La Asociación Profesional Española de Privacidad (APEP), ha iniciado un proceso de profesionalización de su actividad, con la intención de afrontar nuevos objetivos y retos. Bajo la presidencia, desde junio de 2019 de Marcos Judel, esta nueva etapa se inició con la contratación de un director general, Juan Antonio Orgaz, con la misión de centralizar y coordinar las diferentes áreas de trabajo de la organización.
Y seguidamente han comenzado el año presentando su Plan de actuación 2020, un proyecto basado en el refuerzo de sus grupos de trabajo, la potenciación de sus actividades formativas y el impulso de su certificación de profesionales, que incluye también la presentación de proyectos muy relevantes como la primera Radiografía de los profesionales de la privacidad y delegados de protección de datos en España.
Con este motivo de esta presentación, DIARIO LA LEY ha hablado con Marcos Judel, en una entrevista en la que repasamos la situación del sector, los desarrollos legislativos pendientes en materia de protección de datos y otros temas de interés, como la próxima renovación de la dirección de la Agencia Española de Protección de Datos, bajo los nuevos criterios establecidos por la Ley Orgánica 3/2018 (LA LEY 19303/2018).
Según Judel, uno de los objetivos principales de la asociación que preside es fortalecer el valor de los profesionales de la privacidad en una sociedad que en los últimos años, y en especial desde la aprobación del RGPD, ha cambiado notablemente. En este contexto, el profesional de la privacidad ocupa una posición transversal entre la vida de las personas y el desarrollo de los negocios, subraya.
DIARIO LA LEY. Se acaba de cumplir un año de la promulgación de la LOPDGDD (LA LEY 19303/2018), que completó en nuestro país la primera fase de la reforma del marco normativo iniciada con el RGPD ¿Cómo valora la actual situación del sector de la protección de datos y la privacidad en este contexto?
MARCOS JUDEL. La situación en cuanto a la protección de datos y privacidad ha dado un salto muy grande y relevante en los últimos tres años. Es un hecho importante que la sociedad conozca la existencia de la protección de sus datos y es un hecho significativo que hoy día noticias sobre privacidad sean habituales en los medios de comunicación más generalistas. Ello ha provocado que la sociedad requiera de una adecuada protección de sus datos, que los individuos sepan buscar e identificar proveedores respetuosos con sus derechos y aquellos que pueden no serlo. Eso provoca que las empresas y organizaciones también conozcan más la normativa y quieran abordarla con el doble propósito del cumplimento en prevención de sanciones y de aportar un valor diferencial a los ciudadanos, que cada vez valoran más su privacidad y premian a las empresas que les ofrecen mayores garantías y transparencia sobre el tratamiento de sus datos.
DLL: ¿Cree que todavía subsiste en algunos empresarios, la idea de considerar la protección de datos como un obstáculo al desarrollo de sus negocios?
MJ: Como en muchos otros ámbitos, lo que se hace por imperativo legal se suele ver como una obligación, una carga, un problema. Pero cuando una materia como la protección de datos se aplica de forma adecuada, se puede convertir en una gran oportunidad, en un importante activo que permite no solo desarrollar un negocio sin riesgos, sino también aprovecharla como identidad de garantía frente al cliente y usuario. Así, quienes pretendan vender protección de datos como un mero trámite se terminarán por quedar solos en el mercado si no comprenden esta realidad. Por otro lado, quienes pretendan comprar ese tipo de servicios de esa manera, seguirán a la cola de la competitividad y no precisamente exentos de riesgos.
DLL: ¿Deben contar los profesionales de la privacidad con una especial visión de negocio para aportar un valor añadido a sus clientes?
No entender realmente las circunstancias que envuelven los tratamientos de datos puede implicar la aplicación de la norma de forma mecánica, sin diferenciación y sin valor añadido. Sin conocer esas particularidades y el negocio que las envuelve, resulta muy difícil ofrecer un servicio de calidad que destaque por hacer de la protección de datos un activo esencial y no una carga. Ahí radica el verdadero valor de esta profesión: saber conjugar cumplimiento normativo y desarrollo de negocio. En mi opinión, quien no tenga un conocimiento profundo de la norma y lo sepa conjugar con una faceta de negocio corre el riesgo de quedar fuera del mercado en algún momento, pues las empresas y organizaciones quieren soluciones, no impedimentos.
APEP es el foro donde las empresas y administraciones públicas pueden encontrar a profesionales altamente cualificados, con una alta experiencia y formación y con valores sólidos que las ayudarán a conjugar protección jurídica y desarrollo de negocio. Y los propios profesionales tienen su casa para desarrollar y ampliar sus conocimientos contando con la colaboración de sus propios compañeros, ya sea a través de la formación continua que ofrece la propia APEP como a través de los aprendizajes adquiridos de otros profesionales en el marco de los grupos de trabajo que tiene en marcha, o simplemente un foro donde entablar y fortalecer relaciones.
DLL: La privacidad es un derecho cada vez más valorado por importantes sectores sociales, ante las frecuentes noticias de abusos cometidos por parte de algunas empresas. Usted ha destacado en alguna ocasión, que el trabajo de los profesionales de la privacidad tiene un relevante carácter social ¿qué implicaciones tiene esa consideración en su trabajo diario?
MJ: Sorprende muchas veces cómo se define lo que hacemos quienes nos dedicamos a la protección de datos. Incluso por quienes participan en el mismo mercado. En cierto sentido se cosifica, los “datos” que se han de proteger se ven reducidos a algo etéreo, lejano y se pierde de vista que estamos ante un derecho fundamental, un derecho que deriva directamente del capítulo de los derechos y libertades recogidos en la Constitución, más en concreto al honor, a la intimidad personal y familiar y a la propia imagen. Olvidarnos de este importante aspecto hace que los servicios de protección de datos se reduzcan a cubrir trámites y no a velar por los derechos y libertades de quien está detrás de los mismos. Es muy importante pensar en las consecuencias de un tratamiento de datos personales desde el punto de vista de quien lo sufre para adoptar medidas que reduzcan o mitiguen riesgos. Eso es algo muy beneficioso tanto para quien trata esos datos a efectos de seguridad jurídica y prevención de sanciones y para la persona en cuestión que sentirá cómo se respeta su intimidad generando un vínculo más fuerte con esa empresa u organismo.
DLL: Con el comienzo de la nueva legislatura, parece abrirse un periodo de posibles nuevas medidas legislativas. Por un lado, está pendiente la transposición de la Directiva (UE) 2016/680 (LA LEY 6638/2016), sobre protección de datos personales en el ámbito penal y la de la Directiva (UE) 2019/1024 (LA LEY 11090/2019), relativa a los datos abiertos y la reutilización de la información del sector público ¿cómo espera que afecten estas adaptaciones al marco de la protección de datos en nuestro país?
MJ: Efectivamente estamos pendientes de esta transposición y desde la Asociación Profesional Española de Privacidad estaremos dispuestos a participar activamente en este complejo desarrollo normativo tal y como hemos venido haciendo, por ejemplo con nuestras aportaciones durante la negociación y tramitación del Reglamento General de Protección de Datos (LA LEY 6637/2016) en Europa, a través de la Confederación de Organizaciones de Protección de Datos Europeas (CEDPO por sus siglas en Inglés), de la que somos fundadores, o la tramitación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) en la que participamos activamente en la fase de consulta pública, destacando nuestra aportación para la modificación del artículo 8 de la Ley de Competencia Desleal (LA LEY 109/1991) para que incluyese en el listado de prácticas agresivas algunas situaciones que vive el mercado de la protección de datos como el coste cero, algo que finalmente se incluyó en la disposición adicional decimosexta.
En cualquier caso, estas nuevas normas traerán cambios relevantes a tener en cuenta en algunos casos concretos, por lo que los profesionales y delegados de protección de datos deberemos continuar formándonos y estar permanentemente actualizados para poder abordar nuestro trabajo con diligencia y a un alto nivel, que es lo que cada vez exige más el sector privado y también el público.
En particular, se abren grandes oportunidades y retos en materia de datos abiertos y reutilización de información del sector público que confiamos que la transposición de la directiva encamine de forma adecuada, si bien serán las administraciones públicas y sus funcionarios, muchos de ellos miembros de APEP, los que tendrán que aportar sentido común y rigor para gestionar adecuadamente los intereses y derechos en juego de los ciudadanos y de las administraciones públicas.
DLL: También está pendiente el desarrollo de los derechos digitales reconocidos en la LO 3/2018 (LA LEY 19303/2018), en aspectos tan relevantes como la desconexión digital, el testamento digital o la educación digital para los menores … ¿cuáles son sus perspectivas al respecto?
MJ: Y no olvidemos que también está pendiente el desarrollo y aprobación del Estatuto de la Agencia Española de Protección de Datos, que sin duda debería ser una prioridad. Confiamos en poder ser parte del Consejo Consultivo de la Agencia Española de Protección de Datos en relación con el artículo 49 de la LOPD y desde allí aportar todo nuestro trabajo para ayudar a una aplicación de la norma que tenga en cuenta la visión y experiencia de los profesionales de la privacidad.
También está pendiente el desarrollo del marco de determinados procedimientos de la LOPD, que nos obligará a ponernos al día de nuevo y actualizar los protocolos de los responsables de tratamientos de datos.
En cuanto a los derechos digitales, debemos esperar a ver como se desenvuelve esa tramitación, ya que es posible que el nuevo gobierno aproveche reformas en otras normas para incluir en ellas algunos de estos derechos, como podría ser el caso de la inclusión en el Estatuto de los Trabajadores (LA LEY 16117/2015) de aquellos derechos relacionados con la desconexión digital.
DLL: El acuerdo de gobierno suscrito por la nueva mayoría parlamentaria prevé el diseño de una “Estrategia Española de Inteligencia Artificial”. Dado que en el desarrollo de esta tecnología es indispensable la gestión de grandes volúmenes de datos personales ¿qué medidas deberían tenerse en cuenta al respecto? ¿Espera que APEP pueda participar en este diseño?
MJ: Estamos seguros de ello. Desde nuestros grupos de trabajo y foros vamos a estudiar y aportar propuestas a la sociedad para afrontar de la mejor manera posible, incluyendo su visión ética, el gran reto que suponen tanto el desarrollo de la inteligencia artificial como el del internet de las cosas, con el consabido tratamiento masivo de datos (muchos de ellos personales).
APEP representa a los profesionales de la privacidad, a abogados, consultores y auditores, delegados de protección de datos, que se dedican a asesorar en protección de datos al mercado. Somos los que, precisamente, brindamos cobertura a quienes usan y tratan esos datos en todo tipo de empresas y organizaciones (sanidad, banca, telecomunicaciones, redes sociales, gran consumo) y para todo tipo de finalidades entre las que se encuentra el marketing o el desarrollo de negocio, y somos los que tenemos ese conocimiento de primera mano para ayudar a comprender a quienes legislan y regulan de las necesidades y peculiaridades de las implicaciones que puede tener una normativa.
Concretamente debe haber una labor de concienciación muy potente sobre los datos personales y la privacidad, velar por una protección garantista de los derechos y libertades de las personas conforme al RGPD, y no descuidar los principios del mismo. Dentro de ese marco de respeto y legalidad hay un margen muy cómodo para el desarrollo de ciertas políticas, al igual que lo hay para el desarrollo de negocios digitales.
DLL: Para concluir con el ámbito interno, en este año que comienza debería producirse la renovación de la dirección de la AEPD así como la aprobación de su nuevo Estatuto, conforme a la LOPDGDD (LA LEY 19303/2018) ¿qué esperan desde APEP de la nueva dirección de la Agencia?
MJ: Confiamos que la dirección de la Agencia que está por venir continúe el excelente trabajo marcado por Mar España y todos los profesionales de la Agencia. Es digno de admiración que una agencia que cuenta con tan pocos recursos se haya convertido en un referente internacional y motor del respeto de los derechos de privacidad y digitales en nuestro país.
Desde un punto de vista institucional, las relaciones con la Agencia Española de Protección de Datos siempre han sido muy buenas, hemos contado con el apoyo de la institución para congresos y conferencias y para tratar aspectos relevantes para la profesión desde nuestra constitución en 2009. Con la Directora Mar España, las relaciones han sido estupendas y hemos colaborado muy activamente, lo que para APEP es algo muy relevante y entendemos que para el regulador muy provechoso también. Puedo destacar el excelente trabajo bilateral en el desarrollo de campañas para la protección de menores, así como la participación de APEP en el asesoramiento en el esquema de certificación de la AEPD, o el haber participado en una mesa redonda en su sesión abierta. Además, la Agencia también ha dado importantes pasos en la lucha contra el fraude “coste cero” y las prácticas agresivas en protección de datos, una de las reivindicaciones de APEP en la defensa de sus asociados.
En el futuro, por supuesto, seguiremos colaborando con el regulador y estaremos a su disposición para que pueda contar con el trabajo y apoyo de los profesionales de la privacidad, representados por APEP que es la asociación más numerosa y significativa del sector.
DLL: En el ámbito europeo queda pendiente la aprobación de importantes normas relacionadas con la privacidad, como el esperado Reglamento de e-privacidad, cuyo encaje con el RGPD está planteando numerosas dificultades ¿qué líneas considera que deberían seguirse a este respecto para conciliar los intereses de los ciudadanos y los de las empresas?
MJ: Como en todo lo que se refiere a normativa europea, todo lo que tiene que ver con armonizar las normas dentro de la UE es positivo, ya que aporta una seguridad jurídica superior a un modelo en el que cada país tiene su normativa, máxime cuando hablamos de páginas web. Una única norma bien redactada permite que desde España podamos asesorar más fácilmente a entidades con presencia en varios mercados sin depender de colaboradores externos, lo que desde un punto de vista económico también tiene sus ventajas.
En cualquier caso, la tramitación de este tipo de normas relativas a servicios digitales accesibles desde otros estados comunitarios, deberían contar con las aportaciones de APEP ya que gracias al conocimiento profundo y práctico de la realidad del mercado al que se aplica la noma por parte de los profesionales, estamos en disposición de presentar mejoras en cuanto a su redacción y aplicación futura.
DLL: APEP acaba de presentar su plan de actuación para este año ¿cuáles son sus aspectos más relevantes?
MJ: APEP cuenta ya con diez años de vida y casi mil personas asociadas y entendíamos que era hora de efectuar una profesionalización de la asociación para alcanzar retos mayores y mejorar el posicionamiento de los profesionales de la privacidad en España. Además, acabamos de cambiar nuestra imagen corporativa para transmitir el concepto que APEP representa: fuerza en su actividad y orgullo para sus miembros.
En cuanto a los aspectos más relevantes del Plan APEP 2020, por un lado, potenciaremos uno de los pilares fundamentales de APEP estos últimos años, nuestra formación. En los tres últimos años hemos formado a más de mil doscientos alumnos en cursos online dedicados a temas muy concretos relacionados con nuestra actividad. Seguiremos impulsando esta importante tarea, ya que un buen profesional de privacidad debe estar permanentemente al día para conocer todos los entresijos normativos y las formas de resolver las situaciones a las que se puede enfrentar en su día a día.
Le vamos a dar a la Certificación APEP un importante impulso. Por un lado, facilitaremos la certificación por acreditación de experiencia; es decir, que podrán ser certificados APEP quienes acrediten dedicación al asesoramiento bajo el RGPD o haber desempeñado funciones de delegado de protección de dados durante cierto tiempo, todo ello sin necesidad de hacer un examen ni hacer unas cuantas horas de formación. También podrán acceder a uno de nuestros certificados las personas a las que se le convaliden formación específica en los mejores masters y cursos sobre privacidad, gracias a acuerdos alcanzado con estas prestigiosas instituciones formativas. Todo ello hará que nuestra Certificación sea un elemento mucho más reconocible y que aporte mucho más valor a los profesionales en el mercado, como garantía de calidad y profesionalidad. Adicionalmente, los profesionales con certificado APEP están sometidos a un estricto código ético que garantiza una buena praxis, elemento diferencial de nuestros certificados desde hace mucho tiempo.
Además, este año ampliaremos y desarrollaremos los grupos de trabajo, reforzando la idea de verticales, potenciaremos la colaboración con asociaciones e instituciones públicas y privadas, reforzaremos nuestros comités de ética y de responsabilidad social corporativa y abordaremos importantes proyectos muy relevantes para el sector, como por ejemplo la primera Radiografía de los profesionales de la privacidad y delegados de protección de datos en España. Habrá más cosas, de las que iremos dando noticia a lo largo de los próximos meses.
Y por supuesto ya estamos organizando el VIII Congreso Nacional de Privacidad APEP, que este año se desarrollará en Madrid, y que volverá a congregar al mayor número de profesionales de la privacidad de España y donde podremos analizar los principales hitos presentes y futuros de la privacidad tanto para el sector profesional como para la sociedad.
DLL: Acaba de resaltar la importancia de la formación, como un valor especialmente relevante para los profesionales de la privacidad, dada la multiplicidad de fuentes normativas que deben conocer para prestar su asesoramiento ¿cómo enfocan esta necesidad desde APEP?
MJ: La Formación que ofrece APEP es creada, desarrollada e impartida por profesionales y para profesionales. Se trata de una oferta formativa amplia y variada, que permite realizar desde cursos muy específicos que aborden temas de un sector en particular, como otros más generales, todo ello con el objetivo de ofrecer un itinerario formativo completo y de formato 360 que está para desempeñar las funciones de delegado de protección de datos y ofrecer formación continua y permanente para los que ya lo son.
Así, nuestra formación permite tanto introducirse en la materia como, servir de refresco de conocimiento o ampliación de capacidades, precisamente por la complejidad de la norma y de las implicaciones internacionales que existen. Puedo destacar cursos que se realizan varias ediciones al año por su alta demanda, como el de Evaluaciones de Impacto relativas a la Protección de Datos (EIPD) o Auditoría de protección de datos. Además, dados los precios rebajados para asociados, este es uno de los servicios que más se demandan y del que más orgullosos nos sentimos en APEP.