Luis Javier Sánchez, periodista especializado.

---

En vísperas del Dia Europeo de la Protección de Datos, Mar España, directora de la AEPD, recibe a ISMS Forum para conversar de los aspectos que están de actualidad en materia de privacidad. En esta conversación explica la apuesta de la mediación para resolver las reclamaciones complicadas y hace un llamamiento a las empresas a que hagan consultas a la AEPD cuando hagan una evaluación de impacto. “Solo hemos tenido este último año una veintena de consultas”.

Para la directora de la AEPD, el regulador español se prepara para afrontar los nuevos retos derivados de la irrupción de la tecnología como es la IA, así como para adaptarse a la nueva normativa que se deriva de Europa y que siempre tiene incidencia directa en materia de ciberseguridad, de la que afirma que es uno de los cuatro pilares de la privacidad, de ahí que CISOS y Delegados de protección de Datos (DPD) deban trabajar conjuntamente en este campo de la privacidad”.

Mar España destaca el esfuerzo importante que han hecho las empresas y entidades públicas y privadas para adaptarse al RGPD, donde han contado con el centenar de guías que la AEPD ha editado para ayudar a las organizaciones adaptarse a este nuevo entorno. “Las empresas deben mejorar en la gestión de su registro de actividades de tratamiento e identificar por ese análisis de riesgo esas actividades y cumplir con sus obligaciones legales. Eso es algo esencial”.

Mar España

---

Celebramos este pasado 28 de enero el Día Europeo de la Protección de datos en un contexto marcado por el desarrollo tecnológico  y las nuevas normas europeas como NIS2, Reglamento Dora o la Directiva de Resiliencia de Entidades críticas. ¿Cómo pueden afectar a la protección de datos?

Vivimos en un entorno complejo, tanto este paquete digital de nuevos avances tecnológicos como la Directiva NIS2 o el Reglamento Dora centrado en las entidades financieras implican nuevos retos para la AEPD.

En ambos casos ha habido una opinión del Comité Europeo de Protección de Datos, de apoyo al objetivo general de ambas directivas, pero en el caso del Reglamento Dora sí se hicieron alguna recomendaciones en relación con las transferencias internacionales de datos que se alinearán con los principios del RGPD europeo.

Al mismo tiempo se sugería crear un Código de Conducta, que estableciera las reglas para este tipo de ámbitos en el sector financiero. Creo que sería algo muy interesante. Nosotros acabamos de presentar un Código similar de la mano de Autocontrol para el sector de las telecomunicaciones y la publicidad no deseada.

De hecho, pensamos que el sector financiero puede ser otra actividad que lidere este tipo de iniciativas.  Al mismo tiempo el Comité Europeo sugería que se estableciera un periodo de retención de datos personales.

A la ya complejidad que supone la aplicación transversal del RGPD se va sumando todo el paquete europeo digital, donde en algunas ocasiones aparecen autoridades de supervisión diferente y no está claro el modelo de gobernanza. Puede ser que haya sanciones impuestas por las autoridades de protección de datos y también por la autoridad de gobernanza especifica. Y no queda bien claro cómo se va a compaginar ese régimen sancionador.

¿Es previsible algún ajuste de RGPD ante este nuevo entorno normativo del que estamos hablando?

Que yo conozca no, mi opinión personal sobre el tema de la ventanilla única, más que modificar el procedimiento y la filosofía del RGPD, se trata de poder profundizar en los mecanismos de cooperación desde el diseño.

Sobre esta cuestión, tuvimos una reunión importante en Viena todos los reguladores nacionales donde de común acuerdo acordamos identificar casos estratégicos.

Ya hemos tenido casos de buenas prácticas, como los referidos a Uber o Amazon donde la colaboración entre autoridades con la autoridad principal ha dado lugar a agilizar ese procedimiento porque esos casos que impactan a miles europeos se han resuelto en mucho menos tiempo y con más respaldo de las autoridades, ya que no ha habido objeciones principales en el ámbito del procedimiento administrativo.

Ciberseguridad y protección de datos

En un mundo como el actual, lo dice el World Economic Forum, la gestión de la ciberseguridad es uno de los ocho riesgos claves a nivel mundial. Un ciberataque lleva siempre detrás la fecha de muchos datos, algunos de ellos personales.

Nosotros siempre insistimos en que ciberseguridad y protección de datos son dos caras de la misma moneda. La ciberseguridad es una de las cuatro patas de la privacidad. Es importante contar con las medidas técnicas y organizativas que garanticen la ciberseguridad, pero sólo con eso no es suficiente.

Las empresas pueden tener unas medidas de seguridad perfectas, pero si no has analizado bien la base jurídica de legitimación del tratamiento de los datos sería ilegal. Cada vez más recibimos notificaciones de quiebras de seguridad que en algunos casos suponen una mayor complejidad.

“Insistimos en la conveniencia de la comunicación “inmediata, sin dilaciones indebidas de esa brecha de seguridad, no solo a la autoridad de control sino también a los ciudadanos afectados si han quedado dañados sus derechos y libertades”.

¿Es la gestión de la brecha de seguridad una de las cuestiones más complejas de controlar por parte de los DPD de las empresas?

Seguramente es así, por lo que conocemos a través de las reuniones sectoriales y territoriales que mantenemos con ellos, a veces cuando ellos se enteran de que han sufrido el ciberataque el daño ya está hecho.

Hay que darse cuenta que no es lo mismo tratar un problema desde el comienzo que cuando el problema está consolidado y se ha extendido en ambos ámbitos.

Si el DPD ha sido consultado y ha podido asesorar desde el comienzo del diseño de esos algoritmos o de esas medidas técnicas organizativas que ha implementado la empresa, será más fácil esa gestión del problema cuando se produzca la brecha de seguridad y así aminorar su impacto.

A este respecto parece claro que la relación entre el CISO, como responsable de seguridad de la compañía y el propio DPD, debe ser estrecha de cara a mejorar la privacidad de cualquier entidad. Un dictamen de la AEPD dejó claro que son realidades diferentes, con lo cual no puede asumir un profesional esos dos roles.

Desde esta colaboración, es fundamental que en la empresa se instaure una cultura organizacional, donde el activo más importante son los datos y que una quiebra de seguridad hay que gestionarla porque puede impactar de forma notable en la reputación de cualquier entidad.

Según datos de la AEPD, existen ya 100.000 DPD que gestionan la privacidad en otras tantas organizaciones, pero solo 9.000 en el sector público, ¿Cómo se explican esos datos?

Es cierto que más del 90 por ciento son del sector privado. Si tenemos en cuenta que existen tres millones de empresas en nuestro país es verdad que la mayoría son pymes y las pymes muchas de ellas no tienen obligación de contar con un DPD.

El dato del DPD en el sector público llama la atención. La cifra de los comunicados son 9.000. Solo en municipios en nuestro país son 8.000. A ellos habría que unir las administraciones públicas, autonómicas y estatale con toda su ramificación de empresas públicas.

Parece claro que queda mucho por hacer en este contexto. El registro que tenemos de DPD es público y abierto a cualquier consulta. A través de nuestra web introduciendo los datos de la entidad se puede conocer el contacto del DPD.

Curiosamente en algunos casos nos consta que un solo DPD asesora a 10.000 comunidades de vecinos. En primer lugar, ese asesoramiento no puede darse bien, en condiciones. Y, en segundo lugar, las comunidades de vecinos no están obligadas a tener un DPD:

Estamos investigando realmente quién está dando este servicio que a veces se ofrece a coste cero. En muchos casos con las propias FAQs de nuestra web y las Guías que hemos editado desde la AEPD bastaría para cumplir esta normativa.

Aquel Pacto Digital para la Protección de las Personas que han suscrito más de 400 organizaciones público y privadas, entre las que se encuentra ISMS Forum, ¿ha tenido el efecto que se deseaba, realmente?

Esta iniciativa hasta el momento tiene sus luces y sombras. Lo positivo es poder contar con diferentes entidades, las más representativas del sector empresarial, económico, financiero y mediático. También se adhirieron a él las empresas de telecomunicación.

Hay otro aspecto que es esencial y es una de las líneas estratégicas a futuro de la AEPD donde estamos trabajando que es el tema de Inteligencia Artificial (IA), ética y privacidad. Hemos creado un Comité de Expertos.

“Las empresas que empleen la IA en alguna aplicación tecnológica deben hacer un análisis previo de que esos algoritmos cumplen parámetros de privacidad y ética acordados”

Este mes tenemos la segunda reunión porque cada vez más tiene que haber más demanda de la ciudadanía cuando una empresa vaya a disponer un producto con inteligencia artificial debe tener el análisis previo de cumplimiento de la privacidad y de la ética. Que esos algoritmos no impliquen una discriminación por género o a nivel sexual.

Desde este planteamiento, por ponerle un ejemplo, el algoritmo que quiere introducir el Ministerio de Trabajo para lanzar las actas informatizadas de los inspectores de trabajo con el ánimo de sancionar a las empresas debería pasar ese filtro…

En ese y otros temas. Recientemente coincidí en una mesa debate con el gerente de la Seguridad Social y comentó que tenían un centenar de proyectos en inteligencia artificial.

Y algunos de ellos delicados porque se harán perfilados para buscar la empleabilidad de más de un millón de personas solicitantes del Ingreso Mínimo Vital. Les hemos trasladado la conveniencia de que la AEPD supervise este tipo de trabajos una vez hagan la evaluación de impacto que tendrán que hacer. Este tipo de trabajos deben tener cautelas legales y organizativas desde sus inicios.

El régimen sancionador crece

En cuanto a las sanciones, usted ya avisó que se había acabado la cortesía y que la AEPD iba a sancionar siguiendo los parámetros del RGPD, ¿Qué balance hace de las mismas?

El año pasado fue un ejercicio especialmente significativo donde se volcó el trabajo previo de los dos años anteriores. Los procedimientos transfronterizos se han incrementado de forma notable y son más complejos. En solo dos años hemos aumentando el 44% de entrada de las reclamaciones.

Sin embargo, en un 85% las sanciones son inferiores a 50.000 euros. Si hablamos de un asunto de una pyme, en muchos casos se finaliza con un apercibimiento y las sanciones millonarias se interpusieron a grandes empresas, entidades financieras o empresas de telecomunicación por el impacto masivo y atendiendo a su volumen de negocio de la empresa.

Es curioso que aquellas empresas en teoría con más medios y personal especializado en privacidad, sean las más sancionadas.

Es cierto que puede llamar la atención. En muchos casos depende de la tradición de los consumidores. En sectores como es el de telecomunicaciones existe el hábito de reclamar más los derechos del propio usuario que en otros sectores.

Esto implica un esfuerzo importante en los 184 profesionales que trabajan en la AEPD. El volumen de reclamaciones cada año, al igual que su complejidad se ha ido incrementando en los últimos años. 

Eso ha hecho que estemos trabajando bastante a nivel estratégico en la mediación. Está funcionando bien el procedimiento que incluimos en la LOPDGDD de dar traslado a los responsables de tratamiento de esas reclamaciones.

De esa forma, cuatro de cada cinco reclamaciones se están resolviendo en tres meses para centrarnos en los temas más complejos.

Realmente, ¿Qué relación mantiene la AEPD con estas grandes compañías a nivel de trato y de consultas habituales?

Lo cierto es que desgraciadamente seguimos teniendo muy pocas consultas tras la realización de una evaluación de impacto. No llegan a veinte al año dichas consultas. Es un número irrisorio con el trabajo que hacen las miles de empresas que estén tratando datos sensibles o las propias administraciones públicas.

En algunos casos, advertimos que esas evaluaciones de impacto o análisis de riesgos se han centrado en la seguridad, pero no con la mirada integral que abarque medidas organizativas y legales. Ahí queda un camino importante por hacer.

Las empresas tienen que darse cuenta que una consulta a la AEPD no implica una sanción. Si hacen la consulta se pondrán en contacto con nuestra División de innovación tecnológica y lo que puede pasar, tras analizar su cuestión, es que a esa empresa se le diga que esa iniciativa así planteada no sería legal.