ISMS Forum Spain celebró en el día de ayer el XI Foro de la Privacidad en el Auditorio principal de Caixabank Madrid.
Más de 350 profesionales del sector, se reunieron en un encuentro obligatorio que contó con máximos expertos del sector tanto a nivel nacional como europeo tal como la Comisión Europea, el Supervisor Europeo de Protección de Datos y la Agencia Española de Protección de Datos.
Durante el evento, se abordaron diversos temas como el Reglamento General de Protección de Datos (GDPR), La Ley Orgánica de Protección de datos Personales (LOPDGDD) o la gobernanza del dato y la ética digital.
Una de las ponentes clave del encuentro fue Bárbara Eggl, Data Protection Officer at European Central Bank, quien entre sus funciones, asesora a las áreas de negocios del BCE sobre cuestiones de protección de datos y supervisa el cumplimiento de la legislación de protección de datos de la Unión Europea.
Bárbara puso diferentes casos a modo de ejemplo respecto a la regulación de la privacidad a nivel europeo. Como no podía ser de otra forma, mencionó uno de los casos que más habían sonado en los últimos meses, el de Facebook.
“Facebook procesa datos personales de millones de usuarios que ofrece a una institución analítica que genera estudios. A los usuarios les gusta estos estudios por lo que la institución se aprovecha de estos datos de Facebook y Facebook se aprovecha de estos estudios de la institución. Ambos son controladores que buscan beneficiarse para sus propios objetivos, en base a los datos de los usuarios y ahí, debemos intervenir”, dijo Eggl.
Jesús Rubí, Adjunto al Director de la Agencia Española de Protección de Datos también fue otra de las figuras clave y más relevantes del XI Foro de la Privacidad organizado por ISMS Forum.
Rubí, dedicó los 30 minutos de su intervención a valorar principalmente la aplicación del Reglamento Europeo de Protección de Datos tras casi su primer año y los primeros meses de la LOPDGDD. El experto mencionó cómo tras el GDPR, a la hora de contratar un servicio tecnológico, se deben de tener nuevos factores en cuenta.
“En el caso de contratación de cloud computing, lo que nos hemos encontrado (también en la administración pública), es que se valora el elemento tecnológico, la calidad y la adaptabilidad a nuestras necesidades, además de los costes. Ahora, además de esos puntos, hay que introducir la diligencia del encargado del tratamiento de los datos”, dijo Rubí.
“En este primer año de implementación del GDPR nos hemos encontrado una situación en la que las reclamaciones han aumentado más de un 34%”
“¿Qué responsabilidad van a tener los representantes que manejan datos a nivel europeo? Cabe la posibilidad de dirigirse directamente al responsable, se puede exigir al representante daños y perjuicios. Esto es lo que dice la legislación española en cuanto al representante de los datos, sin necesidad de que haya un intermediario entre el representante y los usuarios. Sobre el caso de Facebook, el administrador de la página será corresponsable junto a Facebook sobre el tratamiento de los datos de dichos fans”, dijo Rubí.
«En este año de implementación del GDPR nos hemos encontrado una situación en la que ha crecido las reclamaciones a la agencia de protección de datos en más de un 34%», concluyó.
Estudio Sobre el nivel de madurez y cumplimiento RGPD en España
ISMS Forum presentó en la mitad de la jornada un estudio sobre el nivel de madurez y cumplimiento GDPR en nuestro país que arrojaba datos muy interesantes.
En este sentido, ante la pregunta, ¿ha realizado ya alguna auditoría del Sistema de Cumplimiento del GDPR implantado? Gran parte de los encuestados (53%), afirmaron que No, pero que lo tendrían planificado para este 2019, mientras que el 21% de ellos, respondieron que No y que tampoco lo tenían planificado para este año. Solo el 26% respondió que Sí.
Ante la pregunta, ¿cuáles son las principales dificultades que encuentra para llevar a cabo su labor? Respondieron la gran mayoría el presupuesto, seguido de resistencias internas. También la falta de apoyo de dirección y falta de herramientas eran otros factores.
También el estudio resaltó que cuando reporantan a la dirección, lo que más les preocupan es el posible daño reputacional ante un incumplimiento.
La agenda del XI Foro de la Privacidad de ISMS Forum contó con una interesante mesa redonda bajo el título de “GDPR Driving Data Protection Maturity” en la que participaron tanto Pablo Díaz, DPO de CaixaBank, Berta Balanzategui, Privacy Consel en GE, Alfonso Barajas, Alliances Southern Europe en OneTrust y Jaime Martínez, Gerente de Desarrollo de Negocio, Privacidad & GRC del Grupo SIA. La mesa fue moderada por Carlos A. Saiz, vicepresidente de ISMS Forum Spain.
Encajar a un DPO en una organización es muy complicado
“Cuando hablamos de comités y organismos, la figura del DPO no la veo tanto como un comité colegiado, pero sí que debe de convivir con esas figuras de la organización, que puede ser el consejo, delegado, un responsable..etc. Ese modelo en el que el DPO aconseja y audita bajo la responsabilidad de la empresa es fundamental. Encajar a un DPO en una organización es muy complicado” dijo Díaz. “Nos hemos visto de golpe con un barrido de todas las interpretaciones, empezamos de cero, y empezamos de cero muy rápido. La principal inquietud para el DPO es, ¿vamos por el camino correcto?
“Al margen de preocupaciones clásicas como brechas de seguridad, reputación…el manejo de los conflictos de interés que pueda tener el DPO, es una de las preocupaciones principales”, comentó Martínez.
“Otro elemento también común es la gestión del riesgo de proveedores. Comenzamos a externalizar mucho y este cada vez más es un punto que se tiene mayor en cuenta”, dijo por su parte Alfonso.
Por su parte, la nueva normativa de protección de datos que se instauró hace casi un año, ha tenido gran importancia entorno a la jornada.
‘’El GDPR ha sido muy importante, las organizaciones entendieron que no debe haber datos ocultos, aunque con las nuevas tecnologías, el consumo de datos es cada vez mayor y hay más apetito por beneficiarse’’ dice Guy Leibovitz, CEO de Cognigo.
Raúl Gordillo, Regional Manager de Crowdstrike, admite que los nuevos proyectos junto con las nuevas tecnologías como Inteligencia Artificial o blockchain dará más oportunidades en un largo periodo. ‘’Los algoritmos pueden ayudarnos a cumplir mejor la normativa’’, afirma. ‘’Lo más importante es intentar encontrar soluciones que te ayuden a prevenir los accesos de datos, ya que es una información que se necesita para poder responder en menos de 72 horas a cualquier conflicto de seguridad, como indica la normativa’’.
¿Cómo podemos gestionar los tres desafíos? Guy Leibovitz lo tiene claro, respecto a los contenidos, »tenemos que entender cuáles son los datos que tenemos, pero también el contexto, para la mitigación del riesgo a través de la automatización de políticas, además de entender dónde están en el ecosistema nube es cada vez más difícil. El factor humano es el más débil, una vez que se lanza una tecnología y se sabe dónde están los datos hay que ir al factor humano. Ahora los datos están en todas partes. Los profesionales tenemos que centralizar todos los datos».
Por otro lado, María Rosario Heras, Unidad de Evaluación y Estudios tecnológicos de la Agencia Española de Protección de Datos, afirma que »el GDPR solo contempla la certificación de las operaciones de tratamiento, no de las persona. A nivel profesional sí apuesta un valor añadido y permite poner en el mercado profesionales competentes. A las empresas seguridad y confianza».
¿Cómo la protección de datos se puede divorciar de la privacidad?
Peter Burguess, Profesor y Director, Cátedra en Geopolítica de Riesgos, ENS »En este nuevo ecosistema digital, las cosas que ocurren dentro de los límites de la ley, parece que son aceptables, hay una especie de recolección tácita en los datos. Para que un dato sea comercializado tiene que ser personal, con lo que soy… solo cuando saciamos este dato, se convierte en algo significativo. Solo cuando algo se vuelve privado tiene importancia en la protección de datos. Mi identidad digital representa todo lo que me rodea.
Cuánto más preciso es mi alterego en término de datos, más desaparezco yo. Menos valioso soy como ser humano».
El Foro de la Privacidad del Data Privacy Institute (DPI), se constituye cada año como uno de los encuentros de profesionales de la privacidad y la protección de datos más relevante del sector, en el que expertos, representantes de las autoridades de control y profesionales se dan cit para analizar y debatir sobre los nuevos retos que deberá afrontar la industria.