Conócenos

Ricard martínez

"El delegado será una figura imprescindible, un aliado necesario para la garantía del derecho fundamental a la protección de datos"

Entrevistamos a Ricard Martínez, Presidente de la Asociación Profesional Española de Privacidad (APEP), con ocasión de la publicación del Reglamento General que reforma la protección de datos en toda la UE.

  • Imprimir

¿Por qué el recién publicado Reglamento General de Protección de Datos supone un cambio drástico en el panorama de la privacidad y su protección?  En definitiva ¿cuál es su alcance?

El reglamento supone un cambio desde muy diversas perspectivas. En primer lugar porque resuelve un problema de dispersión normativa y de falta de coherencia entre las normas de los Estados miembros. Por otra parte, reafirma su ámbito de aplicación evitando situaciones de desprotección frente a tratamientos realizados desde países ajenos al espacio Económico Europeo.

En segundo lugar porque en mi opinión define y consolida un modelo europeo de privacidad caracterizado por un intenso carácter tuitivo con un enforcement reforzado qué pone en el centro de sus objetivos la garantía de los derechos de los europeos.

Finalmente incorpora nuevos modos de hacer las cosas, protección de datos desde el diseño y por defecto, análisis de impacto en la privacidad, registro de los tratamientos, notificación de violaciones de seguridad etc, que deberían repercutir en la gestión de la privacidad por las organizaciones. 

- ¿Cómo afectará el nuevo Reglamento a las empresas?

Por una parte, desde la propia norma se establecen dos tipos de velocidades ya que en ella se señalan algunas excepciones para las microempresas, por ejemplo en la exención de lo relativo al registro de los tratamientos a empresas de menos de 250 trabajadores. En cualquier caso, el impacto más significativo viene dado por una filosofía, la de la protección de datos desde el diseño y por defecto, en virtud de la cual cualquier proceso o procedimiento, de gestión, o el diseño de un sistema o tratamiento de información personal tiene que poner en valor desde el segundo cero el respeto del derecho fundamental a la protección de datos.

Por otra parte la entera filosofía del Reglamento hace que las empresas deban poner en el centro de su acción la garantía de los derechos de sus clientes. En este sentido es fundamental entender la responsabilidad, la llamada “accountability”, como un compromiso organizativo con el cumplimiento normativo. A mi juicio es fundamental subrayar que cumplir el Reglamento proporcionará un significativo retorno de la inversión medible en términos de calidad en los sistemas de información, de confianza del cliente y de un modo de operar en el mercado de Internet distintivo de la Unión Europea capaz de ofrecer al mundo la confianza en un entorno seguro para los datos de los clientes. 

- ¿Y al ya popularmente conocido como “derecho al olvido”, cómo le repercutirá?

Aunque le vaya a sorprender la respuesta, la regulación del derecho al olvido es la novedad menos significativa del Reglamento. Ello se debe esencialmente al hecho de que la norma consolida los principios fijados por el Tribunal de Justicia de la Unión Europea, incluidos los criterios de resolución de conflictos. 

- Entre sus principales novedades cabe destacar que este Reglamento crea específicamente la figura del Delegado de Protección de Datos (DPO). ¿Considera necesaria una regulación adicional para terminar de perfilar jurídicamente el ámbito competencial, funciones y responsabilidades que ha de asumir esta figura?

La regulación de esta figura ha sufrido muy diversos vaivenes desde la propuesta inicial de la Comisión y el Parlamento. En este sentido, hemos pasado de criterios basados en el número de trabajadores a otros centrados en el tipo de organización pública, en la sensibilidad de los datos objeto de tratamiento o en el impacto en el perfil informacional los interesados. En cualquier caso se ha apostado por una regulación de mínimos que desdibuja la figura inicialmente pergeñada por la Comisión y el Parlamento. En tal sentido, sí parece necesaria una regulación nacional que concrete de modo más preciso los supuestos y que defina los perfiles competenciales. Opino que hay que apostar por un delegado de protección de datos de geometría variable. Es decir, no se trata de que todas las empresas de este país tengan un delegado contratado permanentemente.

Sin embargo, parece razonable que el desarrollo de muchos sistemas de información o tratamientos de datos deban ser informados por un experto para garantizar un adecuado despliegue de las condiciones de la normativa y otro tanto sucedería con el mantenimiento y revisión periódica de las condiciones de cumplimiento o la auditoría de seguridad.

El delegado será una figura imprescindible, un aliado necesario para la garantía del derecho fundamental a la protección de datos. La complejidad de la norma, la dificultad de implementación de bastantes de sus exigencias, el análisis experto de las condiciones de los tratamientos será inviable sino se asume, define y consolida esta figura. 

- ¿Considera que el aumento en la cantidad de las sanciones que contempla el Reglamento confiere a éste un carácter punitivo y restrictivo?

El régimen sancionador previsto por el Reglamento en realidad debe ser leído de dos maneras distintas. En primer lugar, define un escenario de máximos con una enorme flexibilidad en su graduación y ello va a permitir a los reguladores ajustar la intensidad punitiva al perfil concreto de la organización sancionada. Por otra parte, los límites máximos que impone pueden operar como un elemento disuasorio en aquellos casos en los que pagar multas se había incorporado a la estructura de costes de un negocio y formaba parte de un riesgo asumido insoportable. No obstante, es fundamental entender que la garantía del cumplimiento basada en una política de sanciones espectaculares únicamente producirá un incremento al alza en el volumen de denuncias y no necesariamente una mejora en las condiciones de cumplimiento.

Por último, existe un elemento de riesgo cuando la norma permite a los Estados mantener asimetrías entre el sector público y el privado. En España el resultado práctico no ha sido otro hasta hoy que el de un bajo cumplimiento de la legislación sobre protección de datos por parte de muchas administraciones. 

- ¿El Reglamento sólo afecta a responsables de actividades de tratamiento de datos personales establecidos en la UE, o también puede alcanzar a los establecidos fuera de la Unión?

Esta es una de las más significativas novedades. Cuando se presentó el Reglamento en su versión inicial se declaraba que iba a ser una norma capaz de abordar los retos de Internet y en Internet no hay fronteras. Por esto, cuando el Reglamento define su ámbito de aplicación pone el acento en la voluntad del responsable de tratar datos de ciudadanos europeos ya sea para ofrecerles un servicio de la sociedad de la información o venderles un bien, ya sea con la finalidad de desarrollar actividades como el profiling. Ello permitirá acabar con la discusión respecto de las obligaciones de garantía del derecho fundamental a la protección de datos de los europeos cuando el responsable opera desde otro país y fijará condiciones equivalentes de competencia en el mercado de la privacidad con independencia de lugar en el que radique un negocio.

- ¿Qué ha querido decir valorando el nuevo reglamento cuando dice “pasamos a un entorno en el que se habla de accountability a tener que hablar de Privacy by desing”?

Se trata de valorar el doble esfuerzo y compromiso de los responsables de los tratamientos. En primer lugar, la llamada acountability podía inferirse de la regulación preexistente. Me viene a la memoria cómo el Tribunal Constitucional en el caso BBVA admitió la legitimación para interponer un recurso de amparo a un responsable del tratamiento sobre la base de situarlo en una posición de garante, de considerar que su responsabilidad era ser diligente en la garantía de los derechos de sus clientes.

La privacy by design incorpora un elemento adicional. Se trata de poner a la privacidad en el centro del sistema y de tener en cuenta el valor central de las personas para el negocio o para la actividad administrativa. Por otra parte define un principio axiologico que debe vertebrar cualquier tipo de tratamiento en nuestro modelo de sociedad intensivo en el uso de información personal.

Este principio, valor y método de diseño se articula en el contexto de una sociedad red abierta a Internet. En él la privacy by design, y con ella la garantía del derecho fundamental a la protección de datos, es mucho más que una simple obligación normativa. Es el pilar sobre el que descansará la garantía de nuestros derechos fundamentales, de nuestra libertad en el contexto de la sociedad de las tecnologías de la información. 

- Para terminar, en su opinión ¿por qué es necesario que se incluya un representante de los profesionales en el Consejo Asesor de la APEP? 

Es una reivindicación que poseería lógica incluso en ausencia de una revolución normativa como la que plantea el Reglamento. La LOPD en su despliegue consolidó la necesidad de contar con un asesoramiento experto altamente cualificado. Ello comportó la aparición de un entero sector profesional. Los profesionales de la privacidad despliegan su actividad en el día a día, cercanos a los responsables con un profundo conocimiento del terreno. Muchos sectores como los consumidores pueden hacer oír su voz en el seno del Consejo. Incluso la Academia de la Historia tiene un representante, lo que puede tener sentido habida cuenta de la estrecha vinculación de la garantía de la privacidad con el impacto de los totalitarismos en la historia contemporánea europea.

Sin embargo comprenderá que me parezca un completo sinsentido que aquellos cuya misión directa es prestar soporte a los responsables no tengan un asiento en este Consejo y puedan aportar su experiencia. Ahora en la que la figura del delegado de protección de datos se erige en el interlocutor necesario para la garantía de los derechos, para la notificación de violaciones de seguridad o para la tramitación de autorizaciones previas, la no presencia de un representante del sector en el Consejo pasaría directamente de ser un sinsentido a una sinrazón.

Los profesionales de la privacidad y quiénes lo representan han demostrado caracterizarse por un enorme rigor técnico y profesional. Por desarrollar en el caso de APEP un esfuerzo significativo de formación continuada basada en la calidad y en un modelo independiente y tutelado por un consejo académico enormemente prestigioso. Del mismo modo APEP ha diseñado procesos de certificación independiente y confiable.

Los profesionales merecen estar en el Consejo de la Agencia por sus propios merecimientos. Pero, la cuestión es otra, el regulador necesita en realidad que ello suceda, los profesionales son su aliado natural, un instrumento sin el cual el cumplimiento normativo en España del nuevo Reglamento estará abocado al fracaso.  

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Procedimientos de seguridad. Control de acceso

    Unos de los procesos a implementar en el despacho jurídico es el del control de acceso a los lugares del despacho donde se almacenan datos personales.

  • Procedimientos de seguridad

    Unos de los procesos a implementar en el despacho jurídico es el de la identificación y autenticación de usuarios en aquellos sistemas de información desde los que se gestionen datos personales.

  • Medidas de seguridad para ficheros no automatizados

    Antes de entrar de lleno a definir procesos de seguridad conviene que se haya planteado adecuadamente los ficheros de datos que deberá registrar y su tipología.

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

La ciberseguridad, objetivo estratégico del Ministerio del Interior

El pasado sábado 29 de julio se publicó en el Boletín Oficial del Estado (BOE) el Real Decreto 770/2017, de 28 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior.

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17