Empresas y organizaciones conmemoran el Día Europeo de la Protección de Datos analizando los retos que se avecinan

Publicado el 27-01-2023      Notícia sobre: Artículos

 

Autor: Luis Javier Sánchez, periodista especializado.


La visión de un auditor experto en privacidad, como es la de Miguel Angel Ballesteros, junto a la de un abogado especializado en estos temas como es  Carlos Saiz, vicepresidente de ISMS Forum y presidente de ENATIC, junto a la de Henry Velásquez, responsable para Sur de Europa y Latinoamérica de la privacidad de Publicis Groupe confluyen en definir la importancia de la privacidad en las organizaciones desde un cambio radical, provocado por la llegada del RGPD y de la LODPGDD española que ahora tiene en la proactividad el eje de cualquier estrategia de privacidad.

El 28 de enero se celebra el Día Europeo de la Protección de Datos, fecha que coincide con el día en que, en el año 1981, se firmó el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Este día está dedicado a concienciar y sensibilizar sobre la importancia que tiene el tratamiento de datos personales.

La conmemoración de esta efeméride hay que contextualizarla en estos momentos cuando se producen cambios normativos importantes a nivel europeo como la llegada de las directivas NIS2, la de Resiliencia de Entidades Críticas o el Reglamento Dora específico para el sector financiero que van a convertir la privacidad en un elemento importante. Al mismo tiempo, la tecnología que llega tan disruptiva, tanto desde la IA como desde el blockchain será otro reto que los expertos en privacidad tengan que abordar.

La privacidad, ante un futuro complejo

Carlos Saiz, vicepresidente de ISMS Forum y presidente de ENATIC, ha sido ponente de un evento este miércoles donde se ha analizado los retos de la privacidad en este entorno de cambio donde el RGPD europeo cumplirá cinco años. “Es un buen momento para hacer balance del estado de la protección de datos. Los que llevamos tiempo en este sector hemos visto muchos cambios en estos últimos veinticinco años”.

  

Carlos A. Saiz, Vicepresidente de ISMS Forum y Presidente de ENATIC

Desde su punto de vista, la evolución ha sido notable. “Hace años hablamos de protección de datos, entendida como almacenamientos que estaban en las empresas. Ahora con el Cloud Computing, esta tecnología hace que nuestros datos estén repartidos en distintos servidores por todo el mundo. Al mismo tiempo contamos con nuevas tecnologías de reconocimiento facial e Inteligencia Artificial para segmentar productos. Son herramientas que pueden generar un riesgo para la privacidad”.

El jurista recuerda que la “protección de datos es un derecho fundamental, al que hay que prestar mucha atención porque el desarrollo social y económico que vive el mundo digital requiere que tengamos una adecuada protección del derecho a la protección de datos. Se trata de que los negocios digitales evolucionen con las garantías adecuadas para los derechos de las personas, lo que evitará las posibles sanciones en materia de privacidad del regulador”.

A su juicio, “las empresas están preocupadas por los cambios que ha introducido el RGPD que avala una nueva visión de la protección de datos. El problema es la complejidad de los procesos y de las tecnologías que existen en una organización. Bancos, aseguradoras, empresas de telecomunicación y grandes grupos empresariales manejan miles de datos por minutos. Hay tanto tratamiento que es muy difícil tener todo eso controlado”, apunta.

Para el vicepresidente de ISMS Forum, “hay que seguir generando esta cultura de respeto a la protección de datos a todos los niveles, tanto a nivel de trabajadores, directivos que financian esos sistemas de cumplimiento y al mismo tiempo que los profesionales de la privacidad y especialmente los DPD tengan las herramientas adecuadas para hacer su trabajo”.

En este contexto, Saiz subraya la necesidad de una “estrecha colaboración entre la dirección de tecnología y de ciberseguridad de la compañía con el propio DPD. “La colaboración debe ser estrecha para evitar cualquier tipo de problemas. Al final en una empresa debe haber profesionales que sepan interpretar la norma y buenos técnicos para implementar las medidas de seguridad adecuadas”.

Desde ISMS Forum, se puso en marcha el Foro de la Privacidad que este año celebra su decimoquinta edición “hemos visto la evolución de la privacidad que ahora se ha convertido en un elemento estratégico para las empresas. Ha dejado de ser algo técnico u operativo, una cosa más que había que hacer. Ciberseguridad y privacidad son estratégicos para cualquier compañía en estos momentos”.

En este contexto, la llegada del RGPD europeo como palanca normativa está siendo clave en ese cambio de concepto de la privacidad. “En otras jurisdicciones no europeas se considera un estándar que se aplica como normativa a nivel mundial”, explica.

“Tiene dos elementos importantes, el primero, la aproximación a los riesgos, en vez de regular determinadas medidas técnicas y de seguridad establecidas, lo que el RGPD nos dice es que calculemos los riesgos, en base a los tratamientos que haga e implemente las medidas adecuadas. Da una cierta libertad a la hora de la gestión de los riesgos, lo que facilita el cumplimiento por parte de las organizaciones”.

Junto a ese enfoque de riesgos, Carlos destaca el principio de accountability “aquí hay que hablar de la rendición de cuentas y de la trazabilidad. Es algo a lo que nos hemos ido acostumbrando, el ir dejando rastro de todo lo que hacemos. El legislador europeo vio que era necesario dejar esos rastros de donde tiene su consentimiento, qué contratos se han firmado o qué acciones de control se llevan a cabo para poder acreditar la voluntad de cumplimiento”:

Cambios complejos que hay que asumir

Por su parte, Henry Velásquez , ocupa el cargo de International Data Privacy Lawyer. Data Protection Office (GDPO): South EU & LATAM Region de la multinacional francesa volcada a la publicidad y relaciones públicas Publicis Groupe. Al mismo tiempo, es docente en varios cursos entre los que destaca el que imparte como formador en el Data Privacy Institute de ISMS Forum.

          

Henry Velásquez, International Data Privacy Lawyer

“Vivimos un momento de incertidumbre, en el que tendremos que armonizar la práctica de Data Privacy con nuevos marcos regulatorios que vienen a complementar nuestra función, como la regulación derivada de la propia agenda digital europea, relacionada con los mercados digitales, los servicios digitales, la inteligencia artificial o la posibilidad de usar datos públicos. Es evidente que la nueva normativa que se avecina va a impactar de forma notable el ecosistema digital Europeo; comenta.

Ese experto recuerda que “otro reto importante para 2023 está relacionado con las transferencias internacionales y la posibilidad de llegar a un acuerdo (un nuevo Privacy Shield), o adoptar una decisión sobre la adecuación del marco regulatorio que permita un flujo de datos entre EEUU y la UE acorde con nuestro actual contexto digital interconectado, que resulta clave para aquellas empresas que están en distintas jurisdicciones como es el caso de nuestra compañía”.

Otra cuestión que destaca Velásquez “tiene que ver con el reto de armonizar nuestro marco regulatorio europeo con la nueva normativa de protección de datos que se está aprobando en algunos estados de EEUU, y con la creciente tendencia a regularizar la localización o residencia de los datos, por ejemplo en países como China y Rusia, que obligan a que los servidores que almacenan los datos recogidos o tratados dentro de su ámbito territorial, estén ubicados en esos países y que podría atentar contra el concepto de Internet libre y neutral que hemos conocido”.

Para este experto en privacidad que gestiona diferentes jurisdicciones en el mundo con una estructura importante a su cargo, “cada año es más difícil que el anterior, porque supone nuevos desafíos derivados del propio avance de la normativa, la evolución de los mercados, sectores e industrias y la irrupción de tecnologías que afectan a los mismos”:

Este jurista confiesa que “nosotros tratamos con reguladores de distintas jurisdicciones. En el caso de España, creo que la AEPD destaca por su cercanía con el sector privado, en temas de asesoramiento, consulta y apertura al diálogo. Por ejemplo, la iniciativa que promueve de crear Códigos de Conducta me parece muy valiosa. En el sector publicitario, hay importantes estándares, recomendaciones y códigos de conducta que se han acometido junto a otras importantes organizaciones del sector como Adigital, IAB Spain o Autocontrol”.

Al final para el experto de lo que se trata es “de adoptar una cultura corporativa  de Privacy by Design y de entender que apostar por la protección de los datos añade un valor a la propuesta de negocio y repercute en la calidad de los servicios, en congruencia con un enfoque de “Customer Centricity”.

Nuestro interlocutor es uno de los formadores del Data Privacy Institute, organismo adscrito a ISMS Forum. Este curso CEPD de 60 horas de duración, está orientado a otorgar una especialización profesional en materia de Privacidad desde una perspectiva jurídica, técnica y organizativa.

“En él abordamos la normativa vigente en el contexto nacional, el nuevo marco europeo e internacional, y se profundiza sobre los fundamentos que rigen la seguridad de la información. Además, está adaptado al esquema de certificación de DPD de la Agencia Española de Protección de Datos y está actualizado según la nueva LOPD-GDD”, comenta.

Henry Velásquezserá uno de los moderadores del XV Foro de la Privacidad que tendrá lugar el próximo 16 de febrero en Madrid. En el track 2 que presenta están confirmados Leonardo Cervera, actual director del Supervisor Europeo de Protección de Datos, que hablará del momento actual de la privacidad, entre otros profesionales de alto rango. “Es un foro imprescindible para conocer las tendencias y preocupaciones de las empresas en el entorno de la publicidad” aclara.

Las pymes no entienden la privacidad

Miguel Ángel García Ballesteros, vivió en Cepsa la llegada de la protección de datos en nuestro país. “De manera efectiva empezó en 1994 aunque la primera normativa es de 1992 y la AEPD se crea un año después. Fue en el verano de 1994 cuando hubo que empezar a hacer una actuación como fue en aquel momento la inscripción de ficheros en una gran compañía como es y ha sido Cepsa a lo largo de su historia”.

    

Miguel Ángel Ballesteros, Expertos en Privacidad y Protección de Datos

Este experto recuerda que estuvo llevando todo el tema de la protección de datos, “no desde el punto de la auditoria sino implementando reglas, poniendo en marcha procedimientos, estableciendo medidas de seguridad y otras actividades necesarias para poner en marcha la protección de datos dentro de este grupo de empresas”.

“Lo primero que hicimos fue la inscripción de ficheros, que así lo pedía la normativa de protección de datos, pero luego hubo que implementar cláusulas de información, establecer medidas de seguridad a los ficheros, había que empezar a impulsar la protección de datos desde sus primeros pasos”

De hecho, recuerda que en los primeros cursos de verano que organizaban distintas universidades “los que nos acreditábamos a estos seminarios organizados por la AEPD acudíamos a esos seminarios para contrastar nuestros conocimientos con los de nuestros colegas y saber si estábamos dando los pasos adecuados o no dentro de esas políticas de privacidad. Nosotros necesitábamos comparar nuestras decisiones con las de nuestros colegas en este tipo de reuniones de trabajo”.

Ballesteros constata la evolución que ha habido en materia de privacidad y de información a disposición de los expertos “ahora si entras en la web de la AEPD tienes mucha información, dictámenes jurídicos y guías que ayudan al Delegado de Protección de Datos (DPD) o al encargado de tratamiento a realizar su trabajo. En esa primera etapa no había nada. Nosotros hemos sido los primeros antecedentes de la figura actual del DPD”, destaca.

En este contexto, fue uno de los expertos que puso en marcha las primeras auditorías de protección de datos para comprobar el nivel de privacidad del grupo de empresas de Cepsa. “En esas auditorías buscamos dos fines: saber el estado de esa privacidad y sobre todo, concienciar a esas empresas que debían contar con una política de privacidad activa. Nuestra labor era más de difusión de esta actividad”.

Nuestro interlocutor recuerda que estuvo cinco años que culminaron en 2013 trabajando en las auditorías de privacidad “En estos casi veinte años estuve vinculado a mundo de la privacidad, primero como Delegado de Protección de Datos y el tramo final como auditor. En la actualidad estoy pendiente de los cambios que se han generado en privacidad en nuestro país tras la entrada en vigor del RGPD”, aclara.

En este punto, considera que “en España estamos a un nivel alto de datos. De hecho, somos ejemplo para la Red Iberoamericana de Protección de Datos. Los países de este entorno definen leyes de protección de datos que siguen mucho la legislación española. Ahí la AEPD tiene un papel fundamental”.

En la actualidad, Miguel Angel recuerda que el desarrollo tecnológico es importante. “La aparición del Big data, Blockchain o la IA hace que los riesgos de privacidad sean mayores. Eso hace que la legislación se adapte a esos riesgos que llegan ahora. Un ejemplo es que la antigua legislación española se basaba en medidas estáticas, ahora con el RGPD las medidas son dinámicas, hay que evaluar los riesgos y definir medidas de privacidad más flexibles”.

“Está claro que las empresas de mayor tamaño al disponer de recursos se han adaptado mejor a estos cambios tecnológicos y normativos. Sus políticas de privacidad se han adaptado al RGPD. Por su parte, las pequeñas tienen el reto de adaptarse a esta nueva normativa. Todavía no saben lo que tienen que hacer en materia de protección de datos pese a las herramientas que la AEPD ha dispuesto para ayudar al cumplimiento a dichas pymes”.

Global Gold Sponsor