Carlos B Fernández. El Delegado de Protección de Datos, DPO o DPD como es denominado indistintamente, es un cargo introducido por el Reglamento general de protección de datos (LA LEY 6637/2016) (RGPD) en 2016. Carece de tradición regulatoria en nuestro ordenamiento y casi de experiencia práctica en la que apoyarse. Por ello, los profesionales que lo desempeñan no tienen muchos referentes previos en los que apoyarse y puede considerarse en muchos sentidos una figura en fase de construcción.
Se trata de un nuevo rol de designación obligatoria, con carácter general, por las entidades que basen su actividad en el tratamiento a gran escala de datos personales, así como en las administraciones públicas.
Sus funciones básicas aparecen recogidas en el artículo 39 del RGPD y, muy simplificadamente, consisten en informar, asesorar y supervisar que todos los estamentos de su organización cumplen con las obligaciones que les incumben en materia de protección de datos, cooperando para ello con la autoridad de control.
Se trata de una relación engañosamente simple, que oculta la dificultad de una tarea muy compleja que se resume en que si la persona designada para el cargo carece de competencia para desempeñarlo o incurre en negligencia al realizarlo, las consecuencias pueden ser muy graves. No solo para su organización, que puede sufrir muy severas sanciones. También para las personas titulares de los datos maltratados, cuyos derechos fundamentales a la intimidad personal o familiar, honor o imagen cabrían verse seriamente perjudicados.
Pese al esfuerzo divulgativo desplegado por la Agencia Española de Protección de Datos (AEPD) y las asociaciones profesionales involucradas, desde la publicación del RGPD, muchas áreas del trabajo de un DPO son todavía poco o mal conocidas. O simplemente, no han tenido ocasión de ser puestas en práctica.
Por todo ello, se hacía necesario poner en marcha un punto de encuentro en el que estos profesionales pudiesen reunirse para intercambiar conocimientos y experiencias. Y ese ha sido precisamente el objetivo del Primer Congreso Nacional de Delegados de Protección de Datos organizado por Wolters Kluwer, celebrado en Madrid y del que damos cuenta a continuación
Como destacó en la presentación del acto Vicente Sánchez Velasco, CEO del Wolters Kluwer España y Portugal, se trata de «una oportunidad magnífica para sentar las bases de una cultura sólida de protección de datos, equilibrando la seguridad jurídica con los derechos de los interesados y la prosperidad de los negocios».
POSICIÓN, FUNCIONES Y RESPONSABILIDAD DEL DPO
Para empezar, la primera mesa del Congreso, moderada por Borja Adsuara, profesor, abogado y consultor, sirvió para presentar las características principales de esta figura y los desafíos a los que se enfrenta.
El DPO es una pieza clave en la transformación digital de las empresas
Y Cecilia Álvarez Rigaudias, presidenta de la Asociación Española de profesionales de la privacidad (APEP), los dejó bien claro desde el principio: La función del DPO es muy estratégica. Todas las compañías están en pleno proceso de transformación digital y este es imposible llevarlo a cabo sin un DPO.
Se trata de un cargo complejo. «Uno no se hace DPO con un curso de tres meses, ni siquiera de un año», señaló. En una idea que se repitió una y otra vez a lo largo de todo el Congreso, destacó que para ejercer de DPO se requieren conocimientos, pero también experiencia y recursos, tanto técnicos, como económicos y humanos: «para desarrollar programas de protección de datos hacen falta recursos». Y no solo eso, también hacen falta «padrinos» internos que desde los estamentos adecuados de la organización, apoyen el proyecto.
Además, es fundamental que el DPO entienda el funcionamiento de la empresa y que realice su trabajo sin intentar atenerse exclusivamente al tenor literal de la norma, intentando entender el espíritu de la norma.
José López Calvo, DPO del Consejo Superior de Investigaciones Científicas, precisó las funciones del puesto con un ejemplo muy gráfico: «Si te duele la cabeza en protección de datos, acude a tu DPO. Él es el elaborador de criterios y el solucionador de problemas en esa materia», el DPO «tiene que estar solucionando problemas».
¿Debe ser un cargo interno o externo?
Uno de los debates más repetidos en torno a la figura del DPO es si debe ser un cargo interno de la organización, integrado en su organigrama, o externo a la misma (art. 37.6 RGPD). Y sobre este aspecto, Agustín Puente, socio de Broseta y durante años Director Jurídico de la AEPD, se mostró partidario de un DPO externo. En su opinión, el no formar parte de la organización le provee de un plus de independencia muy necesario.
Sin embargo, esta figura del DPO externo requiere que exista una cultura previa en la organización, que esta se encuentre concienciada al respecto porque el DPO tiene que participar en el desarrollo de los proyectos, desde sus primeros estadios. Si solo lo hace en su fase final, puede ser tarde, por ejemplo si hay que realizar una evaluación de impacto (o PIA) a última hora.
Coincidió con esta opinión Borja Adsuara, «como cliente, yo me fiaría más de un externo que del DPO interno», apostilló.
Para elegir un DPO externo hay que basarse en su formación y en su experiencia, pero, advirtió, «si se elige un externo hay que huir de soluciones fáciles y de propuestas de ‘coste cero’». Algo en lo que más adelantes también coincidiría Miguel Ángel Davara.
Sin embargo, en la mesa dedicada al DPO en el sector legal, José Luis Piñar precisó que el DPO siempre es un cargo interno de la organización, pero que otra cosa es su relación jurídica con la empresa, que puede ser la de persona incluida en su plantilla o externo a ella. De hecho, se relaciona con la AEPD sin contar con ningún poder específico para ello, y es de iure el responsable ante la Agencia.
¿Qué formación debe tener un DPO? ¿Ha de ser un abogado?
Será uno de los temas más repetidos a lo largo de todo el congreso, con práctica unanimidad de todos los ponentes: el DPO debe ser un experto en protección de datos, aunque no tenga que ser abogado (Agustín Puente) También puede serlo un técnico, pero en ese caso será necesario que cuente con conocimientos jurídicos adecuados.
¿Y ser mediador de protección de datos?
Borja Adsuara apuntó que en su opinión, menos problemático y quizás más deseable que ser DPO, es ser mediador de protección de datos, una figura prevista en la ley española (art. 37 LOPDGDD (LA LEY 19303/2018)), no en el RGPD, como una figura extra administrativa de resolución de conflictos, que puede ofrecer más garantías de imparcialidad al ciudadano.
Además, añadió, con la mediación, la indemnización que prevé la norma iría al ciudadano, no a Hacienda.
Las dotes de comunicación del DPO
Otro tema frecuentemente mencionado fue la exigencia de que el DPO sepa comunicarse y relacionarse con la organización.
Borja Adsuara lo planteó más radicalmente: la normativa actual está elaborada para las grandes empresas, no para los ciudadanos que son sus destinatarios, porque estamos hablando de derechos fundamentales de los ciudadanos. Pero estos no entienden la Ley. Por ello, la primera obligación del DPO es hacerse comprensible para los clientes, no para o no solo para la Agencia.
Otros ponentes se refirieron a la necesidad de que el DPO sepa hablar a cada departamento de la organización en su propio idioma.
La independencia del DPO
Otro tema muy relevante relacionado con el ejercicio del cargo del DPO, es el de su independencia jerárquica, derivada del art. 38.3 RGPD.
Según Cecilia Álvarez., hay unas falsas expectativas a este respecto. La independencia nunca puede ser total, lo que debe haber es independencia de criterio, que consiste en que el DPO debe dar el mejor consejo que pueda. Para eso hay que tener una experiencia de años.
Se trata de un tema que no tiene que ver con la condición de interno o externo del DPO, según Álvarez «no por ser interno estás más vendido». En este sentido añadió que el DPO externo, generalmente miembro de una firma profesional, puede estar muy obligado por el concepto de hora facturable. Pero también «a los de fuera les resulta más fácil decir que no cuando es necesario».
Coincidió con este criterio Agustín Puente. Es una cuestión de cultura, auctoritas y experiencia. Se puede ser independiente siendo interno y externo. Ambas posiciones tienen pros y contras. Lo importante es la cultura de la organización.
Sin embargo, como recordaría en una mesa posterior Jorge García Herrero, en Portugal se decidió a finales de 2018, que ejercer como abogado in house resulta incompatible con ejercer como DPO en la misma entidad, porque se pone en solfa su imparcialidad. Un planteamiento sorprendente y que provoca debate. Del mismo modo, un abogado o consultor que se haya ocupado de la adaptación de una empresa con la nueva normativa también presenta cierta incompatibilidad para ser DPO de la misma, porque cualquier denuncia que pudiese prosperar sería como consecuencia de su trabajo. En general, añadió, en caso de conflicto de interés va a primar más la seguridad que la privacidad.
Responsabilidad del DPO en el desempeño de sus funciones
Cecilia Álvarez recordó que en materia de protección de datos, las multas recaen en la organización, no en el DPO. Ad intra, esto quiere decir que el sistema de responsabilidad funciona igual que en cualquier organización. Pero, añadió, el DPO no es el único que decide en la organización, pues en la toma de decisiones pueden intervenir muchas personas, por ello «el DPO tiene que tener las orejas abiertas».
Y es que, añadió, la protección de datos se ha convertido en una normativa de expertos para expertos, «pero hace falta un poco de humildad, no somos dioses. Todos dentro de la organización tienen algo que decir».
Algo en lo que coincidió López Calvo, quien añadió que el DPO no es un juez situado en su atalaya. Y aunque en el ámbito público, la Administración no puede ser sancionada, «no se toman decisiones desde la atalaya. Hay que acercarse al trabajo de la organización y a sus necesidades. Por ello el DPO debe conocer qué se está haciendo y por qué es necesario tratar datos en cada caso, intentando buscar una entente entre los diversos intereses en juego».
Adsuara apuntó su opinión de los problemas surgen cuando el DPO hace su función y formula las advertencias que considera necesaria, pero la dirección decide hacer caso omiso a las mismas, porque considera que le compensa el incumplimiento a cambio del beneficio que pueda obtener.
No estuvo de acuerdo Cecilia Álvarez, quien defendió que en su experiencia nunca ha visto esa postura. Si bien reconoció que «los comportamientos más superficiales suelen producirse entre los mandos intermedios, no a alto nivel. Solo cuando no se está acostumbrado a tomar decisiones sin asesoramiento se puede decidir de esa manera».
A este respecto Agustín Calvo añadió que si el DPO se cierra en banda a toda propuesta del negocio, o hace dejación de sus funciones, sí puede ser responsable. «Lo ideal es llegar a una entente, señaló, pero cuando la parte jurídica solo es vista por la dirección como una molestia o un freno frente a la comercial, el acuerdo es difícil». En esos casos, si el DPO considera que la actividad propuesta puede vulnerar la normativa de protección de datos, que dejar constancia de ello, incluso, sin ser chivato, reportándolo al máximo nivel directivo.
Adsuara concluyó señalando que al DPO «le pagan por proteger los datos, por eso debe estar muy cerca del responsable de los datos en la organización». Hoy la economía depende de que fluyan los datos. Por eso no hay que meterlos en una caja fuerte, sin más. El RGPD también «protege la libre circulación de los datos».
LA FORMACIÓN Y CUALIFICACIÓN DEL DPO
En esta mesa, moderada por el abogado y profesor Miguel Ángel Davara, Belén Durán, Responsable de cumplimiento normativo de la Fundació de Securetat de la información de Catalunya, comenzó refiriéndose al componente tecnológico de la formación del DPO.
Este debe ser capaz de valorar los riesgos y de decidir las medidas a implementar, para ello no se puede ser abogado solo, ni técnico solo.
Más en concreto, añadió, el DPO debe ser capaz de interpretar en clave de derechos fundamentales, también debe conocer el negocio y su normativa sectorial y, además, debe tener un componente tecnológico, entender la tecnología para poder hacer bien su papel. No hace falta saber programar, añadió, pero sí que sepa qué riesgos se derivan de la tecnología, como la IoT.
Para ello hay tener la preocupación de formarse en el plano tecnológico, aprovechando para ello la amplia oferta formativa existente, por ejemplo en organizaciones como ISACA.
Además, concluyó, es importante que el DPO tenga experiencia práctica porque la protección de datos es engañosa. Cómo aplicarla en diferentes supuestos de hecho no es siempre evidente.
Jorge García Herrero, abogado experto en privacidad y TIC y DPO, destacó la importancia de hacer que toda la organización esté alineada con la protección de datos (algo «de connotaciones divinas», precisó).
Ello requiere una combinación de competencias jurídicas, tecnológicas y directivas. Y, recordando a Giovanni Butarelli, Supervisor Europeo de Protección de Datos, añadió que la exigencia de unas competencias jurídicas no se refiere solo a las de protección de datos, deben incluir también conocimientos de derecho de la competencia, derecho de consumidores y derechos fundamentales. «Y hay pocos profesionales así», añadió. De hecho, García Herrero considera más sencillo que un tecnólogo aprenda la parte jurídica que tiene que ver con su actividad que que un abogado aprenda toda la parte tecnológica. Por eso considera que podrá desempeñar el cargo un ex asesor, un ex CISO o un ex Director General, porque tendrán un conocimiento suficiente de la organización sin incurrir en conflicto de intereses.
¿Debe certificarse el DPO?
Paloma Llaneza, abogada y consultora tecnológica, señaló para empezar que el RGPD ha planteado para el DPO una mezcla extraña de competencias y conocimientos. Se definió muy bien al principio, como un controller interno, pero ha incorporado muchas cosas de asesor y representante de la empresa frente a las autoridades de control.
Por ello, al no exigirse ninguna titulación específica, DPO puede serlo cualquiera que demuestre cualificación y competencia para ello, porque da igual el punto de partida, lo importante es el de llegada.
Pero no es sencillo ser DPO. Este debe aprender a pensar de una manera distinta, «hace falta mentalidad de auditor de sistemas». Pero, además, la función del DPO acaba de nacer y cuenta con poco corpus experiencial detrás. Y, por otra parte, las metodologías actuales son insuficientes, porque no hay mucha experiencia en análisis de riesgos legales y porque medir los impactos de los riesgos para la privacidad es muy difícil.
De ahí la importancia de la certificación, porque alguien tiene que evaluar lo que dices que eres en un mundo de soft law y habilidades no regladas. Por eso es bueno que un externo independiente lo verifique, de forma que pueda prestarse un servicio de garantía.
En este sentido, destacó que lo único que tiene en común el esquema de certificación de la AEPD con otros esquemas, es que hay un examen. Las demás certificaciones son recurrentes y repetitivas porque el esquema no funciona sin apoyo en la formación.
Miguel Ángel Davara no coincidió con este criterio, pues es su opinión, el itinerario de certificación diseñado por la AEPD, aunque solo sea un primer paso que se queda corto, es excelente.
EL DPO EN EL SECTOR LEGAL
Tras tratar en las dos primeras mesas de los aspectos generales de la figura del DPO, las siguientes se dedicaron al análisis de la problemática del mismo en diversos sectores, comenzando por el legal en varias de sus posibles áreas.
Abogacía
Esta mesa fue moderada por Javier Álvarez Hernando, abogado y DPO en diversos colegios profesionales, quien comenzó señalando que a menudo no se tiene en cuenta que es fundamental que el DPO conozca el sector en el que trabaja y su normativa reguladora. Algo que es particularmente importante en el caso de la abogacía.
Un sector en el que considera que la conciencia de riesgo entre los pequeños y medianos, que son la mayoría en nuestro país, es nula, igual que lo es en general, su cultura de privacidad, pese a que muchos abogados comparten oficina y recursos técnicos.
Por su parte, José Luis Piñar Mañas, catedrático de Derecho Administrativo y DPO del Consejo General de la Abogacía, así como de otras entidades públicas y privadas (como Wolters Kluwer), destacó para empezar que el DPO no es un capricho del RGPD ni una imposición de Alemania, sino que se trata de una figura esencial en el nuevo modelo de protección de datos, que es impensable sin él. Lo cierto es que el responsable del tratamiento necesita de la ayuda de alguien que le explique indique cómo hacer las cosas.
En cuanto a los colegios profesionales estos tienen naturaleza pública y privada y a ellos se les aplica el Esquema Nacional de Seguridad (ENS). Pero también incluye sus actividades de Derecho privado, incluido el principio de responsabilidad proactiva. En el caso del CGAE se han centrado en la elaboración de un registro de protección de actividades de tratamiento del CGAE y actividades de formación y concienciación de los colegios profesionales. La tarea de DPO del Consejo de la Abogacía es la más compleja pero también la más enriquecedora de su larga carrera, concluyó.
Notariado
David Gracia García, DPO en la Agencia Notarial de Certificación, explicó cómo la Agencia que dirige provee a estos profesionales de los servicios que necesitan para realizar su trabajo. Y ello, en materia de protección de datos, significa, en concreto que con los notarios hay que volcarse en un asesoramiento de calidad, porque son unos profesionales jurídicamente muy exigentes. Por ello su empresa marca la raya en el cumplimiento de la ley y realizan PIA a los 40 tratamientos que gestionan.
Además, y dado que el DPO es un colaborador de la AEPD, su agencia ha promovido un plan para que cuando los ciudadanos acudan a una notaría, puedan ejercer sus derechos.
Consejo de Estado
Desde la perspectiva del Consejo de Estado, Moisés Barrio Andrés, Letrado y DPO de este órgano, destacó que el Consejo ha sido muy proactivo en la adaptación tecnológica. Pero los últimos tiempos no han venido acompañados de la dotación de medios adecuada, pese a que manejan datos muy relevantes en ocasiones.
Por otra parte, se trata de un órgano sometido al ENS y que en lo relativo a la privacidad tiene su aspecto más problemático en la transparencia, en particular, en las solicitudes de información del art. 15 de la ley. Por ejemplo, el orden del día de las comisiones permanentes, que no pueden vincular a las conclusiones adoptadas (además del problema de las presiones que se puedan recibir). No es una tarea fácil.
¿Hace falta un estatuto del DPO?
La idea de si los DPO necesitan un estatuto que rija su actividad, no fue particularmente bien recibido por los ponentes. Por un lado, David Gracia consideró que con ello habría que forzar a que los DPO se mostraran adheridos a una norma vinculante para ello.
Moisés Barrio añadió, además, que las normas éticas no vinculan y que hay que tener cuidado con el riesgo de la hiperinflación normativa. Por ello recomendó mucha prudencia y no plantearse reinventar la rueda. «El marco deberían ser las directrices del Comité Europeo», concluyó.
Piñar coincidió en la necesidad de prudencia sobre este tema, en especial porque el RGPD persigue unificar la regulación a nivel europeo. Sin embargo, añadió, aunque el Comité y las autoridades nacionales están elaborando directrices, eso no quita para la elaboración local de códigos de conducta (que no es un estatuto), como el que la actual presidenta del CGAE está decidida a impulsar.
EL DPO EN LA ADMINISTRACIÓN LOCAL
Dentro del ámbito de la Administración, las entidades locales juegan un relevante papel en cuanto a la protección de datos de los ciudadanos. En nuestro país existen unos 8.000 ayuntamientos, que tratan datos personales muy sensibles de prácticamente toda la población española. Según el RGPD están obligados a disponer de DPO y a implantar unas medidas específicas de protección de datos, cuyo nivel de implantación real es muy variable.
Suele citarse como razón el hecho de que el legislador haya optado por no sancionar económicamente a las administraciones públicas por las infracciones de esta normativa, algo que rebaja notablemente la tensión por el cumplimiento que sí se detecta en las empresas y otras entidades obligadas.
Resulta muy relevante en este sentido que, según refleja el Informe de actividad de 2018 de la AEPD, de los aproximadamente 20.000 DPO registrados en España, apenas algo más de 3.000 pertenezcan a las Administraciones Públicas en su conjunto y, a la vez, que, según consta en el mismo informe, el 10% de las resoluciones sancionadoras dictadas a lo largo del pasado año, hayan sido de infracción por las administraciones públicas.
Y la situación puede complicarse progresivamente, conforme se afiance la ya iniciada Administración electrónica y comiencen a instaurarse las denominadas ciudades inteligentes o Smart cities, en las que el tráfico de datos va a multiplicarse enormemente. Por todo ello era obligado incluir en Congreso una mesa dedicada específicamente a analizar la problemática de este sector por los profesionales del mismo.
El problema de la carencia de medios
Según el moderador de esta mesa, el auditor en sistemas de la información Nacho Alamillo, la principal dificultad a la que se enfrentan los ayuntamientos, especialmente los de pequeño tamaño, para cumplir con la normativa de protección de datos, son los escasos medios de que disponen y la complejidad de las situaciones que deben manejar.
En su opinión, el hecho de que muchos municipios de pequeño tamaño se estén quedando sin estructura administrativa (como prueba el hecho de que cada vez se recurre más a la figura del asesor jurídico itinerante), nos dice que estamos asistiendo a un cambio de paradigma que posiblemente conduzca a que estas entidades acaben contando con un DPO también itinerante.
Como indicó Camino García, DPO del Ayuntamiento de Frigiliana (Málaga), la protección de datos supone un reto importante para los pequeños ayuntamientos, en cuya actividad diaria suelen obviarse estas cuestiones. Para estos organismos resulta difícil contar con materiales adecuados y con DPOs colegiados y multidisciplinares.
Sin embargo, añadió, la necesidad de contar con un DPO puede representar un revulsivo para impulsar unas políticas proactivas que beneficien tanto a la Administración como al administrado. Para ello es necesario que las corporaciones conozcan y comprendan las posibilidades que les ofrece esta figura. La realidad es que por el momento muchos ayuntamientos están intentando designar como DPO a sus secretarios o a los responsables de asesoría jurídica o de transparencia, lo que está provocando conflictos no solo de intereses, sino también entre diferentes figuras como el DPO y responsable de seguridad (algo que es habitual también en el sector privado).
Para alcanzar la necesaria eficiencia en esta materia, García insistió en la importancia de la formación, tanto del propio DPO como del personal de los Ayuntamientos. Como explicó gráficamente, «el DPO es solo el director de una banda en la que cada integrante debe realizar su tarea”. Por eso una de sus funciones principales es promover la cultura de privacidad, lo cual, sobre todo en los ayuntamientos pequeños, se traduce en informar a cada miembro de la corporación qué se espera de él en materia de cumplimiento normativo.
En este sentido, Alamillo citó el ejemplo de los archiveros municipales, que tradicionalmente han constituido la fase final del proceso de tratamiento de datos y que ahora deben tener en cuenta los principios de proporcionalidad y de minimización de datos. Es decir, el cambio de cultura organizativa que se está produciendo.
La colaboración de las Diputaciones provinciales con los Ayuntamientos
Uno de los cauces previstos para que los pequeños ayuntamientos puedan contar con un DPO es que las Diputaciones provinciales les doten de uno.
Camino García considera que esta opción puede ser útil, pero que es necesario hacerlo bien, «no se puede trasladar a la Diputación el problema de los Ayuntamientos» señaló. Entre otras razones porque el DPO tiene que estar presente en la organización, en el ciclo de vida del dato. Requiere una presencia física, no solo una atención tipo call center. Por ello, en su opinión, si se traslada esta tarea a las Diputaciones es preciso que se articulen órganos colegiados más complejos, donde participen profesionales con diferentes perfiles técnicos, organizativos y jurídicos.
De nuevo sobre la conveniencia de que sea un cargo interno o externo
También en el ámbito local se plantea la duda general de si para cubrir el puesto de DPO es mejor recurrir a un cargo interno de la organización o contratar a un DPO externo.
Josep Matas, abogado y DPO externo de la Diputación de Gerona, se mostró partidario de la contratación de un externo. Por su parte, Miguel Angel del Barrio, DPO interno de la Diputación provincial de Segovia indicó que cuando se trata de materias técnicas, la realidad de los Ayuntamientos demuestra que estos en general acuden a empresas especializadas. Y, por otra parte, parece que la obligación de que en el ámbito local el DPO disponga de independencia y autonomía solo se consigue si el DPO es externo. Por otra parte, añadió, aunque hay Ayuntamientos que comparten Secretario, la opción de compartir DPO le parece interesante, pero complicada.
Registro de actividades de tratamiento y deber de transparencia
Para contribuir a una buena gestión de los datos por las entidades locales, Josep Matas se mostró partidario de que las actividades del DPO, sea cual sea su carácter, sean transparentes, que su agenda se mantenga «abierta» para facilitar la acreditación del cumplimiento del deber de diligencia, cuando ello sea necesario.
Por otra parte Nacho Alamillo hizo mención también del potencial conflicto que puede producirse entre el deber de protección de datos y el de transparencia, pues los datos de carácter personal actuán como límite de la transparencia a la que están obligadas las Administraciones públicas (art. 15 Ley Transparencia).
Sobre este particular, Matas indicó que, en su opinión, ahora es más fácil conciliar ambas obligaciones, pues las normativas que las regulan se han tenido mutuamente en cuenta (y como ejemplo citó la Disposición Final 11.ª de la LOPDGDD (LA LEY 19303/2018), que por primera vez hace una llamada en ese sentido). En todo caso, anticipó que ese va a ser uno de los problemas con los que va a tener que lidiar el DPO en el ámbito local.
El problema de la Administración electrónica
Nacho Alamillo advirtió que la Administración electrónica plantea nuevos retos. Es más, de acuerdo con la reforma de la LBRL (LA LEY 847/1985), parece que los ayuntamientos acabarán siendo usuarios de grandes plataformas de tramitación electrónica.
Y volviendo a la implicación de las Diputaciones en este ámbito, si los municipios, como puede ser habitual, delegan alguna competencia en la Diputación, como pueda ser el archivo de documentos, ¿se está haciendo responsable del tratamiento a esta? Según Miguel Ángel del Barrio, en estos casos en los que las Diputaciones juegan un papel instrumental, quien decide sobre la finalidad del tratamiento (por ejemplo, la recaudación tributaria), es el municipio, quedando la Diputación como mera encargada de tratamiento.
Josep Matas se mostró de acuerdo con del Barrio, considerando que con el RGPD es más fácil que antes encontrar las bases jurídicas de los tratamientos de datos que se generan por la Administración electrónica, porque su art. 6.1 aclara las bases legales aplicables.
El desafío de las Smart Cities
En las futuras ciudades inteligentes existirán numerosos sensores en los espacios públicos, que permitirán la captura de ingentes cantidades de datos de los ciudadanos. Por ello, advirtió Alamillo, la primera pregunta que deben plantearse al respecto los responsables locales es si será necesario realizar previamente una evaluación de impacto. Además, habrá que buscar una base legal adecuada para el tratamiento que realicen esos sensores.
Algo en lo que coincidió Josep Matas, quien considera que ante estos proyectos habrá que determinar en qué casos existe una justificación jurídica. Por otra parte, añadió, cualquier contratación que comporte tratamiento de datos por un externo debe ser conocida por el DPO, además de que la nueva ley de contratación contempla el carácter de encargado de ese contratista. En este sentido Matas recomendó buscar a un proveedor que ofrezca las garantías adecuadas y limitar al máximo la utilización del soporte papel.
Por su parte, Miguel Ángel del Barrio considera que la colaboración del sector privado es imprescindible.
El DPO EL SECTOR DE LA TECNOLOGÍA Y EL BIG DATA
Si a algo va asociado la normativa de protección de datos, es al tratamiento masivo de datos. Y ello porque, como indica el Considerando 6 del RGPD, «la magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa» y además, porque en la actualidad «la tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades».
Por ello estaba claro que el sector de la tecnología y el Big Data debían ser uno de a los que más atención se prestase en este congreso. Algo que se hizo por medio de una mesa moderada por Alejandro de la Granja, director de desarrollo de negocio de ciberseguridad y transformación digital de Entelgy Innotec y en la que, al igual que en el resto de casos, se convocó a un panel de especialistas de primerísima fila.
La necesidad de implantar una cultura de protección de datos
Para empezar, Elena Gil, abogada e investigadora en el Instituto de Derecho de la información de la Universidad de Amsterdam (IVIR), destacó que en entornos Big Data, el papel del DPO es complicado, porque se enfrenta a un contexto muy complejo y cambiante.
En este sentido Ricard Martínez, Director de la Cátedra Microsoft de Privacidad y Transformación Digital de la Universidad de Valencia, destacó que la protección de datos es una tarea compleja, sobre todo en organizaciones complejas y con propósito múltiple, pero que a la vez es fundamental porque es un elemento funcional de la transformación digital. Disponer de una buena política de protección de datos implica una buena gestión del dato a lo largo de toda su vida. Y esta política del dato no puede conseguirse sin una cultura corporativa que permee a toda la organización en la idea de que hay que cumplir la norma.
Por ello el liderazgo debe ser formado de forma militante y transparente o, como expresó muy gráficamente, «el primero que debería ir a la formación es el CEO”. Se trata de una cuestión de empatía, añadió, hay que hacer consciente a toda la organización de la importancia de la privacidad.
Para empezar hay que tener en cuenta la ética del negocio. No todo lo técnicamente posible es éticamente asumible. Por lo tanto, es necesario que los futuros modelos de negocio basados en los datos tengan en cuenta la garantía de los derechos de las personas. Seguidamente hay que tener muy en cuenta la fuente de los datos que se van a manejar, la legitimidad de su obtención y la calidad de los mismos. Y a continuación, en la fase de desarrollo, evitar el sesgo del algoritmo y la toma de decisiones por una máquina que no sabe cuándo causa un daño. Finalmente, hay que tener muy en cuenta el principio de transparencia, para ofrecer garantías de que el tratamiento está siendo adecuado.
Para conseguir todo ello es fundamental una adecuada planificación, sin la cual será imposible cumplir en esta materia. Como indicó Eva Pané, DPO de Lleida.NET, la clave es una buena planificación de inicio, que incluya la privacidad desde el diseño, pensando muy bien qué puede ocurrir y qué nos pueden pedir sobre los datos tratados. Y repensarlo periódicamente, porque la tecnología no cesa de avanzar. Para ello es muy conveniente una buena sistematización de la información.
Del «no se puede» al «cómo se puede»
Como explicó Ricard Martínez, es muy difícil abordar un proyecto de Big Data sin tener al lado un técnico estadístico que entienda las exigencias del RGPD. Y contra lo que se suele pensar, indicó que los técnicos suelen estar sensibilizados en la protección de datos. Solo piden a los juristas «que no les transcribamos los preceptos legales, sino que se les explique su alcance».
Por eso obligación del jurista en este trabajo es aprender a acompañar. Debe pasar del «no se puede» al «cómo se puede». Para ello el DPO debe estar formado en los procesos de la organización.
Según Elena Gil, que coincidió en la importancia de que la cultura venga transmitida «desde arriba” de las organizaciones, conviene comenzar desde lo más básico, pues hay muchas cosas muy sencillas que no se hacen. En este sentido, añadió, el primer problema es explicar las exigencias de la norma a organizaciones, compuestas principalmente por técnicos, que no están tan acostumbrados a los largos escritos como los juristas. «Es mucho más eficaz un buen Power Point, y a ser posible con más imágenes que texto», añadió.
A este respecto Eva Pané añadió que para implantar esa cultura hay que saber dirigirse a cada departamento en su lenguaje. Algo para lo que Elena Gil consideró muy conveniente que el personal técnico tuviera unas nociones jurídicas, al menos básicas.
Y no hay que olvidar los aspectos relativos a la seguridad de la información, para evitar las fugas o pérdidas de información. Entre otras cosas ello incluye saber elegir a los compañeros de viaje, para contratar solo con aquellos que acrediten cumplir unos estándares mínimos.
Ejes y focos del sector para 2019
Finalmente, a pregunta del moderador, los ponentes plantearon los que serán sus ejes de actividad a lo largo de este año.
Eva Pané aposó por desarrollar estrategias a largo plazo que contemplen ámbitos interrelacionados.
Partiendo de la base de que no hay precedentes que sirvan de referencia para el trabajo que quieren llevar a cabo, Elena Gil se inclinó por «trabajar sin haber aprendido antes lo que tenemos que hacer». «Habrá que construir de cara a futuro pero hoy no podemos parar la actividad por no estar seguro de lo que hacemos».
Y Ricard Martínez, por su parte, formuló dos deseos: uno, que, en especial las PYMES, asuman que la desaparición de la obligación del registro de ficheros no implica que no haya que cumplir con la normativa de protección de datos. Y, dos, que el sector público se tome en serio la protección de datos.
EL DPO EN LOS SECTORES DE LA PUBLICIDAD Y EL MARKETING
Otros de los sectores en los que la protección de datos tiene una gran relevancia, son los de la publicidad y el marketing, donde la tendencia a la segmentación de audiencias y la personalización de los mensajes requieren un cada vez mayor recurso a datos personales.
Para tratar del trabajo del DPO en estos sectores, el Congreso incluyó una mesa moderada por Miguel Recio Gayo, abogado experto en privacidad, en la que Laura Davara, socia de Davara y Davara, comenzó señalando que el art. 34 k) de la LOPDGDD (LA LEY 19303/2018) recoge la obligación de designar un DPO en las empresas de marketing y publicidad directa. Este, además de necesitar un adecuado conocimiento sobre el negocio del marketing, tiene un deber de formación permanente, pues se trata de un sector en permanente transformación. Su labor principal será impulsar el cumplimiento preventivo de la normativa.
Dado que uno de sus tareas principales será evitar las crisis reputacionales, el DPO deberá trabajar conjuntamente con el responsable de producto y el community manager, para poder fijar las clausulas necesarias, por ejemplo en aspectos como los check de respuesta a los correos publicitarios enviados.
También debe documentar proporcionalmente las herramientas y acciones de marketing realizadas, dejando constancia de los esfuerzos realizados para prevenir la vulneración de derechos. Algo particularmente relevante en el sector de los videojuegos, donde deberá tener especial cuidado con la edad de los menores, debiendo realizar todos los esfuerzos razonables para comprobar su edad de los menores, y poder demostrar que lo ha hecho.
En cuanto a las redes sociales, Davara recomendó prestar atención a las políticas de uso de la publicidad vía Facebook.
Por su parte, Paula Ortiz, directora de la asesoría jurídica y de relaciones institucionales de IAB Spain, señaló que se trata de un ecosistema en el que intervienen numerosas de personas, por lo que uno de los principales problemas será el determinar quién es responsable del tratamiento en cada caso. En este sentido Ortiz se manifestó partidaria de una responsabilidad por tramos y en cascada. La responsabilidad no se puede derivar, destacó, por lo que, por ejemplo, en el caso de las redes sociales, estas serán responsables de lo que hagan con los datos que traten y la empresa anunciante de la suya.
En todo caso un DPO de este sector tiene que saber interpretar el RGPD, la nueva Ley y la actual Directiva sobre privacidad en las comunicaciones electrónicas (pues de momento la tramitación del futuro Reglamento Europeo que ha de sustituirla parece estar detenida hasta que se renueve el Parlamento Europeo, en mayo de este año). Además, se esperan nuevas pautas de la AEPD sobre estos temas.
En cuanto a su actitud, el DPO deberá evitar recurrir al «no» por sistema en relación con las propuestas de los responsables del negocio, para, en la línea anteriormente indicada por Ricard Martínez, mejor explicar cómo hacerlo. Especialización, apoyo a las empresas y proactividad, deben ser sus principales características.
Marketing y propaganda electoral
La reciente modificación de la Ley Orgánica del Régimen Electoral por la LOPDGDD (LA LEY 19303/2018) ha levantado una fuerte polémica por la que era obligado preguntar a Ofelia Tejerina, abogada experta en tecnología, cuya voz se ha levantado en contra de esta reforma.
Según Tejerina, el DPO es un profesional que debe dar respuestas y soluciones, prestando un asesoramiento diligente y recabando prueba del cumplimiento de la organización. Pero mientras que el DPO de empresa tiene claro su papel, el de un partido político, no. Según la reforma, los partidos políticos pueden buscar datos en páginas web y en perfiles de redes sociales, sin que sus envíos de publicidad se consideren marketing comercial.
Los defensores de esta posibilidad se han amparado en el Considerando 56 del RGPD, que permite «que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas» y que traten esos datos. Pero Tejerina matiza que ese Considerando solo da la oportunidad de hacerlo con carácter excepcional, cuando «el funcionamiento del sistema democrático» lo exija en un Estado miembro, no como algo habitual, que es lo que parece permitir la norma española.
En opinión de Tejerina, «la literalidad del precepto es muy peligrosa y da lugar a ideas muy peligrosas. Por ello Tejerina recordó el criterio de la AEPD: sin las «garantías adecuadas» a que se refieren el propio RGPD y la ley, no se pueden hacer perfiles ideológicos, ha señalado al AEPD. Esas garantías pueden requerir la realización de evaluaciones de impacto, en las cuales el DPO debería advertir de que no se pueden tratar datos ideológicos.
EL DPO EN EL SECTOR DE LA BANCA Y LAS ASEGURADORAS
Otro sector seriamente afectado por la protección de datos es el de la Banca y las entidades aseguradoras, dado que estas empresas manejan datos extremadamente sensibles de sus clientes, tanto financieros como de salud.
La mesa, moderada por Laura Duque, Directora de cumplimiento normativo y control interno de la Mutualidad de la Abogacía, quien comenzó planteando a los ponentes el papel del DPO en el sector financiero teniendo en cuenta su legislación sectorial.
¿Cómo puede ayudar el DPO a la transformación digital del sector?
Según Javier Aparicio, Of counsel de FinReg 360, el DPO debe dar opiniones desde el principio al final del proyecto, pero sin estar vinculado al proyecto para no perder independencia. Es decir, «debe estar flotando cerca del proyecto».
Es un cargo diferente del Compliance Officer, porque el DPO tiene un perfil de defensa de derechos fundamentales, que no es propio del responsable de cumplimiento. Por ello lo importante en la relación entre ambas figuras es, como indica el RGPD, que no haya conflicto de intereses.
Por su parte Noemí Brito, socia del área de tecnología, innovación y economía digital de Ceca Magán Abogados, comenzó destacando que en un sector como este, en el que existen garantías ex ante y ex post sobre el tratamiento de los datos, el DPO es un potenciador de datos.
Por ello apuntó que es fundamental que los protocolos de contratación de estas entidades con proveedores externos contemplen mecanismos de privacy by design, basados en la formación y la concienciación internos. Se trata de algo que sobre todo los proveedores de tecnologías emergentes deberían tener muy en cuenta, pues en algunos contratos públicos se están empezando a plantear problemas de no adjudicación por no cumplir estos requisitos.
En busca del proveedor de datos adecuado
Continuando con la importancia de seleccionar proveedores adecuadas, Noemí Brito añadió que es muy importante tener en cuenta que la elección del proveedor va a influir en el desarrollo del negocio de los datos, por eso es fundamental disponer de un protocolo con la información que se va a solicitar a los proveedores, incluyendo plantillas y sistemas de evaluación periódica. Es una actividad profusa, pero fundamental para la propia continuidad del negocio.
Coincidió en esta idea Javier Aparicio, para quien el DPO debe ayudar a la empresa a tomar decisiones, como es la selección de un proveedor externo idóneo. Para ello debe tener en consideración la propia actividad de su organización y, además, buscar algún tipo de asesoramiento para confirmar que su opinión es buena, por ejemplo siguiendo un protocolo de homologación, para después, siguiendo esas pautas, decidir si cumple o no cumple. Para ello, añadió, hay que tener en cuenta aspecto como que cuente con los requisitos de seguridad tecnológica y el hecho de que cuente o no con DPO con el que además se pueda tener contacto.
¿Conservar o no conservar los datos?
Una de las cuestiones que más suelen preocupar a este tipo de entidades es el tiempo durante el que han de conservar la información que disponen sobre sus clientes.
A este respecto Juan Zabía de la Mata, socio de Zabía Abogados, firma especializada en seguros y protección de datos, comenzó destacando que el elemento diferenciador entre el fraude en la banca y en el de los seguros es que mientras que la morosidad, el principal factor de riesgo en el caso de la banca, es fácilmente demostrable, en el sector asegurador es más difícil hacerlo porque depende de una serie de circunstancias de la persona con la que se quiere contratar y de la que no se conocen a priori datos relevantes como su estado de salud. «En seguros no hay un registro de asegurados fraudulentos», advirtió.
Por eso a las aseguradores les interesa conservar datos. Y según el ICO para ello pueden aplicar el interés legítimo. Además, las aseguradoras quieren que se puedan ceder ficheros sobre sospechas de fraude.
En consecuencia, añadió, los datos han de conservarse durante toda la relación contractual y también después (por ej. para temas fiscales). Para ello, cabe un primer periodo de conservación de la información con acceso por la organización en general, para en un segundo período pasar a situación de bloqueo de datos. En general, concluyó «si el responsable hace bien sus deberes, no debería accederse a la supresión nunca. Si hay una relación contractual que lo justifique, pueden no borrarse porque pueden ser necesarios».
Javier Aparicio, para quien, en general es buena práctica no ser muy agresivo pidiendo información a los clientes, hay que tener en cuenta que el deber de conservación es para tener la información a disposición de las administraciones públicas. Por último, sobre este tema, Noemí Brito indicó que se puede plantear un bloqueo de datos a diferentes niveles, pero que ello plantea grandes problemas prácticos.
¿Cómo puede colaborar el DPO a resolver las controversias que se produzcan en el sector?
Dado que en este sector son frecuentes las controversias con los usuarios, Noemí Brito destacó que una de las primeras misiones del DPO es informar al cliente y encauzar sus solicitudes. Pero también advirtió de que es muy habitual el uso de la protección de datos como arma contra las empresas.
El art. 65 LOPDGDD (LA LEY 19303/2018) da la posibilidad de acudir primero al DPO, sobre lo que Javier Aparicio añadió que a la Agencia le gustan las soluciones pactadas, pero no la compra de conformidades por parte de las empresas, por eso el DPO debe evitar a la compra de desistimientos de los ciudadanos.
EL DPO EN EL SECTOR SALUD
La última mesa del Congreso, moderada por Samuel Parra, DPO en diversas instituciones públicas y privadas, se dedicó a otro sector en el que la protección de datos plantea importantes desafíos, como es el de la salud, en el que se incluyen entidades como hospitales, industria farmacéutica y de ensayos clínicos o farmacias.
Un sector con múltiples condicionantes
Este sector, como señaló Carmen Casado,
Regional Privacy Lead de Amgen, presenta algunas características especiales: está altamente regulado. Cuenta con muchos stakeholders, como hospitales y, últimamente, muchas empresas tecnológicas, que cada vez se meten más en el mismo.
En cuanto a la legislación, Patricia Muleiro, DPO y directora de la unidad de seguridad y protección de datos de la Clínica de Navarra, indicó que en este sector hay que integrar la legislación de protección de datos con numerosa legislación sectorial , empezando por la Ley de autonomía del paciente y dependiendo también de los centros. Los centros investigadores tienen la de investigación biomédica, y las educativas la suya propia
Y en cuanto a las tecnológicas, Jorge Morell, asesor legal en tecnología y privacidad, destacó que en la actualidad cada vez se generan más datos a través de los móviles, lo que está dando lugar a que las tecnológicas adquieren grandes volúmenes de datos médicos, a las que están aplicando técnicas de inteligencia artificial. En concreto, Morell mencionó la denominada «epidemiología digital», a través de las búsquedas que se hacen en internet y que Google lleva poniendo en práctica desde 2009, algo que desde 2018 le permite controlar si un usuario hace muchas búsquedas de salud, para sugerirle un médico. En general, advirtió, «están pasando muchas cosas y muchas no las estamos viendo».
A este respecto Carmen Casado indicó que la investigación científica es una actividad altamente regulada, con múltiples garantías de seguridad y éticas, pero que las tecnológicas no son empresas de investigación científica, por el momento. Con todo, no hay que ignorar que la colaboración entre los sistemas públicos de salud y las tecnológicas va a tener que ser cada vez mayo y por el en el futuro van a llegar novedades como la medicina personaliza, y la nanotecnología que están fuertemente tratada en los datos personales y en la tecnología.
Los retos para el DPO
Por todo ello Casado indicó que los retos para el DPO provienen de las propias características del sector y en que el DPO entienda la tecnología que viene, porque para poder aportar soluciones, hay que conocerla. Algo que requiere un esfuerzo de constante estudio, porque la tecnología se encuentra en constante evolución. Por tanto el DPO, advirtió Casado, «ha de ser curioso y también un poco malabarista», además de tener siempre en cuenta lo que dice la ética, que es un componente crítico de la protección de datos.
Por otra parte, Patricia Muleiro recordó que en este sector los derechos ARCO tienen una regulación específica. El más ejercido es el derecho de acceso (en particular a las historias clínicas), por ello la tendencia de los centros es a no cancelar los datos de salud.
En este sector es también importante la obligación de realizar auditorías de seguridad en los centros sanitarios, actividad que para Jorge Morell tiende a salvaguardar al responsable en sí, pero que en opinión de Carmen Casado puede ser una obligación excesiva para los centros pequeños podría ser excesivo.
Y en cuanto a la frecuente pregunta de si necesitan un DPO las farmacias, Morell considera que como regla general no, salvo que realicen investigación.
¿Cómo gestionar las brechas de seguridad?
Patricia Muleiro indicó que si bien la APED ya ha publicado una Guía sobre las pautas básicas al respecto, habrá que ver cómo evoluciona la materia. En general considera que el plazo de 72 horas para la notificación es muy corto, y que además se ha de hacer con la información de la que se dispone.
Pero las brechas hay que comunicarlas cuando sean reales y relevantes. No en cualquier caso. Hay incidentes que no son brechas. También puede haber brechas de seguridad que no lo son de protección de datos. En este sentido llamo la atención sobre los posibles riesgos que pueden ofrecer los aparatos de electromedicina.
CLAUSURA
El Congreso se cerró con la intervención de José Amerigo, Secretario General Técnico del Ministerio de Justicia quien, además de hacer un breve repaso sobre el proceso de elaboración de la nueva Ley, del que destacó los informes presentados en su día por la AEPD y el Consejo de Estado.
Con todo recordó que el grueso de la regulación está en el RGPD, que de facto se ha convertido en una norma aplicable prácticamente a nivel mundial. Algo que destacó, «es la mejor garantía de los ciudadanos europeos, pues ha obligado a implantar medidas en numerosas empresas de todo el mundo».
Respecto a los casos en los que hace falta DPO, y aunque en la norma abundan los conceptos jurídicos indeterminados, Amerigo indicó que con la misma el Ministerio quiso proporcionar mayor seguridad jurídica. No es un listado exhaustivo, recordó, «las actividades que no estén incluidas ahí, pero realicen tratamientos a gran escala, deben contar con DPO».
Sobre la formación exigida a los DPO subrayó que no se estableció una concreción precisa de la misma, pero permitir libertad, pero se dejó la puerta abierta a mecanismos de certificación. Teniendo, además muy en cuenta para ello los cursos universitarios sobre especialización en la materia como herramienta muy relevante para acreditar la cualificación.
En cuanto, finalmente, al papel del DPO previsto en el art. 65.4, apartado 2, de la Ley, indicó que con él se trata de favorecer el diálogo previo entre el afectado y la empresa. De forma que si la empresa tiene DPO, esta es una de sus funciones más relevantes.