2. Grupo de Estudio Online - Datos Personales

[preparadorestic]

Buenas,

Esperamos que hayáis tenido tiempo para leer la documentación que se os propuso, o, al menos, que no os haya asustado demasiado.

Nos imaginamos que tendréis mil dudas y detalles que compartir, pero si os parece, os planteamos algunas que se nos han planteado a nosotros como opositores:

1. ¿Qué ocurre con el Real Decreto que no está derogado? ¿Se aplica actualmente?

2.¿Es igual el análisis de riesgos de Magerit que el que propone el RGPD? ¿En qué se diferencian? ¿Se ha introducido este tema en las guías ENS?

3.¿Os atrevéis a esbozar como se aplicaría al caso práctico?

Y así podríamos seguir un buen rato, pero lo importante es que compartáis entre vosotros vuestros conocimientos y dudas.

¡Venga, mucho ánimo, que ya va quedando menos para pasar la primera batalla!

[palindromo]

Buenas,

Esperamos que hayáis tenido tiempo para leer la documentación que se os propuso, o, al menos, que no os haya asustado demasiado.

[...]

Va a ser que un poco, sí. Voy a romper el hielo, pero no contesto a todo lo que proponéis. Algo es algo, espero.

1. ¿Qué ocurre con el Real Decreto que no está derogado? ¿Se aplica actualmente?

Si no he entendido mal las excepciones que vienen dadas por la DA 14 y la DT 4 de la LO 3/2018 (y el inciso al principio del texto consolidado de la Ley de 1999), los artículos que quedan en vigor de la antigua LOPD (LO 15/1999) son el 22, 23 y 24.
Estos artículos afectan a cuestiones relativas al Proceso Penal, persecución de delitos contra Hacienda y ficheros custodiados por Fuerzas y Cuerpos de Seguridad, y que quedan expresamente fuera del RGPD y, a cambio, cubiertos por la Directiva 2016/680 (y que hubiese debido ser transpuesta hace ahora un año, como tarde).

He encontrado un análisis un tanto exhaustivo, que quizás me lea con detenimiento más adelante, en El Derecho.

Vamos, que si nos toca trabajar en Justicia o Interior, puede que hayamos de regresar a la LO 15/1999, si es que no se transpone antes la Directiva, que igual ocurre antes de que aprobemos. Para cuestione administrativas, se puede considerar la LO 15/1999 como efectiva y completamente derogada.

2.¿Es igual el análisis de riesgos de Magerit que el que propone el RGPD? ¿En qué se diferencian? ¿Se ha introducido este tema en las guías ENS?

3.¿Os atrevéis a esbozar como se aplicaría al caso práctico?

No sé responder a esto, así que paso palabra. Le tengo una cierta manía a Magerit como objeto de estudio, que he de aprender a quitarme.

Y así podríamos seguir un buen rato, pero lo importante es que compartáis entre vosotros vuestros conocimientos y dudas.

¡Venga, mucho ánimo, que ya va quedando menos para pasar la primera batalla!

Por añadir otro factor, me resultó interesante la polémica que se originó por la introducción de la DF 3 de la misma LO 3/2018, que habilita a los partidos políticos para realizar perfiles de los ciudadanos. Me suena que el Tribunal Constitucional habrá de pronunciarse en algún momento sobre este asunto.

¡Anímense!

[Opositor6923]

¡Gracias por responder, Palíndromo! Ya nos temíamos que estuvierais todos de puente

Buen apunte el enlace que envías. ¡Sí que has profundizado!

Respecto a Magerit, tampoco era mi tema preferido… Pero entiendo que mediante Magerit se buscan los riesgos para la organización, mientras que el análisis de impacto busca el impacto sobre los usuarios. Relacionados están, porque un daño a los usuarios, si es público, dañará la imagen de la institución.

Y tienes razón,curioso lo de trazar perfiles de las personas para el envío de publicidad electoral, aunque creo que al final no se metió, por quejas de la propia AEPD.

¡Venga, chicos! Como veis ninguno somos expertos, pero lo mismo entre todos conseguimos cogerle el tranquillo a esta ley.

[Gonza3]

Buenos días,

Por añadir alguna cosa más a este tema, quizá tocaría el punto de la sustitución de la inscripción del fichero por el registro de actividades de tratamiento (RAT). Sobre ello he visto un enlace interesante con un ejemplo de RAT que me gustaría compartir:

https://ayudaleyprotecciondatos.es/wp-c ... jemplo.pdf

¿Que os parece?

[preparadorestic]

Hoooola de nuevo,

Visto que no os han gustado las cuestiones prácticas, vamos a por unas algo más "filosóficas".

1. ¿Qué os parece la nueva normativa de datos personales? ¿Protege mejor o peor a los ciudadanos?

2. ¿Qué opináis sobre los derechos digitales? ¿Son efectivos o un brindis al sol?

3. ¿Esta realmente el RGPD adaptado a las tecnologías emergentes, tales como el blockchain?

¡Venga, que parecía que la idea del grupo de estudio os hacía mucha ilusión, y esto parece más un monólogo de estudio!

[Unomasticopositor]

Uuuff...Creo que desde el punto de vista del nuevo marco jurídico, hace falta un enfoque completamente nuevo del tema. En mi caso he decidido tomarme en serio este asunto y reescribir /modificar la redacción de algunos temas, porque creo que tiene conexiones muy profundas con todo el temario, ya que afecta al ENI, al ENS, a la Estrategia de Ciberseguridad, al IoT al BigData y a la Administración electrónica en su conjunto.(Y creo que me he quedado corto). Para muchos juristas el tema tiene fuertes implicaciones incluso en la CE ( Constitución Española) Existe un planteamiento de reformulación de Derechos del Título I. La nueva LOPD 3/2018 también está muy conectada con las Directivas 1972/2018 y 1971/2018 del Parlamento y el Consejo UE y con recientes sentencias del TS y del TC que no paran de proliferar. En este sentido recomiendo la lectura del libro Sociedad Digital y Derecho de " De la Cuadra Salcedo, Tomás & all". Es una de las últimas publicaciones del ONTSI y es gratuito. Es largo. Aborda en 43 temas cuestiones que creo que nos aportan luz a todos, como complementarias al temario que creo vital considerar en paralelo al estudio.

La Reforma del tema de protección de Datos no ha sido ajena a un auténtico cambio total de paradigma respecto al sistema anterior de la antigua 15/1999 LOPD, máxime sea porque obedece a un paradigma anterior al verdadero desarrollo de las TIC. A nivel jurídico-Científico hay dos nuevos movimientos doctrinales: Los Dataistas que defienden a ultranza las decisiones basadas en IA sobre BigData frente a las emociones humanas y las matrices humanas de decisión y los Posthumanistas que consideran que la matriz de decisión debe residir en los seres humanos sobre los algoritmos por avanzados y precisos que estos puedan llegar a ser.

De ahí se reconfigura el Derecho Fundamental de la Intimidad, y por ende la personalidad jurídica en sí misma ya que hablamos de afectaciones a toda la sociedad y por tanto al Ordenamiento Jurídico en su conjunto.

Ya han existido varios precedentes recientes en los que el BigData +IA han interferido y cambiado la Matriz de decisión Humana. La Protección de los Datos de carácter Personal prevista en el Reglamento y la nueva LOPD 3/ 2018 alcanza una nueva dimensión pues también aborda por primera vez la identidad digital como un problema y como una realidad que ya no puede obviarse ni ocultarse de los efectos jurídicos.

Por ejemplo, de cara al Caso Práctico, un supuesto de examen para generar un portal de la Agencia de Protección de Datos que recogiera las solicitudes de ciudadanos que han sido víctimas de acoso en Internet para en coordinación con el resto de los organismos de la AGE y Constitucionales , generar un procedimiento administrativo nuevo para cumplir con lo previsto en el Titulo I de la CE y ver todos los procesos e instituciones involucrados al respecto en el ciclo de vida desde que se presenta la solicitud hasta la resolución del expediente y su conexión con la Jurisdicción Contenciosa-Administrativa en su caso y con el resto de las Instituciones Constitucionales.

Creo que este año, este supuesto práctico sería una pasada. ( Y no quiero dar ideas).

Es lo malo que tiene estudiar en los puentes.

[Opositor6923]

¡Gracias por colaborar!

Estás en lo cierto cuando dices que este tema se ve influido e influye en los demás temas de la oposición. Si os sirve de consuelo, la nueva ley deja claros algunos conceptos que nos costó encontrar el año pasado, como por ejemplo, que la protección de los datos se hace a través de las medidas del ENS.

Respecto a las dimensiones del cambio, está claro que son importantes. Anteriormente, la ley iba destinada a proteger los datos, entendiendo que algunos de ellos eran más sensibles para la privacidad que otros. Pero eso se quedaba corto con el actual desarrollo de la sociedad de la información, ya que a través de datos que en apariencia son inofensivos, se puede llegar a conclusiones importantes sobre las personas.

Por otro lado, existen partes de la IA que parecen haber avanzado más rápido que la ley. Una parte del Reglamento establece que tenemos derecho a conocer las "tripas" del algoritmo que toma decisiones, lo que es muy difícil cuando se trata de algoritmos que aprenden solos.

El reglamento también parte de la premisa de que los datos están centralizados en torno a alguien que es capaz de ejercer un control sobre ellos. ¿Qué ocurre entonces con el blockchain? En este tipo de tecnologías los datos están distribuidos por definición. Además de que no se puede ejercer el derecho al olvido. Y sin embargo es la tecnología de moda...

¡Suerte y ánimo con el estudio!¡Ya quedan menos puentes que sacrificar!

[Unomasticopositor]

Gracias por leerme en mitad del puente.
Pues sí. Justo lo que planteas es lo que me quita el sueño. Blockchain como tal implica que cualquiera con esa tecnología podría generar un sistema paralelo gestionado desde algoritmos simétricos y asimétricos bajo su control, exentos de regulación y por ejemplo crear criptomonedas no sometidas a control legal alguno. Creo que el tema hay que estudiarlo en profundidad y tomarlo muy en serio. Aquí hay muchos derechos fundamentales en conflicto y las TIC sirven de pasarela pero las posiciones deberían ser Éticas y no tecnológicas.

Gracias por haber planteado este tema.
Un fuerte abrazo a todos los PreparaTic.
1+TiCop

[palindromo]

Hola:

He leído el hilo un par de veces en los últimos días, y la primera y principal conclusión a la que llego (si es que no había llegado ya antes) es que la protección de datos es un tema fundamental en cualquier actividad en la que se involucre al ciudadano (o a ese ente que se llama cliente en la empresa privada). Y me está costando hilar un discurso con el que bajar a tierra algunas ideas de carácter general sin que resulte excesivamente farragoso.

En primer lugar, a poco que reflexiono, aparecen cuestiones de tipo filosófico que se han de tener en cuenta. Si bien el RGPD ha modificado la manera en que las empresas nos presentan a los usuarios sus intenciones de cara a manejar los datos que les proporcionamos, nosotros (los usuarios de servicios, en general), seguimos, por lo común, con la táctica del click-click, continuar-continuar para acceder a los servicios (sé que es una impresión, si puedo, busco una estadística, casi seguro que Eurostat tiene alguna relacionada). Es decir, pasada la preocupación inicial, el usuario medio se sigue comportando de manera ¿irresponsable, confiada? (no sé cómo calificarla sin resultar elitista).

En segundo lugar, creo que la nueva Ley abre una gran oportunidad para que la Administración Pública sea un ejemplo que las empresas privadas sigan en cuanto a la manera de comportarse con el ciudadano (o el usuario, o cliente, en el caso de las empresas). Si la Administración es celosa en la manera en que trata a los ciudadanos, en el modo en el que le muestra o no le muestra los datos de los que dispone en función del nivel de seguridad (usa un DNI electrónico o certificado para consultar los puntos del carnet de conducir o solamente mira de manera anónima en el INE), los ciudadanos, en su calidad de clientes de las empresas, exigirán a éstas un celo parecido en el tratamiento de sus datos. Las AAPP son, en principio, el mayor recolector de datos de los ciudadanos (aunque parece que Google le va haciendo sombra, cada vez más).
Igualmente, el Estado se relaciona con las empresas; si esta relación se realiza con seguridad, habrá de ser un acicate para que las propias empresas, a su vez, se relacionen de manera segura con sus clientes (¿por qué tan pocas empresas aceptan que los usuarios se identifiquen ante ellas con DNI electrónico?).

Tercero, se ha mencionado la influencia de la tecnología y, concretamente, blockchain. A mi, personalmente, no me añade una especial preocupación, quizás porque no he entendido nada de lo que blockchain implica. Por ejemplo, las transacciones en blockchain no se borran nunca, y eso parece motivo de preocupación... tanto como que la implementación de un cierto motor de base de datos pueda realizar de la orden de borrado de datos (DELETE FROM ...) como una simple modificación de un puntero, pero sin borrado REAL de los datos, de manera que estos podrían recuperarse accediendo de manera directa a los discos donde se guarda la información.
O se puede plantear la efectividad de haber ejercitado los derechos ARCO sobre los datos que se almacenan en una cierta base de datos de la que hay copias de seguridad. ¿Qué ocurre si se necesita restaurar una de esas copias?, ¿puedo estar seguro de que mis datos tienen el nivel de acceso que yo he requerido?
Mi reflexión en este punto es que se necesita conocer la tecnología para, a partir de ese conocimiento, implementar las estrategias para que el acceso a los datos se realiza con las garantías debidas en todo momento. ¿Es esto más difícil de asegurar con blockchain? Es lo que no tengo claro.

Lo último que se me ocurre, y ya me he extendido en exceso es: ¿y si, en vez de dedicarme a opositar, monto una consultora de protección de datos? Parece un negocio con un cierto presente, por no decir futuro. Está muy bien eso de que se puedan conocer los algoritmos con los que nuestros datos se tratan pero, ¿quién tiene la capacidad y el tiempo para revisar todos esos algoritmos? Igual hay una línea de negocio que explorar por ahí.

Disculpas por el rollo. Creo que ha salido demasiado filosófico, aunque... era lo que se pedía, ¿no?

Visto que no os han gustado las cuestiones prácticas, vamos a por unas algo más "filosóficas".

[stereopop]

Buenos días,

Excelentes aportaciones. Solo quería aclarar dos cosas:

- Cuando se ha hablado de un supuesto práctico sobre la creación de un portal para ejercer un derecho, cabe recordar que a través de un portal web y según su definición no existen medios para el procedimiento administrativo y sería más recomendable hablar de sede electrónica. Por otro lado, no encontraría mucho sentido que fuese un sistema propio de la AEPD. Pero bueno, todo es posible.

- Respecto a blockchain creo que no se ha entendido las implicaciones al respecto sobre protección de datos. Al funcionar como una tecnología descentralizada en la que las transacciones se registran en todos los nodos de la red a la vez, resulta cuanto menos complicado ejercer un derecho al olvido en el que se deba indicar a todos y cada uno de los nodos deshacer una transacción antigua. La tecnología es bastante novedosa y creo que habrá que esperar a ver si es posible realizar una acción nueva sobre los nodos que implique no un borrado directamente, sino un «modificado» de esos datos para que equivalgan a una «supresión». Pero como digo es una idea mía.

[Opositor6923]

Hola a todos,

En este enlace del CNIL (autoridad francesa de protección de datos), viene una explicación de cómo se puede compatibilizar el RGPD con el blockchain. Está en inglés, pero también existe versión francesa, por si hay alguien que lo domina bien. Lo mismo hay algo en la AEPD pero no lo he encontrado.

https://www.cnil.fr/en/blockchain-and-g ... sonal-data

Las soluciones que proponen van en línea a lo que cuenta Palíndromo (tus aportaciones al foro son vitales, por cierto): bloquear el acceso para permitir el derecho al olvido. De todas formas, lo mismo este tema concreto es muy complejo y no merece la pena que le dediquéis este esfuerzo de cara al test.

Por cierto, todas las dudas son bienvenidas, tanto las fáciles como las de nivel altísimo que plantean los compañeros que aquí han escrito. Filosóficas o prácticas, vosotros decidís. Como veis los preparatic no tenemos mucha más idea que vosotros (o en algun caso menos), lo único que podemos aportar es la experiencia de que debatir en grupo lleva a un mejor resultado global.

Gracias de nuevo a los que estáis participando y ánimo a los que no.

[miguel.acabado]

Si me permitís volver un poco a la tríada Magerit-GDPR-ENS...

La AEPD ha publicado sendas guías para el Análisis de Riesgos y la posterior Evaluación de Impacto que requiere GDPR.

Hasta donde yo he entendido:

• los riesgos relativos a los datos personales son un subconjunto de todos los riesgos previstos en el ENS.
• Magerit aún se está adaptando a GDPR, pero parece que PILAR ya está adaptada.
• Yo tampoco conozco Magerit en profundidad, pero de lo que sé parece que el análisis de riesgo y la evaluación del impacto están cortados por el mismo patrón (puntuar según "Probabilidad * Impacto") que para el ENS, así que me huelo que se parecen mucho.
• Las medidas a aplicar por la GDPR son las que ya existen en el Anexo II del ENS.

No sé si sacáis las mismas conclusiones que yo.

Crucemos los dedos para que el caso práctico no sea sobre blockchain

[Opositor6923]

¡Gracias, Miguel!

Pues mira, la adaptación de Pilar ya estaba cuando me examiné y se me pasó por alto

Por otra parte, ¿Magerit necesita incorporarlo? echando un vistazo general, parece tan genérico que entraría también lo referente al RGPD. ¿Alguien que se haya estudiado bien Magerit en la sala lo confirma?

Por otra parte, ¿habéis visto que se ha publicado el listado de tratamientos en el que hay obligación de hacer el análisis de impacto? Estaba pendiente por el artículo 35.1 del Reglamento.

https://www.aepd.es/prensa/2019-05-06.html

[Unomasticopositor]

Sobre Magerit, por ir al grano yo lo estoy profundizando justo ahora en el repaso sobre e-pulpo. Hace cosa de un mes ya se publicó una adaptación sistemática tanto de Pilar 7.1.7 que se basa en Magerit como de la nueva e-pulpo. Todo esto es muy especifico y novedoso, pero merece la pena el nuevo enfoque que se le está dando. Pongo aquí el enlace. Recomiendo lectura. Aclara muchos de los puntos de cara a posibles preguntas del tercero y también del test, aunque dudo que en el primero bajen a este nivel.
http://socinfo.es Magerit, Pilar y e-Pulpo. Una Solución en el marco de RGPD y del ENS por Elisa García. Creo muy interesante el enfoque. Por supuesto desde la neutralidad tecnológica. El PDF de la ponencia puede descargarse directamente. Aclara muchas dudas.


Ánimo y gracias.

[wampwamp]

Muchas gracias por las aportaciones.

Yo tengo una duda. El documento infografia-adaptacion-rgpd-aapp.pdf indica en el punto 1 evaluar si procede la designación de un delegado. Aunque en el 37.1a del RGPD indica que será obligatorio exceto en el caso de tribunales.

Debo enterder que "evaluar si procede" se refiere a si se trata o no de un tribunal? Por que el impacto-rgpd-en-aapp.pdf también indica la obligación.

https://www.aepd.es/media/docs/impacto-rgpd-en-aapp.pdf