“No creo que Google hubiera tomado todos estos pasos si el derecho o el regulador no le hubiera obligado. En ese sentido, quiere poner al usuario como eje y control de su privacidad. Es una buena medida, pero para ello debemos saber qué se hacen con los datos y mucha formación e información para que el usuario pueda hacer uso de ese control”
”Este Reglamento Europeo de Protección de Datos incorpora una visión anglosajona del tratamiento del riesgo en materia de privacidad que ya tenemos en modelos como del compliance. Encaja muy bien con su manera de pensar. Si quieres hacer negocios en Europa tendrás que sujetarte a la normativa de la propia UE”
En este Día Mundial de Internet, con innumerables actividades en nuestro país, tuvo lugar, como ya es habitual un acto central en el Senado. En esta oportunidad, si presidió Pio García Escudero, presidente de la Cámara Alta, un debate sobre el papel de la privacidad en este entorno digital. Al mismo participaron Christoph Steck, director public policy and Internet en Telefónica, Francisco Pérez Bes, secretario general de INCIBE; Esperanza Ibáñez, responsable de Politica Institucional de Google España; Rafael G. Gozalo, director del área internacional de la AEPD, Miguel Pérez Subías, presidente de AUI y Paloma Llaneza, abogada socia directora de Razona.
Todos ellos dieron su visión del papel esencial que juega la privacidad en este entorno. Con Paloma Llaneza, abogada experta en derecho tic y presidenta de la sección en el ICAM de esta actividad, conversamos tras el final de este acto ya tradicional en la agenda de muchos profesionales. Desde su punto de vista nos encaminamos a una sociedad orweliana donde “Es necesario un profundo debate sobre estas cuestiones. Un debate ético y filosófico a lo que estamos pocos acostumbrados. Se trata, en definitiva, de poder vivir con un cierto grado de seguridad, pero sin una afectación generalizada, como está pasando ahora, a la intimidad de las personas.”
Para esta abogada, conocedora muy bien del entorno digital: “Sin transparencia no podemos evolucionar en este modelo. Y creo que el propio Derecho puede imponer dicha transparencia. No creo que el Derecho esté para regular casos específicos concretos, pero sí creo que la transformación digital no será posible sin un entorno regulatorio estable. Muchos negocios no florecen por esa falta de regulación y otros surgen precisamente ante esa carencia regulatoria."
¿Le sorprende que en este evento del Senado se haya elegido la privacidad como contenido de este Día Mundial de Internet?
Es un tema esencial en estos momentos tanto para ciudadanos como para empresas. Creo que ha sido un acierto de la organización que dirige Miguel Pérez Subías el tratar este tema en este acto central del Senado.
Hay que darse cuenta que la transformación digital se ha producido de espaldas a lo que la sociedad quiere o esperaba de ella. Ahora la reflexión es cómo debemos convivir en este nuevo paradigma que surge de tantos cambios tecnológicos. En este escenario, la privacidad es uno de los temas esenciales.
En ese debate entre seguridad y privacidad ¿Realmente se puede encontrar un punto de equilibrio como algunos ponentes han señalado en esta jornada?
Debemos encontrar ese punto de equilibrio del que hablan muchos colegas expertos. Eso requiere ser innovador en la manera de pensar, también requiere reflexión y sobre todo generosidad de todas las partes implicadas.
Es evidente que la ciberseguridad es uno de los grandes retos a los que nos enfrentamos. No podemos estar en este entorno ni en la vida sin una cierta certidumbre de que no se van a llevar nuestro dinero de las cuentas corrientes, o que no utilizarán las redes para atacarnos.
Esa certidumbre no debe lograrse con una sociedad orweliana a la que nos encaminamos. Es necesario un profundo debate sobre estas cuestiones. Un debate ético y filosófico a lo que estamos pocos acostumbrados. Se trata en definitiva, de poder vivir con un cierto grado de seguridad pero sin una afectación generalizada, como está pasando ahora, a la intimidad de las personas.
En su intervención ha hablado del término transformación digital ética ¿Qué ha querido decir realmente con este concepto?
Si, es un concepto propio que acuño del tradicional de transformación digital, donde se dice popularmente que todo lo que es innovación, mola, como dicen los jóvenes. Creo que estamos en un momento de despotismo ilustrado tecnológico donde se podría acuñar la frase “todo para el usuario pero sin el usuario”.
Los productos son cada vez más atractivos gracias a la gamificación, lo que hace que enganchen con nuestro espíritu adolescente. Sin embargo al usuario no se le cuenta todo lo que hay por detrás relacionado con la recogida masiva de datos o el uso final que tiene determinada aplicación.
Necesitamos reflexionar si técnicamente es posible, es éticamente viable, como punto de partida. En bioética se ha hecho y se ha puesto límites a la clonación de humanos. Creo que debemos plantearnos este escenario en la transformación digital si no queremos perdernos por el camino.
Hablamos de transformación digital; de un entorno en el que el Derecho poco puede hacer para regular un contexto con tantos cambios y donde el usuario vive muy despreocupado de su privacidad...
Bueno, vivimos todo lo despreocupado que nos deja realmente ese prestador de servicios. No podemos hablar, como se ha dicho en el debate, de un usuario en completo control de su privacidad cuando no hay una transparencia del propio prestador de servicios. Realmente no nos dicen qué hacen con esos datos que son nuestros porque los propios prestadores no quieren dar esa información.
Sin transparencia no podemos evolucionar en este modelo. Y creo que el propio Derecho puede imponer dicha transparencia. No creo que el Derecho esté para regular casos específicos concretos, pero sí creo que la transformación digital no será posible sin un entorno regulatorio estable. Muchos negocios no florecen por esa falta de regulación y otros surgen precisamente ante esa carencia regulatoria.
En el debate se ha hablado de los avances de Google en materia de privacidad. ¿En la práctica se ha observado ese cambio que nos han explicado?
Para contestar esta pregunta hay un refrán que señala que “A la fuerza, ahorcan”. Hay que darse cuenta que se están produciendo situaciones irreversibles para Google, como la sentencia del derecho al olvido o la nulidad del Safe Harbour provocada por un usuario en Facebook. Ahora el Reglamento Europeo de Protección de Datos sujetará a Google porque está demostrado que presta servicios en el continente europeo.
En definitiva, no creo que Google hubiera tomado todos estos pasos si el derecho o el regulador no le hubiera obligado. En ese sentido, quiere poner al usuario como eje y control de su privacidad. Es una buena medida, pero para ello debemos saber qué se hacen con los datos y mucha formación e información para que el usuario pueda hacer uso de ese control. Se trata, al final de una cuestión de transparencia.
Sobre el Reglamento Europeo de Protección de datos que entrará en vigor dentro de dos años, ¿Cómo vislumbra el escenario que vamos a vivir?
Su adaptación la vamos ir viendo ya de forma progresiva. Los abogados que nos dedicamos al derecho tic ya estamos trabajando en cómo se va a implantar y cuáles van a ser sus efectos y qué van a necesitar las empresas para adaptarse a este nuevo entorno.
Tenemos una cierta incertidumbre porque parte del Reglamento requiere una regulación en buenas prácticas standard que no tenemos y que tendremos que generar en el espacio de dos años. No será sencillo inventarnos algo que sea sencillo y generalmente aceptado.
La vacatio legis de dos años está bien para las grandes empresas que son las afectadas de manera principal por esta normativa. Tendrán que empezar a trabajar y ponerse al dia sobre muchas cuestiones del propio Reglamento.
Por su parte, las pymes evitan muchas obligaciones y en otros casos van a tener que confiar en prestadores que de verdad se hayan puesto al día. Es un reto leer estas cien páginas de una norma hecha desde el consenso. Requerirá a los estados miembros europeos redefinir ciertas cuestiones internas y ver qué parte del derecho local sobrevive a la implantación del propio Reglamento a corto y medio plazo.
¿Qué es lo que va a ser más complejo a la hora de cumplir en materia de privacidad por parte de las empresas?
En protección de datos siempre hemos distinguido las medidas legales de las técnicas y las organizativas. Las legales se asemejan bastante a lo que tenemos en España, excepto el consentimiento tácito que habrá que ver ahora que se hace con él. La recogida del consentimiento es dura. Requerirá un verdadero esfuerzo por parte de las compañías.
Junto a ello, no le oculto que la privacidad por diseño y las evaluaciones de impacto, elementos para organizar la privacidad de una empresa serán elementos complejos a los que la empresa deberá acostumbrarse con el tiempo, pero no será sencillo.
¿No le sorprende que, con tantas obligaciones en materia de privacidad, la figura del DPO, guardián de esa privacidad, nazca de manera parcial solo en determinadas empresas?
El DPO con este Reglamento queda claramente descafeinado. Al principio tenía tintes de inquisidor interno; un auditor con capacidades de denuncia que parecían excesivas. Ahora se parece mucho al Compliance Oflicer pero más light.
Los juristas habíamos puesto muchas esperanzas en la figura del DPO, donde incluso los más optimistas llegaron a hablar de una nueva profesión en materia de privacidad con su propia certificación personal. Ahora parece que su importancia será menos sobre todo a nivel general de muchas empresas.
La protección de datos se va a integrar en el compliance como una gestión del riesgo de la privacidad. Se gestionará igual que el riesgo penal o corporativo. Eso ayudará a integrar las políticas de forma más coherente en las empresas a lo que se venía haciendo hasta ahora.
Respecto al tema de las sanciones que indica el Reglamento Europeo, habrá que ver caso por caso y sobre todo una aplicación flexible de la propia sanción...
Es curioso, pero desde que los americanos saben que les va a afectar el Reglamento Europeo están haciendo trabajos cada vez más interesantes. Ellos lo ven que la protección de datos queda equilibrada a la normativa antitrust o de competencia.
Eso va a hacer que se dediquen los mismos recursos y esfuerzos desde un punto de vista de las grandes empresas. Para los abogados digitales supone un esfuerzo adicional pero es un elemento bueno en su carrera profesional. Ya no te quedas únicamente en el asesoramiento de unas cláusulas, sino que te conviertes en un asesor que indica cómo gestionar de forma adecuada un riesgo. Hablamos del 4 por ciento de la facturación mundial de la compañía, una sanción importante.
Sanciones que pueden cerrar una empresa...
Claro, como ocurre igual con las sanciones de Competencia. Los procedimientos de la UE son muy duros y las sanciones bastante elevadas.
¿Va a poder este Reglamento ayudar a la convergencia que se habla entre el modelo americano de privacidad y el europeo?
Habrá que ver como evoluciona el citado Reglamento. El modelo americano de privacidad es diferente al nuestro, bastante más flexible a nivel normativo. Este Reglamento incorpora una visión anglosajona del tratamiento del riesgo en materia de privacidad que ya tenemos en modelos como del compliance. Encaja muy bien con su manera de pensar. Si quieres hacer negocios en Europa tendrás que sujetarte a la normativa de la propia UE. Las grandes corporaciones norteamericanas tendrán que incorporar el Reglamento a su forma de gestionar la privacidad cuando trabajen en Europa.
¿Qué consejos daría a nuestros lectores de cara a proteger mejor su privacidad?
Hay que darse cuenta, en primer lugar, que no es posible retirar los datos de la red. Internet no perdona. Tiene una memoria muy superior a la de cualquier ser humano. Curiosamente todo lo que contamos tanto voluntaria como involuntariamente, sobre todo, tiene más valor para las compañías. La gente no es consciente del valor de sus datos que emana de cualquier actuación en redes sociales.
Creo que deberíamos revisar las aplicaciones de los móviles para ver si los permisos que requieren son imprescindibles. Y si empezamos ya con esto podríamos generar una conciencia en las personas para que fueran más cuidadosos con sus datos personales