GDPR
Protección de datos
DPO

“Europa debe impulsar la cultura de la privacidad en las organizaciones por convicción y no por miedo a la sanción”

La celebración del Día Europeo de la Protección de Datos traslada a la primera plana la necesidad de seguir trabajando mediante la cooperación, el impulso de políticas flexibles y la modernización de la cultura. Sobre ello habla Marcos Judel, presidente de la APEP.

Marcos Judel, presidente de Apep

Cada 28 de enero se celebra el Día Europeo de la Protección de Datos. Una fecha señalada en el calendario que invita a reflexionar sobre el papel de la privacidad y la protección de datos para lograr una confianza digital plena. En un escenario en el que se generan miles de millones de datos online cada segundo, contar con una salvaguarda que garantice el correcto tratamiento de la información más crítica o sensible resulta vital. Conocedoras de ello, las autoridades europeas de protección de datos han hecho de esta premisa su misión estrella. No solo por el abanderamiento de robustas políticas que permiten proteger los datos de terceros, sino por su carácter proactivo a la hora de liderar, por su capacidad de situar a Europa a la cabeza.

Tomamos el pulso tanto a Europa como a España en materia de protección de datos, desde la madurez de la sociedad y sus organizaciones o empresas hasta el envejecimiento del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés). Contamos para ello con la pericia de Marcos Judel, presidente de la Asociación Profesional Española de Protección de Datos (APEP). Así ha hablado para CSO España.

 

Aprovechando la efeméride del Día Europeo de la Protección de Datos, ¿cuál diría que es el grado de maduración de la sociedad española en la materia? ¿Y de las empresas afincadas en territorio nacional?

En España la protección de datos es un derecho fundamental autónomo desde el año 2000 que emana directamente de la Constitución de 1978, es decir, tiene una enorme trayectoria legal a sus espaldas. Sin embargo, no fue hasta el 25 de mayo de 2018 cuando, con la entrada en aplicación -que no en vigor, que ya llevaba dos años- del Reglamento General de Protección de Datos de la Unión Europea, la sociedad, la ciudadanía, tuvo una mayor conciencia de sus derechos en materia de privacidad. Desde entonces, sin lugar a dudas, la protección de datos ha pasado a ser un derecho mejor conocido por los ciudadanos y, a la vez, más respetado por el sector empresarial.

Entiendo esta evolución como resultado de la conjugación de varios factores, como el interés de los medios de comunicación por noticias relacionadas con la innovación, las tecnologías y la privacidad; el esfuerzo de las empresas en ser más respetuosas y cumplidoras de la norma; y un mayor grado de información de la ciudadanía que, cada vez más, conoce sus derechos, los ejercita y presenta denuncias para hacerlos valer. Además, también influyen las sanciones de la Agencia Española de Protección de Datos, con multas millonarias a los incumplidores.

 

"El principal reto que tenemos es impulsar una adecuada cultura de protección de datos. Con ello no solo lograremos un mayor cumplimiento, sino una sociedad más justa y mayor capacidad de competitividad para potenciar España y Europa como motores económicos y sociales"

 

No obstante, hay dos maneras de enfrentarse a un nuevo sistema normativo con capacidad sancionadora: con una mentalidad abierta a las oportunidades y con el punto de vista fijo a largo plazo, o con una mentalidad cerrada y cortoplacista. Quien opte por la segunda opción hará las cosas mal y tarde, por mera obligación, sin darle valor a la esencia que persigue la regulación y despreciando los derechos y libertades que ampara. Por el contrario, quien siga la primera corriente, convertirá la obligación en una oportunidad, en una ventaja competitiva, en un valor añadido con el que diferenciarse y llegar a un público cada vez más pendiente de estos temas.

Desde la APEP vemos una gran evolución e interés en muchas empresas de nuestro país por cumplir con el GDPR. Se aprecia por la contratación interna o externa de asesores, consultores, auditores, abogados o delegados de protección de datos, de los recursos que ponen a nuestra disposición, y de las consultas cada vez más de alto nivel que nos hacen. Pero también vemos la otra cara de la moneda, la de quien ve esto como un mal del que tiene que desprenderse lo antes posible. El principal reto que tenemos como colectivo profesional e, incluso, como sociedad, es impulsar una adecuada cultura de protección de datos. Con ello no solo lograremos un mayor cumplimiento por parte de las empresas, sino también vivir en una sociedad más justa y, de paso, aumentar la competitividad para potenciar España y Europa como motores económicos y sociales. 

 

Este 2023 el Reglamento General de Protección de Datos soplará las velas tras cumplir un lustro desde su implementación. ¿Cómo diría que está envejeciendo la normativa?

El GDPR es una norma muy flexible, lo que la hace que se pueda aplicar con facilidad a las nuevas situaciones que impliquen tratamientos de datos aún con el uso de nuevas tecnologías o modelos de negocio innovadores. Este cuenta con dos pilares que afianzan claramente su flexibilidad. Por un lado requiere que quienes traten datos personales realicen un análisis de riesgos específico para determinar qué puede afectar a los derechos y libertades de las personas. De esta manera, cada empresa, cada organismo, hará su propio análisis y sacará sus propias conclusiones de qué mejorar. Por otro, la norma requiere que se adopten medidas adecuadas para eliminar o mitigar esos riesgos. De nuevo, deja el cumplimiento en manos de los sujetos obligados. Serán las empresas e instituciones públicas las que decidan cómo proteger los datos personales y hasta dónde llegar para ello, siendo responsables, no solo de cumplir con la norma, sino de poder demostrarlo. No hay fórmulas mágicas para todo el mundo.

Sin embargo, esta enorme flexibilidad que lo hace envejecer tan bien, implica por otro lado que el régimen sancionador se aplique igualmente a medida: las autoridades de control tienen una gran capacidad para valorar si se han aplicado esas medidas de protección para cubrir cada uno de los riesgos.

A pesar de estas características, el RGPD es una norma general, lo que implica que puede ser complementada con otras normativas más actuales. De hecho la Unión Europea está desarrollando un paquete de medidas legislativas en varios aspectos relacionados con esta materia, como la recientemente aprobada Data Governance Act o las futuras normas enmarcadas en la estrategia europea de datos: la Ley de Mercados Digitales, la Ley de Servicios Digitales, ePrivacy...

 

Europa es uno de los continentes que más relevancia otorga a la protección de los datos de terceros. Muestra de ello son algunas de sus robustas políticas al respecto. ¿Hacia donde deberíamos caminar este nuevo año para prosperar en la salvaguarda de información crítica?

No debemos olvidar que el nombre completo del reglamento es de protección de datos y libre circulación de datos. Es decir, se trata de conjugar la protección de la privacidad de las personas con el desarrollo de negocios tecnológicos e innovadores que requieren del uso de esos datos. Y esto es clave para la competitividad de las empresas europeas frente a otros entornos en los que las organizaciones no tienen normas tan duras, como el caso de Estados Unidos.

Este año el camino debe continuar hacia el impulso y difusión de la cultura de la privacidad en las organizaciones basada en un cumplimiento por convicción y no por miedo a la sanción. Quienes asumen la privacidad como parte del ADN de su modelo de negocio no solo corren menos riesgos de sanción y daño reputacional, sino que protegerán mejor los datos personales y la información crítica, contentando a los usuarios y ciudadanos cada vez más conscientes y celosos del uso de su información. Para ello, será clave que empresas y administraciones públicas cuenten con delegados y delegadas de protección de datos.

 

"Quienes asumen la privacidad como parte del ADN de su modelo de negocio no solo corren menos riesgos de sanción y daño reputacional, sino que protegerán mejor los datos personales y la información crítica, contentando a los usuarios y ciudadano"

 

Poniendo el foco en la figura de los DPO, ¿qué papel le merecen en España? En la actualidad hay un importante gap entre el talento especializado y la demanda, a pesar de que se ha superado la barrera de los 100.000 DPO inscritos según la AEPD…

Una aplicación del GDPR que vaya acorde al desarrollo del negocio o de las políticas públicas, que aporte un valor diferenciador y de innovación, que sea un activo para la competitividad y no una mera carga u obligación no es fácil de lograr. Y para que esto suceda deben confluir dos partes. La empresa o la institución por un lado, que debe estar concienciada de la importancia de la protección de datos para su futuro y, acorde con ello, buscar a un profesional adecuado a sus necesidades, darle los medios y recursos oportunos y dejarse aconsejar. Por otro, el delegado de protección de datos, que deberá ser un perfil proactivo, que comprenda a todas las áreas implicadas y que ayude a conjugar el cumplimiento de la norma con el desarrollo del negocio. 

No vale nombrar a un DPO y olvidarse. Eso no es cumplir la norma. Un DPO tiene que estar al tanto de lo que se hace en el momento planificar o diseñar para poder asesorar en la privacidad desde el inicio. Desde APEP hemos pedido a la Agencia Española de Protección de Datos que promueva acciones para, en el seno de inspecciones o expedientes sancionadores, controle si los DPO nombrados participan en el asesoramiento como exige la norma o son únicamente un perfil de paja para cubrir el expediente. Este punto es clave para poder impulsar una cultura en el seno de las organizaciones óptima para que tengan una adecuada seguridad jurídica, se eviten sanciones y, a la vez, se protejan mejor los derechos y libertades de las personas entorno a su intimidad, que es el derecho fundamental que se busca cubrir.

 

¿Qué tendencias pronostica que imperarán este 2023 en materia de protección de datos?

Desde luego, seguiremos viendo más sanciones millonarias tanto de la Agencia Española de Protección de Datos como del resto de autoridades europeas de protección de datos, lo que dará pie a muchos titulares y a mucho trabajo para los profesionales de la privacidad que tendremos que realizar adaptaciones y revisiones de procesos, contratos, políticas de privacidad, etc.

Además de las nuevas normas europeas relacionadas con la materia enmarcadas en la estrategia europea de datos y la estrategia industrial europea, sin duda, dos de los elementos más destacados para 2023 en protección de datos tendrán que ver con la inteligencia artificial, la ciberseguridad, el metaverso y la tecnología blockchain. De hecho, desde APEP ya estamos centrando varios eventos y formaciones entorno a estas temáticas para que las personas asociadas puedan afrontar los retos que se plantean con seguridad.

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper