From: Julen Fernández Conte [mailto:julen.fernandez@cgae.es] Sent: Friday, January 08, 2010 3:35 PM To: JLS PRIVACY-CONSULTATIONS Subject: Consulta protección de datos. Estimado/a Sr./a, En relación con la consulta en materia de protección de datos, le adjunto con retraso debido al periodo vacacional, los comentarios elaborados por la delegación en Bruselas del Consejo General de la Abogacía Española basados en las contribuciones recibidas de nuestro departamento jurídico. I- ¿Podría darnos su opinión sobre los futuros retos en materia de protección de datos, en particular en relación con las nuevas tecnologías y la globalización. 1°) Problemas generales: Problemas de seguridad que se plantean en el uso de las herramientas informáticas: - Programas maliciosos - Interceptación de comunicaciones - Suplantación de identidad - Acceso ilícito a sistemas - Robos de información - Recepción de correo publicitario no deseado 2°) Los abogados y el cifrado. Consideración especial merece la cuestión del cifrado en relación con la interceptación de comunicaciones. En caso de robo o pérdida de los dispositivos electrónicos, la información de los clientes contenida en ellos puede ser accesible por cualquier persona. Ello es especialmente grave en el colectivo de la Abogacía sometida no sólo a la legislación de protección de datos sino a una estricto derecho-deber de guardar secreto profesional cuya inobservancia puede acarrear sanciones penales. El Consejo General de la Abogacía Española ha puesto en marcha un ambicioso plan tecnológico, constituyéndose en autoridad de certificación de la Abogacía (ver www.redabogacia.org, www.acabogacacia.org y el proyecto europeo www.penalnet.eu) y ha dotado a más de 60.000 abogados con carnets profesionales electrónicos que permiten la firma y el cifrado conforme a las Directivas comunitarias de firma electrónica y a estándares internacionales. Sin embargo, es preciso constatar que la utilización de la tecnología de cifrado es significativamente menor a la de firma electrónica. El sistema de cifrado de 128 bits (que precisa de carné y código) queda expuesto en caso de pérdida del certificado o de su código, ya que las informaciones contenidas en los documentos o mensajes cifrados no podrán accederse ni por su propietario ni por su custodio, quedando virtualmente bloqueadas e inaccesibles. 3°) Los Colegios profesionales de Abogados y la Directiva Servicios. En relación con la protección de datos o que tenga incidencia sobre ella, cabe por lo tanto mencionar el nuevo artículo 10 de la Ley de Colegios profesionales, incluido por la reciente Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de ser servicios y su ejercicio, que regula la “ventanilla única” y que deberán tener disponibles las organizaciones colegiales para dar cumplimiento a lo dispuesto en la Directiva de Servicios, desde un punto de vista institucional o colegial. Este artículo 10 establece expresamente que las organizaciones colegiales dispondrán de una página web para que, a través de la ventanilla única, los profesionales puedan realizar todos los trámites necesarios para la colegiación, su ejercicio y su baja en el Colegio, a través de un único punto, por vía electrónica y a distancia. A través de la referida ventanilla única, y para la mejor defensa de los derechos de los consumidores y usuarios, las organizaciones colegiales ofrecerán la siguiente información, que deberá ser clara, inequívoca y gratuita: a) El acceso al Registro de colegiados, que estará permanentemente actualizado y en el que constarán, al menos, los siguientes datos: nombre y apellidos de los profesionales colegiados, número de colegiación, títulos oficiales de los que estén en posesión, domicilio profesional y situación de habilitación profesional. b) El acceso al registro de sociedades profesionales, que tendrá el contenido descrito en el artículo 8 de la Ley 2/2007, de 15 de marzo, de sociedades profesionales. c) Las vías de reclamación y los recursos que podrán interponerse en caso de conflicto entre el consumidor o usuario y un colegiado o el colegio profesional. d) Los datos de las asociaciones u organizaciones de consumidores y usuarios a las que los destinatarios de los servicios profesionales pueden dirigirse para obtener asistencia. e) El contenido de los códigos deontológicos. 4°) Los Colegios de Abogados y los expedientes disciplinarios. Otra cuestión relativa a la protección de datos es la referida a la ausencia de base jurídica europea para los intercambios de datos de carácter disciplinario de los abogados en el ámbito intracomunitario, más allá de lo regulado por la Directiva 98/5/CE relativa al libre establecimiento de abogados. Artículo 13. Cooperación entre las autoridades competentes del Estado miembro de acogida y del Estado miembro de origen y confidencialidad. Con el fin de facilitar la aplicación de la presente Directiva y evitar que se eludan, en su caso, sus disposiciones con el único fin de sustraerse a las normas aplicables en el Estado miembro de acogida, las autoridades competentes del Estado miembro de acogida y del Estado miembro de origen colaborarán estrechamente y se prestarán asistencia mutua. Dichas autoridades garantizarán la confidencialidad de la información que intercambien. Sin embargo, según la interpretación dada por la Agencia de Protección de Datos, el intercambio de información disciplinaria que se encuentra fuera de las actuaciones encaminadas a garantizar el libre establecimiento, se considera una transmisión de datos internacional. Ello impide que la información disciplinaria pueda ser comunicada (a otra autoridad competente o a una hipotética base de datos europea) sin autorización del profesional propietario de esa información. II- ¿Cree su organización que el marco jurídico actual hace frente a estos retos? Insuficientemente. III) ¿Que acciones futuras se necesitarían para los retos? En el ámbito de las TIC resulta esencial fomentar las siguientes cuestiones, en general y en particular en el ámbito de la Justicia. 1. Formación de los usuarios 2. Seguridad física 3. Cifrado 4. Autenticación 5. Firma electrónica 6. Filtros antispam 7. Antivirus 8. Cortafuegos 9. Sistemas de detección de intrusiones. 10. Actualizaciones 11. Copias de seguridad 12. Auditoría de registros de eventos 13. Securización de sistemas En cuanto a la protección de datos en general resulta preciso formar y concienciar a todos los agentes sociales, y en particular a los profesionales del Derecho respecto a los derechos y las obligaciones así como a los procedimientos relativos a la normativa en vigor de protección de datos. Respecto al cumplimiento general de los abogados de la normativa de protección de datos, en 2008 el CGAE organizó unas jornadas abiertas y accesibles por multiconferencia a cuyo contenido puede accederse a través de http://cgae.iurisline.net/lopd/default.aspx . Quedo agradecido por su amable atención y le remito, junto con mis mejores deseos para el año que comienza, un cordial saludo, Julen Fernández Conte Delegado UE / EU Director Consejo General de la Abogacía Española Avenue de la Joyeuse Entrée n°1 B-1040 Bruselas Tfno. +32 (0)2 280 05 26 Fax +32 (0)2 280 18 95 E-mail: julen.fernandez@cgae.es http : www.delegacioncgae.eu / www.cgae.es