Con motivo de la celebración del 17º Día de la Protección de Datos el 28 de enero, la Autoridad de Protección de Datos organizó con éxito el lunes 30 de enero una jornada informativa titulada «Cuestiones actuales de la protección de datos personales – novedades recientes» en el auditorio de la Fundación Nacional de Investigación , con ponentes miembros y expertos científicos de la Autoridad.
El saludo fue pronunciado por Konstantinos Menoudakos , Presidente de la Autoridad, Presidente de Honor del Consejo de Estado. Al evento asistieron Georgios Batzalexis , vicepresidente de la Autoridad, emérito Areopagitis, Dimitrios Gourgourakis , ex presidente de la Autoridad y vicepresidente honorario del Tribunal Supremo, Christos Geraris , ex presidente de la Autoridad y presidente honorario del Consejo de Europa y Petros Christoforos , ex Presidente de la Autoridad y Asesor Honorario Co.
Puntos clave de los discursos – presentaciones:
El presidente de la Autoridad, Konstantinos Menoudakos , en su saludo en forma de reseña, afirmó entre otras cosas:
«Desde el 25/5/2018, fecha de inicio de aplicación del Reglamento General de Protección de Datos, hasta diciembre de 2021, el importe total de las multas a nivel europeo superó los 1.500 millones de euros, mientras que en diciembre de 2022 ascendió a casi 2.500 millones euros. La Autoridad griega, a pesar de los perennes problemas de falta de personal y recursos suficientes, respondió en 2022 en la máxima medida posible a las responsabilidades y deberes que le asignan el Reglamento europeo y la ley nacional 4624/2019. Entre sus muchas actividades, la Autoridad examinó cuestiones importantes y emitió numerosas decisiones y opiniones. Al mismo tiempo, respondió a sus obligaciones europeas e internacionales vigentes y estuvo presente activamente en los grupos de trabajo y comités que funcionan sobre la base de la legislación europea en materia de protección de datos personales. Entre sus prioridades para 2023, está dedicar una mayor parte de su actividad a la acción de oficio y, en particular, a los trabajos de auditoría y a las iniciativas de sensibilización en materia de información, especialmente de los niños, así como al análisis de las nuevas tecnologías y modelos de negocio del sector privado. perspectiva de la protección de datos y la contribución en los esfuerzos de investigación en el campo de la protección de datos y la seguridad de la información. Sin embargo, el tamaño extremadamente pequeño de la Autoridad es inversamente proporcional al alcance de su competencia, a la complejidad de las intervenciones necesarias que debe realizar y a las expectativas y exigencias que la sociedad tiene de la Autoridad».
En la primera parte de la conferencia, que fue moderada por el Presidente de la Autoridad, Dr. Konstantinos Limniotis , EEP, desarrolló una presentación titulada «Certificación de procesamiento de datos personales – visión general de la situación actual» , en la que describió los desarrollos más recientes en el campo de la certificación de operaciones de procesamiento de datos de acuerdo con el artículo 42 de la Ley General de Protección de Datos. Regulación. En concreto, tras explicar el procedimiento seguido para la aprobación de los criterios de certificación ya sea por una autoridad nacional de control o por el Comité Europeo de Protección de Datos (EDPB), los dictámenes relevantes del CEPD que se hayan emitido hasta la fecha sobre el examen de los criterios de certificación, o para sistemas de certificación nacionales o para «sellos» de certificación europeos. Para concluir, se expusieron algunos aspectos clave, fruto de la experiencia adquirida en el contexto de la emisión de los dictámenes pertinentes del DEUC, sobre cómo deben elaborarse los criterios de certificación para que sean evaluados como válidos, para finalmente hacer referencia a la realidad griega hasta hoy, así como en cuestiones abiertas relacionadas que ya están siendo examinadas por el SEPD.
A continuación, Maria Alikakou , DN, EEP, en su presentación titulada «Acuerdo UE-EE.UU. sobre flujos transatlánticos de datos: ¿verdadera protección de datos o simplemente un acuerdo político?» declaró entre otras cosas:
«Tras la decisión del Tribunal de Justicia de la Unión Europea (TJUE C131/2018) del verano de 2020 conocida como «SCHREMS II», que anuló el Escudo de Privacidad, las transferencias de datos de la Unión Europea a EE.UU. quedaron esencialmente abandonadas. en la oscuridad. Debía acordarse de inmediato un nuevo mecanismo que proporcionara las garantías impuestas por la decisión del TJUE. Después de casi 2 años de negociaciones entre la Comisión Europea (UE) y el gobierno de EE. UU., el «Acuerdo de Principio» se publicó en marzo de 2022, seguido de la Orden Ejecutiva 14086 del Presidente Biden en octubre de 2022, que contenía lo acordado en el «Acuerdo de Principio». «. Este decreto constituye la base del proyecto de decisión de adecuación preparado por la UE y presentado en diciembre de 2022 al CEPD para la emisión de un dictamen no vinculante que inicie el proceso de aprobación de una decisión de adecuación pertinente (UE-EE.UU.).
En su discurso, se analizó el marco legal de protección de datos (DPR) propuesto, se resaltaron sus puntos positivos en base a los requisitos del TJUE y, al final, se señalaron preocupaciones clave para puntos específicos del DPR en cuestión, que, como señaló, «puede que, de facto, no se aplique en la práctica, lo que haría ineficaz el DPA propuesto y, posiblemente, terminaría con un SCHREMS III».
La primera parte concluyó con la presentación de Fai Karvela , LLM Eur., EEP, titulada «La certificación como herramienta para las transferencias internacionales» en la que, entre otras cosas, señaló:
«La certificación, como herramienta de rendición de cuentas, está consagrada en el artículo 42 del RGPD y se refiere a las operaciones de tratamiento de los responsables o encargados del tratamiento. Además, está consagrado en el artículo 46, apartado 2, punto. del RGPD y como herramienta para la transmisión de datos personales a terceros países u organizaciones internacionales. En este contexto, la certificación se concede a los responsables o encargados del tratamiento que no están sujetos al RGPD para demostrar que ofrecen las garantías adecuadas de conformidad con lo dispuesto en el artículo 46, apartado 2, letra f. Además, los controladores y procesadores antes mencionados deben asumir obligaciones vinculantes y exigibles, generalmente a través de contratos, para implementar estas garantías adecuadas. El proceso de concesión de la certificación en el contexto de las transferencias se basa en la evaluación de criterios, algunos de los cuales son específicos de los requisitos que surgen cuando los datos se transfieren fuera de la UE.
En la segunda parte de la conferencia, que fue moderada por el Vicepresidente de la Autoridad, George Batzalexis, el Dr. Ephrosyne Siugle , EEP, pronunció un discurso titulado «Servicios de computación en la nube y cuestiones de protección de datos» en el que afirmó:
«El Comité Europeo de Protección de Datos (EDPB) creó el Marco de Aplicación Coordinada (CEF) basado en la estrategia 2021-2023 para promover la cooperación entre autoridades de control. El MCE proporciona la estructura y las normas para coordinar las acciones conjuntas anuales periódicas de los supervisores. En octubre de 2021, el DEUC eligió para la primera acción del MCE el siguiente tema: «Uso de servicios de computación en la nube por parte de organismos públicos. Desde noviembre de 2021 hasta enero de 2023, 22 autoridades de supervisión, incluida la autoridad griega, llevaron a cabo una investigación coordinada a nivel nacional. Tras definir el calendario y la metodología de la Acción 1, enviaron un cuestionario estructurado, con 5 apartados y 33 preguntas, a aproximadamente 100 organismos públicos y elaboraron un informe analizando los resultados. Esta acción refleja la situación actual y presenta varios puntos de interés para los responsables y procesadores de datos. La primera acción del MCE continuará en 2023 con acciones posteriores, como completar las investigaciones en curso, aumentar la cooperación con las partes interesadas, emitir recomendaciones pertinentes o tomar medidas correctivas cuando sea necesario. La metodología y el enfoque armonizado de esta acción facilitarán las próximas acciones del MCE de la PESD».
Luego Christos Kalloniatis , profesor del Departamento de Tecnología Cultural y Comunicación de la Universidad del Egeo, miembro de la Autoridad y Konstantinos Lambrinoudakis , profesor del Departamento de Sistemas Digitales de la Universidad del Pireo, miembro de la Autoridad, en su presentación titulada “Reglamento General y Protección de Datos Personales: De la Conformidad Normativa a la Aplicación Sustancial” señaló entre otros:
«El Reglamento general de protección de datos, con el objetivo de facilitar a los responsables del tratamiento, propone «herramientas» específicas, como, a título indicativo, el mantenimiento de registros de actividad, la preparación de un estudio de evaluación de impacto, el nombramiento de un delegado de protección de datos, la adopción de medidas técnicas medidas, etc., que pueden utilizarse para el cumplimiento formal pero principalmente esencial de cada organización de los requisitos del Reglamento y también para facilitar el principio de rendición de cuentas.
Sin embargo, a partir de incidentes que han preocupado y siguen preocupando a la Autoridad, existen numerosos casos en los que los responsables del tratamiento adoptan las herramientas de cumplimiento antes mencionadas sin un estudio sustancial de las características particulares del procesamiento de datos personales, lo que en última instancia conduce a una aplicación ineficaz de el Reglamento. El objetivo de la presentación es, por un lado, poner de relieve los incidentes que preocuparon a la Autoridad debido a la aplicación ineficaz del Reglamento y, por otro lado, presentar propuestas para la aplicación sustancial y eficaz del Reglamento».
La segunda parte concluyó con la presentación de Georgia Panagopoulos , MSc Computer Engineer, EEP, en su ponencia titulada «Internet of Behavior and Personal Data Protection Issues» , quien señaló, entre otras cosas:
«El Internet del comportamiento es una combinación de tecnología, análisis de datos y ciencias del comportamiento, con el objetivo de proporcionar servicios más eficaces interpretando e influyendo en el comportamiento del usuario. El análisis de los datos generados por la interacción de servicios y objetos físicos conectados a Internet se realiza utilizando capacidades de aprendizaje automático e inteligencia artificial. Implica cuestiones complejas de privacidad y seguridad que incluyen las obligaciones de las partes involucradas, los derechos de los usuarios y el modo de supervisión. El RGPD incluye disposiciones para la elaboración de perfiles y la toma de decisiones automatizada, que se han interpretado en las directrices del SEPD con recomendaciones de buenas prácticas. Los requisitos de la Directiva sobre Comunicaciones Electrónicas se aplican a las técnicas de seguimiento. Las recientes iniciativas legislativas de la UE también incluyen regulaciones relevantes. Las autoridades de protección de datos tienen un papel muy importante tanto en la configuración de las regulaciones como en la supervisión del sector».
Dr. George Roussopoulos , quien mencionó entre otros:
«Aunque la Autoridad de Protección de Datos es un servicio público destacado y crítico, su Secretaría, como servicio, es extremadamente pequeña. Su tema se ha vuelto mucho más exigente y científicos especialistas se encargan de preparar todos los aspectos del trabajo principal de la Autoridad tanto en Grecia como en Europa. Durante una década, los científicos de la Autoridad apoyaron su funcionamiento sin incorporaciones, a pesar de numerosas salidas y dimisiones. Recientemente, la contratación de 13 nuevos científicos ha vuelto a situar su número en los niveles de… 2008. Pero, sin ninguna diferenciación salarial, como ya se ha hecho en otras Autoridades y servicios, se espera una nueva oleada de dimisiones, como ya han anunciado las propuestas. del Presidente de la Autoridad para mejorar los salarios de los nuevos colegas no parecen ser escuchadas. La Unión exige inmediatamente una solución a los salarios de los científicos especialistas de la Autoridad y anuncia que intensificará sus movilizaciones, pidiendo el apoyo y la comprensión de todos para cualquier mal funcionamiento que pueda surgir en la Autoridad».
Al final de cada sección de la conferencia, el presidente, el vicepresidente y los ponentes, miembros y expertos de la Autoridad dieron respuestas detalladas a una serie de preguntas formuladas por el numeroso público asistente.
Cabe señalar que el evento fue transmitido en vivo vía internet y el servicio DIAVLOS de la Red Nacional de Infraestructura, Tecnología e Investigación.