Con ocasión de cumplirse hoy el quinto aniversario de la aplicación obligatoria del Reglamento General de Protección de Datos entrevistamos a Estrella Barrionuevo Cañones que es Gerente de privacidad y consumo en la Asesoría jurídica de Telecomunicaciones de Telefónica España, donde previamente ejerció como abogada, y la actual Delegada de Protección de Datos de Telefónica de España, Telefónica Móviles y Telefónica Soluciones de Informática y Comunicaciones de España.
Licenciada en Derecho y Administración y Dirección de Empresas por la Universidad de Córdoba, Estrella tiene Certificación de Delegada de Protección de Datos proporcionada por la Asociación Española para la Calidad.
Hablamos con Estrella Barrionuevo sobre estos primeros cinco años de aplicación del RGPD y de cuáles son los retos futuros a los que se tendrán que enfrentar las empresas en el ámbito de la privacidad.
Hoy, 25 de mayo de 2023, se cumplen cinco años de la aplicación obligatoria del Reglamento General de Protección de Datos (RGPD). ¿Cree que la sociedad está más concienciada en esta materia que hace cinco años? ¿Queda mucho por hacer?
Indudablemente la sociedad está más concienciada o por lo menos conoce que tiene un derecho a la protección de sus datos. Tras siete años (cuento los dos que hubo para que las empresas pudieran implantarlo desde la publicación del Reglamento en 2016), creo que todas las empresas se han tenido que adaptar para cumplir con lo exigido. Estos siete años han servido tanto para que todas las empresas revisen las políticas de privacidad que tenían implantadas, se planteen qué tratamientos de datos se hacen y qué medidas de seguridad tienen. Todo ello, afecta a los usuarios en su vida diaria y profesional y, por supuesto, que el bombardeo de comunicaciones que se recibió alrededor del 25 de mayo de 2018 también ayudó para divulgar la relevancia de la norma europea.
¿Es la digitalización de la sociedad en todos sus niveles, el gran reto al que hoy se enfrenta la privacidad? ¿En una sociedad analógica todo sería infinitamente más sencillo en este campo?
Efectivamente, el tratamiento de datos analógico se está quedando para un sector de la sociedad que empieza a ser una minoría. El reto para las empresas es que el usuario medio sea cada vez más digital y que los procesos digitales sean cada vez más sencillos e intuitivos. En una sociedad analógica, el tratamiento de datos sería infinitamente más sencillo, pero su tratamiento tendría más limitaciones, de manera que no se les podría sacar el partido y los beneficios que, a día de hoy pueden tener.
Las empresas de telecomunicaciones pertenecen a uno de los sectores más expuestos a infringir el RGPD ya que su actividad depende directamente del tratamiento de datos personales que manejan en gran volumen. ¿Existe una especial atención al tema de la protección de datos en Telefónica? ¿Qué acciones se han puesto en marcha para concienciar a su personal de la importancia de esta materia?
Por supuesto, desde Telefónica y atendiendo a los principios que precisamente establece el RGPD, trabajamos la privacidad desde el diseño. Desde las áreas legales, seguridad y sistemas, trabajamos muy de la mano con las áreas de producto para intentar que la privacidad y seguridad se tenga en cuenta en el diseño de los productos y servicios, es algo fundamental para que todo funcione correctamente. Por otro lado, se han desarrollado procesos internos para cumplir con otras de las obligaciones que establece el RGPD y que probablemente sean menos visibles de puertas para fuera, como son el control de la cadena de suministro, el registro de tratamientos, la actualización de los procesos, formación obligatoria para todos los empleados, etc. que hacen partícipes de estas cuestiones a otras áreas implicadas dentro de la compañía.
Protección de datos y publicidad. ¿Es este uno de los principales quebraderos de cabeza para las empresas de telecomunicaciones? ¿Es la autorregulación la solución? ¿Cómo está funcionado el acuerdo al que recientemente llegaron con la AEPD para autocontrolarse frente a las malas prácticas al respecto?
Por parte de Telefónica siempre hemos sido muy respetuosos en relación con el envío de campañas publicitarias, lo principal para nosotros es que los filtros comerciales funcionen correctamente y se apliquen siempre de forma previa a la realización de campañas publicitarias, respetando en todo caso la voluntad del cliente.
La autorregulación es muy beneficiosa ya que, este tipo de expedientes que, en algunos casos son objeto de reclamación en la AEPD se pueden resolver de una manera más eficiente y ágil para el cliente. El Código de conducta de autocontrol para el tratamiento de datos en la actividad publicitaria, está aplicándose de manera muy efectiva, en una clara apuesta por la flexibilización y simplificación de trámites procedimentales, los clientes pueden ver resueltas sus posibles controversias en materia de protección de datos en un ambiente cercano, de diálogo y colaboración constantes, sin necesidad de involucrar al organismo regulador, con unos plazos más rápidos y de forma electrónica.
La figura del Delegado de Protección de Datos o DPO es relativamente reciente, fue creada por el RGPD, ¿cuáles son a su juicio las características esenciales que deben definir esta figura?
De conformidad con la legislación, no se exige que tenga una cualificación determinada, pero lo que sí que está claro es que debe tener conocimiento experto en aspectos tanto técnicos como legales en materia de protección de datos y estar al tanto de las novedades legislativas e interpretativas que se realizan por parte de los distintos organismos reguladores para realizar sus funciones.
Por otro lado, el DPO debe ser independiente y ser capaz de actuar con dicha independencia dentro de la organización para garantizar que se están cumpliendo las leyes de protección de datos. Es decir, no debe recibir instrucciones respecto a cómo ejercer sus tareas y debe tener la libertad para informar directamente a la alta dirección de la empresa.
¿Cuáles son sus principales funciones?
Las funciones principales que tiene un DPO son la de informar y asesorar sobre las obligaciones derivadas de la normativa de protección de datos en la organización, incluyendo labores formativas y de concienciación en la materia. Participar tanto en la elaboración y mantenimiento de las políticas de la organización en relación con la protección de datos personales, las evaluaciones de impacto, tratamiento de las brechas sobre datos personales e informar a la dirección de la organización sobre el estado y las necesidades de desarrollo de la organización en materia de protección de datos.
Por otro lado, el DPO también actuaría como punto de contacto de la autoridad de control de protección de datos y de los interesados.
¿Y los principales retos a los que se enfrenta en su actividad?
Los retos que tenga cada DPO pueden variar dependiendo de la organización, no obstante, lo que podría casi asegurar que son retos comunes son los siguientes:
- — En primer lugar, estar al día de los cambios constantes en la legislación y en la interpretación de la misma. Las leyes de protección de datos están en constante evolución, y mantenerse al día con estos cambios puede ser un reto.
- — En segundo lugar, el de continuar con el cambio cultural que implica la aplicación del RGPD en el que la responsabilidad proactiva va necesariamente de la mano de la concienciación de todos los empleados de la empresa. En sociedades muy grandes, ese cambio cultural es más complicado que en pequeñas organizaciones. Por lo que es un desafío fomentar dicho cambio cultural que priorice la protección de datos y la privacidad.
- — Y por último, en tercer lugar, la prevención y, en su caso, gestión las brechas de seguridad que afecten a datos de carácter personal. En el caso de una violación de datos, el DPO y, en general toda la compañía, debe actuar rápidamente para minimizar los daños y cumplir con los requisitos de notificación exigidos por la legislación cuyos plazos son muy exigentes. Hoy en día, los incidentes de ciberseguridad están a la orden del día y todas las empresas están muy expuestas a que este tipo de situaciones deban ser gestionadas, tanto por las áreas de seguridad, como el DPO si hay afectación de datos de carácter personal. Son siempre situaciones de mucha tensión, dado que a veces es complicado en las primeras 72h tener un escenario concreto y la toma de decisiones en estas situaciones es compleja.
Recientemente ha entrado en vigor la obligatoriedad para empresas y administraciones públicas de tener un canal de denuncias para informar sobre infracciones normativas y luchar contra la corrupción. ¿Va a ser la protección de la privacidad de los denunciantes uno de los nuevos retos de los DPO?
Telefónica ya lleva años con un canal de denuncias asesorado desde DPO. Algunos de los retos más importantes en la gestión de la protección de datos personales son aquellos derivados de las nuevas normativas aplicables que llevan contenido relevante de protección de datos de carácter personal como es el caso de esta normativa. En este sentido, el DPO es responsable de asesorar y asegurar los tratamientos de datos dentro de la organización, incluyendo los relativos al canal de denuncias como se ha venido haciendo hasta la fecha, aplicando la normativa general de protección de datos y la específica para este caso.
Inteligencia artificial, generación de modelos predictivos, tratamiento de datos biométricos… ¿Es la tecnología el gran desafío futuro de la privacidad? Viendo el ritmo al que evolucionan los avances tecnológicos, ¿se pueden regular para conseguir que sean respetuosos con la protección de los datos personales o es una tarea inalcanzable?
La innovación y tecnología siempre irán por delante de la regulación, lo importante y creo que fundamental es que la legislación siente unas bases que permitan la interpretación de la misma de manera que se pueda continuar evolucionando. La tecnología, y en particular la inteligencia artificial y el análisis de big data, plantean desafíos significativos para la privacidad de los datos. Es cierto que la velocidad a la que evoluciona la tecnología puede hacer que sea difícil para la regulación mantener el ritmo. Sin embargo, eso no significa que sea una tarea inalcanzable ya que en términos de privacidad disponemos de guías e instrucciones que aterrizan la interpretación del RGPD teniendo en cuenta las novedades que en la práctica se han ido implantando o planteando.