Protección de Datos Personales: marco regulador en la Unión Europea, tecnología, servicios electrónicos y marca de confianza ©MRG, 2016. All rights reserved. Miguel Recio Bogotá (Colombia) 28 de enero de 2016 Agenda ©MRG, 2016 www.miguelrecio.com 1 Día Internacional de la Protección de Datos: 28 de enero 1981 28 Enero Convenio 108 El Convenio 108 del Consejo de Europa (COE) se abre a la firma 2006 26 Abril Data Protection Day El Comité de Ministros del COE decide celebrar el DPD 2016 28 Enero ©MRG, 2016 www.miguelrecio.com #DPD16 35 años del Convenio 108 del Consejo de Europa 2 Algunos documentos internacionales relevantes Disponible en: http://www.coe.int/t/dghl/standardsetting/media/Doc/ Translations/Spanish/CMRec(2014)6_SPANISH_GUIDE_ HR_INTERNET_USERS_WebA5%20(2).pdf ©MRG, 2016 Disponible en: http://www.oecd.org/sti/ieconomy/oecd-principles-forinternet-policy-making.pdf www.miguelrecio.com Disponible en: http://internetrightsandprinciples.org/site/wpcontent/uploads/2015/03/IRPC_spanish_1stedition_fin al.pdf 3 Derechos de los usuarios de Internet • Acceso y no discriminación • Libertad de expresión e información • Reunión, asociación y participación • Protección de la vida privada y de los datos personales • Educación y conocimientos básicos • Niños y jóvenes • Recursos efectivos ©MRG, 2016 1. Promover y proteger el libre flujo global de la información 2. Promover la naturaleza abierta, distribuida e interconectada de Internet 3. Promover la inversión y la competencia en las redes de banda ancha y los servicios 4. Promover y facilitar la entrega de servicios transfronterizos 5. Fomentar la cooperación multiparte en el desarrollo de procesos de políticas 6. Impulsar el desarrollo voluntario de códigos de conducta 7. Desarrollar capacidades para el uso de información pública en el desarrollo de políticas 8. Asegurar la transparencia, procesos justos y la responsabilidad 9. Reforzar la protección de la privacidad a nivel global 10. Maximizar el empoderamiento individual 11. Promover la creatividad y la innovación 12. Limitar la responsabilidad de intermediarios de Internet 13. Fomentar la cooperación para mejorar la seguridad de Internet 14. Dar prioridad a los esfuerzos de cumplimiento www.miguelrecio.com 1. Universalidad e igualdad 2. Derechos y justicia social 3. Accesibilidad 4. Expresión y asociación 5. Confidencialidad y protección de datos 6. Vida, libertad y seguridad 7. Diversidad 8. Igualdad 9. Normas y reglamento 10. Gobierno 4 Algunas referencias relevantes CEDH 1950 Convenio Europeo de Derechos Humanos 1980 Directrices de la OCDE (privacidad) [actualizadas en 2013] 1981 1992 Convenio 108 del CoE Directrices de la OCDE (seguridad) [actualizadas en 2002 y 2015] 1995 Directiva 95/46/CE 2002 Directiva 2002/58/CE sobre la privacidad y las comunicaciones-e 2000 Carta de Derechos Fundamentales de la UE CDFUE 2007 Recomendación de la OCDE sobre cooperación transfronteriza 2015 Sentencia del TJUE Acuerdo de Puerto Seguro (SHA) 2016 RGDP de la UE ©MRG, 2016 www.miguelrecio.com 35 años del Convenio 108, SHA, Reglamento UE 5 Marcos de referencia internacionales Buenas prácticas (Directrices y otros instrumentos de políticas públicas) ©MRG, 2016 Normas jurídicas vinculantes (Convenios) www.miguelrecio.com 6 Protección de datos: Convenio 108 Artículo 1. Objeto y fin “El fin del presente Convenio es garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»).” ©MRG, 2016 www.miguelrecio.com 7 Relación entre vida privada y protección de datos personales Respeto de los Derechos y libertades fundamentales Persona física En concreto su Derecho a la vida privada Con respecto al Tratamiento de los datos personales (“protección de datos”). Con independencia de Nacionalidad Residencia ©MRG, 2016 www.miguelrecio.com 8 Principales partes del Convenio 108 Principios básicos (derecho sustantivo) ©MRG, 2016 Reglas especiales sobre las transferencias internacionales de datos www.miguelrecio.com Mecanismos para la asistencia mutua y la consulta entre los Estados parte. 9 Presente Futuro Marco regulador básico de la UE sobre protección de datos personales ©MRG, 2016 Reglamento General de Protección de Datos (RGPD) Deberá ser revisado conforme al RGPD Su reforma podría comenzar en 2017 Fue invalidada por la sentencia del TJUE de 8 de abril de 2014 (C293/12) Directiva sobre tratamiento de datos por autoridades competentes en el ámbito penal Fue invalidada por la sentencia del TJUE de 6 de octubre de 2015 (C-362/14) Deberán ser revisadas conforme al RGPD CDFUE Directiva 95/46/CE sobre protección de datos personales Reglamento (CE) nº 45/2001 instituciones y organismos comunitarios Directiva 2002/58/CE sobre la privacidad y las comunicaciones-e, modificada por Directiva 2009/136/CE Directiva 2006/24/CE sobre conservación de datos de comunicaciones-e Decisión Marco 2008/977/JAI del Consejo cooperación policial y judicial en materia penal www.miguelrecio.com Decisión 2000/520/CE sobre el Acuerdo de Puerto Seguro Decisiones de la CE sobre nivel adecuado de terceros países y otras 10 Carta de los Derechos Fundamentales de la UE (art. 8) “Artículo 8 Protección de datos de carácter personal 1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación. 3. El respeto de estas normas estará sujeto al control de una autoridad independiente.” ©MRG, 2016 www.miguelrecio.com 11 Algunas notas sobre el Reglamento General de Protección de Datos (I) Aspecto ©MRG, 2016 Referencia Objetivos generales Reforzar los derechos de las personas, facilitar el libre flujo de los datos personales en la UE y reducir las cargas administrativas. Datos sensibles Concepto ampliado de datos sensibles (genéticos, biométricos, etc.). Aplicación del RGPD Establecimiento y ámbito de aplicación del RGPD: aplicación a quien ofrece bienes o servicios a consumidores en la UE, con independencia del lugar del pago. Profiling Realización de actividades de perfilado (“profiling”) a personas en la UE. Neutralidad tecnológica En cuanto a la protección conferida, para evitar riesgo de elusión. Interés legítimo Interés legítimo del tratamiento, que puede incluir el tratamiento de datos personales para fines de publicidad directa (“direct marketing”). Nuevos derechos Derechos al olvido y a la portabilidad de los datos personales. www.miguelrecio.com 12 Algunas notas sobre el Reglamento General de Protección de Datos (II) Aspecto ©MRG, 2016 Referencia Certificación y autorregulación Impulsa la certificación y la autorregulación en materia de protección de datos personales. Responsabilidad Responsabilidad de los responsables y encargados del tratamiento. Evaluación de riesgos Evaluaciones de impacto en la Protección de Datos Personales por sectores. Notificación de brechas Notificación de brechas de datos personales a las autoridades de supervisión (72 horas). Transferencias internacionales Transferencias internacionales de datos con destino a sectores de actividad, a organizaciones o territorios. Designación del DPO Designación del DPO en casos específicos (autoridades públicas, tratamiento de datos que requieren una monitorización regular y sistemática de personas a gran escala o datos personales sensibles). www.miguelrecio.com 13 Algunas cuestiones sobre los principios básicos de la PDP (I) Información — Del propio interesado. — A través/de dispositivos y sensores. — Aviso, cláusula o política de protección de datos. — Información por capas y considerando los usos aceptables. Finalidad(es) — Posibilidad de uso con fines compatibles. — Interpretación razonable. Calidad de los datos — Minimización del tratamiento. — Periodos de conservación de los datos. ©MRG, 2016 — Considerar la anonimización y pseudonimización de los datos. — ¿Cuándo dejan de ser relevantes? www.miguelrecio.com 14 Algunas cuestiones sobre los principios básicos de la PDP (II) Consentimiento — Diferentes formas del consentimiento. — Interés legítimo del responsable del tratamiento. Transparencia — Escenario de mera información. — Saber qué se hace de los datos personales (prácticas de negocio). Responsabilidad (“accountability”) — Cumplimiento. ©MRG, 2016 — Demostrar el cumplimiento mediante evidencias verificables y rendir cuentas ante todas las partes. www.miguelrecio.com 15 Nivel de protección adecuado de datos personales por terceros países OCDE Consejo de Europa Unión Europea Restricciones legítimas. Prohibición de transferencias a terceros países u organizaciones sin nivel adecuado. Prohibición de transferencias de datos a terceros países sin nivel adecuado. Garantías suficientes. Nivel de protección adecuado y excepciones. Nivel de protección adecuado (terceros países, organizaciones y/o sectores*) y excepciones. Asegurar el nivel de protección consistente con las Directrices. Asegurar la protección de los datos personales cuando éstos salen del país. Asegurar la protección de la persona cuando sus datos son tratados en un tercer país. *Reglamento General de Protección de Datos (RGPD). ©MRG, 2016 www.miguelrecio.com 16 • No está definido en la normativa sobre protección de datos de la UE. • No es un nivel idéntico al que garantiza el ordenamiento jurídico de la UE. • Nivel equivalente o similar. ¿Qué implica dicho nivel? • Nivel de protección adecuado. ¿Qué es el nivel adecuado? ¿Qué nivel requiere la UE? Nivel de protección adecuado de datos personales por terceros países • El nivel de protección adecuado “exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por la Directiva 95/46, entendida a la luz de la Carta” (aptdo. 73) Referencia TJUE: Sentencia del Tribunal de Justicia (Gran Sala) de 6 de octubre de 2015, asunto C-362/2015, caso Schrems. Disponible en http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=1008 38 ©MRG, 2016 www.miguelrecio.com 17 Garantizar el libre flujo de los datos • Garantías adecuadas. • Fundamental para el ejercicio de otros derechos: libertad de expresión. • Clave para el comercio internacional y la competencia. ©MRG, 2016 • Restricciones injustificadas basadas en la localización de los datos para su almacenamiento o tratamiento. • Justificación indebida de medidas arbitrarias que impacten negativamente el comercio y/o la competencia. www.miguelrecio.com 18 Riesgos del nacionalismo de datos Algunos riesgos que conlleva el nacionalismo de datos ©MRG, 2016 Fragmentación de Internet y otros servicios electrónicos transfronterizos Imposibilidad de desarrollo de la economía digital Distorsiones en la competencia Obstáculos a la persecución de la ciberdelincuencia Asimetrías en el nivel de protección conferido a las personas a las que se refieren los datos personales www.miguelrecio.com 19 28 riesgos que pueden fragmentar Internet (WEF) Tipos de riesgos Algunos ejemplos Técnicos • • • • • Incompatibilidad entre IPv4 e IPv6 Aislamiento y bloqueo de red privada virtual TOR y la web profunda Bloqueo de nuevos gTLDs Servicios segmentados de WI-FI en hoteles, restaurantes, etc. Gobernanza • • • Filtrado y bloqueo de sitios web, redes sociales, etc. Requerimientos de tratamiento y conservación de datos a nivel local Cambios de arquitectura o routing para mantener los flujos de datos en un territorio Prohibiciones de movimiento transfronterizo de ciertas categorías de datos Estrategias para construir “segmentos nacionales de Internet” o “cibersoberanía” Marcos internacionales destinados a legitimar prácticas restrictivas • • • Comerciales • • • • Uso potencial de estándares técnicos propietarios que impiden la interoperabilidad en el IoT Bloqueo, limitación de peticiones u otras medidas discriminatorias contra la neutralidad de la red Plataformas cerradas (“walled gardens”) Geobloqueo Disponible en: http://www3.weforum.org/docs/WEF_FII_Internet_Fragmentation_An_Overview_2016.pdf ©MRG, 2016 www.miguelrecio.com 20 Autoridad de control o supervisión • Independiente: o Ajena a influencias externas, directas o indirectas. • Potestades de investigación e intervención. • Cooperación internacional. ©MRG, 2016 www.miguelrecio.com 21 Autoridades de control en la UE según el TJUE “las autoridades de control previstas en el artículo 28 de la Directiva 95/46 son las guardianas de los […] derechos y libertades fundamentales, y, como señala el considerando 62 de dicha Directiva, se estima que su creación en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales.” (aptdo. 23 de la Sentencia del Tribunal de Justicia (Gran Sala), de 9 de marzo de 2010, caso Comisión/Alemania, asunto C-518/07) ©MRG, 2016 www.miguelrecio.com 22 Una PDP robusta basada también en Estándares y/o certificaciones (ISO 27018, etc.) Eliminar obstáculos injustificados Identificar y evitar regulaciones obsoletas Desmitificar mitos ©MRG, 2016 Códigos de conducta para la nube (por ejemplo, proyecto en la UE) Marco regulatorio robusto, dinámico y adaptable (“flexible”) www.miguelrecio.com 23 • Evitar leyes y regulaciones obsoletas que pueden obstaculizar beneficios sociales y la economía digital. • Considerar la efectividad de los principios ante la nueva realidad. • Derechos de las personas. • Evaluación de impacto en la Protección de Datos Personales. • Protección de datos desde el diseño. • Ciberseguridad. • Transferencia internacional de datos. • La figura del directivo de protección de datos. Principios en la aplicación Protección efectiva Algunos objetivos y cuestiones a considerar • Proporcionalidad. • El derecho a la protección de datos no es un derecho absoluto (su función en la sociedad y límites con otros derechos fundamentales). • Seguridad jurídica. • El papel de la autoridad de control o supervisión. ©MRG, 2016 www.miguelrecio.com 24 La protección efectiva en perspectiva Nivel adecuado PDP ©MRG, 2016 www.miguelrecio.com 25 Protección de datos, privacidad y cómputo en la nube Disponible en: http://csrc.nist.gov/publications/nistpubs/800145/SP800-145.pdf ©MRG, 2016 Disponible en: https://datenschutzberlin.de/attachments/875/Sopot_Memorandum.12.6 .12.pdf?1339501499 www.miguelrecio.com Disponible en: http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinionrecommendation/files/2015/wp232_en.pdf 26 Algunos ejemplos en la práctica: sector público Leído en: http://eleconomista.com.mx/finanzas-publicas/2015/11/22/usonuevas-tecnologias-simplificar-tramites-sat ©MRG, 2016 www.miguelrecio.com 27 Algunos ejemplos en la práctica: sector bancario Leído en: http://www.bbva.com/TLBB/tlbb/esp/noticias/NP_30062014_BBVA_y_Visa_lanzan.jsp# ©MRG, 2016 www.miguelrecio.com 28 Algunos ejemplos en la práctica: sector financiero Fuente: http://www.fca.org.uk/static/documents/guidance-consultations/gc15-06.pdf ©MRG, 2016 www.miguelrecio.com 29 Borrador de código de conducta europeo sobre PDP para la nube • Disponible en: http://ec.europa.eu/newsroom/dae/document.cfm ?doc_id=11194 ©MRG, 2016 www.miguelrecio.com 30 Estándares ISO sobre privacidad y seguridad en la nube Protección de Datos y Privacidad Seguridad ISO/IEC 27018:2014, Information technology -- Security techniques -- Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ISO/IEC 27017:2015, Information technology -- Security techniques -- Code of practice for information security controls based on ISO/IEC 27002 for cloud services ©MRG, 2016 www.miguelrecio.com 31 Adopción del ISO 27018 ©MRG, 2016 www.miguelrecio.com 32 Protección de datos, privacidad y Big Data (I) Disponible en: https://www.whitehouse.gov/sites/default/files/micro sites/ostp/PCAST/pcast_big_data_and_privacy__may_2014.pdf ©MRG, 2016 Disponible en: https://www.whitehouse.gov/sites/default/files/docs/ big_data_privacy_report_may_1_2014.pdf www.miguelrecio.com Disponible en: https://www.ftc.gov/system/files/documents/reports /big-data-tool-inclusion-or-exclusion-understandingissues/160106big-data-rpt.pdf 33 Protección de datos, privacidad y Big Data (II) Disponible en: https://datenschutzberlin.de/attachments/1052/WP_Big_Data_final_clea n_675.48.12.pdf?1407931243 ©MRG, 2016 Disponible en: http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinionrecommendation/files/2014/wp223_es.pdf www.miguelrecio.com Disponible en: http://handle.itu.int/11.1002/1000/12584en?locatt=format:pdf&auth 34 Protección de datos, privacidad y Big Data (III) Disponible en: https://secure.edps.europa.eu/EDPSWEB/webdav/site /mySite/shared/Documents/Consultation/Opinions/20 14/14-03-26_competitition_law_big_data_EN.pdf ©MRG, 2016 Disponible en: https://secure.edps.europa.eu/EDPSWEB/webdav/sit e/mySite/shared/Documents/Consultation/Opinions/ 2015/15-11-19_Big_Data_EN.pdf www.miguelrecio.com Disponible en: https://www.enisa.europa.eu/activities/identity-andtrust/library/deliverables/big-dataprotection/at_download/fullReport 35 Algunas implicaciones en relación con el big data ©MRG, 2016 Concepto de datos personales Transparencia Discriminación Significado de privacidad Principios de la protección de datos (información, consentimiento, finalidad, etc.) Cuestiones de derecho de la competencia Anonimización, pseudonimización y reidentificacción Privacidad/Protección de Datos desde el diseño Responsabilidad (“accountability”) Control sobre los datos personales www.miguelrecio.com 36 Internet de las Cosas (IoT) Disponible en: http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinionrecommendation/files/2014/wp223_es.pdf ©MRG, 2016 Disponible en: https://www.ftc.gov/system/files/documents/reports /federal-trade-commission-staff-report-november2013-workshop-entitled-internet-thingsprivacy/150127iotrpt.pdf www.miguelrecio.com 37 Algunos beneficios del Internet de las Cosas (IoT) Algunos beneficios: • Para la persona, posibilidad de obtener mejores servicios o servicios en mejores condiciones. • Hace posible las ciudades inteligentes (“Smart Cities”), los vestibles (“wearables”), la Industria 4.0 y otras innovaciones. Economía y bienestar • Otras aplicaciones o usos y beneficios potenciales tanto para la persona como para la sociedad. ©MRG, 2016 www.miguelrecio.com 38 Algunas cifras y referencias a nivel internacional sobre ciberseguridad Fuente: http://www.economist.com/news/specialreport/21606416-companies-markets-andcountries-are-increasingly-under-attackcyber-criminals ©MRG, 2016 www.miguelrecio.com 39 Robo de identidad en el Top 10 de riesgos globales probables en 2016 Fuente: http://reports.weforum.org/global-risks-2016/shareable-infographics/ ©MRG, 2016 www.miguelrecio.com 40 Evolución del tratamiento de la ciberseguridad en la OCDE Recomendación de la OCDE de 26 de noviembre de 1992 ©MRG, 2016 Recomendación de la OCDE de 25 de julio de 2002 www.miguelrecio.com Recomendación de la OCDE de 17 de septiembre de 2015 41 Aproximación actual de la OCDE a la ciberseguridad • Considerar los riesgos de ciberseguridad como “un riesgo económico” y no como una cuestión meramente “técnica”. • La ciberseguridad como parte de la gestión del riesgo y la toma de decisiones en las organizaciones. ©MRG, 2016 www.miguelrecio.com 42 La ciberseguridad es también una prioridad en la UE • Futura Directiva europea sobre ciberseguridad. • Aplicable a sectores críticos (energía, salud, transporte, bancario, etc.) y servicios, tales como plataformas de comercio-e, motores de búsqueda, prestadores de nube, etc. (“operadores de servicios esenciales”). • Asegurar robustez en las organizaciones contra ciberataques. • Cooperación internacional. Fuente: http://www.europarl.europa.eu/resources/library/images/2 0151207PHT06378/20151207PHT06378_original.jpg?epbox [reference]=20151207IFG06371 ©MRG, 2016 www.miguelrecio.com 43 Documento CONPES de seguridad digital • Entre otros objetivos: construir una ENSD que genere confianza y fomente el uso del entorno digital, en línea con sus valores fundamentales. • Importantes avances con respecto al documento CONPES 3701 de 2011. • Principios fundamentales de la política nacional de seguridad digital (salvaguardar los derechos humanos y libertades fundamentales, etc.). • Estudio de mejores prácticas de los marcos legales y regulatorios a nivel internacional en torno a la protección de la privacidad y los datos personales bajo gestión de riesgos de seguridad digital (A2.1.4). Fuente: http://www.mintic.gov.co/portal/604/articles-14481_recurso_1.pdf ©MRG, 2016 www.miguelrecio.com 44 3C´s de la protección de datos personales y la ciberseguridad 3C´s ©MRG, 2016 • Cumplimiento • Confianza • Competitividad www.miguelrecio.com 45 La realidad actual “Vivimos ya en una law-saturated society, una sociedad repleta de derecho, de reglas jurídicas de las más variadas procedencias, dictadas por poderes públicos o privados, con una intensidad que evoca no tanto una necesidad como una imparable deriva. La conciencia social no acaba de estar a la altura de la complejidad de un fenómeno como éste, que produce asimetrías y desequilibrios enormes, espacios llenos y vacíos, con un derecho demasiado presente en algunos ámbitos y, a la vez, ausente en lugares en que sería más necesario.” Stefano Rodotà, La vida y las reglas. Entre el derecho y el no derecho, Trotta, 2010. ©MRG, 2016 www.miguelrecio.com 46 Una constante evolución e interrelaciones Derecho de los consumidores Derecho de la competencia Derecho a la protección de datos personales ©MRG, 2016 www.miguelrecio.com 47 Aplicar la PDP en la práctica TRANSPARENCIA 01 ©MRG, 2016 RESPONSABILIDAD Ante terceros y clave para generar confianza. 02 Ser responsable y rendir cuentas ante terceros. CONFIANZA 03 GLOBALIZACIÓN Protección efectiva con normas adaptables. www.miguelrecio.com 04 Instrumento global que aporte seguridad jurídica. 48 Confianza: generar, mantener e impulsar Protección de Datos desde el diseño Tecnología y servicios de comercio electrónico considerando la protección de datos personales desde el diseño o planteamiento de un plan de negocios. Ciberseguridad Medidas adecuadas para proteger los datos personales y a las personas a las que se refieren frente a riesgos y amenazas en constante cambio. PDP Alto nivel de protección de datos personales Protección efectiva de la persona con respecto al tratamiento de sus datos personales a lo largo de todo el ciclo de su tratamiento. Libre flujo de los datos y economía de Internet Evitar barreras u obstáculos e impulsar a Colombia como un puerto seguro para el desarrollo del comercio electrónico y un actor competitivo en la economía global digital. ©MRG, 2016 www.miguelrecio.com 49 ¿Preguntas o comentarios? ¡Gracias por su atención! Miguel Recio E: [email protected] W: www.miguelrecio.com T: @MRecioCloud