Para el director de la AEPD, José Luis Rodríguez Álvarez, que este lunes 29 presenta la «Guía sobre el uso de cookies», con ADigital y la IAB, es más importante que nunca compatibilizar la garantía del derecho a la privacidad con la promoción del desarrollo tecnológico y la actividad económica”. Rodríguez Álvarez calificó en la 5ª sesión al cloud computing como «un paradigma de prestación de servicios que exige clarificar y adaptar numerosos aspectos relacionados con la protección de los datos». El adjunto al director de la AEPD recordó que para instalar cookies es necesario informar y recabar el consentimiento del usuario. El subdirector general de Inspección de la AEPD destacó el incremento sustancial en 2012 de las denuncias por suplantación de identidad y de las reclamaciones de tutela por no haber atendido solicitudes de ‘derecho al olvido’.
La Agencia Española de Protección de Datos (AEPD) celebró este viernes la ‘5ª Sesión Anual Abierta de la AEPD’ en el Teatro Real, antes más de 1.200 expertos. Durante el acto, el director de la AEPD, José Luis Rodríguez Álvarez, señaló que “sin protección de datos no hay confianza y sin confianza no habrá un desarrollo sólido de la economía digital”. Para el director de la AEPD el actual proceso de reforma de la normativa europea de protección de datos, remarca que “estamos en unos tiempos en los que es más importante que nunca compatibilizar la garantía del derecho a la privacidad con la promoción del desarrollo tecnológico y la actividad económica en general”. Al mismo tiempo, ha insistido en que “la protección de datos, correctamente configurada y aplicada, no sólo no es un obstáculo a la innovación y al desarrollo sino que es una condición necesaria para generar en los ciudadanos confianza en los bienes y servicios de la economía digital”.
Por otra parte, Rodríguez Álvarez ha vaticinado que el cloud computing será una de las materias de las que la Agencia se ocupará en los próximos años, “porque en la medida en que configura un nuevo paradigma de prestación de servicios exige clarificar y adaptar numerosos aspectos relacionados con la protección de los datos personales”. En este contexto, se ha referido a la Guía para clientes que contraten servicios de cloud computing, presentada en el marco de la jornada, y ha señalado que “hemos optado por una guía eminentemente práctica que, sin prescindir del rigor técnico, facilite incluso a los no iniciados el conocimiento sobre qué es el cloud computing, cuáles son los elementos de riesgo que se deben tener en cuenta y qué garantías se deben recabar y asegurar en el momento de la contratación”. También ha hecho mención a que este nuevo paradigma impone mayores exigencias tanto a los clientes como a los proveedores de servicios. A estos va dirigido un segundo documento presentado hoy, que contiene orientaciones encaminadas a proporcionar mayor seguridad jurídica, precisando los requisitos que son necesarios para cumplir con la legislación española.
Respecto a las comúnmente conocidas como cookies, el director de la AEPD ha subrayado que, tras un periodo de diálogo y análisis conjunto con los sujetos obligados, este 29 se presentará públicamente la Guía sobre el uso de cookies, “la primera guía en Europa elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria”. En este sentido, ha puesto de relieve que España se sitúa “en una posición muy favorable para lograr la implementación de la normativa europea con garantías y con el menor impacto posible en el sector”. El director de la AEPD también ha hecho mención a la cuestión prejudicial planteada por la Audiencia Nacional en relación con el ‘derecho al olvido’, que actualmente está siendo analizada por el Tribunal de Justicia de la UE. En este sentido, ha confiado en que la sentencia del Tribunal permita a las Autoridades Europeas de Protección de Datos dar a los ciudadanos una respuesta adecuada a sus crecientes demandas en relación con el ejercicio de su derecho a la protección de datos en Internet.
En el primer bloque de la jornada el adjunto al director de la AEPD, Jesús Rubí, ha presentado la Guía para clientes que contraten servicios de cloud computing, un documento práctico que pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios en la nube. El documento, dirigido a pymes, microempresas, profesionales y administraciones públicas, analiza, entre otros aspectos, las diferentes modalidades de servicios en la nube, los riesgos, las obligaciones de las partes y la legislación aplicable. En paralelo, la AEPD también ha elaborado una publicación llamada Orientaciones para los prestadores de servicios de cloud computing, que hace hincapié en las garantías que deben cumplir las empresas que ofrecen estos servicios.
Rubí expuso las pautas para facilitar el cumplimiento de la nueva regulación en materia de cookies, derivada de la entrada en vigor del Real Decreto-ley 13/2012, por el cual se modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico para exigir el consentimiento del usuario al instalar cookies. En este sentido, el adjunto al director de la AEPD recordó que para instalar estos dispositivos es necesario recabar el consentimiento del usuario. Sobre las principales novedades en materia de protección de datos en el ámbito nacional e internacional, el abogado del Estado-jefe de la AEPD, Agustín Puente, se ha referido a las sentencias más destacadas y a los informes jurídicos más relevantes de la AEPD en 2012.
El subdirector general de Inspección de Datos de la AEPD, José López Calvo, explicó sobre los principales casos tramitados en el último año en el área de inspección, el incremento sustancial del número de denuncias por suplantación de identidad, en especial en el área de suministro y comercialización de energía y agua, en un 222%, y en telecomunicaciones, en un 92% con respecto a 2011. Junto a ello, destacó el incremento del 13% en las reclamaciones de tutela por no haber atendido solicitudes de ‘derecho al olvido’. El subdirector general de Inspección de Datos de la AEPD, ha destacado asimismo la concurrencia de múltiples resoluciones por difusión indebida en Internet de datos asociados a asuntos como partes de baja médica, fotografías, sentencias o atestados policiales.
Posteriormente, el subdirector general del Registro General de la AEPD, Julián Prieto, explicó la puesta en marcha del nuevo modelo de transferencia internacional de datos entre un prestador de servicios establecido en España y un subcontratista situado en un país que no garantiza un nivel adecuado de protección de datos personales, que viene a mejorar la posición de los encargados de tratamiento establecidos en la UE, repasando los aspectos más destacados de la implantación de este modelo en 2012. Asimismo, Prieto ha puesto de relieve la apuesta de la Agencia para avanzar en la búsqueda de soluciones que hagan más flexibles las transferencias internacionales de datos, como en el marco de los servicios de cloud computing. En esa misma línea, también ha destacado la aprobación de normas corporativas vinculantes (BCR´s, por sus siglas en inglés) para transferencias entre encargados de tratamiento de una misma corporación.
En el ámbito de los desarrollos internacionales, el coordinador del Área de Internacional de la AEPD, Rafael García, centró su intervención en la revisión del marco europeo de protección de datos y en la evolución que ha seguido desde que la Comisión Europea presentara en enero de 2012 su propuesta para actualizar la normativa de protección de datos en la UE. García destacó que, tras la publicación de los informes Albrecht y Droutsas y la votación por parte del Parlamento Europeo prevista para el 29 de mayo sobre los textos del reglamento y la directiva, se está a la espera de que el Consejo alcance una posición común para iniciar los “trílogos”, es decir, la negociación del reglamento a tres bandas entre el Parlamento, el Consejo y la Comisión Europea.
El coordinador del Área de Internacional de la AEPD también se referió al marco de la negociación de la nueva normativa de protección de datos, por ejemplo, el carácter de dato personal de los datos pseudónimos, cómo queda regulado el derecho al olvido o el consentimiento explícito, las obligaciones que impone el reglamento (como la obligación de notificar rápidamente las quiebras de seguridad) o el capítulo de sanciones.
