Nuria Méler.- El viernes 4 de octubre Wolters Kluwer celebró en Bilbao el primer Congreso sobre Privacidad de estas características en Euskadi. Fue organizado por Wolters Kluwer, coordinado por Iñaki Pariente y patrocinado por Entelgy Innotec como patrocinador premium y por Dayntic Legal y Datcon. Reunió en el Palacio Euskalduna a destacados profesionales que han protagonizado la adaptación de empresas y administraciones públicas al Reglamento Europeo de Protección de Datos (RGPD) primero, y a la Ley Orgánica (LOPDGDD (LA LEY 19303/2018)) después.
La inauguración corrió a cargo de Nerea Lopez-Uribarri, Viceconsejera de Administración y Servicios Generales del Gobierno Vasco, quien subrayó la importancia de la gestión segura y responsable de los datos personales. Lopez-Uribarri aportó datos sobre el enfoque humano que han seguido desde Gobierno Vasco para el proyecto de adaptación al RGPD: "al hablar de privacidad, se habla de personas y de sus derechos", afirmó. Con más de 800 tratamientos en diferentes sectores, algunos tan sensibles como los relativos a salud y educación, recalcó el alto nivel de cumplimiento que exigimos los ciudadanos a las administraciones públicas y planteó algunas de las cuestiones y retos que abordan los profesionales del sector, entre los que destacan la responsabilidad en caso de fallos tecnológicos, los sesgos en las máquinas o los algoritmos sin contexto.
Tras la inauguración, Iñaki Pariente hizo un pequeño balance del estado del arte, anunciando algunas de las cuestiones que se abordarían en las cuatro mesas que conformaban el evento, tales como las sanciones que aparecen continuamente en prensa; las guías y recomendaciones de la Agencia Española de Protección de Datos (AEPD), en concreto las relativas a Evaluaciones de Impacto; el papel y requisitos de la figura del Delegado de Protección de Datos o el grado de cumplimiento del RGPD en las empresas.
La primera de ellas, con el título “Problemas jurídicos resueltos por responsables de privacidad de las empresas”, fue moderada por Cristina Sustacha (Euskaltel) y formaron parte de la misma Asier Crespo (Microsoft), Juanan Martín (BiscayTIK) y José Luis Piñar (DPO CGAE, entre otros cargos).
Cristina Sustacha comentó el cambio que ha supuesto la nueva normativa a la hora de afrontar los problemas troncales, donde la responsabilidad proactiva significa una pauta de cultura y dinámica nueva para los diferentes departamentos de las empresas, frente a la situación anterior en la que los equipos de seguridad o asesoría jurídica eran los que marcaban lo que se debía hacer, en cuestiones de privacidad. En la realidad actual las organizaciones cuentan con análisis de riesgo para adoptar medidas legales y seguridad, y la privacidad desde el diseño y por defecto impregnan todos los desarrollos de negocio.
Asier Crespo respondió a las preguntas sobre cómo afrontar las soluciones cloud, incidiendo también en la responsabilidad proactiva como “clave de bóveda” del RGPD. Norma que, por otra parte, añadió, es el referente a nivel mundial como estándar de cumplimiento en materia de privacidad para Microsoft. “En el cloud las cosas se complican”, señaló, dadas la promesa del servicio y las responsabilidades de demostrar que lo estás haciendo bien que la nube acarrea, a lo que se añade la complejidad de poder contar con documentos modulares (granulares) para construir su modelo de responsabilidad proactiva, puesto que cada cliente usa el cloud de una manera diferente. Apostó por recomendar dos pilares, desde la perspectiva RGPD, para el paso a la nube: confianza y oportunidad. Confianza en la potencialidad de contar con proveedores que ya tengan implantados los servicios de manera adecuada al RGPD. Y oportunidad porque la nube ofrece herramientas para clasificar los datos y para la gobernanza e información sobre quién accedió y quién no a los mismos.
Juanan Martín explicó las implicaciones del RGPD en las administraciones públicas que aglutina BiscayTIK, con un 95% de ayuntamientos y mancomunidades de Vizcaya adheridas a sus servicios, que incluyen los relativos a las obligaciones en materia de protección de datos, con una gran casuística por extensión geográfica y de población. Si bien en su manera de trabajar ya existía la filosofía de privacidad desde el diseño y contacto constante con asesoría jurídica, han abordado muchas sesiones con expertos, siguiendo además la Guía de adecuación de la Agencia Vasca de Protección de Datos. La comunicación de sus tratamientos y nombramiento de Delegados de Protección de Datos (DPDs) se prepara con las sedes electrónicas y es información pública. Con respecto a los DPDs, Martín mencionó el perfil marcadamente jurídico que se ha tenido en cuenta en los nombramientos.
José Luis Piñar contestó a la pregunta de cómo afrontar desde la profesión de abogado y además poder acreditar el cumplimiento de RGPD, con remisión a los artículos 24 (responsabilidad proactiva) y 3 (aplicación territorial) del RGPD. Y es que, dijo, “en el paso del modelo de gestión de datos (antes) al modelo del gobierno de los datos actual, lo importante es demostrar y acreditar que, efectivamente, se cumple”. Resaltó el importante papel de los abogados a este respecto, aclarando que no es precisa la certificación, pero sí cumplir los requisitos, entre los que se recogen los conocimientos jurídicos, aunque invitó a no desoír a los expertos de perfiles técnicos. Entre las dudas que quedan en el tintero, destacó la del plazo de conservación de los datos: ¿durante cuánto tiempo debe conservarlos, un abogado? Y aportó un consejo práctico: si la propia AEPD en algunos de sus Registros de Actividades de Tratamiento (RAT) expresa que los datos "pueden" conservarse “indefinidamente”, esta solución puede ser una buena opción. Igualmente insistió en la importancia de la concienciación para todas las organizaciones, así como que todas las decisiones de los abogados que actúen como DPD deban estar argumentadas y documentadas: “es importante protocolizar, para un mejor cumplimiento”.
La segunda mesa, con el título “Aspectos tecnológicos y ciberseguridad en políticas de privacidad” fue moderada por Iñaki Regidor (EiTB) y contó con la presencia de Joseba Enjuto (s21sec- Nextel), Óscar Lage (Tecnalia) y Laura Burillo (Entelgy Innotec).
Iñaki Regidor rememoró los tintes apocalípticos que parecían marcar el tránsito al RGPD, y cómo la realidad ha sido más sosegada de lo que a priori se esperaba, en especial desde la perspectiva tecnológica que daba nombre a su mesa.
Laura Burillo comentó la relevancia de la conexión entre ciberseguridad y privacidad, en especial para la seguridad industrial y los activos de información. Considera que faltan años para consolidar algunos de los conceptos del RGPD y echa de menos una mayor vinculación entre dicho texto normativo y las medidas de seguridad que recoge la nueva versión de ISO27701:2019, con controles específicos en materia de protección de datos. En todo caso, su consejo fue claro: la adaptación de las políticas de privacidad no termina en un documento cerrado, sino que estas deben ser sensibles a los constantes cambios normativos y sociales.
Joseba Enjuto confirmó el protagonismo de la ciberseguridad en el mundo empresarial y mencionó cómo, en su experiencia, muchos clientes sí invierten en ciberseguridad, privacidad y tecnología, pero luego se les olvida gestionarlo. También utilizó el término “concienciación”, que estuvo presente en muchas de las ponencias del Congreso.
Óscar Lage trabaja en muchos proyectos Blockchain en los que participa Tecnalia, algunos de ellos de identidad autosoberana que aplican dicha tecnología y pretenden que los ciudadanos podamos demostrar nuestra identidad sin dar datos, con técnicas de “conocimiento 0” que evitan tener que guardar esos datos. Entre ellos destaca PoseIDon, una herramienta blockchain en la que participan diversos agentes europeos y que busca gestionar los derechos de los ciudadanos en materia de protección de datos, de manera segura e íntegra, a través de un tercero de confianza. Siendo Europa el territorio más preocupado por la privacidad, seguir construyendo estas técnicas nos lleva a ventajas competitivas en nuestras empresas, advirtió Lage.
Maitane Valdecantos (AUDENS) moderó la tercera mesa, sobre “Privacidad, DPOs y asesores externos de las empresa”, en la que participaron Lucía Arriola (LKS), Pablo Garrote (IMQ), Miguel Recio (Abogado) y Laura Duque (Mutualidad Abogacía). Comenzó con una pregunta cerrada, lanzada también al público, sondeando la preferencia por DPD interno o externo entre ponentes y asistentes, sin admitir el “depende” como respuesta. En general, ganó la opción de DPD interno.
Para Lucía Arriola, el DPD interno se justifica por la necesidad de autoevaluación continua, en un contexto de tecnología que cambia a ritmo vertiginoso, y donde los aspectos legales y técnicos de la privacidad ponen en valor los procesos de la organización.
Miguel Recio apostó por el DPD interno, admitiendo que el RGPD permite que sea externo. Aportó su visión sobre cómo conjugar la innovación necesaria para las empresas con el deber deontológico de secreto de los abogados cuando actúan como DPD, explicando que este, en todo caso, debe ser alguien independiente; y que además, si hay una denuncia, va a tener que colaborar con las agencias. Puesto que el estatuto jurídico del DPD se aplica en todo caso, con sus obligaciones pero también con sus garantías, si el abogado DPD se ve inmerso en un conflicto por su deber de confidencialidad, Recio opina que quizá en ese caso hay que plantearse si es la mejor persona para el puesto o si está afectando a su independencia.
Por su parte, Laura Duque argumentó por qué en su organización se optó por un DPD externo, confesando que, pese a ello, como directora de cumplimiento “todos los días hablo y me escribo con el DPD, varias veces”.
Pablo Garrote, favorable al DPD interno, explicó su trayectoria primero como abogado externo de la organización para la que actualmente trabaja como DPD interno, y cómo en ese tránsito se ha dado cuenta de que el conocimiento que consideraba amplio hoy lo ve como solo superficial, por la complejidad de la estructura societaria y las transferencias de datos necesarias entre las sociedades del grupo. Pero, reconoció, su rol a veces implica cortapisas a proyectos nuevos por cuestiones de privacidad, y eso sí puede suponer cierto conflicto laboral que conlleva una desventaja frente al DPD externo. No obstante, el DPD interno también recurre a ayuda externa, afirmó.
La segunda parte de la Mesa se dedicó a la dimensión ética de la privacidad, más allá de la normativa. Así, por ejemplo, la Mutualidad de la Abogacía ha creado un Comité de Ética de uso de datos con inteligencia artificial. Todos los ponentes coincidieron en la importancia de contar con el apoyo de la dirección general y de que las decisiones vengan respaldadas por ellos. Valdecantos lanzó de hecho una nueva pregunta cerrada a este respecto para tratar de dilucidar si existe realmente conciencia y compromiso en materia de privacidad: ¿Convicción u obligación? Las respuestas coincidieron casi por unanimidad en cuanto a que la obligación está siendo una facilitadora de la convicción (Laura) y que la convicción lleva a ventajas competitivas (Lucía y Miguel), aunque “las sanciones también convencen”, bromeó Pablo.
La última de las mesas la moderó el propio Iñaki Pariente (Dayntic Legal) y reunió a Cecilia Álvarez (Facebook) y Paula Ortiz (IAB Spain) hablando sobre “ Privacidad en entornos digitales y de marketing on line”.
Que las empresas usan nuestros datos es algo de lo que ya no nos cabe ninguna duda. Ante esa evidencia, Pariente preguntó a ambas participantes por su impresión sobre el estado actual de la privacidad en sus respectivos sectores, el de la publicidad digital en el caso de Paula y, en concreto, Facebook, en el de Cecilia.
Paula Ortiz subrayó que estamos en un momento de “tormenta perfecta”. Tras casi 500 días de RGPD, el siguiente reto será el del Reglamento ePrivacy, que sigue discutiéndose en la Unión Europea presidencia tras presidencia, con muchos elementos contradictorios entre ambas normativas e incluso cuestionándose cuál es la autoridad competente en materia de ePrivacy. Lo complicado para su sector, el de la publicidad digital, señaló, es cómo cumplir simultáneamente con ambos marcos normativos. Nos explicó cómo en 0,3 milisegundos se decide qué actor va a impactar en la publicidad digital que recibimos los ciudadanos. También anunció que, acorde a su línea de trabajo con la AEPD, se publicará en breve la Segunda Guía de Cookies de la AEPD, adaptándola al RGPD, en la que IAB ha participado activamente. Asimismo, IAB Europe ha trabajado a nivel europeo sobre todo la cuestión del consentimiento, estableciendo un marco de transparencia que se ha puesto bajo la consulta de la AEPD para ver si cumple todos los requisitos. No obstante, anunció, en realidad las cookies están llamadas a desaparecer. ¿Por qué? Pues porque con la proliferación de dispositivos que generan gran cantidad de datos personales con potencial de uso indebido, hay cientos de cookies, identificadores, rastreadores fragmentados y patentados y una ausencia de controles persistentes y estandarizados de la privacidad.
Preguntada sobre si las herramientas y las personas están adaptadas para analizar toda esa información, Paula respondió que el camino que queda por recorrer es muy largo porque, por una parte, a veces se meten todos los tratamientos en un mismo saco, aunque las finalidades sean diferentes; y, por otra, porque los ciudadanos cada vez son más conscientes del uso que se hace de sus datos personales. En cuanto a la concienciación de los ciudadanos, refirió la situación en España por lo que respecta a la publicidad, ámbito de actividad especialmente sensible, y donde IAB Spain tiene la línea de colaboración directa con la AEPD citada anteriormente. A nivel europeo explicó que siempre ha habido autoridades más conservadoras que separaban la protección de datos, si bien otras como la española, francesa o británica sí entienden el nuevo escenario. Sin embargo, admitió, cuestión diferente es que el Derecho va siempre por detrás de la tecnología. Y, en concreto, mencionó la dificultad de explicar los algoritmos en los términos que exige el art. 13 RGPD (LA LEY 6637/2016): el debate está en la transparencia del algoritmo. Por ello, al igual que los ponentes de la mesa anterior, incidió en el rol que ha de jugar la ética: "ni todo lo legal es ético, ni viceversa”.
El reto es terminar de cumplir con la normativa de manera que se entienda, concluyó Paula. El sector de la publicidad lo aborda mediante el desarrollo de tecnología, con tokens que sustituirán a las cookies, y dentro de un marco de cumplimiento que debe permitir tomar multitud de decisiones con multitud de datos.
Para Cecilia Álvarez era una de sus primeras comparecencias tras su nombramiento como directora de Privacidad de Facebook para Europa, África y Oriente Medio hace escasos seis meses. Insistió en que aún es poco tiempo en su organización, pero enumeró elementos que, dada su amplia y acreditada trayectoria en diferentes sectores, los convierten en merecedores de ser objeto de especial consideración, tales como: compartir datos de manera responsable y tener en cuenta que las personas sanas de hoy somos los pacientes de mañana; considerar nuevos modelos de negocio, siendo Facebook ciertamente uno de ellos, pero creando un ecosistema sano con prevalencia de intereses públicos, como la salud, precisamente; o ser consciente de que Europa es en realidad una isla con un statu quo de defensa de los derechos, también sobre los datos de los ciudadanos, que no tienen otros países, donde a veces, por desgracia, un servicio encriptado y gratuito como Whatsapp puede ser la única manera de comunicación.
Aludió a la tendencia a la comunicación por medios audiovisuales que da además acceso a información más inmediata o inclusiva y que a la vez otorga capacidades inmensas de integración, pero que implica que vamos a tener que informar de modo diferente porque la lectura quizá ya no es el mejor modo de llegar a las nuevas generaciones; a la realidad aumentada y virtual, otro ámbito donde el mundo digital cada vez estará más presente; al concepto de “vender experiencias”, consistente en personalizar para que nos sintamos especiales, lo cual busca adecuar, y que en Facebook significa una búsqueda de experiencias personalizada con la consiguiente financiación publicitaria también personalizada.
Ante ello, se le preguntó cómo se adapta al RGPD, sobre todo en formatos digitales, que son los que usan los jóvenes, casi exclusivamente. Cecilia Álvarez explicó la funcionalidad de Facebook de “¿Por qué estoy viendo esto?”, que consiste en información con la que el algoritmo trabaja para mostrar una publicidad y no otra. “Entre dar información precisa pero que nadie entendería, o información accesible, se ha optado por lo segundo. Es una forma, diferente, sin duda, que otorga capacidad de acción sobre esa información”, contestó, “apostando no por anonimizaciones no realistas, sino dando soluciones”. En cuanto a si gustará a las autoridades o no, añadió que dependerá de cómo estas se adecúen a las nuevas formas de pensar. En esta línea, animó a los abogados y juristas presentes a apostar por ser curiosos y formular de manera distinta las soluciones a los problemas, ponderando riesgos y costes y huyendo de los parámetros habituales. Por ejemplo, dando respuesta a la exigencia de responsabilidad proactiva con metodologías de aproximación por el riesgo.
Las conclusiones del Congreso de Cecilia Álvarez fueron las siguientes:
• La dimensión ética será un elemento sustancial a la práctica. Será precisa la diversidad de opiniones de gente que sabe, pues el factor humano es algo que falta: falta un bagaje de personas con perfiles humanistas, “será una realidad, lo deseo”, auguró. Entre la diversidad hizo especial mención a la de género. Y nos aconsejó buscar la imagen que aparece en Google al buscar “equidad e igualdad”. Porque “no es una cuestión de ley, sino de ética”. La barra de la ética que ofrece la imagen citada es muy gráfica, afecta a “discusiones reales que están presentes en las empresas”, nos dijo, porque “los algoritmos son muy humanos, es extraordinariamente humano cómo se entrenan”.
• Y ante nuevas tecnologías como Blockchain o Inteligencia Artificial, auguró un gran futuro a los DPDs, campo de actividad que definió como “rico, complejo y apasionante”: entraña su riesgo pero es “muy entretenido”, por lo que, concluyó, “los que nos hemos metido en esto estamos de enhorabuena”.
Leyre Vitorica, Directora General de Buen Gobierno y Transparencia en Diputación Foral de Bizkaia, clausuró el Congreso aportando prácticos datos sobre los tratamientos y personas afectadas por los mismos, en relación con los servicios, prestaciones y asistencia social de la Diputación. Explicó asimismo su modelo de gobierno y gestión corporativo y transversal, con un enfoque preventivo y una organización que cuenta con un centro de unidad especializada de protección de datos y un equipo interdisciplinar que aglutina perfiles jurídicos y técnicos.
El Congreso sobre Protección de Datos de Wolters Kluwer en Bilbao contó con más de 120 asistentes, profesionales especializados en cuestiones de privacidad, procedentes de empresas, despachos, consultoras y Administraciones Públicas.
Contó con el patrocinio premium de Entelgy Innotec, empresa dedicada a la Ciberseguridad, Ciberinteligencia y desarrollo de herramientas de ciberseguridad: "Crear entornos digitales, accesibles, innovadores y seguros forma parte de nuestro ADN. Nuestra división Entelgy Innotec Security proporciona las soluciones y la inteligencia necesaria para prevenir y proteger nuestros negocios de los ciberataques y de las brechas de seguridad". Patrocinaron asimismo, Dayntic Legal y Datcon.