Participación de la Asociación Profesional Española de Privacidad en ENISE y otras actividades.
Los días 25 y 26, de octubre APEP, representada por su presidente, ha participado en distintas actividades.
En primer lugar se ha participado en el encuentro «ICA-CITRA Toledo 2011. Keeping archives in a digital World», en el se han analizado aspectos relacionados con la aplicación de las normas sobre protección de datos en entornos de archivo. Durante su intervención Ricard Martínez destacó, entre otras cosas la importancia de los profesionales de la documentación en el cumplimiento normativo de la LOPD, tanto desde el punto de vista de las funciones específicas que se deducen claramente de la normativa, como en lo relativo a la importancia de sus conocimientos en relación con la gestión de la información y la documentación. Finalmente además de subrayar la insuficiencia de las normas específicas y la dificultad de la aplicación de los criterios que rigen el acceso a los documentos obrantes en archivos históricos, se señalaron como retos inmediatos la implantación de la administración electrónica y el derecho al olvido reclamando la necesidad de una actuación proactiva de las autoridades de protección de datos elaborando guías prácticas en esta materia.
Con posterioridad se participó junto con INTECO en una sesión de concienciación de la Cámara de Comercio de Zamora sobre cumplimiento de la LOPD y seguridad. La convocatoria ampliamente seguida por el empresariado local tuvo por objeto subrayar los beneficios empresariales derivados de los procesos de implementación de la LOPD e identificar en qué consiste un asesoramiento adecuado.
Finalmente se ha participado en el Taller número 11 de ENISE, sobre Privacidad en la nube con la ponencia titulada « Privacidad y protección de datos en la prestación de Servicios de Cloud Computing». Durante la intervención se ha destacado la doble necesidad de aplicar las herramientas normativas disponibles pero, subrayando simultáneamente, la exigencia de desarrollar un marco regulador específico que a la vez proporcione seguridad a los operadores y clientes.
Se constata que mientras las compañías y operadores de mayor tamaño tienden al uso de servicios de cloud computing de bajo riesgo las PYME usualmente siguen un modelo de decisión centrado específicamente en análisis de costes. Por ello es necesario disponer de recursos para realizar evaluaciones de riesgo, de criterios para decidir.
La decisión de “irse a la nube” debe tener en cuenta multitud de aspectos técnicos, económicos, organizativos y jurídicos. Desde el punto de vista de la protección de datos personales los servicios de cloud computing deben prestarse contemplando el marco legal vigente para cada responsable. Y ello afecta a cuestiones materiales, que pueden haber tenido en cuenta el marco legal (o no), como las especificaciones técnicas del servicio o la diversidad en la localización geográfica.
La realidad del cloud dificulta al cliente la posibilidad de demostrar el cumplimiento efectivo del marco legal. En muchas ocasiones se contrata mediante el uso de cláusulas generales de la contratación sometidas al Derecho del proveedor en una situación de inferioridad en la negociación y con imposibilidad material de auditar al proveedor.
Todo ello obliga a los responsables de ficheros a desarrollar políticas de análisis de riesgos y Privacy Impact Assement previas a la contratación que tengan en cuenta la situación internas, las condiciones de la oferta del proveedor, así como las condiciones de cumplimiento normativo. Sobre esta materia APEP ha tenido oportunidad de colaborar en la versión final de la “Guía para empresas: seguridad y privacidad del cloud computing”, editada por INTECO, descargable en este enlace. En la web de APEP nos hicimos eco de esta publicación(enlace).
Por último, se ha subrayado la importancia de una actuación proactiva de las autoridades nacionales de protección de datos sobre la demanda proporcionando 1) información, formación y guía y 2) listas de control o comprobación que deban ser verificadas por el responsable antes de elegir a su proveedor; 3) desarrollando cláusulas contractuales adecuadas a este tipo de servicio; y 4) promoviendo la autorregulación responsable en el sector.
Por otra parte, debe complementarse con su acción en el plano internacional favoreciendo la adopción de estándares comunes y promoviendo una adecuada regulación de las transferencias internacionales.