El Palacio de Pastrana de la capital de España acogió el pasado 16 de febrero el XV Foro de la Privacidad organizado por ISMS Forum y su Data Privacy Institute. Un evento que acogió a cerca de 600 expertos en protección de datos, entre DPO, CISOS, abogados externos e internos y profesionales de la seguridad de la información.
El acto permitió analizar el momento actual que vive la privacidad, con cambios normativos de calado tras la llegada de la directiva NIS2, el reglamento DORA la Inteligencia Artificial (IA) y su ChatGPT acapara todas las miradas.
Organizado en dos paneles simultáneos, presentados cada uno de ellos por Carlos Alberto Saiz, vicepresidente de ISMS Forum, director del Data Privacy Institute y socio de Ecix Group, y Henry Velásquez, responsable de privacidad para Sur de Europa y América Latina de la multinacional Publicis Group, fueron tomando la palabra destacados expertos en materia de privacidad.
Inteligencia artificial y protección de datos
Así, las primeras intervenciones de Paul Nemitz, asesor principal de la Comisión Europea, y la de Nerea Peris, responsable de la protección de datos en el Comité Europeo de Protección de Datos, sirvieron para conocer el punto de vista de las instituciones en este contexto global marcado por los cambios normativos y la irrupción de la Inteligencia Artificial.
En este sentido, Nemitz destacó en primero lugar que Europa necesita un sistema de sanciones fuerte que asegure el cumplimiento de su normativa sobre protección de datos.
A continuación, este experto recordó el momento que vive Europa ante la próxima aprobación del Reglamento de Inteligencia Artificial (IA), una norma que, en su opinión, posiblemente siga un camino paralelo al vigente RGPD Europeo (LA LEY 6637/2016) que este mes de mayo cumple sus primeros cinco años de vida. A este respecto recordó la importancia de la sentencia del TJUE de 13 de mayo de 2014, sobre el caso Google Spain, que estableció la importancia de identificar al responsable del tratamiento en los tratamientos automatizados. Al mismo tiempo resaltó los riesgos de la IA, principalmente por su uso en sectores regulados, como salud, justicia y educación sus sesgos. Nemitz también recordó que la propuesta de Reglamento IA no crea nuevos derechos para los ciudadanos, sino que su objetivo es asegurar la transparencia y la documentación de los casos más problemáticos. Y dado el amplio recurso a los datos personales que hacen los sistemas de IA, puso énfasis en que siempre que haya una IA en juego se aplicará el RGPD. Por otra parte, añadió que, dada la capacidad de aprendizaje de la IA esta podría llegar a crear nuevas tipologías de datos personales que, a su vez, impliquen una redefinición de los datos personales.
A continuación, Nemitz realizó una serie de consideraciones sobre el novedoso ChatGPT, destacando que este sistema recoge datos personales de la web, que pueden incluir datos de categoría especial como opiniones políticas.
Por ello, subrayó la importancia de asegurarse de que los datos utilizados para entrenar al sistema son legales, siendo muy rigurosos en la observancia del RGPD al respecto, en especial, de los principios de privacidad desde el diseño y por defecto, no solo en el diseño, sino también en el entrenamiento y la puesta en funcionamiento de estos sistemas. Y todo ello sin olvidar que, previsiblemente, surgirán litigios en relación con el alcance del art. 22 del RGPD (LA LEY 6637/2016), en particular por la interpretación del concepto de decisiones basadas “exclusivamente” en sistemas automatizados y que produzcan efectos jurídicos o similares significativos. Y, en la misma línea, subrayó la importancia de los derechos de información del interesado, que incluyen el de la información sobre la lógica utilizada por los sistemas automatizados y las consecuencias de su uso.
Mediación y protección de datos
Julián Prieto, subdirector general de promociones y autorizaciones en la Agencia Española de Protección de Datos, explicó las ventajas de impulsar la mediación en los Códigos de Conducta de diferentes organizaciones. El RGPD los configura como un instrumento del cumplimiento del principio de proactividad pudiendo ser de alcance nacional o trasnacional si guarda relación con actividades de tratamiento de varios países de la UE.
En su presentación, Prieto recordó que en materia de protección de datos, son mecanismos de cumplimiento voluntario los que establecen reglas específicas para categorías de responsables o encargados del tratamiento con la finalidad de contribuir a la correcta aplicación del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LA LEY 19303/2018) (LOPDPGDD).
Prieto explicó la puesta en marcha tras la modificación del Código de conducta de Autocontrol sobre el ‘Tratamiento de datos en la actividad publicitaria’ para incorporar este sistema de mediación, apoyado por los principales operadores de telefonía, que sigue las directrices del Comité Europeo de Protección de Datos y que es pionero en la UE a nivel de implementación en estos momentos. Es una forma de agilizar las reclamaciones de los consumidores y que la AEPD se centre en otros asuntos más complejos, en la práctica.
Esquema de certificación de ISMS Forum
Por su parte, Carlos Alberto Saiz, vicepresidente, y Daniel García, director gerente de ISMS Forum, avanzaron el nuevo esquema de certificación para empresas encargados del tratamiento que estará operativo en unos meses y en el que se ha venido trabajando hasta ahora. Se trata de ayudar a aquellas empresas que tienen una política de privacidad adecuada y que puedan acreditarlo ante terceros que buscan un proveedor en este tema tan específico de dicha cualificación.
A este respecto Saiz indicó que “se trata de avalar su trabajo como prestadores de servicios que van a tratar datos para dar garantías a sus clientes que son los responsables del tratamiento indicando que realmente están cualificados. Es previsible que en tres o cuatro meses esté aceptado por ENAC (Entidad Nacional de Acreditación). A partir de ahí habrá entidades de certificación que se quieran acreditar para hacer auditorías a aquellas empresas que quieran certificarse”.
En su exposición, García comentó la evolución de ISMS Forum afirmando que a lo largo de su historia ha lanzado otras certificaciones, todas ellas referentes en materia de privacidad, “la puesta en marcha de una certificación última sobre la figura del Delegado de Protección de Datos nos ha animado a dar este nuevo paso profesional”. En su intervención explicó el funcionamiento de dicho esquema recalcando que ya había empresas interesadas en certificarse, “en el futuro podremos en marcha un grupo de trabajo interno que ayude a su desarrollo”.
Transferencias internacionales de datos
En su turno de palabra, José Luis Piñar, catedrático de Derecho Administrativo en CEU San Pablo Madrid, consejero de CMS Albiñana & Suárez de Lezo y exdirector de la AEPD, abordó la problemática de las transferencias internacionales de datos planteando el impacto de las sentencias del TJUE Schrems 1 (2015) y Schrems 2 (2020) que anularon los acuerdos Safe Harbour y Privacy Shields.
En opinión del profesor Piñar, en la actualidad, el volumen de transferencias entre la UE y EEUU asciende a 7 trillones de dólares, por ello, hace falta una medida que dé solución eficaz a esta situación, evitando bloquearlas una vez más.
En este sentido, la sentencia Schrems 2 vino a decir que el modelo constitucional del país al que se envían los datos no puede escapar de su análisis de compatibilidad con el modelo europeo de protección de datos. Y la consecuencia de esta declaración es que la única solución es que los EEUU cambien su ordenamiento jurídico. Algo que han aceptado como demuestra la reciente orden ejecutiva del presidente de EEUU, John Biden, que pretende resolver la falta de acuerdo existente entre EEUU y la UE en esta materia. En esta línea, en diciembre pasado Biden anunció también una Ley Federal de Datos y resaltó que a través de esta orden ejecutiva modificará la normativa de EEUU en materia de protección de datos que ahora se acercaría mucho al modelo europeo de protección de datos, de forma que se establezcan las bases para negociar con la UE una nueva declaración de adecuación, con la que probablemente se podrá contar antes del verano y que tendrá especial relevancia en el ámbito de la inteligencia.
Otras cuestiones que este experto planteó sobre dicha orden ejecutiva tienen que ver con que establecerá el Data Protection Review Court, “un órgano que revisa las reclamaciones en materia de protección de datos que puedan presentar los particulares. Al mismo tiempo permite el acceso de extranjeros a las garantías y tutelas en EEUU. Es una orden ejecutiva que da pasos adelante. Ahora mismo, la Comisión Europea lo está analizando y no creo que se demore mucho el nuevo acuerdo entre EEUU y la UE. Se necesitan certidumbres en las transferencias internacionales de datos”.
Sin embargo, recalcó también Piñar, en relación con esta materia hay que tener en cuenta que la propia noción de transferencia internacional de datos no está clara, pues no aparece incluida entre las definiciones del art. 4 del RGPD (LA LEY 6637/2016). Una situación que pone a su vez de relieve la importancia del papel del Delegado de Protección de Datos.
Expertos como Paz Martín, directora ejecutive de Legal Things Abogados, aclaró que José Luis Piñar dio una visión muy realista de lo que son las transferencias internacionales de datos afirmando que “es algo que preocupa a todos los DPO que no está aún resuelto y que todos esperamos la decisión de adecuación de la Comisión Europea. Hizo un buen resumen de los acuerdos existentes hasta ahora entra EEUU y la UE, dio pautas de cómo gestionar dichas transferencias en estos momentos con las cláusulas contractuales”.
La importancia del RGPD como norma universal
Por su parte, Leonardo Cervera-Navas, Supervisor Europeo de Protección de Datos, resaltó en su exposición que “el Reglamento General de Protección de Datos (LA LEY 6637/2016) ha sido un gran éxito y ha subido el listón de la protección de datos no solo en Europa sino en el mundo entero, con 145 países que tienen una legislación inspirada en dicho Reglamento”. Aun así, añadió “no podemos caer en la complacencia y las autoridades de protección de datos, debemos hacer cierta autocrítica. Hay que explicar mejor porqué la protección de datos es importante para las organizaciones y mejorar el enforcement respecto a las grandes tecnológicas”.
Otra cuestión que subrayó “es que en materia de transferencias internacionales hay que hacer un esfuerzo para tener una convergencia global mejor. Esto supone dar más confianza a esos países y regiones que comparten nuestros valores democráticos y el Estado de derecho. Al mismo tiempo debemos pedirles que acepten el RGPD como modelo de privacidad a desarrollar en sus respectivas jurisdicciones. Es importante que se acerquen más a nosotros. Creo que el acuerdo entre Estados Unidos y la Unión Europea está más cerca y es una buena noticia por el esfuerzo que han hecho los EEUU”.
Para Cervera-Navas “en este contexto hay que darse cuenta de la importancia de la legislación que se avecina en materia de Inteligencia Artificial. Hay que garantizar un enfoque humano al desarrollo de la tecnología. Es el humanismo digital del que hablo en mis conferencias. A este respecto hay que aprender de la experiencia del RGPD que lleva cinco años operativo para hacerlo mejor”.
Por ello, debemos entender que nos encontramos en una encrucijada histórica, en la que nos jugamos mucho como sociedad. En este sentido, señaló que “tenemos que extender el ‘efecto Bruselas’, para lograr una IA que tiene que ser más humana, haciéndonos mejores y no esclavos de la tecnología”. La IA, concluyó, ”tiene que abrazar la imperfección humana y no utilizar nuestras emociones en contra nuestra”. Por ello, no podemos hacerla depender solo de principios económicos, o tendremos un grandísimo problema.
Diálogo con Peter Winn, director interno de privacidad y libertades civiles del Departamento de Justicia de los EEUU
En este segundo panel, coordinado con Henry Velásquez, responsable de privacidad, para Sur de Europa y Latam en Publicis Group, este jurista tuvo la oportunidad de conversar con Peter Winn, director interno de privacidad y libertades civiles del Departamento de Justicia de los EEUU, en ese debate, entre otros temas, se habló de las negociaciones existentes entre EEUU y la UE para definir un nuevo marco de las transferencias internacionales.
En este asunto, Velásquez manifestó que, a pesar de los avances en el proceso de adopción de un nuevo EU/US Data Privacy Framework, persisten las críticas y preocupaciones manifestadas por ciudadanos y organizaciones europeas, que indican que la Orden Ejecutiva de Joe Biden no protege suficientemente la privacidad de los ciudadanos europeos ante posibles usos indebidos de los datos personales por parte de autoridades estadounidenses.
A este respecto hizo alusión a la capacidad de limitar, bajo criterios de proporcionalidad y necesidad, la vigilancia de autoridades de seguridad nacional americanas efectuadas mediante signals intelligence y a establecer, en su defecto, mecanismos que permitan una reparación judicial eficaz.
Peter Winn replicó que, en su opinión, tales preocupaciones sí que quedarían cubiertas en la medida en que la protección que se otorgaría a los ciudadanos europeos ante el posible uso desproporcionado de los datos por parte de autoridades estadounidenses es similar al que se otorga a los propios ciudadanos estadounidenses a nivel constitucional y que el mecanismo de reparación judicial que se establece a partir de la Orden ofrece garantías eficaces teniendo en cuenta que intervienen, en primera instancia, el Civil Liberties Officer (CLO) de la National Security Authority de la Estados Unidos y que, en segunda instancia, se podría apelar cualquier decisión ante la recientemente creada Data Protection Review Court.
Debate sobre cibercompliance
Entre las mesas redondas de este XV Foro de la Privacidad, mencionar la que se centró en hablar del llamado cibercompliance, como conjunto de normas que las empresas adoptan para minimizar el impacto de los ciberataques. En este debate que fue moderado por Roberto Baratta, director de Loss Prevention, Business Continuity and Security, DPO de Abanca y miembro del Board de ISMS Forum, se habló de lo que hacen las empresas para luchar contra estos ciberriesgos.
En esta mesa redonda una empresa de software que ofrece soluciones a las empresas con Arexdata representada por Pedro Tortosa, su fundador, junto a las intervenciones de Lucía Sánchez-Ocaña, delegada de protección de datos en Cabot Financial, Virginia Rodríguez, directora de Cybersoc de Caixabank y miembro del Board de ISMS Forum junto a Patricia Muleiro, delegada de protección de datos en la Clínica Universitaria de Navarra, quienes coincidieron en el que el nivel regulatorio se va a incrementar más con la llegada de reglamentos como Dora o directivas como NIS2.
En su turno de palabra, Virginia Rodríguez destacó que las empresas “debemos desarrollar modelos proactivos para cumplir con la normativa de protección de datos”. Además de “supervisar nuestra cadena de suministro de tal forma que nuestros proveedores tengan unos ratios de cumplimiento similares a los nuestros”. A su juicio el compliance ayuda a resolver esa problemática en materia de ciberseguridad donde es necesario contar con herramientas y personal especializado adecuado.
El cierre de este segundo panel lo pusieron los profesionales de ISMS Forum que han realizado el Data Breach Report 2023, una publicación que actualiza la del 2021 y que viene a ser, según explicó Susana Rey, DPO en MásMovil, “un manual muy práctico para afrontar todo lo que es una brecha de seguridad”. En su opinión, dicha brecha hay que gestionarla desde que se hace el correspondiente tratamiento de datos. Y es que una buena planificación con protocolos claros puede ayudar a reducir ese impacto y comunicar bien la incidencia a la AEPD.
Junto a Rey intervinieron otros expertos que han trabajado en este informe como Javier Lomas, responsable de la Protección de Datos en Codere, que se ocupó de analizar las resoluciones más importantes de la AEPD y a nivel judicial. En su exposición señaló que las empresas notificaban 140 incidentes a la AEPD, pero no todos eran sancionables. También recordó que la sentencia del Supremo del 15 de febrero del 2022 señalaba que las empresas no están obligadas a lograr resultados sino a utilizar los medios adecuados para minimizar ese incidente.
Por su parte, Tomás Sanz, responsable ejecutivo de la protección de datos en ING Spain & Portugal, recordó que esta guía pretende ser una herramienta de ayuda para que las empresas puedan tomar decisiones ágiles y estudiadas en relación con las brechas de seguridad. Para Gisela Reverter, integrante de la Asesoría Jurídica Corporativa de VidaCaixa, subrayó que es importante que las empresas deban hacer balance de las brechas que han sufrido para saber realmente en qué han fallado para que se produzca dicho incidente.
Mesa sobre IA y privacidad
En el evento también tuvo lugar una mesa redonda sobre este tema, en el que participaron Esther García, Head of Privacy Office de CaixaBank; Maria José Gallego, Data Protection Officer de Orange y Rubén Cabezas, Data Protection Officer de Santander, moderados por Carlos A. Saiz, Vice Chairman de ISMS Forum y Director del Data Privacy Institute.
Los ponentes coincidieron en que la IA es un fenómeno que se está incorporando día a día a la actividad de los profesionales, aportando tanto grandes beneficios potenciales, como implicando grandes riesgos, de ahí la atención que está recibiendo de reguladores. Entre otras razones porque un elemento fundamental de la IA son los datos, que en muchos casos serán de naturaleza personal. De ahí que la propuesta de Reglamento de IA actualmente en tramitación tome muchos conceptos y metodologías del RGPD.
Desde el punto de vista interno, puede ser una herramienta útil para los profesionales de la privacidad, en aspectos como la detección de riesgos o la contestación a las solicitudes del ejercicio de derechos o a las autoridades de control, así como a la mejora de la eficiencia de los procesos.
En esta línea, los ponentes coincidieron también en la utilidad de las guías elaboradas por la AEPD, por ser muy completas, la primera más generalista, la segunda más concreta, aunque no alcancen a aspectos como el de la explicabilidad de los algoritmos, que puede ser muy compleja.
En este sentido, se recalcó la necesidad de que los técnicos ayuden a los DPO a entender cómo funcionan los algoritmos y a saber qué variable ha considerado en cada caso, para poder explicárselo al interesado. Algo que va a requerir de mucho diálogo entre las diferentes áreas implicadas y que pone de manifiesto, una vez más, que la labor del DPO requiere de muchos aliados.
Los intervinientes abogaron también porque el futuro Reglamento de IA sea una solución no muy prescriptiva y suficientemente flexible.
Por su parte, el panel primero finalizó con la intervención de Francisco Pérez-Bes, socio de derecho digital de Ecix Group, quien centró su exposición en la nueva herramienta disruptiva de la Inteligencia Artificial, el llamado ChatGPT y del que pudimos saber que Microsoft lo ha implementado en su buscador Bing, lo que genera narrativas en las búsquedas, un aspecto que deja claro cómo esta herramienta puede impulsar la democratización de la IA.