Foro México y el Convenio 108del Consejo de...

Ciudad de México, 7 de noviembre de 2018. Versión estenográfica del “Panel 2: La visión europea de la protección de datos personales”, en el marco del Foro México y el Convenio 108 del Consejo de Europa, efectuado en el Auditorio Alonso Lujambio del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales. ________________________________________________________ Presentadora: Vamos a iniciar con el Panel 2, denominado “La visión europea de la protección de datos personales”. Damos la bienvenida a nuestros distinguidos panelistas. Nos acompaña la Presidenta del Comité Consultivo del Convenio 108 y funcionaria de la Autoridad Italiana para la Protección de Datos, Alessandra Pierucci. Está con nosotros el Comisionado de Información Adjunto del Reino Unido, Steve Wood. El Director del Máster en Derecho de las Nuevas Tecnologías de la Universidad Complutense de Madrid, España, y ex Director de la Agencia Española de Protección de Datos Personales, José Luis Rodríguez Álvarez. Bienvenido. Nos acompaña, vía Skype, el Encargado de Políticas de la Unidad de Flujos Internacionales y Protección de Datos de la Comisión Europea, Manuel García Sánchez. Bienvenido. Está con nosotros el doctor Fernando Sosa Pastrana, Director General de Protección de Derechos y Sanción del INAI. Cedemos ahora el uso de la voz al doctor Fernando Sosa Pastrana, moderado de este panel. Fernando Sosa Pastrana: Muy buenas tardes.

Foro México y el Convenio 108 del Consejo de Europa. 07/11/2018

2

A nombre del Instituto, es un privilegio poder estar presentes con tan distinguidos panelistas. Quiero decir que para poder comprender cómo el concierto de las voluntades internacionales va a poder permear en nuestro país es más que necesario tener una visión comparativista, y qué mejor que esta visión de la protección de los datos personales en el sistema europeo. Yuka Pohomen decía una frase que quizá nos pueda ayudar a nosotros a comprender la importancia de este Foro “el derecho comparado no es nada más que vernos a nosotros mismos con otro ropaje”. Y creo que entender el ropaje europeo en este cuerpo de protección de datos personales resulta fundamental. Y en esta dinámica me gustaría, por favor, que escucháramos con mucha atención a Alessandra Pierucci, Presidenta del Comité Consultivo del Convenio 108, de quien podré, si me permite ella, leer parte de su extenso currículum. Alessandra Pierucci es abogada y ha trabajado por diversos años en la Autoridad Italiana de Protección de Datos, en específico en asuntos relacionados con la actividad internacional y de la Unión Europea. Desde 2016 ella es Presidenta del Comité Consultivo del Convenio 108 del Consejo de Europa, en la cual ha participado activamente durante muchos años representando a Italia. También trabajo en la División de Medios y Sociedad y de la Información del Consejo de Europa, en donde se ocupó de la protección de datos personales y de la libertad de expresión con respecto a los nuevos medios y a la sociedad de la información, y de la igualdad de género en los mismos medios. Por favor, doctora, la escuchamos con atención. Alessandra Pierucci: Muchas gracias. Buenos días a todos los presentes.


3

Primero que nada, voy a agradecer muy calurosamente a INAI por la organización de este evento tan extraordinario y por haberme invitado. Como podrán imaginarse, me siento muy honrada, en lo particular por un momento que considero histórico en esta conferencia después de que haya entrado México este 1 de octubre. Y antes de pasar a la presentación de lleno, misma que tiene que ver con la relación de la Convención 108+ y el marco legal, me gustaría decir sobre la adhesión de México lo siguiente: Esta adhesión a la Convención 108 de México, y siendo México un país de vital importancia desde el punto de vista político y económico, fue bien visto por el Comité Consultivo, en el cual soy Presidenta. Este Comité tuvo que analizar el marco legal de protección de datos personales en México y ver su Constitución en cuanto a la inclusión de la protección de datos personales de la vida privada y también la referencia de otros derechos y ser independiente como una autoridad que protege datos. Y al ver todo el marco legal de protección de datos en México se sujetaron algunos ajustes para poder dar cumplimiento a los principios del Convenio 108. Es por esa razón que hubo una opinión favorable, un dictamen favorable por el Comité en octubre 2017 y con el Comité de los Secretarios que también luego invitó a que se adhiriera México al Convenio 108. A mí me enorgullece mucho que hayamos finalizado felizmente esta adhesión mexicana. Y esto puede volverse una experiencia muy positiva para México y también un ejemplo muy positivo para otros países que no son europeos. Y solamente quiero recordarles que este Comité Consultivo durante el examen de la adhesión de México se dio cuenta de dos puntos interesantes. El primero es precisamente que no nada más se refiere a la adhesión al 108, sino a los protocolos que tienen que ver con los flujos


4

transfronterizos y autoridades, y que muestra la conciencia que tenemos por tener un marco legal completo. Y el segundo elemento consiste en que el marco legal mexicano ya incluía algunos elementos importantes, como son la rendición de cuentas como principio, el enfoque de riesgos que anticipa el principio del Convenio más moderno 108. Ahora voy a pasar a los puntos principales de mi presentación. Nosotros podemos decir que la relación que existe entre la Convención 108 y la Unión Europea y el marco de protección de datos, yo diría que es una relación de hace mucho tiempo que empezó con precisamente las directivas que se refieren al Convenio 108 diciendo que se trata de una fuente de dar una mejor explicación de los principios. Esta relación entre el Convenio 108 y la Unión Europea se consolidó y se fortaleció durante dos procesos de modernización que involucraron, como saben, el Consejo de Europa en cuanto a protección de datos, junto con la Unión Europea. Y también hubo un paquete de reforma para la Unión Europea y estaba en paralelo llevándose la modernización del 108, considerándose el desarrollo de la reforma de la Unión Europea y hubo un aseguramiento de que la modernización tendría que tener consistencia con el GDPR. Podríamos concluir entonces que la Convención del Consejo de Europa y la Unión Europea tienen buena relación en sus marcos legales y que de hecho tienen la capacidad de respetar sus propias diferencias. No obstante la Convención 108 estuvo muy consistente con el GDPR, aún conserva ciertas peculiaridades que han sido recordadas en la sesión anterior, el hecho de que habla con un idioma general, con los niveles altos de principios, pero con la flexibilidad suficiente para asegurar su naturaleza internacional para proteger cualquier país prácticamente en el mundo, tal como se muestra con el aumento de interés de países no europeos para unirse al Convenio 108. Incluso viendo rápidamente la convención más moderna, el convenio moderno, podemos ver muchas características parecidas al GDPR con


5

las definiciones que son muy consistentes, con las mismas que contempla el GDPR, el Convenio 108 fortalece el principio de proporcionalidad que es uno de los principios más importantes en GDPR, el Convenio 108 incluye también y es una novedad en cuanto a la anterior, el principio con el cual el manejo de datos tiene que ver con el consentimiento o a través de cualquier otra base legal, lo cual está muy alineado con el GDPR. Ahora digamos que si vemos el artículo del convenio más moderno hay una referencia al consentimiento, y que es una referencia concisa a otras bases legales y si se fijan en el memo, van a darse cuenta de que todas las bases legales que se contemplan y se expresan a profundidad están empatadas con lo que estipula el GDPR. El Convenio 108+ también tiene una protección más amplia para la información biológica y genética, igual que lo hace el GDPR, también la seguridad de datos y medidas al respecto, como la notificación al menos a las autoridades que son incumbentes y contempla la notificación de los sujetos de datos en caso de violación a la notificación, pero el memo que hace la explicación contempla estas posibilidades de igual manera. También hay otros deberes de transparencia que se han insertado en esta nueva versión del Convenio, con el artículo 13, 14, 15 del GDPR, con los derechos que incluyen el de no sujetarse a una decisión automatizada, esta es una novedad importante, sobre todo en el mundo de inteligencia artificial, Big data, como se le denomina, etcétera. Y también las nuevas obligaciones para que quienes manejan la información puedan tener mejor rendición de cuentas, mejor evaluación por privacidad, también predeterminada que tiene que ver con los principios del GDPR de igual forma. Esto también aplica a los remedios y sanciones en el artículo 12 del Convenio moderno. Y también tenemos un nuevo régimen para la transparencia, es el artículo 14 el que lo cubre. Esto, el principio principal es que puede haber circulación libre de cierta información entre las partes del Convenio con ciertas limitaciones en cuanto a la transferencia que, digamos, pudiese traer un riesgo de violación al Consejo de Europa y el Convenio o donde la parte se ve obligada a armonizar las reglas que vienen de su organización regional.


6

Y obviamente no se explicita aquí a tal grado pero está muy bien establecido; también tiene que ver con los nuevos requisitos de independencia que se han enfatizado en ese Convenio y que están también alineados con el GDPR. Y vamos a decir que la importancia del Convenio 108 en la Unión Europea y su marco de trabajo fue muy enfatizado en un documento muy importante de la Comisión Europea el 10 de enero del 2017, que es la comunicación que se alcanza a ver en la pantalla para intercambiar la información personal en el mundo globalizado. En la próxima diapositiva les voy a enfatizar las partes principales de este comunicado que están en el Convenio 108. Como podemos ver, la Comisión anima que vaya otra adhesión a través del protocolo también y este documento tuvo que ver con el proceso de modernización del Convenio 108, que la Comisión activamente va a adoptar la versión modernizada para que la Unión Europea sea también considerada como una parte miembro. Otra parte importante de este comunicado de la Comisión Europea es que el Convenio 108 va a reflejar el mismo principio que los que se han consagrado en las nuevas reglas de protección de datos, para que haya convergencia, para tener estándares altos de protección, esta convergencia ya se ha delimitado por parte de los presentadores que estuvieron antes que yo. Otro elemento importante en cuanto a la relación del Convenio 108 y la Unión Europea, como podrán apreciar en la pantalla, es el artículo 26 del Convenio moderno, básicamente nos da la posibilidad de que la Unión Europea pueda firmar este nuevo Convenio. Otro elemento importante que también ya se ha mencionado por parte de otros presentadores es precisamente el recital 105 del GDPR, la Comisión en la evaluación del adecuamiento de los terceros, deberá considerar la adhesión de estos terceros al Convenio 108 como un elemento de importancia. No podemos decir que la adhesión al Convenio 108 es una llave que va a abrir a la adecuación, pero yo creo que la Comisión Europea va a


7

poder confirmarlo y esto sigue siendo elemento relevante que la Comisión sí toma en cuenta. La función del Convenio 108 en GDPR, fue muy enfatizado por el trabajo del artículo 29. Como ustedes saben es lo que comprenden las autoridades de protección de datos en Europa y que tiene que ver con la Junta Directiva y sus resoluciones pasadas. Desde el principio del artículo 29, en el documento que se numera número 12 para adecuación hay una sección que se dedica a la adhesión de países que aspiran tener la adecuación a nivel de la Unión Europea, y más recientemente en otro documento que se adquirió en 2018, en febrero, también durante su primer plenaria la Junta también enfatiza la importancia del Convenio 108 para la adecuación y anticipa que estos aspectos particulares se van a considerar por parte de la Junta en el futuro Yo he intentado con esta diapositiva informar las partes más significativas de este documento en cuanto al referencial de adecuación, yo les recomendaría que lo leyeran con más cuidado, nos da un marco de los elementos importantes que un tercer país debe tener para que pueda tener adecuación a nivel europeo. Hay dos puntos que he subrayado, no nada más el que vieron en la parte baja de la pantalla, el hecho de que hay consideración hacia el Convenio 108, sino el hecho de que hay un análisis de protección a nivel europeo y que debe tener elementos básicos. El contenido de las reglas aplicables y los medios para asegurar su aplicación efectiva. Esto me parece que es un elemento de gran importancia que denota y se acerca a que durante el examen de la adecuación de cierto país va a ser importante no nada más analizar lo que hay en los documentos, sino también los medios que van a poder asegurar para poder asegurar los principios efectivamente. Esto también fue adoptado en el Consejo de Europa y a otro nivel parcialmente, cerca a la adecuación, pero no coincidental.


8

Como se había mencionado anteriormente, el convenio moderno ya está dando viras al futuro para el Comité futuro y las adhesiones futuras a nivel de protección de datos. Y esto ya estuvo como práctica, tal como se mostró en el caso de México, pero ahora se ve regulado por el nuevo convenio. Y el nuevo Comité va a revisar la implementación de este convenio por las partes, recomendando dónde no hay cumplimiento y sea necesario. Es importante enfatizar que el tipo, la actitud que se debe tener en este convenio moderno es de análisis profundo de la legislación de aquellos que aspiran ser candidatos a la convención moderna, no nada más se trata de analizar lo que hay en los documentos, sino profundizar, lo cual sí se fija en la implementación efectiva del convenio. Me parece que es interesante poder trazar estas similitudes. Creo que puedo ir cerrando mi presentación en este punto, solamente les voy a enfatizar nuevamente lo que les dije al principio de esta presentación, que de nueva cuenta me parece que les he mostrado los puntos comunes más importantes en GDPR, el Convenio 108+, pero debemos recordar las peculiaridades de este convenio, que se han enfatizado muchas otras ocasiones, pero yo quería hacer eco de nueva cuenta del concepto que estamos hablando de un instrumento global con un idioma general que puede adaptarse a los diferentes países, incluyendo los que tengan cultura y legislación distinta. Les agradezco su atención. Fernando Sosa Pastrana: Le agradecemos mucho a la ponente sus precisas palabras. Y a continuación va a hablar Steve Wood, Comisionado Adjunto de Información del Reino Unido. Me gustaría, de la misma manera, poder compartirles una pequeña semblanza. Bueno, hubo un acuerdo aquí que voy a aceptar como acuerdo bilateral en honor a esta idea de los pactos internacionales, y precisamente nos va a apoyar ahora con la ponencia José Luis Rodríguez Álvarez, quien


9

es ampliamente conocido en nuestro Instituto, es un visitante constante y ha sido un faro para muchos de nosotros en la protección de datos personales. Pero a pesar de eso me gustaría compartirles una parte de su hoja de vida. Don José Luis es actualmente profesor de Derecho Constitucional en la Universidad Complutense de Madrid y delegado académico del Rector para la protección de datos y Director del prestigioso Máster en Derecho de las Nuevas Tecnologías. Él fue Director de la Agencia Española de Protección de Datos del año 2011 hasta julio de 2015. Entre sus múltiples estudios se encuentran los de posgrado que realizó en la Universidad de Heidelberg, Alemania, así como investigador visitante en el Instituto Max-Planck de Derecho Internacional y Derecho Público Comparado durante tres años. Por favor, doctor, lo escuchamos. José Luis Rodríguez Álvarez: Muchas gracias, Fernando. Buenos días a todas y a todos. En primer lugar, quería comenzar expresando mi satisfacción por haber sido invitado una vez más a participar en una actividad del INAI, en este caso en este Foro dedicado a un acontecimiento tan relevante como la adhesión de México al Convenio 108 del Consejo de Europa. Mi agradecimiento por ello a todos los comisionados del INAI y en esta ocasión permítanme en especial personificarlo en la Comisionada Kurczyn Villalobos, coordinadora del Foro; y en el Comisionado, Acuña Llamas. Este panel lleva por título “La visión europea de la protección de datos”. Y si me pidieran que les resuma en una frase cuál es dicha visión, les diría “la que se materializó en el Convenio 108 del Consejo de Europa”.


10

Es cierto que hay otros textos posteriores a los que luego me referiré, ya haz hecho mención también, más extensos, más elaborados dogmáticamente y que contienen garantías mucho más precisas, pero el Convenio 108 tuvo el mérito de establecer los elementos esenciales de lo que sería el modelo europeo de protección de datos personales. Y a ello añade otra virtud poco frecuente en los textos jurídicos europeos, la de combinar en la dosis adecuada el rigor jurídico y la flexibilidad, lo cual le permite, como ya se ha dicho varias veces, tener vocación de universalidad sin renunciar a sus orígenes. Y gracias a esta afortunada combinación el Convenio 108 es la base sobre la que se cimentó el desarrollo del Sistema Europeo de Protección de Datos y a la vez es una plataforma internacional para la concertación, para la convergencia, para la colaboración de estados europeos y no europeos que, sin tener los mismos sistemas de garantías, sí comparten el compromiso de establecer un nivel elevado de salvaguarda del derecho a la protección de los datos de carácter personal. Como la mayoría de ustedes conoce, los orígenes de derecho a la protección de datos en Europa se sitúan en los debates que en los años sesenta de pasado siglo se desencadenaron en torno a los riesgos derivados del desarrollo de la informática, debates que fueron especialmente intensos en Alemania debido a las dramáticas experiencias vividas con el manejo que el régimen nazi hizo de los registros de población. Y en este periodo surgieron diversas propuestas normativas, la primera que cristalizó fue la Ley de Protección de Datos de Land de Hesse, aprobada el 7 de octubre de 1970, que se convirtió así en el texto pionero en la materia. Y fue justamente en ella donde por primera vez emergió en un texto legislativo la expresión “protección de datos”, “datenschutz”. Inicialmente este término fue muy cuestionado, se le considera erróneo o cuando menos equívoco por referirse a la protección de los datos y no a la protección de las personas frente al uso de sus datos, pero poco a poco se fue afianzando, gracias a su sencillez en parte y a su facilidad de uso, y recibiría el espaldarazo definitivo precisamente al ser acogido


11

por el Consejo de Europa en el Convenio 108, por lo que, aunque no le corresponda al Convenio la paternidad del término “protección de datos” como categoría jurídica, sí le corresponde el mérito de haberle otorgado carta de naturaleza internacional y haber contribuido con ello a su generalización. Por otra parte, la adopción el 28 de enero de 1981, por eso el 28 de enero es un día tan señalado en el seno del Consejo de Europa del Convenio 108, permitiría superar y reorientar en Europa el enfoque puramente nacional que a lo largo de la década de los setentas se había seguido, varios estados se habían dotado ya de leyes de protección de datos, pero aunque toda las legislaciones perseguían más o menos la misma finalidad, el peso de las traiciones nacionales hacía que los planteamientos fuesen no del todo coincidentes y, por tanto, que existieran sensibles diferencias entre sus regulaciones. En este contexto, el Convenio 108 no sólo se erigiría en el primer texto internacional jurídicamente vinculante, sino que proporcionaría un modelo que inspiraría regulaciones que en los años siguientes adoptarían la mayoría de los estados europeos. En particular es conocida su definición de los datos de carácter personal como cualquier información relativa a una persona física identificada o identificable y su regulación de los principios que han de regir los tratamientos de los datos personales se convertirían en el estándar común europeo en la materia. Junto al Convenio 108, el segundo basamento del modelo europeo de protección de datos lo colocó poco tiempo después el Tribunal Constitucional Federal Alemán con la conocida como la Folk Serum Suartail, la sentencia de 15 de diciembre del año 1983 sobre la Ley del Censo. En ella el Tribunal alemán proclamó que del derecho fundamental al libre desarrollo de la personalidad en conexión con la garantía constitucional de la intangibilidad de la dignidad humana, se derivaba un nuevo derecho fundamental, autónomo, el derecho a la autodeterminación sobre la información personal, el informationelle selbstbestimmung richtig, derecho que tiene un contenido muy preciso que el propio Tribunal Constitucional Federal define como que garantiza


12

a cada individuo la facultad de decidir por sí mismo sobre la divulgación y el uso de sus datos personales. Con esta resolución, el Tribunal Constitucional Federal Alemán aportó la otra pieza esencial para la construcción dogmática del derecho que nos ocupa, y conduciría a un cambio de paradigma, primero en Alemania y a la postre en todo el ámbito europeo. De los planteamientos que hasta entonces se seguían, que perseguían la protección de los derechos de las personas a través de imponer condiciones y límites a los tratamientos de sus datos, se pasaría a un modelo que parte del reconocimiento en los individuos de la titularidad de un derecho fundamental. Y, en consecuencia, se exige al legislador el establecimiento de un sistema de garantías que proporcione una protección eficaz, acorde con su naturaleza de derecho fundamental. El Convenio 108 y la sentencia del Tribunal Constitucional Federal Alemán sobre la Ley de Acceso son, por tanto, los dos pilares sobre los que se rige el Modelo Europeo de Protección de Datos. Y cuando una década más tarde la comunidad europea se enfrentó al reto de instaurar el mercado interior, se hacía imprescindible reducir las diferencias entre las legislaciones estatales, las libertades económicas, la libertad de movimientos de personas, servicio materiales y capitales, requerían para hacer efectivas la libre circulación de los datos personales entre los estados, lo cual, a su vez será posible, si las legislaciones estaban armonizadas. Y con este fin se elaboró la directiva 95463, cuya principal fuente de inspiración fue también el Convenio 108, cuyos elementos esenciales incorpora. Y combinándolos con otros elementos procedentes de los estados configura un sistema dotado de un considerable grado de coherencia con el que se perseguía asegurar una protección equivalente en todos los estados y, de esta manera, permitir el libre flujo transfronterizo de los datos personales que demandaba el mercado único. El objetivo de la armonización nunca se llegó a alcanzar plenamente debido a la desigual transposición que hicieron los estados, pero bajo la vigencia de la directiva se fue generando en Europa una cultura común


13

de la protección de datos y se iría construyendo un sistema de garantías que proporcionó un nivel de salvaguarda sin parangón en ninguna otra región del mundo. La Proclamación de la Carta de los Derechos Fundamentales de la Unión Europea, el 7 de diciembre del año 2000, aun tratándose inicialmente de un texto que no tenía carácter vinculante tendría una relevancia trascendental, porque marcó la línea a seguir con los desarrollos posteriores. En su artículo 8º establece que toda persona tiene el derecho a la protección de los datos de carácter personal que le conciernan. De esta manera consagra por primera vez en un catálogo supranacional el derecho a la protección de los datos personales como un derecho fundamental, autónomo, confiriéndole una entidad propia y diferenciada del derecho a la vida privada que reconoce en el artículo anterior, en el artículo 7º. Posteriormente con la entrada en vigor del Tratado de Lisboa, el 1 de diciembre de 2009, ya se da el impulso definitivo al proceso de consolidación del proceso de la protección de datos como derecho fundamental en Europa, porque por un lado atribuye la carta al mismo valor que los Tratados, con lo cual los derechos que están en la carta, incluido el derecho a la protección de datos, adquieren la condición del derecho primario, un rango por lo tanto cuasi constitucional; y, por otro, atribuyó a las instituciones algo que les faltaba, que era la competencia para legislar sobre la materia. Ello allanó el camino a las instituciones algo que les faltaba, que era la competencia para legislar sobre la materia. Ello allanó el camino a la reforma que estaba pendiente desde hacía tiempo del marco legislativo europeo para adaptarlo a los nuevos retos derivados principalmente del desarrollo tecnológico y de la globalización; y para implantar un mayor grado de homogeneidad con vistas al desarrollo ahora al mercado digital único europeo. Como es conocido, después de un dilatado proceso y a veces tortuoso proceso de debates que duró más de cuatro años, finalmente el 27 de abril del año 2016 se aprobó el Nuevo Reglamento General de Protección de Datos que deroga la Directiva en el año 95, y desde el


14

pasado mes de mayo rige ya con carácter general en todos los Estados de la Unión Europea siendo obligatorio en todos esos elementos y directamente aplicable. Pues bien, este Nuevo Reglamento que fuerza notablemente las garantías del derecho a la protección de datos y en muchos aspectos es marcadamente innovador, mantiene íntegramente los principios generales del régimen jurídico de la Directiva que a su vez, como hemos visto, derivan en gran parte del Convenio 108. Ahí pues en la evolución del Sistema Europeo de Protección de Datos una clara e ininterrumpida línea de continuidad, y el flamante Nuevo Reglamento también hunde sus raíces en el vetusto Convenio 108. Por otra parte, la aprobación del Reglamento no privó en modo alguno este sentido al Convenio 108; en primer lugar, porque el Convenio ha sabido, como hemos visto, adaptarse a los nuevos tiempos mediante un proceso de modernización que se inició en el año 2011 justo cuando cumplía 30 años, y que ha concluido con éxito en mayo de este mismo año con la aprobación del que ya ha sido presentado y esta tarde en el panel se profundizará en detalle el Convenio 108+. En segundo lugar, porque en paralelo a este proceso de modernización relanzó su vocación de universalidad, abriéndose a la adhesión de estados neuropeos una evolución muy acorde con los tiempos actuales, porque por fortuna cada año son más los países que apuestan por la protección de los datos personales como garantía esencial de los derechos fundamentales, y se van dotando de legislación propia sobre la materia. Y México ocupa un lugar muy destacado entre los países que se han tomado en serio el derecho a la protección de datos personales; nos reconoce su constitución como un derecho fundamental, ha sido desarrollado y regulado en todos sus elementos por la Ley Federal del 2010 y la Ley General del 2017, cuenta con una autoridad de supervisión y control configurada como organismo constitucional autónomo, el INAI, contestamos, que ha desarrollado una ingente labor en los últimos años no sólo para garantizar los derechos de los ciudadanos que es su función principal, pero también para promover en la sociedad mexicana una cultura de la protección de datos, una cultura


15

que resulta imprescindible para su efectividad e incluso -ya se nos ha hablado de ello también- ha proyectado su actuación en más allá de las fronteras, ejerciendo una intensa labor de liderazgo en la región desde la Presidencia de la Red Iberoamericana de Protección de Datos, hasta que se dio su testigo a Uruguay. De ahí que estuviera plenamente justificado que México fuese invitado a formar parte del convenio era por así decir un acto debido, al igual que nos sorprende que su candidatura haya sido evaluada de una forma muy positiva. Y al adherirse al Convenio 108 México contribuye con su enorme peso específico a enriquecer y a fortalecer esta extensa comunidad de países que están fuertemente comprometidos con el derecho a la protección de datos; a la vez -y esto hay que subrayarlo- también a la vez que asume una gran responsabilidad, la de cumplir a partir de ahora con uno de los estándares más elevados existentes en la materia. De esta decisión sin duda se van a derivar notables beneficios, tanto para sus ciudadanos como para sus empresas y sus actores económicos en general. En el actual mundo globalizado las actividades económicas -también se ha mencionado- generan continuos flujos de datos que no reparan en fronteras y ello plantea arduos retos a la hora de garantizar los derechos de los ciudadanos. La posibilidad que ofrece el convenio de contar con la asistencia y la cooperación de las autoridades de más de 50 Estados es una valiosísima ayuda a estos efectos. Pero también las empresas y la economía mexicana notarán los efectos benéficos de la pertenencia al convenio. Las obligaciones que establece son obligaciones recíprocas para los Estados parte y esto va a simplificar los trámites tanto de las exportaciones como de las importaciones con los Estados parte del convenio, favoreciendo así claramente las relaciones económicas y, por otro lado, la garantía de que se van a observar los estándares del Convenio Internacional; esa es una garantía que va a proporcionar sin


16

duda un mayor grado de confianza a las empresas mexicanas en el contexto internacional. Y, por último, aunque no en último lugar, representa un paso de gigante en el camino hacia el reconocimiento de adecuación por parte de la Unión Europea, a la que ya se ha hecho referencia, lo que vendría a suponer la incorporación de México a un Estado miembro a efectos del libre movimiento de los datos personales, con todo lo que ello implica. La pertenencia al convenio no es condición suficiente, también se ha mencionado, pero es un activo y es un activo de gran peso, reconocido expresamente, como se ha mencionado en el artículo 105 del Reglamento. Y después de que el Tribunal de Justicia de la Unión Europea haya dejado claro en la sentencia del caso Schrems, que un nivel adecuado no significa que tenga que haber un nivel idéntico, sino que lo que se requiere es que exista un sistema jurídico que en su conjunto garantice un nivel de protección equivalente al actualmente vigente en la Unión, todo apunta a que en el futuro el canon que se va a utilizar para decidir sobre adecuación, y Manuel García nos dirá algo después sobre ello probablemente, no se va a diferenciar mucho de esta nueva versión modernizada del convenio Y concluyo ahora sí, pues sólo me queda felicitar a México, felicitar a sus ciudadanos, a sus instituciones, que han dado este paso, especialmente al INAI por este -como decía- paso gigante que acaban de dar y les animo a continuar en esta senda avanzando, no sólo avanzando, sino impulsando también el progreso en beneficio de la sociedad mexicana y de la comunidad internacional. Muchas gracias. Fernando Sosa Pastrana: Muchas gracias, doctor. Y ahora continuando con el programa, sí va a hablar Steve Wood, que me permitiría leer un poco su hoja curricular para presentarlo con ustedes. Steve Wood asumió el cargo de Comisionado Adjunto en junio de 2017.


17

Como miembro del equipo ejecutivo, es responsable de dirigir el trabajo de la Dirección de Políticas, asegurando el cumplimiento de los objetivos estratégicos de la Oficina de la Comisionada de Información, a través del enlace con las partes interesadas y de la orientación, investigación y actividad internacional. Antes de asumir su cargo, Steve Wood se desempeñó como Jefe de Estrategia e Inteligencia Internacional, siendo el responsable de supervisar la estrategia internacional de ICO, el Centro de Inteligencia de ICO y la gestión de casos de alto perfil. En ICO también ocupó los cargos de Jefe de Aplicación de Políticas y Comisionado Asistente para la Política de Acceso a la Información. Antes de incorporarse a ICO, Steve Wood fue profesor titular de Gestión de la Información en la Universidad John Moores de Liverpool. Por favor, lo escuchamos. Gracias. Steve Wood: Gracias, Fernando. Estoy muy contento de estar acá, de poder hablar con ustedes el día de hoy. Queremos, de parte del Reino Unido, felicitarlos, esperamos poder trabajar con México de manera más cercana en estas reuniones en Estrasburgo. Es un momento muy importante para el futuro de la Convención y tener a México a bordo es sumamente importante. Les voy a presentar la perspectiva europea, pero también la perspectiva del Reino Unido, especialmente ahora que el Reino Unido está esperando o está a punto de salir de la Unión Europea, pero tenemos altos estándares en cuanto a protección de datos y cómo vamos a seguir siendo socios. Hablando del Convenio 108, fue uno de los primeros signatarios o de los primeros firmantes en la Convención en octubre de este año, y uno


18

de los únicos instrumentos vinculantes es una de las piedras angulares en cuanto a las regulaciones de la privacidad de datos. Y también el apoyo de este Convenio 108 de protección para los datos, también provee un puente importante entre muchos de los sistemas de protección alrededor del mundo. Este Convenio ha tenido un papel importante en el Reino Unido desde el primer momento en que se le envió un acta en 1994, al respecto de es este tema, éste genera uno de los primeros principios. Muchos de los ciudadanos del Reino Unido han tenido la posibilidad de ser protegidos a través de este Convenio que inició en 1994, después de que nos adherimos también al GDPR en 1995. También vamos a tener una reunión en el 2020 enfocada en la aplicación del GDPR, pero también la implementación de este Convenio. Hay una serie de provisiones requeridas para poder poner en funcionamiento este Convenio 108 porque hay algunos aspectos que no están cubiertos por el GDPR, porque no tiene esa competencia. Cuando hablamos de protección de datos, hablamos de agencias de inteligencia que están basadas justamente en los principios del Convenio 108. El siguiente punto del que quiero hablar es la tecnología y por qué el GDPR y el Convenio 108 son tan importantes para enfrentar los retos del siglo XXI, el crecimiento de los negocios en línea, en los que necesariamente se utilizan los datos de personas, porque ese es el modelo moderno, pero también el crecimiento de los servicios digitales en los servicios públicos. Los riesgos a la privacidad con el crecimiento de la inteligencia artificial y el Big data necesita una legislación que provea un control de transparencia y de responsabilidad. Son todos estos conceptos que son clave cuando hablamos de las responsabilidades en el mundo en línea.


19

Y ciertamente, como hemos aprendido en el Reino Unido en los últimos años, después de la investigación de Cambridge Analytica y de Facebook, hablando de transparencia en términos de entendimiento de cómo se obtiene la información y cómo se utiliza esa información y el control que debemos tener de ese proceso, también que todos los actores sean responsables dentro de este ecosistema, desde partidos políticos hasta gente que se dedica al manejo de datos, plataformas de medios sociales, incluso universidades que están involucradas también en nuestra investigación. Todos estos componentes tienen que ser considerados como parte de este nuevo convenio. También los datos biométricos de pruebas genéticas son importantes, y en esta convención o en este convenio modernizado tiene que formar parte, es la inteligencia artificial que va a proveer muchos beneficios al público en el futuro, en cuanto a medicina personalizada que es la personalización que solamente puede lograrse a través del acceso a los datos personales e íntimos de una persona. Es importante que también nos enfoquemos en ese aspecto en la legislación. Cuando hablamos el reto de la tecnología pensamos también en otras experiencias prácticas, depender de la legislación no es suficiente, tiene que haber una guía práctica que le explique a las compañías y a los órganos públicos lo que tienen que hacer para traducir esta legislación en buenos niveles de protección para la gente, así que cualquier, bueno, más bien, todas las guías que se están desarrollando ahora en el Convenio, especialmente la que tiene que ver con inteligencia artificial. Después quisiera hablar sobre las implicaciones de que el Reino Unido vaya a salir de la Unión Europea. Está bastante bien documentado que, bueno, del Brexit, la salida del Reino Unido, de la Unión Europea, sin embargo, nosotros vamos a continuar con nuestra responsabilidad del cuidado de los datos personales en nuestras oficinas del Reino Unido, porque somos el regulador, porque eso es lo que se espera de nosotros, Los riesgos y los retos de proteger datos personales en el Reino Unido van a seguir siendo los mismos independientemente de si somos parte de la Unión Europea o no, así que esto va a seguir siendo parte de nuestro enfoque de protección a la privacidad de los individuos.


20

Hay un estándar que es sumamente importante cuando hablamos de confianza y de participación en la economía de los datos. Tiene que haber confianza en el flujo de información ente países y por eso seguir con estos altos estándares es sumamente importante, vamos a mantener el GDPR porque es una ley que va a seguir siendo vigente en el Reino Unido, incluso después de que hayamos abandonado la Unión Europea, y somos parte de este convenio justamente porque queremos reivindicar nuestro compromiso. También como comisionado de la información quiero tener una relación importante con todos los protectores de los datos personales, así como los comisionados del GDPR para que estemos todos en la misma línea. El reino Unido también quiere tener una nueva forma de relación con el resto de Europa para tener una posición que nos permita este flujo de información con los miembros de la Unión Europea. Ahora hay negociaciones sobre cómo van a ser las relaciones entre el Reino Unido y la Unión Europea, sobre cómo va a ser el flujo de información de ahora en adelante. También quiero reforzar la relación con otros países y buscar acuerdos con otros países, porque el mundo finalmente de cierta forma no tiene fronteras, y estas son investigaciones que se han realizado. Y esto me lleva al siguiente punto del que quería hablar, que es la importancia de la cooperación internacional cuando hablamos de cumplimiento de leyes. El cumplimiento de leyes es importante cuando hablamos de resguardar los datos personales de las personas porque tiene una dimensión internacional. Como les había mencionado antes, la investigación de ICO sobre Cambridge Analytica nos ha dado un entendimiento muy profundo sobre lo que significa este tipo de investigaciones en un tiempo como el que estamos viviendo ahora, compartir información, hay información que se comparte entre varias instituciones alrededor del mundo y por eso tenemos que regular mejor esta cooperación internacional.


21

Esto tiene que ver también con las autoridades, porque las autoridades siempre van a estar involucradas en el manejo de datos personales, especialmente para la protección de los ciudadanos que representamos. Hablando de las tecnologías, es importante que colaboremos internacionalmente como protectores, como autoridades que protegen los datos de los ciudadanos; podemos tener muchos expertos en Inteligencia Artificial, en Ciencia de Datos, pero tenemos que trabajar juntos de manera conjunto a nivel internacional para compartir nuestros conocimientos. Hay mucho más trabajo que se tiene que hacer para lograr una colaboración efectiva entre las corporaciones, una red internacional, algo así como una red internacional para cumplir con los datos o con los objetivos de la protección de datos alrededor del mundo, hacer una especie de arreglo con las autoridades para que podamos compartir información unos con otros y podamos tomar las acciones necesarias para cuidar de los datos personales de manera internacional. Hay memorándums, información especialmente con la Comisión en Estados Unidos y los Comisionados en Canadá; también le damos la bienvenida a las Comisiones de otros espacios que nos permiten crear una corporación para compartir información entre los diversos sistemas. También quisiera hablar sobre la importancia de la Conferencia Internacional de Protección de Datos. Como bien sabrán, el ICO se ha vuelto Presidente de esta Conferencia Internacional, la reciente conferencia en Bruselas el mes pasado, nuestra Comisionada Elizabeth ha dedicado una década a los trabajos relacionados con la protección de datos y cómo se relacionan a su vez con la economía de datos en una economía interconectada como la nuestra, siempre bajo los principios de una gobernanza democrática, incluyendo también los datos de niños. Esto es una visión global que tenemos la intención de llevar a esta Conferencia Internacional. También estamos contentos de que las autoridades mexicanas estén invitadas y vayan a asistir a la Conferencia de 2020, porque son los ejecutivos y son los observadores.


22

Para concluir, espero poder trabajar con las personas y con todos los signatarios de este Convenio 108 para que podamos seguir cumpliendo nuestro papel internacional como corporaciones y esperamos poder seguir trabajando con ustedes en conjunto. Gracias. Fernando Sosa Pastrana: Muchas gracias. Le agradecemos sus valiosas palabras. Para seguir con el orden del día, me gustaría presentar a Manuel García Sánchez, quien actualmente es el Oficial de Políticas en la Dirección General de Justicia y Consumidores de la Comisión Europea. Don Manuel forma parte de la Unidad en Flujos Internacionales y Protección de Datos de la referida Dirección General de Justicia y Consumidores; posee una amplia y extensa trayectoria profesional en la Administración Pública Española, en la que incluye su labor en la Agencia Española de Protección de Datos Personales, desde marzo de 2002 hasta su incorporación, en mayo de 2016 a la Comisión Europea. Don Manuel, lo escuchamos con mucho gusto. Gracias. Manuel García Sánchez: Gracias a todos. Buenos días.

(Videoconferencia por Skype) Fernando Sosa Pastrana: Para concluir esta mesa, me gustaría que nos acompañaran a la entrega de reconocimientos de todos nuestros ponentes y un agradecimiento a distancia a nuestro ponente por vía electrónica. Muchas gracias por su tiempo. Manuel García Sánchez: Gracias.

(Entrega de reconocimientos)


23

Fernando Sosa Pastrana: De esta manera concluye el Panel número 2: La visión europea de la protección de datos personales. Agradecemos a nuestros amables panelistas y sugerimos a las personas que se unan a nuestros panelistas y a las personas que deseen tomar la foto oficial, que se va a llevar a cabo en un momento más. Mientras tanto, le recordamos al público asistente sea tan amable de acompañarnos nuevamente en punto de las cuatro de la tarde al Panel número 3, denominado El Convenio 108 y el Convenio 108+: Instrumentos de vocación universal.

-----o0o-----

Foro México y el Convenio 108del Consejo de...

Documents

Transcript of Foro México y el Convenio 108del Consejo de...