El pasado 20 de marzo, tuve el placer de compartir una Sesión en el X Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud (SEIS). Coordinados por Julián Prieto Hergueta (Subdirector General del Registro General de Protección de Datos de la Agencia Española de Protección de Datos), Mónica Arenas Ramiro (Profesora de Derecho Constitucional de la Universidad de Alcalá de Henares), Francisco Pérez Bes (Vicepresidente de la Asociación de Expertos Nacionales de la Abogacía TIC-ENATIC) y yo, compartimos una interesante Sesión con los asistentes, hablando de la «Nueva Protección de Datos que viene de Europa». Dicho de otra manera, de la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).
Fotografía realizada por Pedro Alberto González (@paGonzalez)
Una vez realizada la introducción por Julián Ruiz y tras los agradecimientos de rigor, Mónica Arenas nos recordó la importancia de la Protección de Datos (que es uno de los Derechos Fundamentales) en nuestros días y cómo no debe caer en el olvido. También justificó el porqué de un Reglamento Europeo y no una Directiva (como la actual Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). También nos enumeró los principios y los derechos de los interesados que se reflejan en la Propuesta de Reglamento, algunos de ellos nuevos, como el «archicomentado» derecho al olvido o el derecho a la portabilidad, pasando por el consentimiento «explícito» o el derecho a la transparencia en la información. Por último, hizo mención a cómo recoge la Propuesta de Reglamento el tema de la autorregulación. También nos habló de una posible fecha para la aprobación de lo que ya sería el Reglamento: enero de 2014.
La segunda parte de esta Sesión corrió de mi parte, y comencé hablando de la regulación de la seguridad en la Propuesta de Reglamento y de cómo ya no se recogen medidas específicas en niveles de seguridad, sino que cada responsable debe partir de una evaluación de riesgos. A continuación me referí a cómo, en determinados tratamientos de datos, se prevé que se deban realizar evaluaciones de impacto (las tan comentadas «PIAS») y cual va a ser el papel de las autoridades de control, (ya que parece que la obligación de registrar ficheros se va a eliminar) en materia de autorizaciones en transferencias internacionales de datos y en materia materia de consultas previas, tras una evaluación de impacto en el que se detecte un riesgo específico. Por último y ya pasado de tiempo, hice mención al contundente régimen sancionador que recoge la Propuesta, que demuestra que la Comisión se ha tomado en serio la materia de Protección de Datos.
Por último, cerró la tanda de exposiciones de esta Sesión Francisco Pérez Bes, mostrando, en primer lugar una de las grandes novedades de la Propuesta de Reglamento: la privacidad desde el diseño y por defecto, o dicho de otra manera, que la protección de datos debe ser tenida en cuenta por los responsables a priori y no a posteriori, como lamentablemente sucede en bastantes ocasiones. También mostró a los asistentes la regulación de la transferencias internacionales de datos y que, aun cuando no existen grandes cambios conceptuales, sin que aparecen algunas novedades como la regulación de la normas corporativas vinculantes. Por último, se hizo mención también al llamado «one stop shop» o cómo se han regulado determinados mecanismos de coherencia entre las autoridades de control.
Dado lo ajustado del tiempo, no hubo muchas preguntas de los asistentes, pero las que se plantearon hacía mención a la nueva regulación de la seguridad y la no existencia de medidas concretas, sino derivadas de una evaluación de riesgos. También algunos de los asistentes se mostraron «preocupados», sobre todo en el sector de la PYME, por la más que probable eliminación de la obligación de la inscripción de ficheros, ya que si a día de hoy, en este sector la protección de datos es conocido por la actual obligación de inscripción de los ficheros.
Como conclusión, me gustaría añadir que, como siempre en este Foro, la Sesión fue interesante y, particularmente, creo que pudimos mostrar hacia donde se dirige la Protección de Datos en Europa. Ahora bien, no me gustaría acabar este pequeño resumen con unas reflexiones sobre la Propuesta de Reglamento: ¿Realmente es necesario un cambio tan profundo? Si nuestro Código Civil va camino de los 125 años (obviamente con adaptaciones en el tiempo), ¿porqué una norma tan específica, parece que apenas va a durar 20 años? ¿No hubiera sido mejor una adaptación de la normativa actual? ¿Supone esta Propuesta de Reglamento admitir que la actual normativa de protección de datos era inadecuada e insuficiente? Yo creo que la respuesta es clara: Si.
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Hola Gontzal, ante todo felicitarte por tu blog.
Me gustaría que me dieras tu punto de vista sobre los accesos y modificaciones que frecuentemente tienen que realizar los administradores de bases de datos «por detrás», y sin quedar auditadas, a multitud de datos de las bases de datos que administran (datos de carácter personal, de salud, económicos, etc.).
Es frecuente que estos administradores tengan que modificar datos, algunos de nivel alto y, en el peor de los casos, sin saber si quiera lo que estan modificando (update tabla set campo_x=27 where id=123), ya que a través de la correspondiente aplicación (que se supone que audita los cambios, pero ahí ya no quiero entrar) no se pueden hacer estos cambios.
¿Qué responsabilidad tienen el administrador de base de datos, si el responsable del fichero o bien el responsable de seguridad le ha hecho dicha solicitud?
Posiblemente podría ser un nuevo post de tu blog, ya que por mucho que busco en blogs especializados no he visto ninguno que trate de la figura del administrador de base de datos y la responsabilidad en cuanto a la infinidad de cambios que hacen «por detrás».
Hola Miquel,
Gracias por tu comentario y tus felicitaciones. Respecto a lo que planteas, desde el punto de vista de la normativa de protección de datos, sería un acceso más a la información (en mi opinión da igual que sea haga «por delante» o «por detrás») y por lo tanto debería estar autorizado ese acceso. Para ello y siguiendo lo que señala el artículo 91.2 del RD 1720/2007 (El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.), es el Responsable de Fichero quien debiera autorizar esos accesos y, obviamente, siguiendo las directrices del documento de seguridad y, asimismo, estar dentro de la relación de usuarios que refleja el mencionado artículo. Si no se hiciera sí, entiendo, que se estaría produciendo un acceso no autorizado a los datos de carácter personal.
Saludos.
Gracias Gontzal.
Los administradores de base de datos no figuran en el listado de usuarios autorizados, sólo lo están los que acceden a través de la aplicación correspondiente. Aunque entiendo que este es un «mal menor» ya que se podría inferir la autorización con la solicitud del responsable del fichero.
Mis preocupaciones van más bien por el artículo 103.2 del RD 1720/2007 (En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido), y sobre todo por la responsabilidad del administrador de base de datos.
En mi organización gestionamos diferentes bases de datos de diferentes organismos. Pongámonos en el peor de los casos, nos hacen modificar un dato de una aplicación de nivel alto. Si el responsable de uno de estos ficheros nos hace la solicitud de cambio de datos poque no lo puede hacer desde la aplicación, al entrar como administrador de base de datos a hacer estos cambios (normalmente con un usuario con todos los privilegios), no queda constancia del registro o registros accedidos.
En el caso que te he expuesto, si hubiera una reclamación (imaginemos que la persona a la que se le ha modificado el dato no está de acuerdo y denuncia ante la Agencia de Protección de Datos) y se pudiera llegar a la conclusión que el dato lo ha modificado el administrador de base de datos, ¿qué responsabilidad tiene el administrador de base de datos, ya que ha cumplido una orden del responsable del fichero para modificarlo?
Con el ejemplo que te puse en el comentario anterior, el administrador muchas veces no sabe si está modificando o no un dato personal («update tabla set campo_x=27 where id=123» podría ser cualquier cosa, por ejemplo poner o quitar un grado de minusvalía a una persona).
En resumen, ¿tiene alguna responsabilidad el administrador de base de datos o recae toda en el responsable del fichero (o el responsable de seguridad en el caso de delegación de competencias), que es el que ha autorizado el cambio?
Saludos
De nada Miquel.
Así sin profundizar más, esa «orden» del Responsable del Fichero la podríamos considerar como una autorización, así salvaríamos el requisito de acceso autorizado del 91.2 y si guardamos de alguna manera todas las «órdenes» que reciben las podríamos considerar como un listado. Así ya se podría salvar el requisito del 91.2. sobre una relación actualizada. Obviamente si actuamos así, la responsabilidad sería del Responsable del Fichero, ya que, en este caso el Administrador de Seguridad, sería un mero «acatador de sus órdenes».
Por otro lado, aunque el RD 1720/1720 hable de relación de usuarios, no debemos caer en la tentación de que tenga un formato de lista en archivo excel (por ejemplo). Está claro que para quien se encargue de la organización de todas las medidas de seguridad del Documento de Seguridad, es más fácil su gestión si tiene un listado tal cual, pero hay que ser conscientes de que la protección de datos sólo es una norma más que las organizaciones deben cumplir y no la única….
Como verás Miquel, lo importante en un sistema de gestión de protección de datos es que todo se documente para que, ante un posible problema, se puede analizar que es lo que ha ocurrido.
Por último (y aunque no lo comentas) si esas «ódenes» que da el Responsable de Fichero se enmarcan en una prestación de servicios entre el propietario de los datos y una tercera organización, no hay que olvidar que los administradores de seguridad actuarían en el marco de un encargado de tratamiento y, por tanto, se necesitaría un contrato con las menciones que se reflejan en el artículo 12 de la LOPD, entre el propietario de los datos y la organización que le presta el servicio.
Saludos.