La AEPD lanza guías para orientar a los usuarios sobre cloud computing y el uso de cookies

La Agencia Española de Protección de Datos (AEPD) ha celebrado el pasado 26 de abril  la ‘5ª Sesión Anual Abierta de la AEPD’ en el Teatro Real, a la que han acudido  más de 1.200 expertos. Durante el acto de apertura de la jornada, el director de la AEPD, José Luis Rodríguez Álvarez, ha señalado que “sin protección de datos no hay confianza y sin confianza no habrá un desarrollo sólido de la economía digital”.

El director de la AEPD se ha referido al actual proceso de reforma de la normativa europea de protección de datos, y en este sentido ha remarcado que “estamos en unos tiempos en los que es más importante que nunca compatibilizar la garantía del derecho a la privacidad con la promoción del desarrollo tecnológico y la actividad económica en general”. Al mismo tiempo, ha insistido en que “la protección de datos, correctamente configurada y aplicada, no sólo no es un obstáculo a la innovación y al desarrollo sino que es una condición necesaria para generar en los ciudadanos confianza en los bienes y servicios de la economía digital”.

Por otra parte, Rodríguez Álvarez ha vaticinado que el cloud computing será una de las materias de las que la Agencia se ocupará en los próximos años, “porque en la medida en que configura un nuevo paradigma de prestación de servicios exige clarificar y adaptar numerosos aspectos relacionados con la protección de los datos personales”.

En este contexto, se ha referido a la Guía para clientes que contraten servicios de cloud computing, presentada en el marco de la jornada, y ha señalado que “hemos optado por una guía eminentemente práctica que, sin prescindir del rigor técnico, facilite incluso a los no iniciados el conocimiento sobre qué es el cloud computing, cuáles son los elementos de riesgo que se deben tener en cuenta y qué garantías se deben recabar y asegurar en el momento de la contratación”. También ha hecho mención a que este nuevo paradigma impone mayores exigencias tanto a los clientes como a los proveedores de servicios. A estos va dirigido un segundo documento  que contiene orientaciones encaminadas a proporcionar mayor seguridad jurídica, precisando los requisitos que son necesarios para cumplir con la legislación española.

Respecto a las comúnmente conocidas como cookies, el director de la AEPD ha subrayado que, tras un periodo de diálogo y análisis conjunto con los sujetos obligados, se ha presentado la Guía sobre el uso de cookies, “la primera guía en Europa elaborada conjuntamente por la autoridad de protección de datos y los representantes de la industria”. En este sentido, ha puesto de relieve que España se sitúa “en una posición muy favorable para lograr la implementación de la normativa europea con garantías y con el menor impacto posible en el sector”.

El director de la AEPD también ha hecho mención a la cuestión prejudicial planteada por la Audiencia Nacional en relación con el ‘derecho al olvido’, que actualmente está siendo analizada por el Tribunal de Justicia de la UE. En este sentido, ha confiado en que la sentencia del Tribunal permita a las Autoridades Europeas de Protección de Datos dar a los ciudadanos una respuesta adecuada a sus crecientes demandas en relación con el ejercicio de su derecho a la protección de datos en Internet.

Derecho de olvido en Internet

En el segundo bloque de la jornada, dedicado a abordar las principales novedades en materia de protección de datos en el ámbito nacional e internacional, el abogado del Estado-jefe de la AEPD, Agustín Puente, se ha referido a las sentencias más destacadas y a los informes jurídicos más relevantes de la AEPD en 2012.

Por otra parte, en este segundo bloque se ha abordado, de la mano del subdirector general de Inspección de Datos de la AEPD, José López Calvo, los principales casos tramitados en el último año en el área de inspección. López Calvo ha puesto de relieve el incremento sustancial que ha experimentado el número de denuncias por suplantación de identidad, en especial en el área de suministro y comercialización de energía y agua, en un 222%, y en telecomunicaciones, en un 92% con respecto a 2011.

Junto a ello, ha destacado el incremento del 13% en las reclamaciones de tutela por no haber atendido solicitudes de ‘derecho al olvido’. El subdirector general de Inspección de Datos de la AEPD, ha destacado asimismo la concurrencia de múltiples resoluciones por difusión indebida en Internet de datos asociados a asuntos como partes de baja médica, fotografías, sentencias o atestados policiales.

Posteriormente, el subdirector general del Registro General de la AEPD, Julián Prieto, se ha referido a la puesta en marcha del nuevo modelo de transferencia internacional de datos entre un prestador de servicios establecido en España y un subcontratista situado en un país que no garantiza un nivel adecuado de protección de datos personales, que viene a mejorar la posición de los encargados de tratamiento establecidos en la UE, y ha repasado los aspectos más destacados desde su implantación de este modelo en 2012.

Asimismo, Prieto ha puesto de relieve la apuesta de la Agencia para avanzar en la búsqueda de soluciones que hagan más flexibles las transferencias internacionales de datos, como en el marco de los servicios de cloud computing. En esa misma línea, también ha destacado la aprobación de normas corporativas vinculantes (BCR´s, por sus siglas en inglés) para transferencias entre encargados de tratamiento de una misma corporación.

En el ámbito de los desarrollos internacionales, el coordinador del Área de Internacional de la AEPD, Rafael García, ha centrado su intervención en la revisión del marco europeo de protección de datos y en la evolución que ha seguido desde que la Comisión Europea presentara en enero de 2012 su propuesta para actualizar la normativa de protección de datos en la UE. García ha destacado que, tras la publicación de los informes Albrecht y Droutsas y la votación por parte del Parlamento Europeo prevista para el 29 de mayo sobre los textos del reglamento y la directiva, se está a la espera de que el Consejo alcance una posición común para iniciar los “trílogos”, es decir, la negociación del reglamento a tres bandas entre el Parlamento, el Consejo y la Comisión Europea.

El coordinador del Área de Internacional de la AEPD también se ha referido a algunos de los temas que actualmente se encuentran abiertos en el marco de la negociación de la nueva normativa de protección de datos, por ejemplo, el carácter de dato personal de los datos pseudónimos, cómo queda regulado el derecho al olvido o el consentimiento explícito, las obligaciones que impone el reglamento (como la obligación de notificar rápidamente las quiebras de seguridad) o el capítulo de sanciones.