Ricard Martínez.- Para celebrar que con este número se cumple el segundo año de vida de la revista, inauguramos unos contenidos que llevábamos tiempo queriendo ofrecer a nuestros lectores: tener una interacción personal con los profesionales.
Y es que, desde su inicio, La Ley Privacidad ha puesto en el centro de su actividad a estos profesionales, poniendo a su disposición una información práctica y actualizada, de utilidad para su ejercicio profesional.
Además, el próximo mes de junio se celebra el congreso anual de la Asociación Profesional Española de Privacidad, APEP, a la que esta publicación tiene mucho cariño. Por eso, hemos querido plantear una entrevista o charla con cuatro profesionales pertenecientes a la misma, para conocer su visión sobre la privacidad en 2022.
Para ello, en esta primera ocasión hemos contado con Nelia Álvarez, Abogada experta en privacidad de Écija Abogados; Genís Margarit, ingeniero de telecomunicaciones; Ana Marzo, de Marzo Abogados, y Lluis Sanz Marco, Ingeniero industrial y Delegado de Protección de Datos (DPD) del Ayuntamiento de Barcelona, todos ellos moderados por el profesor Ricard Martínez, director de La Ley Privacidad.
Hemos hablado con ellos de la evolución de la profesión a lo largo del tiempo, y de los aspectos más relevantes que deberá afrontar en el futuro, sin olvidar la importancia de la formación y un toque final humorístico, recordando algunas anécdotas de la profesión.
Lo que sigue es la reseña editada de esa conversación, cuya grabación completa puede verse en el video que aparece al inicio de esta sección.
Ricard Martínez. Me gustaría empezar conociendo vuestra opinión sobre cómo ha cambiado la profesión a lo largo de los últimos años porque yo, desde la mi experiencia particular, tengo la impresión de que lo que hoy hago, tiene poco que ver con lo hacía, aunque naturalmente, haya un fondo común. Si os parece, empezamos por la más joven …
Nelia Álvarez. Yo empecé carrera trabajando directamente con el Reglamento General de Protección de Datos (LA LEY 6637/2016), por lo que no puedo comparar con la aplicación de normativas previas. Mi experiencia con la anterior fue nula se limitó a algún contacto con la inscripción de ficheros, aunque no entendía cuál era su finalidad.
Lo que despertó mi interés por el tema de la protección de datos es que en el ámbito mercantil al que me comencé dedicando, me encontré con conflictos de aplicación empresarial en los que sí había relación con los datos. Pero en esa materia no había mucha transparencia.
Lluis Sanz. Yo por mi parte empecé a trabajar en el sector en el año 96, con la última moratoria para inscribir los primeros ficheros de la LORTAD. En aquel momento parecía que el nuestro era básicamente un trabajo administrativo más, para el que había que perseguir a los clientes internos.
En mi opinión, el cambio más relevante desde entonces es que hoy son estos clientes internos los que nos persiguen a los responsables de protección de datos. Esto demuestra que ha habido un cambio cultural muy importante que se inició ya con el reglamento de 2007, sobre todo en materias de seguridad. Pero el cambio más relevante se produjo en 2018, con la llegada de la plena eficacia del RGPD. Nos tuvimos que convertir en formadores intensivos de nuestro personal y ello contribuyó a que muchos usuarios internos entendiesen que la cosa había cambiado. Se creó una cultura interna y eso es algo muy importante y a veces más relevante que la transmitida desde fuentes externas.
La prueba es que en 2007 gestionábamos el servicio con dos personas a tiempo parcial y ahora contamos con siete trabajando a tiempo completo, para dar un servicio que ya no es necesario vender. Hoy, cada vez que se abre un nuevo proyecto en el Ayuntamiento, se plantean las cuestiones relativas a la privacidad, lo que nos permite tener una visión 360 grados de la organización.
Ana Marzo. En mi opinión, el primer gran cambio fue en 1992, con la primera norma de Protección de datos, que más bien generó una especie de caza de brujas en la que la autoridad de control se centró en un par de sectores muy concretos, como la banca y las empresas de solvencia crediticia y el marketing. Aquellos eran también los primeros tiempos de una inspección que estaba aprendiendo a abrir su camino.
Después, la Ley de 1999 permitió un mejor conocimiento de la norma, que se profundizó con el RGPD.
Por ejemplo, hasta entonces, las administraciones públicas estaban muy al margen de estos temas. Hoy, el sector público considera la protección de datos como parte de su servicio público. En este sentido, la figura del Delegado de Protección de Datos ha sido fundamental en el sector público, y algo menos en el privado, porque no todas las empresas tienen la obligación de tenerlo.
De hecho, para muchas empresas la protección de datos sigue siendo más un lastre u obligación al que no ven utilidad, además de que no todas las empresas tienen los medios necesarios para un cumplimiento suficiente de la normativa.
Con todo, creo que hoy se conoce mejor la protección de datos, aunque la ciudadanía ha asumido que tiene poco control sobre sus datos, porque la privacidad es difícil de defender.
Por ello es necesario culturizar mucho más a la ciudadanía en la exigencia del cumplimiento de la normativa, como una parte más, pero esencial, de la actividad de las empresas. Y, por su parte, las empresas deben verla no como una amenaza, sino como algo mucho más natural cuya utilidad reside en ganar la confianza de los usuarios por medio de la defensa de sus derechos.
Genís Margarit. El ejercicio de nostalgia siempre es peligroso, porque se tiende a pensar que antes se estaba mejor. La realidad es que, con el Reglamento de medidas de seguridad de 1999 en la mano era fácil explicar a las empresas qué tenían que hacer. Algo que siguió sucediendo, mejorado, en 2007.
Sin embargo, con el RGPD se nos dice que tenemos que ser proactivos y evaluar los riesgos, obligando a manejar unos intangibles y a realizar unas evaluaciones de riesgo que llevan a enfrentarse a unos comités de riesgo.
Por otra parte, a lo largo de estas décadas la ciberdelincuencia ha aumentado mucho. A causa de la misma, hoy caen continuamente una cantidad enorme de negocios, algo que cambia mucho la profesión y la manera de abordar el servicio, porque la gente llega asustada por lo que le ha sucedido al vecino.
Ricard Martínez. En este contexto creo que se pone de relieve la importancia de la formación, que hasta hace no mucho era un patrimonio universitario, centrado en unos pocos másteres. Sin embargo, últimamente han proliferado los títulos oficiales, propios o no y una cantidad de centros de formación, incluyendo la impartida por entidades como la APEP. En vuestra opinión ¿Cuál ha sido el papel de la formación y porqué debería apostar de cara al futuro?
Ana Marzo. La formación ha sido fundamental para llevar a la privacidad al nivel de importancia que tiene ahora en empresas y en la Administración. Pero la calidad de la formación es fundamental para que las personas que la reciben entiendan, conozcan y pongan en práctica adecuadamente la normativa.
Hay que destacar que la consultoría a coste cero no ha permitido una formación de calidad, lo que pone de manifiesto que hay que buscar la excelencia y la calidad en la formación.
Genís Margarit. Creo que en la formación lo mejor no es van a ser los apuntes, sino los compañeros de clase, a quienes conoces y con quienes compartes la experiencia formativa.
Por regla general, los que nos formamos en este ámbito somos o muy técnicos o muy jurídicos. Pero armar un negocio con todas las exigencias y globalidad que plantea, requiere contar con economistas, expertos en administración de empresas, en Recursos Humanos, etc.
Lluis Sanz. En nuestro caso, una de las apuestas a la hora de plantearnos cómo atacar la gobernanza después de 2018, fue disponer de un instrumento de 10 o 12 páginas con los principios de obligado cumplimiento, que sirviese de referencia.
Pero también era necesario un cambio cultural de toda la organización, para que la protección de datos no quedase como un tema de tres o cuatro expertos. Máxime cuando la rotación en la administración es muy baja, por lo que las nuevas generaciones, que sí están ya formadas en esta materia, empiezan a llegar en condición de interinos y no en puestos clave.
Uno de los factores que introdujimos fue la formación cruzada, para que los juristas y los técnicos tuviesen conocimiento del otro lado y forzando la formación del personal más antiguo para poder ofrecer la receta que más pudiese interesar a unos y otros dentro de la organización.
En la época anterior a 2018, la formación del personal de las Administraciones era muy pequeña. Hoy nuestro departamento cuenta con una persona especializada en formación, pero todavía habría que forzar más la interoperabilidad en la formación, lo que en un Ayuntamiento se puede hacer por medio de talleres y grupos más dinámicos orientados a compartir una cultura. Además, es necesaria más proactividad porque, como ha apuntado antes Genís, ya no tenemos las recetas cerradas de 2007 y eso hace más necesario el conocimiento mixto.
Nelia Álvarez. En mi caso, la necesidad de formación especializada en este ámbito surgió de forma natural. En mi trabajo empezaron a surgir conflictos sobre datos y tecnologías, aunque en un ámbito más amplio, no tanto de protección de datos.
Por eso, cuando me quise dedicar a esta parte del derecho, hice un máster que me permitiera combinar la parte técnica con la jurídica, evitando centrarme solo en los temas que más me gustaban.
Hoy es evidente que no nos podemos permitir el lujo de no estudiar. Es necesario no quedarse cojo en los conocimientos técnicos para poder ofrecer un buen servicio a los clientes.
Ricard Martínez. Y mirando hacia el futuro ¿Cuáles creéis que son los retos de futuro de la privacidad?
Genís Margarit. El valor que las empresas dan a la seguridad es el de la disponibilidad de los sistemas y, si llega el caso, la reparación del desastre. Pero la gestión de las crisis se suele remediar por una circular pidiendo a la gente que cambie la contraseña. No ha cuajado la idea del resultado suma cero que genera la pérdida de seguridad.
Ahora empiezan a surgir personas que ocupaban puestos relevantes en las grandes tecnológicas pero que se bajan del barco cuando entienden que el tratamiento de datos que estas realizan no es ético. Personas como Tristan Harris de Google, Frances Haugen de Facebook o Elías Campo, de Whastapp. Pero necesitamos más líderes que ante tratamientos no respetuosos con las personas preparen su carta de renuncia. Si las empresas que no dan valor a la protección de datos vieran que los DPD no les duran, igual se empiezan a plantear las cosas.
Ana Marzo. Creo que el principal desafío es, por una parte, que las administraciones públicas mantengan la privacidad como parte de su servicio público, por otro, que las empresas entiendan que la privacidad sirve para generar valorar y, en tercer lugar, que la ciudadanía sepa ejercer sus derechos. Todo ello con especial atención a las personas más vulnerables y los menores, sabiendo concienciarles y generar más valor para ellos.
Nelia Álvarez. El reto para las empresas es entender que el valor de la privacidad no está en ahorrar sanciones sino en integrar una cultura que aporta valor al cliente, obteniendo una ventaja competitiva importante en el mercado.
No vale de nada exigir el cumplimiento si a continuación proclamamos que ese cumplimiento perjudica a la organización.
Lluis Sanz. Necesitamos una privacidad y una ética de la privacidad. Las administraciones públicas debemos apostar por la privacidad como servicio público y para ello es necesaria una ética pública distinta de la de los sectores privados.
Pero para extender la privacidad ética es importante la participación de las personas adscritas a los servicios sociales que se enfrentan a la brecha digital y a la falta de concienciación sobre la importancia de la privacidad. Por eso hacen falta unos sectores sociales muy proactivos, incluso ayudados de servicios de estudios y estadísticas específicos, porque son tan importantes como los sanitarios, por ejemplo.
En las administraciones públicas hay mucha gente que podría extender el concepto de privacidad como servicio público, en especial para los sectores menos favorecidos. Necesitan una proactividad e inteligencia que desde la parte de los servicios sociales es difícil de solucionar.
Ricard Martínez. Por mi parte, me gustaría añadir, que creo necesario que exista un documento que justifique que se ha tenido en cuenta la privacidad desde el diseño y por defecto, y que permita demostrarlo. También hay que reaprender el valor de la privacidad para el bien común, sobre todo pensando en aspectos como el análisis de datos para el sector público trazables y verificables.
Ricard Martínez. Para concluir, me gustaría pediros que narrarais alguna anécdota que os haya sucedido en vuestro trabajo.
Por mi parte, puedo empezar recordando dos, una mala y una buena. La mala: en mi primera reunión sobre protección de datos en la Universidad con los responsables de informática, tuve que aprender que mi trabajo no consistía en soltar discursos jurídicos sino en resolver problemas reales.
La buena: después de un curso un alumno me vino a contar que estaba muy preocupado por un posible incidente de seguridad que había sufrido y que podía afectar a la gestión de las nóminas de 6.000 personas. Ello me demostró que la preocupación por la privacidad ya está más asentada.
Nelia Álvarez. Creo que la principal anécdota sobre nuestro trabajo es que La mayoría de la gente no entiende a qué se dedica un profesional de la privacidad. Pero también recuerdo un hecho que me hizo comprender lo difícil que resulta a veces configurar adecuadamente la privacidad de un dispositivo. En determinada ocasión intenté hacer con el equipo de unos conocidos y, después de 45 minutos de intentos, lo tuvimos que dejar por imposible. Tomé mi propia medicina.
Ana Marzo. Puedo recordar una que muestra que los profesionales de la privacidad hemos hecho piña. Una vez, negociando un contrato de acceso a datos, en la otra parte estaba un compañero, defendiendo los intereses de sus clientes de una forma un tanto rígida. Finalmente pudimos llegar a un consenso. Hoy somos buenos amigos.
Por otra parte recuerdo que los primeros clientes que llegaban interesados en asesoramiento sobre protección de datos eran los bancos y las entidades de acreditación de solvencia. Para poder ejercer su actividad estas organizaciones debían acudir al servicio de defensa de la competencia, para que este aprobara las condiciones en que estas asociaciones ponían en funcionamiento este tipo de ficheros, a lo que se solía acceder, excepto en lo relativo a la inclusión de las cláusulas de protección de datos, lo que daba lugar a que en caso de inspección de la AEPD se les impusieran sanciones. Cuando algún tiempo después los responsables de competencia llegaron a la Agencia, por haber sido adscritos a la misma, fue una sorpresa volver a encontrárselos allí.
Lluis Sanz. En nuestra actividad hay casi un anecdotario diario. Pero una que enlace el pasado con el futuro puede ser esta: a finales de los años 90 o principios del 2000, el Ayuntamiento os colaboraba mucho con la Autoridad Catalana de Protección de Datos en la realización de planes preventivos. En una ocasión se ofrecieron voluntarios para uno de ellos, para lo que seleccionaron a un departamento famoso por su celo por estos temas. Acudieron a él y a la pregunta de si tenían quien les hiciera las copias de seguridad, el preguntado repuso que, pese a que ese servicio estaba centralizado, él hacía una copia de toda la documentación que gestionaban, en un usb de uso personal, que llevaba en el bolsillo, mostrándoselo a los inspectores...