Como todos los años por estas fechas un nutrido grupo de profesionales del sector nos hemos dado cita en Securmática. Veintidós ediciones del congreso y 20 años de la revista SIC avalan la calidad del evento y de la revista que lo organiza año tras año. Desde este blog no queremos dejar pasar la oportunidad de felicitar públicamente a sus impulsores, José de la Peña y Luis G. Fernández por tan feliz onomástica y por el trabajo que año tras año realizan para impulsar este sector de la seguridad.
Con el titulo este año Seguridad: ¿fiarse o confiar?, al margen de los espacios ya clásicos de gestión de identidades y de los sistemas de gestión de la seguridad, este año hemos asistido a conferencias muy interesantes en el campo de compliance.
Por una parte, D. Rafael García González, Vocal Asesor-Jefe del Área Internacional de la Agencia Española de Protección de Datos estuvo hablando a los asistentes de las novedades que nos vamos a encontrar en la nueva Directiva comunitaria sobre Protección de Datos que no va a tardar en ver la luz. Esta nueva Directiva va a suponer importantes cambios, en mi opinión positivos, en materia de protección de datos de carácter personal, ya que recoge algunos asuntos que la actual directiva y las leyes traspuestas no tratan en profundidad. La verdad es que no hemos acabado de digerir los cambios derivados de la aplicación del nuevo Reglamento de la LOPD y ya estamos empezando a hablar de los cambios que va a traer consigo esta nueva Directiva.
El proceso de revisión de la Directiva de Protección de Datos se inició en mayo de 2009 y está previsto que derive en un nuevo instrumento después de verano de 2011, aunque por lo que nos contaron aún se está deliberando si este proceso deriva en una Directiva más precisa, en un Reglamento o en la combinación de ambas. Desde luego, la forma que adopte esta variación tiene importantes repercusiones a la hora de aplicarlo en los distintos estados miembros. La figura del “Reglamento” no requiere de trasposición a los distintos estados miembros y por tanto no deja libertad a la hora de aplicar las bases, garantizándose de esta manera la armonización de la aplicación pero, por el contrario, complica la negociación en el seno de la Unión.
Parece claro que uno de los objetivos de la nueva Directiva es la armonización en la aplicación de los principios básicos de la misma en los distintos estados miembros, por lo que en España, con una de las leyes más duras sin duda sobre protección de datos, no deberíamos notar negativamente la presión de este nuevo desarrollo legislativo.
Otras cuestiones interesantes en las que se está trabajando en la línea de la inclusión de nuevos principios adicionales y que dejamos para comentar en otras entradas del blog son: el derecho al olvido, la promoción del PBD “Privacy by Design” o “Privacy by Default”, el principio de accountability o de rendición de cuentas, el PIA, “Privacy Impact Assessment”, o evaluación del impacto sobre la privacidad como obligación del responsable y la cooperación con organizaciones internacionales de estandarización entre otras, abriendo el camino a posibles certificaciones en cumplimiento de la LOPD.
Desde luego parece que las cosas van a cambiar otra vez en materia de tratamiento de datos personales. A la luz de estos cambios me pregunto ¿veremos en los próximos años un sello o una certificación en materia de protección de datos?
Por otra parte, Dª Paloma Llaneza nos deleitó con una entretenida charla sobre el nuevo código penal en relación a los delitos relacionados con el uso y “abuso” de los sistemas de información tecnológicos. Según Paloma podemos encuadrar las novedades en tres grandes grupos: a) nuevos delitos puramente tecnológicos, b) modificación de los delitos existentes puramente tecnológicos y c) modificación de delitos existentes que pueden ser cometidos por medios tecnológicos.
Nos encontramos también en la reforma del código penal con novedades importantes en cuanto al “quién” es el que delinque, sobre “qué” es un delito, “cómo” se delinque y “cuánto”, en relación a la pena por los delitos cometidos.
Hasta la fecha el Código Penal contemplaba el principio “Societas delinquere non potest“, es decir, las sociedades no pueden delinquir. Según este principio, una persona jurídica no puede cometer delitos, pues carecen de voluntad (elemento subjetivo) que abarque el dolo en sus actuaciones. De esta forma, a las personas jurídicas no pueden imponérsele penas, entendidas como las consecuencias jurídico-penales clásicas, más graves que otras sanciones.
Este principio se modifica en el nuevo código penal pudiendo cometer un delito cualquier persona jurídica con “curiosas” excepciones como son, entre otros, el Estado, las administraciones públicas o los partidos políticos.
Se estuvo hablando también de la “Culpa in vigilando” y del “Corporate Compliance” como un sistema preventivo contra el “crimen” que puede actuar como medida atenuante o eximente de culpa. Hablaremos también en sucesivas entradas de este blog de todos estos temas y otros relacionados con el nuevo código penal y sus repercusiones en el trabajo de los profesionales del mundo de la seguridad.
Desde luego las reformas acometidas eran necesarias, son profundas pero, en opinión de los expertos, aún insuficientes. En cualquier caso lo importante es ir avanzando, aunque sea poco a poco. ¿No creen?
Reiteramos, desde estas líneas, nuestra sincera felicitación a la Revista SIC por su 20 aniversario. ¡Enhorabuena!
¿Ya ha sido aprobada y publicada la nueva directiva? El actual Reglamento RD 1720/2007 se mantendrá en vigor?