecto del proveedor: siempre es necesario contar con el contrato que exige el artículo 12 de la LOPD y que el proveedor aplique las medidas de seguridad necesarias.

Jesús Rubí, Adjunto a la Dirección de la AEPD, nos recordó la intervención que ya realizó en la Sesión Anual Abierta de la AEPD de este año, insistiendo sobre las obligaciones de diligencia que son exigibles tanto para el responsable como para el encargado del tratamiento.

Con el objeto de cumplir con la obligación establecida en el artículo 20.3 del Reglamento de Desarrollo de la LOPD, Rubí explicó que la Agencia considera cumplido este requisito si el proveedor facilita al responsable documentación que acredite la realización de una auditoría, externa e independiente, sobre el cumplimiento de las medidas de seguridad.

Por último, Leandro Núñez, compañero de la APEP, abordó los problemas derivados de las transferencias internacionales de datos, tan habituales en la contratación de servicios de cloud computing. Desde una perspectiva práctica, analizó las distintas posibilidades: cláusulas contractuales tipo, Binding Corporate Rules, Puerto Seguro, etc. La conclusión principal es que en la práctica se presentan muchos problemas y es necesario un trabajo exigente para cumplir con las obligaciones que establece la LOPD y, en muchos casos, la autorización del Director de la Agencia.

Claves para identificar un proyecto adecuado de consultoría LOPD

La Asociación Profesional Española de Privacidad (APEP) ha publicado un documento dirigido a las empresas y profesionales interesados en contratar un servicio de consultoría de protección de datos, con el objetivo de que conozcan qué cuestiones han de tenerse en cuenta si se quiere disponer de un servicio integral y profesional.

El documento, disponible en la página web de la APEP, recoge las claves para acometer correctamente un proyecto de adecuación a la normativa sobre protección de datos. A modo de resumen:

Es necesaria la implicación, concienciación y participación del cliente.
La adecuación no es algo puntual, exige su continuación en el tiempo. La entrega de una documentación, sin más, tras rellenar unos cuestionarios, no es una adecuación.
La consultoría requiere de formación y concienciación por parte de todo el personal de la empresa con acceso a datos de carácter personal.
La adaptación puede requerir cambios en la empresa respecto a actuaciones incorrectas.
La adaptación a la LOPD no se soluciona con «copiar y pegar», debe adaptarse a la empresa en cuestión, no hay soluciones válidas universales. Hay que conocer correctamente la realidad de la organización, para lo cual es necesario en la mayoría de los casos que el consultor visite presencialmente la empresa.
El consultor debe tener formación específica especializada (másters, cursos de postgrado, cursos de especialista) o disponer de una certificación, como la Certificación ACP de la APEP.
El cumplimiento ha de ser real, no meramente formal o documental.
La consultoría de calidad tiene costes: ni gratis ni a precios por debajo del mercado, ni a través de fraudes como el del coste cero.

I Congreso Nacional de Privacidad

El pasado 19 de mayo se celebró el I Congreso Nacional de Privacidad, organizado por la Asociación Profesional Española de Privacidad. Se trata del primer gran encuentro de profesionales del sector a nivel nacional. Desde mi punto de vista, fue un encuentro muy provechoso, fundamentalmente por la posibilidad de comentar aquellos aspectos relacionados con nuestra profesión.

Se trataron asuntos relacionados con el fraude del “coste cero”, el intrusismo, la necesidad de formación, etc. En relación con esto, debe hacerse mención a la intervención de Ricard Martínez, profesor de Derecho Constitucional de la Universidad de Valencia, que habló de estos temas y de los retos de futuro que deben afrontar los profesionales de la privacidad.

Rosa Barceló, asesora del Supervisor Europeo de Protección de Datos nos contó por dónde van los tiros en el desarrollo de la modificación de la Directiva 95/46/CE, de protección de datos, la cual, por lo que nos transmitió, no estará aprobada antes de 2013. También resultó interesante la mesa redonda sobre protección de datos y medios de comunicación, en la que se comentó, fundamentalmente, el tan de moda “derecho al olvido“.

Por su parte, Pablo Pérez San José, gerente del Observatorio de Seguridad de la Información de Inteco, en una interesante ponencia, comentó las amenazas a la privacidad que pueden suponer las, por otra parte muy útiles, etiquetas RFID. Otra intervención muy didáctica y destacable fue la del magistrado Ricardo Bodas Martín, quien desgranó y repasó los precedentes jurisprudenciales que afectan a la normativa sobre protección de datos en las relaciones laborales.

En definitiva, un muy interesante encuentro que esperemos que se repita y que sirva no sólo como evento de conocimiento, sino también para la reivindicación de actuaciones profesionales de calidadrelacionadas con la protección de datos de carácter personal.