ISMS Forum Spain celebró el XI Foro de la Privacidad el pasado miércoles 20 de marzo de 2019 en el Auditorio Principal de CaixaForum Madrid y fueron más de 350 profesionales del sector lo que se reunieron en este encuentro que contó con máximos expertos, representantes institucionales y empresas tales como el Banco Central Europeo, el Supervisor Europeo de Protección de Datos y la Agencia Española de Protección de Datos.

“Ha pasado casi un año de RGPD, de una forma vertiginosa para todos”, así inauguraba la jornada Carlos Alberto Saiz, vicepresidente de ISMS Forum Spain y director del Data Privacy Institute. “Creo que el objetivo tiene que seguir siendo la competitividad de nuestras compañías, la eficacia de nuestras administraciones, que podamos ser mejores aplicando la ética digital en todo el desarrollo de la industria 4.0 y, a la vez, cultivar esta cultura de la privacidad con respecto al derecho a la protección de datos desde muchos ámbitos: como trabajadores, padres, empresarios, amigos, parejas… Porque en todos ellos la privacidad empieza a tener un calado importante y diferente”.

La ponencia que dio cuerda al encuentro vino de la mano de Barbara Eggl, Delegada de Protección de Datos del Banco Central Europeo, en la que explicó las relaciones, cada vez más difusas, que existen entre la figura del responsable y del encargado del tratamiento de datos, una de las cuestiones que más preocupa a los profesionales del sector en estos momentos.

Para la experta, el concepto de responsable es clave para la protección de datos. En este sentido, resulta vital designar responsabilidades, es decir, definir quién es la entidad responsable del diseño del proceso, de la legalidad y del cumplimiento. “Siempre tengo dos preguntas cuando se me presenta una situación en la que tengo que determinar quién es el responsable. La primera es, ¿cuál es el objetivo de lo que estamos haciendo? Y la segunda es, ¿cómo vamos a hacerlo?

Cuando incorporamos también el concepto de encargado, Eggl defiende que son y serán muchas las situaciones en las que uno puede ser responsable en una parte del proceso, y encargado en otras, pero es necesario reflejar estos fenómenos atípicos en los acuerdos contractuales. Además, la experta quiso incidir en una idea clara: quien tenga influencia en el diseño y el funcionamiento de un proceso es, sin lugar a duda, el responsable del tratamiento de los datos. No obstante, será imprescindible estudiar cada caso concreto y aplicar la ley a las circunstancias de la situación en cuestión.

Sobre este asunto habló también Jesús Rubí, Adjunto a la directora de la Agencia Española de Protección de Datos (AEPD), Mar España. El experto fue el siguiente en intervenir durante el foro, con las consideraciones generales sobre el primer año de aplicación del Reglamento Europeo de Protección de Datos por parte de la AEPD. Durante su discurso, abordó puntos clave como los modelos de contratación y subcontratación en los que la figura del responsable del tratamiento de datos puede ser compartida; la importancia de regularizar los tratamientos obtenidos a través de redes sociales, así como los mecanismos de borrado y comunicación de los datos entre encargados del tratamiento cuando existe una solicitud del afectado; y los conflictos de interés que pueden darse entre las funciones del DPO y el CISO, entre otros aspectos de interés.

La primera mesa redonda del día contó con la participación de Pablo Díaz (Delegado de Protección de Datos de Caixabank), Berta Balanzategui (General Electric Corporation), Alfonso Barajas (Alliances Southern Europe, OneTrust), Jaime Martínez (Gerente de Desarrollo de Negocio Privacidad & GRC, Grupo SIA)y Carlos A. Saiz como moderador. En ella se presentaron los primeros datos extraídos del Estudio sobre el Nivel de Madurez y Cumplimiento RGPD en España, al tiempo que los expertos debatieron sobre las cuestiones del estudio que más llamaron su atención.

Uno de los datos más sorprendentes ha sido el bajo nivel de privacidad en el diseño y en el defecto. “El hecho de que la privacidad en el diseño esté baja me hace cuestionar si realmente estamos llegando a aquellas áreas donde una intervención temprana del DPO es importante porque a lo mejor eso podría evitar que luego tuviéramos tantos derechos de acceso”, en palabras de Berta Balanzategui.

Otro de los aspectos de los que más se habló fueron los modelos organizativos y cuál de ellos funciona mejor según la experiencia de los participantes de la mesa. Al contrario de lo que comúnmente se pueda pensar, los expertos de la mesa abogan por implementar, primero, un sistema jerárquico de privacidad para, finalmente, decidir quién o quiénes serán DPOs, evitando así que haya un exceso de ellos. De esta manera, se orquesta un conjunto de roles por debajo del DPO que son responsables internos de los tratamientos de datos y que alimentan el sistema de cumplimiento de la norma.

En este sentido, se destacó también la necesidad de contar con un carácter poco intrusivo en el negocio por parte del DPO, de manera que pueda tener la independencia suficiente para que la empresa siga con su labor, al tiempo que se cumple con la norma, dejando el grueso del trabajo al resto del equipo y permitiéndose el delegado tener agilidad y capacidad para intervenir en temas que de otra manera resultaría complicado.

Otra de las intervenciones destacadas del foro fue la de Eneken Tikk, Head of power and influence Studies (Finnish Cyber Policy Institute). Bajo el título “Data Protection Governance in a GDPR Context”, la experta centró su discurso en la normativa RGPD, explicando por qué se trata de un modelo que debería implementarse, incluso, a nivel mundial. “Promuevo el RGPD como forma de vida, como una actitud, porque solamente así la ciberseguridad y la protección de datos se hará realidad y somos todos parte de ello”. 

Eneken Tikk, Head of power and influence Studies (Finnish Cyber Policy Institute),durante su intervención en el encuentro.

Tikk defiende que, además de ser un modelo que garantiza la confianza en los servicios y los productos que circulan en la sociedad, lleva por bandera un valor “todavía más importante”, como es la dignidad humana. “Una ley de protección de datos tiene que ver con darnos permiso para ser quienes somos y lo que queremos ser”, afirmó. En este sentido, distingue la normativa europea del abordaje ruso o chino, en el que “el control estatal es lo primero y no la defensa del individuo”, mientras insiste en promover el RGPD como competidor óptimo frente a otros modelos.

La ponente no perdió la oportunidad de hacer mención a la figura del Delegado de Protección de Datos, definiéndola como “importantísima a todos los niveles” y con la que el cumplimiento de la norma no sólo consiste en “marcar con un tic cada cuestión revisada”, sino repasar las propias tácticas, adelantarse a los cambios que puedan tener lugar en la industria en relación a los riesgos y amenazas y, en última instancia, hacer lo posible porque su empresa sea la mejor.

El encuentro contó también con una segunda mesa redonda titulada “GDPR, A Proactive Approach To Cybersecurity”, en la que participaron profesionales de la talla de Guy Leibovitz (CEO de Cognigo), Luca N. Livrieri (Manager Sales Engineering, Italy & Iberia, Forcepoint), Raúl Gordillo (Regional Manager, Spain & Portugal, Crowdstrike), Edwin Gordillo (CISO de FCC) e Iván Sánchez (CISO de Sanitas) como moderador.

Sin duda, la cuestión principal que se abordó durante el debate fue la idea de la normativa RGPD como catalizador o acelerador de proyectos en ciberseguridad en las compañías. A este respecto, los interlocutores coincidieron en que, efectivamente, el Reglamento ha supuesto un impulso de mejora para las empresas en lo referente a nuevas prácticas e implementación de tecnologías. No obstante, destacaron la posibilidad de entrar en conflicto con la norma en ciertas ocasiones al querer aprovechar tecnologías como el blockchain para beneficiarse mejor de los datos.

Aún así, la mesa estuvo de acuerdo en que, en todo caso, estos nuevos desafíos traerán consigo nuevas oportunidades para el negocio, así como nuevas soluciones que ayuden al cumplimiento con el RGPD a través del uso de Inteligencia Artificial, por ejemplo. Asimismo, no olvidaron mencionar una parte esencial del trabajo, que es conocer dónde están los datos, una tarea cada vez más compleja en nuestros días cuando el ecosistema de la Nube entra en juego.

Para los ponentes, solo cuando se entienda dónde se ubican los datos, se aplicarán las políticas de retención adecuadas y se asegurarán los datos de especial sensibilidad o riesgo. Para ello, es necesario respetar las metodologías establecidas, determinar cuáles son los procedimientos a seguir y, por supuesto, vigilar el eslabón más débil de la cadena: el factor humano. En esta línea, los participantes de la mesa comentaron que, hace años, los datos se encontraban más centralizados, pero ahora con la transformación digital se encuentran en todas partes y en constante movimiento. Para este fenómeno, lo que se pretende es encontrar una manera de incorporar tecnologías de automatización que permitan gobernar mejor los datos y así poder reaccionar con efectividad una vez se haya realizado un análisis de riesgo.

“Cuanto más me convierto en sujeto basado en datos, menos valioso soy como persona”

“No soy la suma de mis datos personales” fue la carta de presentación de Peter Burgess, profesor, director y experto en Geopolítica del Riesgo en ENS. En su intervención transmitió a los asistentes su preocupación por el “divorcio” entre la privacidad y la protección de datos. “Todos conocéis el texto del RGPD y soñáis con él todas las noches, pero no sé si habréis advertido que en ningún momento contiene la palabra ‘privacidad’ y me cuesta entender cómo es posible que la idea de protección de datos quede totalmente separada de la idea de privacidad en una normativa de estas características”, explica.

Peter Burgess, profesor, director y experto en Geopolítica del Riesgo en ENS, durante su discurso “No soy la suma de mis datos personales”.

Para argumentar las posibles razones de esta tesitura, Burgess pone de ejemplo el escándalo de Cambridge Analytica, que tuvo influencia en las elecciones de Estados Unidos. Para ello, expone que, a pesar de la polémica y el revuelo que supuso que Mark Zuckerberg tuviera que acudir a declarar, “no hubo un impacto real sobre los individuos, todo el mundo siguió adelante y no pasó nada”. Al parecer, existe una especie de validación tácita de la recolección masiva de datos personales que tienen que ver con los ciudadanos. Pero, ¿qué nos ocurre cuando tratan nuestros datos y qué tiene que pasar para que sean comercializables?

La información sobre nosotros tiene interés desde un punto de vista económico cuando está asociada a nosotros como seres humanos y vinculada a “quién soy, qué siento, mis relaciones, mis percepciones, mis recuerdos, mis esperanzas, mis miedos, lo que me preocupa y lo que me asusta”. No obstante, para Burgess hay una cuestión que resulta especialmente alarmante, y es la idea de que nuestros datos sean una representación de nuestra identidad. “Cuanto más me convierto en un sujeto basado en datos, menos valioso soy como persona, y desestimar la dimensión moral y humana es precisamente divorciar la recolección de datos de la privacidad”, afirma.

Próxima a esta temática estuvo la última ponencia del día, protagonizada por Giovanni Buttarelli, Supervisor Europeo de Protección de Datos, que se centró en los aspectos relacionados con la Ética Digital. “Cuando los individuos son tratados como meros agregados de datos o engranajes industriales y no como personas, la dignidad deja de ser respetada. La comunicación humana en la Internet del futuro tendrá que basarse en perfiles digitales, pero debe haber límites sobre lo que es permisible o no”. El experto defiende que, a pesar de la inevitable conversión online de nuestro mundo, hay cosas que no se pueden digitalizar y es ahí donde entra en juego la vida de las personas.

Buttarelli aprovechó para alertar sobre algunas situaciones peligrosas que ya son una realidad, como los casos de implicación de la tecnología en el sector educativo, llegando a aplicar técnicas de reconocimiento facial en las aulas para detectar y monitorizar comportamientos en los niños o la obligatoriedad de que los estudiantes lleven en todo momento un dispositivo bluetooth como herramienta de control. Ante esto, el supervisor advierte que “son necesarios los espacios en libertad, donde se pueda pensar, reflexionar y cuestionar las cosas para poder ser creativos y conservar la independencia de nuestros valores humanos sin que nadie pueda manipularlos”.

En esta línea, el profesional imagina una sociedad global que no pierda la voluntad de cuestionar las normas y que tenga la confianza de poder conformar una coexistencia sana con la tecnología en la que caminemos juntos hacia un futuro digital que nos respete y nos complemente pero, por supuesto, que no nos reste.

Más de 350 asistentes se congregaron en CaixaForum Madrid para abordar los desafíos en materia de privacidad y protección de datos.

El Foro de la Privacidad del Data Privacy Institute se constituye cada año como uno de los encuentros de profesionales de la privacidad y la protección de datos más relevantes del Sector, en el que expertos, representantes de las autoridades de control y profesionales se dan cita para analizar y debatir sobre los nuevos retos que deberá afrontar el sector empresarial.

Sobre ISMS Forum Spain

La Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, es una organización sin ánimo de lucro fundada en enero de 2007 para promover el desarrollo, conocimiento y cultura de la Seguridad de la Información en España y actuar en beneficio de toda la comunidad implicada en el sector. Creada con una vocación plural y abierta, se configura como un foro especializado de debate para empresas, organizaciones públicas y privadas, investigadores y profesionales donde colaborar, compartir experiencias y conocer los últimos avances y desarrollos en materia de Seguridad de la Información. ISMS Forum Spain tiene ya a más de 225 empresas asociadas y más de 1000 profesionales asociados. La Asociación es ya, por tanto, la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.