Jurista e investigadora, Elena Gil González pertenece a las nuevas generaciones que se han creado en un entorno tecnológico, con lo cual su entrada en el mundo del big data y la protección de datos ha sido más natural. En la víspera de la Computers, Privacy and Data Protection Conference (CPDP) que tiene lugar en Bruselas, uno de los eventos más destacados en materia de privacidad a nivel europeo, donde participa como ponente, hemos conversado para conocer cómo percibe el desarrollo de las nuevas normativas de protección de datos.
Su perfil:
“Realice la doble titulación de Licenciada en Derecho y Administración de Empresas en la Universidad Carlos III de Madrid con unas primeras prácticas de verano en Cuatrecasas. Las hice en el área de propiedad industrial, intelectual y protección de datos. Ya en ese momento me interesaban áreas del derecho que tendieran a la innovación aunque en la carrera no se identificaban.
Con posterioridad a licenciarme, trabajé un año en Uría Menéndez y con el tiempo me planteé realizar mi tesis doctoral. Mientras decidía el tema acudí al el equipo de Cuatrecasas en busca de consejo. Ahí fue cuando me dieron la idea del big data. Así salió mi interés por big dada, privacidad, nuevas tecnologías. Estaba haciendo un Master en la Cámara de Comercio de Madrid sobre Big Data para realizar mi tesina, ya en estos temas. Este tema me enganchó.
Esa tesina se convirtió en el libro que fue premiado por la AEPD en el 2016 llamado «Big data, privacidad y protección de datos» al realizar un máster en la Sociedad de Estudios Internacionales . Ahora hace tres años de su publicación. Después compaginé mi primer año de doctorado con el Curso en big data de la Cámara de Comercio de Madrid. En ese curso fui número uno de la promoción, pero la tesina fue diferente (en concreto, sobre el uso de big data para mejorar la calidad de vida de personas de tercera edad). Justo después, coincidiendo con la publicación del libro, entré en Écija. A partir de ahí he estado metida en temas de privacidad y ahora para terminar el doctorado salí del despacho y me he venido a Amsterdan a realizar una estancia a nivel de investigación.
Una persona clave en mi carrera profesional es José Luis Piñar, exdirector de la AEPD y responsable de la cátedra Google CEU de Innovación y Privacidad. Es el director de mi tesis que estoy realizando en la Universidad CEU San Pablo, Si él hubiera estado en otra Universidad hubiera ido donde estuviera. Algunos discípulos suyos son Ofelia Tejerina, Miguel Recio o Maria Alvarez Caro, ahora en Google.
Después de haber participado en el I Congreso de DPOS en Madrid me he venido a Bruselas para participar como ponente en la actualidad edición que comienza ahora en de la CPDP 2019, Conferencia internacional de Computers, Privacy and Data Protection Conference. Su celebración tiene que ver con el Dia Internacional de la Protección de Datos. Mi mesa de debate trata de analizar una nueva normativa de protección de datos poco conocida que se centra en las instituciones europeas”.
Ahora que hemos celebrado el Dia Internacional de Protección de Datos, ¿cree que empresas y ciudadanos tienen más importancia de lo que es la privacidad?
Creo que la implantación del Reglamento Europeo de Protección de Datos (RGPD) y sobre todo sus elevadas multas han podido crear una cierta conciencia de que es necesario cumplir con la nueva normativa.
Cada vez somos más conscientes de que en este cambio cultural, los datos personales son más valiosos y tienen muchos beneficios, pero también tiene sus riesgos. Sin embargo, creo que estamos aún en un punto de tomar conciencia aún más de lo que la privacidad significa.
El ciudadano de a pie aún no tiene mucha conciencia de porqué tiene que proteger sus datos. En las encuestas, los ciudadanos manifiestan que perciben ciertos riesgos en su privacidad pero luego no al actuar no hacen nada.
En España se ha destapado las alertas por la LOPD y su inclusión de una Disposición Final Tercer que pudiera permitir el spam político, una manera de prevenir que usen tus datos…
Tengo la sensación que este tema ha sido una gran ola que ha suscitado la atención de los profesionales de la privacidad, pero no sé hasta que punto un ciudadano medio es consciente que esto existe bajo la nueva normativa o lo que implica. Me surge la idea si realmente está concienciado. Vamos a un periodo electoral donde los partidos políticos deberían explicar qué van a hacer en materia de privacidad.
¿Va a ser posible un desarrollo del RGPD en Europa de forma uniforme en los 28 países miembros a corto o medio plazo?
Es complicado de decir ahora mismo. El objetivo de sustituir la Directiva por un Reglamento en materia de privacidad es precisamente que esta norma permite más homogeneización. Pero también el RGPD deja ciertas áreas abiertas a la discrecionalidad de los estados miembros, como la edad a la que se permite a un menor un consentimiento válido, cuestión que se decide en las normas de diferentes estados.
Hay que señalar que las normativas que cada Estado ha traspuesto de Reglamento están aún echando a andar. Es pronto para saber el grado de divergencia que habrá. Una uniformidad total no se va a lograr. No en todos los Estados se permite el uso de datos personales con fines electorales como se permite bajo la LOPD española. Esperemos que esas diferencias entre países sean pequeñas. Eso es lo que está por ver.
De todos estos cambios normativos, ¿Qué es lo más complicado para entender para ciudadanos y empresas a nivel de privacidad?
Entender el RGPD necesita de un cambio cultural. La privacidad hasta hace poco era secundaria porque el uso de los datos no era muy relevante. Con el paso de los años y la economía digital, ese uso genera mas beneficios y se incentiva más. Ahora somos conscientes que las normas que teníamos debían actualizarse.
Creo que lo más va a costar es generar ese cambio de cultura donde una empresa sienta que tiene que invertir esfuerzos en proteger los datos de los ciudadanos y que no todo se puede hacer. Son modelos de negocios lucrativos pero deben hacerse con diligencia.
Da la sensación que para entender ese cambio cultural que usted alude, es necesario contar con la figura del Delegado de Protección de Datos, DPO..
El DPO es una figura que está dentro de la organización pero en realizad su función es proteger a los usuarios y las buenas relaciones que éstos tengan con cada organización. No es una persona para proteger los intereses de los de fuera y generar un nexo de unión con la autoridad de control.
Es evidente que no es fácil ser DPO en una organización. Tal y como hemos visto en este I Congreso de DPOS celebrado en Madrid, vivimos un momento especial para los profesionales que tengan conocimientos adecuados para ser DPO. El desafío es muy importante. La figura ya existía en países como Alemania y en las propias instituciones europeas. Pero en España no tenemos esa tradición. Es una figura muy nueva.
¿Estamos ante una nueva profesión? ¿Deben ser los DPOS abogados exclusivamente?
Creo que es evidente que es una nueva profesión , al mismo tiempo se están creando nuevo modelos de negocios y nuevos retos y normas. Es un momento de cambio. El RGPD no exige que el DPO sea abogado, si que tenga conocimientos jurídicos y de protección de datos. Es una figura abierta para no constreñir quién pueda ser DPO.
De todas formas, las empresas deben supervisar bien quién nombran DPO en sus estructuras. No basta con tener un curso de protección de datos. La labor de estos profesionales es muy compleja. Hay que prepararse muy bien para ser DPO. Un DPO necesita saber otras normas fuera de las de privacidad que puedan afectar a su empresa, normativa de seguridad, de su sector.
Debe tener capacidad de relacionarse y de negociación. Es nexo entre fuentes de intereses diversos, la AEPD; su empresa, organizaciones del sector y los ciudadanos. Es un puesto donde las soft skills son muy importantes y cuya formación es continuada más aún en este entorno tecnológico que nos ha tocado vivir en la actualidad.
En este escenario de privacidad en un entorno global, junto con las grandes estructuras y boutiques han surgido iniciativas donde trabajan conjuntamente expertos en privacidad. Es el caso de Secuoya, de la que usted forma parte…
El nexo común que nos une como profesionales es la privacidad, su análisis y estudio. Todos estamos vinculados a la misma de alguna forma. Es un grupo de profesionales que funciona como think tank. Con el tiempo nos hemos hecho amigos y analizamos con rigor todo lo que rodea al mundo de la privacidad y las nuevas tecnologías
Hemos creado un núcleo de confianza donde debatimos ideas y nos pronunciamos de los temas más relevantes del mundo de la protección de datos. Estamos en un momento de cambio con la nueva normativa europea y es lógico que todos tengamos algunas dudas sobre algunos de estos conceptos. Es muy beneficioso compartir todo esto, sin duda.
Una situación que pone a prueba tanto el trabajo de los DPO como la viabilidad de la propia empresa son las brechas de seguridad ¿Qué debemos hacer si nos enfrentamos a un problema de este tipo?
Es una situación clave para las empresas. Lo principal es detectarla y actuar con rapidez. Lo primero que hay que hacer es intentar su alcance y saber si ha afectado a datos personales o no. Si ha afectado, mientras contenemos su impacto habrá que ver si hay que notificar a la AEPD y a los interesados. El propio RGPD exige deberes de notificación en determinadas situaciones, al igual que alguna norma sectorial.
Es fundamental contar con un protocolo definido en el que la empresa sepa lo que tiene que hacer ante estas situaciones, Y disponer un plan de seguimiento para que en la medida de lo posible esta situación no se vuelva a repetir. Junto con dicho protocolo son necesarias medidas de seguridad adaptadas al riesgo y un plan de actuación para frenar dichas brechas de seguridad.
¿Qué le diría a los despachos que nos leas y que no tenga organizada su política de privacidad aún?
El tiempo ira convenciendo a cada uno. No creo que haya que hacer una labor fuerte en ese convencimiento. Se va a ver pronto que es necesario adaptarse. La abogacía es un sector que tiende a tardar un poco en asumir los avances tecnológicos, pero es indudable que llega un momento en el que hay que adaptarse.
Estamos ante un camino de ida, aunque no sabemos muy bien donde nos llevará. A nivel de privacidad, el abogado tendrá que hacer un mayor esfuerzo en proteger sus datos y los de sus clientes como de considerar incorporarlo como servicio, porque ahora esta muy demandada esta actividad.
Por @LuisjaSanchez, Periodista Jurídico