“Si me pusiera al frente [de la AEPD], podríamos estar entre las tres primeras autoridades de protección de datos del mundo”
En el marco de la celebración de la Jornada Internacional de la Seguridad de la Información impulsada por el ISMS Forum en el estadio colchonero, entrevistamos a uno de los ‘galácticos’ en el terreno de la privacidad de datos: Leonardo Cervera. Así habla para CSO.
- Especial IV aniversario de GDPR
- El DPO, clave para la consolidación real de la cultura de la privacidad de datos en España
- Europrivacy, una nueva era para el cumplimiento de la privacidad y la protección de datos
- Sobre Gaia-X: “Me parece un proyecto muy interesante y potente, pero le falta foco”
- Europa será la primera potencia mundial en tener su propia ley de inteligencia artificial
Si hay un nombre propio que actualmente está en boga es, indiscutiblemente, Leonardo Cervera. El actual director del Supervisor Europeo de Protección de Datos se postulaba recientemente como candidato a ostentar la presidencia de la Agencia Española de Protección de Datos (AEPD) dando un paso significativo en su trayectoria profesional. Así, en el marco de la celebración de la Jornada Internacional de la Seguridad de la Información impulsada por el ISMS Forum discurre una entrevista con la privacidad de datos como hilo conductor. A continuación, para CSO España, todo lo que Cervera tiene que decir.
El viaje de ida de la digitalización ha traído consigo un crecimiento exponencial de los datos que, a priori, parece irrefrenable. ¿Qué ha supuesto esto como director del Supervisor Europeo de Protección de Datos?
Ha supuesto mucho más trabajo (ríe). La importancia de la protección de datos en la Unión Europea (UE) y en el mundo ha traído consigo muchas más consultas al Supervisor Europeo. La dificultad ha sido, en este sentido, dar una respuesta técnica de alta calidad a todos los usuarios. En definitiva ha implicado más trabajo y más ilusión por construir un futuro digital seguro para nuestros ciudadanos.
Dada su posición al frente de la institución, ¿cuáles diría que son los principales desafíos que ha encarado en la primera línea?
El más importante es la complejidad del ecosistema, de la protección de datos, de la ciberseguridad, de los diferentes intereses en juego. Es muy difícil encontrar el equilibrio correcto entre todos estos intereses, ese es el desafío más importante que tenemos.
En lo que se refiere al Supervisor Europeo tenemos una responsabilidad de supervisión precisamente en el área de seguridad, de justicia, donde se están desarrollando enormes bases de datos que se pretenden interconectar. Ese es otro gran reto para nosotros, ser capaces de extraer los beneficios de estas herramientas haciéndolo de una manera respetuosa con los derechos del individuo.
¿En qué fase del proceso están?
Todas estas nuevas agencias y bases de datos que se están creando en la actualidad para el control de las fronteras o la libre circulación de las personas están en su fase inicial, por lo que la labor del Supervisor Europeo es acompañarlas en este proceso.
Europa es uno de los continentes que más relevancia otorga a la protección de los datos de terceros. Muestra de ello son algunas de sus robustas políticas al respecto. ¿Qué grado de madurez tiene la sociedad europea en relación a la salvaguarda de los mismos? ¿Y España?
Está claro que Europa es líder en protección de datos, es una apuesta que se hizo hace muchos años y que está dando sus frutos. Este es el efecto Bruselas, ir por delante creando los estándares de seguridad para todos los que están por detrás. Ahora estamos intentando repetir la jugada del Reglamento General de Protección de Datos (GDPR) con el Reglamento de Inteligencia Artificial. Queremos ser los primeros, que otros se inspiren en nuestro modelo. En este sentido hay una gran madurez de nuestra clase política y empresarial europea sobre el conocimiento y la importancia de la protección de datos.
En España, por supuesto, también. Es uno de los países más importantes de la Unión y tenemos una Agencia de Protección de Datos de primer orden, buenísima. Donde aún queda algo de trabajo por hacer es, sin embargo, en transmitir a la sociedad el trabajo que se está haciendo, ya que a veces no se comprende.
¿Qué cree que hace falta para fomentar y aterrizar una cultura de la privacidad del dato a escala social?
Creo que las autoridades de protección de datos tienen la asignatura pendiente de comunicarse mejor con la ciudadanía y dar más participación a la sociedad civil en este debate. La protección de datos no la pueden hacer una realidad el centenar de personas de la autoridad de supervisión, la protección de datos la hacen realidad los ciudadanos, las empresas, los organismos públicos… Debemos dar un mayor papel a la comunicación con la sociedad civil, una mayor participación de la comunidad de delegados de datos y una mayor cooperación entre las autoridades de protección de los distintos países.
Poniendo el foco en la figura de los DPO, ¿qué papel le merecen en España? En la actualidad hay un importante gap entre el talento especializado y la demanda…
Los DPO españoles están entre los mejores. Viajo alrededor del mundo, no sólo por Europa, participo en un sinfín de foros como este y veo que el nivel de los españoles es excelente porque, verdaderamente, llevamos muchos años en esto. Sin embargo, hoy en día, creo que no se acompaña suficientemente bien a los DPO por parte de las autoridades de protección de datos. Habría que hacer una escucha más activa sobre las necesidades que los DPO ponen sobre la mesa y orientar su actuación. Deberíamos escuchar más a los ciudadanos y hacer actuaciones que les importen más, menos burocráticas y más orientadas a responder a sus problemas. El canal de denuncia para evitar casos de violencia de género en Internet o ciberacoso que ha impulsado la AEPD es fundamental, eso sí es protección de datos de verdad.
Volviendo a poner el acento en Europa y teniendo en cuenta que en 2022 se han cumplido cuatro años de la implantación del GDPR, ¿cómo ha envejecido la norma?, ¿le pesan ya los años encima?
En lo que a la normativa respecta creo que tenemos que distinguir los principios rectores de la normativa de los procedimientos de aplicación práctica. Los principios no han envejecido nada; de hecho no lo han hecho desde los años 80 que es cuando se pusieron por primera vez sobre la mesa, siguen siendo los mismos. Estos están inspirados en nuestros valores democráticos, los cuales no envejecerán nunca a menos que acabemos en una sociedad totalitaria. Lo que sí puede envejecer es su aplicación práctica, especialmente en un ambiente tecnológico en el que los años no pasan en balde. Sin embargo, cuatro años para un reglamento que costó prácticamente doce años sacar adelante no es mucho. No es momento de pensar en reabrirlo, lo que hay que hacer es mejorar la manera en la que se aplica en la práctica.
¿Qué es necesario para alcanzar esa mejora?
Especialmente mejorar la cooperación entre las autoridades de protección de datos; es decir, que el enforcement se haga de una manera más consistente y coordinada. Para eso no hace falta cambiar el reglamento, simplemente hay que poner en práctica las cosas que el reglamento ya prevé y que en muchas ocasiones no se están haciendo.
¿Cuáles?
Por ejemplo las actuaciones o investigaciones conjuntas. ¿Qué impide a la autoridad española de protección de datos trabajar o investigar con la portuguesa y la francesa contra una empresa que está establecida en los tres países? Nada. ¿Cuántas veces se hace esto? Muy pocas. Es ahí donde hay que progresar.
Si hay una iniciativa europea con respecto a la compartición de datos que ha desatado un sinfín de opiniones contrapuestas, dudas y vaticinios es Gaia X. ¿Qué valoración hace de la iniciativa? ¿Cree realmente que su materialización es posible?
Creo que los espacios de datos son algo muy importante, muy útil y muy necesario, al igual que el liderazgo europeo para darles forma. Si hay algo que ha puesto de manifiesto la pandemia que hemos sufrido es que la excesiva interdependencia o dependencia con otras regiones del mundo puede resultar muy peligrosa en un momento de crisis. Desde el Supervisor Europeo abogamos por una soberanía digital europea bien entendida, es decir, abierta al mundo, donde los europeos seamos soberanos para decidir sobre nuestro destino. Estos espacios de datos a la europea están muy bien. Nosotros no tenemos problema con ello, solo que sea conforme a nuestros valores y nuestras leyes. En la medida en que esto se haga así, no debería haber ningún problema.
¿No cree que haya una disyuntiva entre los beneficios que concede y la privacidad a la hora de compartir información crítica?
La tecnología que tenemos hoy en día conlleva riesgos, no es lo suficientemente segura, de ahí que cada día tengamos infinidad de brechas de datos e incidentes. Sin embargo creo que no hacemos un favor a la sociedad adoptando una posición numantina o negativa hacia el progreso tecnológico. Es evidente que todos estos datos bien estructurados, bien tratados, tienen un gran potencial económico. Nosotros somos positivos siempre frente a la tecnología, pero hay que incidir en que ese uso de la tecnología se haga conforme a nuestros valores. Para ello habrá que apostar por una protección de datos moderna que se ponga al día con la realidad tecnológica de nuestro tiempo, que son los espacios de datos.
Aprovechando la recta final del año, ¿qué balance hace del trabajo realizado por el Supervisor Europeo de Protección de Datos?
Muy positivo. Hemos podido superar la pandemia finalmente que ha sido algo que nos ha estado paralizando mucho, por ejemplo, no se podían hacer revisiones in situ. Hemos superado eso y tomado medidas que son importantes. Una que a mí me gusta recordar y que no se hace mucho es la petición de nulidad que hemos hecho ante el Tribunal de Justicia de la UE sobre unos cambios que han hecho en el Reglamento de EUROPOL. De manera retroactiva han anulado unas decisiones que el supervisor europeo tomó dejándolas sin efecto ante la ley. Ante esta situación lo llevamos al legislador europeo alegando que eso pudiera no ser respetuoso con el principio de independencia y el principio del Estado de Derecho. Si a posteriori todo se puede dejar sin efecto, lo que una autoridad independiente ha hecho, es un peligro grave, especialmente en determinados países donde hay tendencias autoritarias.
Teniendo en cuenta su posición asentada en Bruselas, ¿por qué ha decidido postularse a la presidencia de la Agencia Española de Protección de Datos?
Porque llevo toda la vida en el servicio público de la protección de datos. En cuanto se publicó la vacante y por primera vez en la historia de nuestro país se dijo que no iba a ser un nombramiento político, sino que se iba a hacer conforme a criterios de mérito y capacidad, pensé que sería oportuno postularme.
¿Será esa experiencia y bagaje su seña de identidad en la carrera hacia la presidencia?
Claro, yo soy un europeísta convencido, pero también soy español. Toda la experiencia que he adquirido después de tantos años trabajando en la UE y el nombre que me he hecho creo que puede ayudar mucho a mi país. Por eso pensé que debía presentarme. Los que hemos estado fuera y hemos aprendido cosas que pueden servir a nuestro país tenemos, casi, un deber moral de entregar esos conocimientos al servicio nacional. Si se acepta, genial, sino seguiré trabajando en la Unión Europea.
¿Eso es lo que aspira a lograr?
Sí. Especialmente ayudar a los compañeros de la AEPD, ellos son unos profesionales magníficos y están entre las primeras autoridades de datos del mundo. Si yo me pusiera al frente, con mi experiencia y el nombre que he hecho en Europa, el peso de la autoridad española todavía sería mayor y, quizás, podríamos estar entre las tres primeras del mundo. Esta es mi ambición.
