El Foro de la Privacidad aborda la aplicación del RGPD a dos meses de su implantación

La décima edición del Foro de la Privacidad del Data Privacy Institute (DPI), organizado por ISMS Forum Spain, congregó a 350 asistentes en una cita donde instituciones y expertos debatieron sobre la aplicación del nuevo Reglamento Europeo de Protección de Datos (RGPD), que entrará en vigor el próximo 25 de mayo de 2018. “El 25 de mayo esto no acaba, esto empieza”, así comenzaba Carlos A. Saiz, Vicepresidente de ISMS Forum Spain y Director de Data Privacy Institute, su discurso inaugural. “No lleguemos agotados a la maratón”, añadió.

Foro de la Privacidad

El X Foro de la Privacidad se constituyó como un encuentro entre profesionales, empresas e instituciones expertas en protección de datos, con el fin de debatir sobre el presente y futuro del sector y la aplicabilidad del Reglamento General de Protección de Datos, que entrará en vigor el próximo 25 de mayo y que, sin lugar a dudas, marcará un antes y un después en el ámbito de la ciberseguridad y la privacidad, haciendo especial énfasis en la notificación de brechas de seguridad.

En el evento participaron profesionales y representantes de empresas e instituciones, tanto nacionales como internacionales, caso de la Comisión Europea, el Grupo de Trabajo del Artículo 29 y la Agencia Española de Protección de Datos. La primera ponencia que daba cuerda a la jornada, a través de videoconferencia, fue la de Karolina Mojzesowicz, Deputy Head of Data Protection Unit at DG for Justice and Consumers, European Commission, en la que habló sobre el período de ajuste al reglamento y cómo se va a proceder desde Comisión Europea para implementar correctamente el RGPD.

La primera mesa redonda que tuvo lugar, ‘GDPR: A New Data Processing Framework’. Una cuestión crucial que se abordó giró en torno a los problemas que las empresas se están encontrando durante el proceso de adaptación al reglamento, teniendo en cuenta que las representadas en la mesa cuentan con una considerable cartera de clientes.

El gran desafío en este momento son los desarrollos tecnológicos, sobre todo la parte de gestión de consentimientos”, expuso Rubén Cabezas. “Entramos todos en pánico, por lo que la cultura RGPD afecta al comportamiento del día a día. Lo estamos afrontando sin prisa pero sin pausa”, puntualizó María de la Torre.

Más allá de la normativa

La jornada continuó con la participación de Isabel Tristán, Security Client Executive at Cognitive Solutions Unit, IBM, a través de una conferencia basada en la idea de no quedarse única y exclusivamente con lo expreso en el reglamento y tratar de ser cada vez seguros en el manejo de los datos, ya que ahora no solo se encuentran en entornos tradicionales, sino también en Cloud. En este sentido, el cifrado adecuado de los datos se hace obligatorio. “Si perdemos las llaves de encriptación y cifrado, podemos perder los datos. Es importante separar los roles entre quién gestiona las llaves y quién gestiona los datos”, comentaba Tristán.

No sólo se trata de cifrar, sino de administrar adecuadamente las llaves de cifrado, y eso conlleva utilizar un estándar de mercado con el que poder gobernar de forma centralizada, proporcionar auditoría de su uso, que la persona que gestiona las llaves no sea la misma que gestiona los datos, y revisar el ciclo de vida de las llaves.

El foro también fue escenario de presentación de las Guías de Análisis de Riesgos y Evaluación de Impacto en la Protección de Datos Personales, de la mano de Mar España y Andrés Calvo, responsable de la Unidad de Evaluación y Estudios Tecnológicos de la AEPD.
En la segunda mesa redonda, “Resilience as Data Protection Defender”, los expertos señalaron que la resiliencia es un término esencial dentro del mundo de la protección de datos. Es necesario invertir un gran empeño en la visibilidad, control y capacidad de reacción cuando hablamos de un ciberataque.

Durante la charla, los ponentes apuntaron que este esfuerzo se hace imprescindible porque con la entrada del Reglamento es obligatorio notificar las infracciones. A este respecto, se pueden visualizar tres áreas principales en este proceso. La primera la constituyen las medidas preventivas, que suponen controlar los accesos y los permisos de las personas. La segunda, las medidas de detección, es decir, vigilar la actividad y comprobar si las copias de seguridad se están ejecutando. Y la tercera y última: la capacidad forense, que implica que ante una consulta del usuario sobre cuándo se accedió a sus datos y quién lo hizo, se debe facilitar la pertinente respuesta.

El punto y final del programa de ponencias lo dio Paul de Hert, International fundamental rights expert, quien se mostró como “un gran fan” de la europeización de los derechos humanos, con una visión positiva respecto al panorama que el reglamento plantea. “Va a ser difícil defender los derechos fundamentales, pero la Unión Europea está en ello, al menos algunos actores y al menos en algunos asuntos”, señaló.

No obstante, también expresó sus dudas a través de interrogantes que deben preocupar en materia de derechos humanos. Uno de ellos es que, según su visión, el enfoque europeo respecto a la protección de los datos no garantiza algunas líneas democráticas. En este sentido, el ponente ve dos problemas: la delegación política y la seguridad jurídica.