Por Fernando Cameo.- Ricardo De Lorenzo Aparici, socio director del Área de Derecho Digital del Bufete De Lorenzo Abogados, ha sido nombrado recientemente nuevo Delegado de Protección de Datos (DPO) del Consejo General de la Abogacía Española.
De lorenzo es experto en transformación digital y cuenta con una dilatada experiencia como abogado multidisciplinar asesorando en materia de protección de datos, transparencia y seguridad de la información a entidades privadas y públicas del sector sanitario. Ha sido delegado de protección de datos de importantes instituciones y organizaciones de este mismo sector.
Licenciado en Derecho por la Universidad Complutense de Madrid y Máster Universitario de Protección de Datos, Transparencia y Acceso a la Información por la Universidad San Pablo-CEU, el nuevo DPO de la Abogacía es miembro de la Asociación Profesional Española de Privacidad (APEP) y de la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum).
Hablamos con Ricardo De Lorenzo por el quinto aniversario de la aplicación del RGPD, del balance que hace de estos cinco años y de los retos a los que se enfrentarán los DPOs en los próximos años.
Hoy, 25 de mayo de 2023, se cumplen cinco años de la aplicación obligatoria del Reglamento General de Protección de Datos (RGPD). ¿Cree que la sociedad está más concienciada en esta materia que hace cinco años?
Hace cinco años fue aprobado una de las normas más importantes y de mayor calado en el panorama europeo que ha traído consigo importantes cambios en la protección de datos personales. Con este Reglamento se ha intentado implantar una verdadera cultura de gobierno responsable de la información, de cumplimiento real y no meramente formal de la protección de datos de carácter personal y efectivamente existe una mayor concienciación por parte de todos los intervinientes en los tratamientos (ciudadanos, responsables y encargados) si bien por aspectos originados principalmente por el gran avance en la transformación digital derivada de la crisis Covid-19 que hemos sufrido. En este sentido, los ciudadanos conocen mejor sus derechos y los ejercen con mayor soltura, los responsables son más conscientes de los riesgos asociados a los tratamientos que realizan, principalmente por el incremento de ciberataques sufridos y los encargados quizás han valorado implantar en sus sistemas mecanismos de garantía de cumplimiento sobre la materia para ofertar sus servicios con mayores opciones que el resto de proveedores.
¿Queda mucho por hacer?
Claro. Siempre va a quedar por hacer en una sociedad digital en constante renovación como la nuestra. Tomando como referencia la Memoria 2022 de la AEPD publicada en abril de este año, deben mejorarse aspectos relacionados con la figura del DPO, tanto su designación como su disposición en la organización o su participación en el ejercicio de sus funciones.
Debe mejorarse también la gestión de los riesgos. No todo acaba con la emisión de un informe de riesgos fechado en el año 2018. Deben identificarse y analizarse nuevas amenazas, proponer controles distintos y reevaluar los controles propuestos anteriormente (¡es un documento vivo!).
Preocupa también la gestión de brechas de seguridad que puedan afectar a la confidencialidad, integridad y disponibilidad de datos personales. Los ataques ransomware que están sucediéndose merecen de una correcta y rápida respuesta por parte de profesionales expertos, precisamente porque su gestión es altamente compleja. El dato siempre tuvo un valor económico y lamentablemente ya hemos vivido solicitudes de rescate por valor de 4 millones de dólares.
Preocupa aún más el desconocimiento generalizado ante el emergente paquete de medidas sobre servicios digitales de la Comisión Europea que regulará el espacio digital y que supondrá otro cambio mayúsculo en la forma de entender y tratar los datos personales. Al RGPD se le unen el Reglamento de Inteligencia Artificial, los Reglamentos de Servicios Digitales y de Mercados Digitales o el de los Espacios Europeos de Datos.

¿Es la digitalización de la sociedad en todos sus niveles, el gran reto al que hoy se enfrenta la privacidad?
Indudablemente y debemos entender mejor las herramientas que nos ofrecen para valorar el riesgo de su uso en los datos personales que tratamos.
¿En una sociedad analógica todo sería infinitamente más sencillo en este campo?
Claro, pero la tecnología no debe ser nuestra enemiga. Gracias a los avances tecnológicos surgen nuevas oportunidades e importantes beneficios para todos los intervinientes. Únicamente debemos entenderla y aprender a usarla mejor.
Envío de sentencias sin anonimizar, tirar a la basura documentación de un cliente, envíos de correos electrónicos o remisión de burofax a clientes dejando al descubierto datos personales ajenos son algunas de las conductas por las que la AEPD ha sancionado a letrados… ¿descuidos o falta de concienciación en la profesión?
El sector de la abogacía tiene una particularidad y es que en la mayoría de las ocasiones son los datos de sus clientes y no los suyos propios los que merecen una especial dedicación.
Sirva de base analizar la tipología de datos utilizados en su ejercicio profesional y determinar las medidas técnicas y organizativas más apropiadas para garantizar un nivel de seguridad adecuado. Insisto, el dato personal tiene un valor económico en nuestro mercado y según qué datos personales trate el abogado deberá conformar un paquete de medidas de seguridad personalizado. No es lo mismo tratar datos de menores de edad o relativos a violencia de género que los datos de contacto o identificativos.
Este sector puede mejorar igual que el resto, pero prácticas como las que comentas incluidas la del envío de Christmas a múltiples destinatarios en copia vista o el uso de herramientas de mensajería instantánea, como WhatsApp para compartir datos sensibles, deberían estar más que superadas.
Es de recibo exigirle al abogado mayor diligencia, si cabe.
Ese es, precisamente, uno de los desafíos a los que habitualmente se enfrentan los DPO: concienciar a empresas o instituciones de la importancia de la protección de datos. ¿Van a poner en marcha alguna iniciativa al respecto?
Desde el CGAE dentro de su Plan de Formación Continua, se ofertan infinidad de jornadas de formación y charlas donde se abordan múltiples temas relacionados con protección de datos y su aplicación sobre herramientas digitales.
En nuestra práctica diaria observamos como la gran mayoría de los incidentes de seguridad se justifican por un error humano interno de la organización por lo que debe mejorarse este aspecto.
La formación debería ser un requisito de obligado cumplimiento. Realizar formaciones recurrentes ayuda a despertar inquietudes y por ende a concienciar a las personas.
La figura del Delegado de Protección de Datos es relativamente reciente, fue creada por el RGPD, ¿cuáles son a su juicio las características esenciales que deben definir esta figura?
A grandes rasgos considero esencial que tenga conocimiento experto en la regulación de protección de datos y sectorial, debe acreditar experiencia en cuanto a la aplicación e interpretación de las normativas, debe ser independiente y no recibir instrucciones en el ejercicio de sus funciones y debe tener acceso adecuado a la información y nuevos proyectos de la organización.
Para ello, también resulta indispensable que las organizaciones que contratan a DPOs valoren una partida dedicada a su formación continua.
¿Cuáles son sus principales funciones?
1. Informar y asesorar sobre las obligaciones derivadas de la normativa de protección de datos.
2. Elaborar y mantener las políticas y/o documentación de la organización en relación con la protección de datos personales.
3. Participar en la planificación de nuevos procedimientos o cambios en los procedimientos existentes que impliquen el tratamiento de datos personales.
4. Formar al personal de la organización en materia de protección de datos.
5. Supervisar y hacer seguimiento de los resultados de las evaluaciones de impacto relativas a la protección de datos.
6. Participar en la gestión de las brechas sobre datos personales.
7. Actuar como punto de contacto de la autoridad de control de protección de datos.

¿Y los principales retos a los que se enfrenta en su actividad?
Sigue existiendo la mala práctica de contratar DPOs a precios irrisorios o a través de cursos con cargo a los créditos de formación de los trabajadores. La gran parte del problema es la falta de concienciación por parte de las organizaciones sobre los riesgos reales que supone contratar este tipo de servicios.
Recientemente ha entrado en vigor la obligatoriedad para empresas y administraciones públicas de tener un canal de denuncias para informar sobre infracciones normativas y luchar contra la corrupción. ¿Va a ser la protección de la privacidad de los denunciantes uno de los nuevos retos de los DPO?
Efectivamente, la nueva Ley del Informante tiene fuertes implicaciones sobre protección de datos y en nuestra condición de DPO debemos asesorar adecuadamente a los sujetos obligados desde el diseño de este proyecto con detenimiento de todas las fases o ciclos que sufrirán los datos personales, desde el momento en que se captura a través del canal de comunicación hasta su posterior conservación y supresión.
El reto ahora es llegar correctamente a tiempo:
El sistema interno de información debe estar plenamente operativo el 13 de junio de 2023 para las entidades del sector público salvo los municipios de menos de 10.000 habitantes o para las entidades jurídicas del sector privado de 250 o más trabajadores, y a partir del 1 de diciembre de 2023 para las entidades jurídicas del sector privado de entre 50 y 249 trabajadores y los municipios de menos de 10.000 habitantes.
Compliance officer, responsable del canal de denuncias… ¿pueden y/o deben los DPO asumir esas funciones?
La similitud de competencias podría tomarse en cuenta a fin de valorar la unificación de funciones en una única persona, si bien la figura del DPO no puede recibir instrucciones, está más enfocado a garantizar la protección de los derechos y libertades de los ciudadanos y aunando ambas funciones podría conllevar un conflicto de intereses si existe una dependencia jerárquica inadecuada.
Inteligencia artificial, generación de modelos predictivos, tratamiento de datos biométricos… ¿Es la tecnología el gran desafío futuro de la privacidad? Viendo el ritmo al que evolucionan los avances tecnológicos, ¿se pueden regular para conseguir que sean respetuosos con la protección de los datos personales o es una tarea inalcanzable?
Como he comentado antes, ante estos avances tecnológicos se prevén una batería de propuestas legislativas a nivel europeo que regularán el uso de estas tecnologías desde el pleno respeto a los derechos de los ciudadanos y tomando como referencia el modelo del Reglamento General de Protección de Datos (LA LEY 6637/2016).
La práctica diaria e interpretaciones jurídicas irán ajustando ambos mundos sin obviar como siempre ha sucedido que la realidad va muy por delante de su regulación, pero seguramente por la misma senda del proteccionismo y control de los datos a favor del titular de los datos.