Joaquín Muñoz
Socio Protección de Datos — Bird&Bird
Tras cuatro años de aplicación del RGPD se constata que la norma europea se ha convertido en un estándar internacional en la materia pues ha servido de referencia para el desarrollo normativo en protección de datos de países con tradición tan dispar en este ámbito como China, Brasil, Egipto, Nueva Zelanda o Sudáfrica, entre otros.
Siendo que el RGPD se ha convertido en la norma de referencia internacional, parece que no se ha conseguido dotar a la Unión Europea de una aplicación normativa coherente y homogénea entre los diferentes estados pues sigue habiendo diferencias significativas tanto en la interpretación como en la exigencia de cumplimiento y aplicación del régimen sancionador entre las diferentes autoridades europeas. El mismo hecho no se interpreta, persigue y castiga igual en todos los países y esto genera bastante confusión en empresas internacionales, que siguen teniendo que ajustar sus acciones de tratamiento de datos en función de los criterios y actuación de la autoridad del país de residencia de los titulares de los datos.
Por su parte, la publicación de guías y recomendaciones por el Comité Europeo de Protección de Datos y las Autoridades nacionales va dotando de mayor certidumbre la interpretación de ciertos conceptos, como el del interés legítimo, la definición de las figuras del responsable y encargado del tratamiento o los mecanismos de reacción ante brechas de seguridad. Estas guías son muy celebradas por los responsables de protección de datos de las empresas pues, como sabemos, el RGPD deja mucho margen de interpretación y actuación a las empresas en cuanto al análisis de riesgos e implantación de medidas de seguridad pero, por otro lado, las autoridades optan por exigir una obligación de resultado sin tener en cuenta la buena fe de las empresas en la definición de acciones de tratamiento.
Protección de datos es una de las materias en las que tradicionalmente el soft law tiene más peso pues las recomendaciones, guías o resoluciones sancionadoras adquieren, en la práctica, una relevancia casi a la altura de las disposiciones normativas. Partiendo de lo anterior, es también cierto que la normativa deja a iniciativa de los responsables del tratamiento la identificación de riesgos y definición de las medidas a implementar en función de ciertos parámetros que, sin un criterio definido por las autoridades o falta de pronunciamiento específico de las mismas, han tenido que ir interpretando. Incluso en aquellas ocasiones en que dicha interpretación se ha realizado partiendo de la buena fe y voluntad de cumplimiento de los actores nos encontramos con que las autoridades siguen exigiendo una obligación de resultado a los mismos. Especialmente en los casos en los que no existe precedente claro o posicionamiento para una situación de hecho similar y se aprecie la buena voluntad de cumplimiento de los responsables, se echa de menos una mayor flexibilidad por parte de las autoridades a la hora de ejercitar su función sancionadora. En este sentido, la estrategia de concienciación por la que algunas autoridades europeas siguen utilizando procedimientos sancionadores de empresas de reconocido prestigio para lanzar un mensaje de concienciación en forma de sanciones ejemplarizantes puede resultar efectivo pero también cuestionable en estrictos términos de justicia, máxime, como decíamos antes, cuando los baremos sancionadores de las diferentes autoridades nacionales no han conseguido homogeneizarse en la línea que pretendía el Reglamento.
Cualquier espectador de la evolución de las tecnologías más disruptivas (Inteligencia Artificial, Blockchain, Big Data, Realidad Virtual y Aumentada, por mencionar algunas) compartirá, por un lado, la fascinación por el mundo de posibilidades de desarrollo y de negocio que abren, pero, al mismo tiempo, la lógica preocupación por los potenciales riesgos intrínsecos a las mismas. Mi postura en este sentido es a favor de no limitar innecesariamente el desarrollo exponencial de estas tecnologías, pero sí exigir ciertas garantías y precauciones desde la definición de los proyectos que las incorporan.
La tendencia normativa reciente en diversos ámbitos basada en el “by design” (desde el diseño) y el “by default” (por defecto) es muy adecuada para exigir a los promotores de proyectos que utilizan tecnologías potencialmente dañinas para derechos fundamentales un compromiso de seguridad por defecto y desde el mismo diseño del producto o servicio
Creo que la tendencia normativa reciente en diversos ámbitos basada en el «by design» (desde el diseño) y el «by default» (por defecto) es muy adecuada para exigir a los promotores de proyectos que utilizan tecnologías potencialmente dañinas para derechos fundamentales un compromiso de seguridad por defecto y desde el mismo diseño del producto o servicio, así como ciertas condiciones de transparencia para que el usuario final sea consciente en todo momento del impacto que puede tener esa tecnología en su vida privada o profesional. Esto requerirá, como ya estamos viendo, de la integración de nuevos perfiles en los equipos de desarrollo que puedan aportar una visión más humanista y también justa para el usuario, que garantice la calidad y seguridad del producto y el respeto a los derechos de los usuarios, evitando discriminaciones basadas en sesgos o malos usos de la tecnología. En mi opinión, esto se va a traducir en los próximos años en una mayor exigencia de transparencia de los algoritmos o codificación de las tecnologías, pudiendo incluso ser accedido en todo o en parte tanto por las autoridades como por los usuarios de cara a depurar responsabilidades derivadas de su mala aplicación.
En otro orden de cosas, la ciberseguridad es ya crucial para todo tipo de actividad económica como primera barrera de protección hacia el exterior de cara a garantizar la continuidad de la actividad y proteger cualquier información sensible de accesos indeseados. Me atrevería a decir que, para los abogados, se ha convertido incluso en un deber deontológico como medio necesario para cumplir con el deber de secreto. El aumento de dispositivos conectados por persona y la inestabilidad geopolítica actual propicia que haya que revisar los riesgos continuamente y ser muy flexibles a la hora de actualizar los niveles de protección. Un Plan Director de Ciberseguridad a medida de la empresa o administración y la involucración de una figura específica que coordine estas acciones (CIO o CISO) es imprescindible e innegociable hoy por hoy.
Dicho lo cual, una cuestión que parece no variar con el tiempo es que los humanos seguimos siendo el eslabón más débil de la cadena en los planes de ciberseguridad. Por mucha inversión que se realice en medidas técnicas de prevención y reacción, la realidad es que la mayoría de los incidentes graves son generados por la acción o inacción de personas debido a la falta de formación o cultura empresarial enfocada a garantizar un entorno de seguridad. Por ello, creo que hay aún mucho camino por recorrer en la mayoría de las empresas y administraciones públicas para alcanzar una cultura orientada a reducir el riesgo en ciberseguridad. Un plan de formación y concienciación continua, utilizando herramientas que en ocasiones incorporan la gamificación como estrategia para una mejor involucración de los empleados, se antoja imprescindible en toda organización independientemente de su nivel de riesgo inicial.
Me parece muy interesante y siento gran curiosidad profesional por ver cuál es la definición definitiva de todas las cuestiones y desarrollo normativo alrededor de la Estrategia Europea de Datos. Advirtiendo que el ámbito de la misma va más allá de los datos personales, pero que la despersonalización de estos va a jugar un papel fundamental en su configuración, opino que la Comisión Europea asume un gran reto a la hora de configurar un marco normativo que permita a las empresas e instituciones públicas europeas ganar en competitividad basada en la economía del dato y a la vez garantizar el respeto a los derechos fundamentales de los ciudadanos y la protección del secreto empresarial.
Estos desarrollos normativos (Ley del Dato, Ley de Gobernanza del Dato) puestos en relación con otras normas cuya aprobación se espera a corto y medio plazo (Reglamento ePrivacy, Ley de Servicios Digitales, Ley de Mercados Digitales) van a suponer la creación de nuevos modelos de negocio alrededor del dato y la aparición de nuevos actores empresariales desconocidos hasta el momento que, bien como intermediarios, bien como facilitadores técnicos, van a ser determinantes en el éxito de la estrategia europea para intentar equilibrar la balanza en cuanto a volumen de manejo de información procesada y el rendimiento social y económico de la misma.
Además de lo anterior, avances europeos y nacionales en normativas que regulan mercados complejos como es el de los criptoactivos, o el consenso a través de definición de principios generales para el desarrollo legal y ético de inteligencia artificial van a centrar el foco en los próximos años por lo que los profesionales de la privacidad debemos estar atentos y en formación continua para conjugar criterios sectoriales con la normativa en protección de datos a la hora de asesorar a nuestros clientes.