Perspectivas profesionales a la luz del Reglamento Europeo de Protección de Datos

Por Susana González Ruisánchez, digital & project management lawyer, directora de Hiberus Legal Tech

Nos encontramos en un nuevo hito histórico para la abogacía[i]. Esta norma abre una etapa que parte repleta de previsiones sin definir del todo (lo que no es lo mismo que “imprevisiones”). Una etapa en la que la estrategia a nivel institucional en unión a los agentes que representamos los intereses colectivos implicados que va a ser clave para diseñar bien el papel del jurista experto en privacidad requerido a nivel normativo, para consolidar una formación específica en competencias jurídico-técnicas y afianzamiento de un elevado nivel de experiencia práctica y, con todo ello, conseguir garantizar varios miles de puestos de trabajo.

Sí, estamos hablando de una previsión de nada menos que de 57.000 puestos de DPO (Delegado de Protección de Datos) en los próximos 2-4 años en Europa que no debemos “dejar al aire” del intrusismo, de la sinrazón de que sea al cliente quien experimente que lo barato sale caro cuando lo que la normativa le requiere es, no sólo un traje a medida sino su propia implicación y responsabilidad en el cumplimiento velado bajo la experiencia y capacitación profesional de su director en materia de privacidad o Delegado de Protección de Datos.

Soy firme defensora de la auto-regulación del propio mercado y, sinceramente creo que en esto también se producirá en un alto componente. Sin embargo, me preocupa mucho la perspectiva del cliente, que al final es para quien trabajamos y quien ha de cumplir estas normas, que fruto del oportunismo confíe esa función de velar y garantizar de forma responsable no sólo el cumplimiento sino la propia supervivencia de su empresa, en plena era de la información, en profesionales que no estén lo suficientemente capacitados o carezcan de la necesaria experiencia. ¿Qué sucede en estos casos con la auto-regulación en los que el cliente ha confiado su proyecto a manos no cualificadas? Que el cliente se da cuenta del error, tan tarde como que ya ha desembolsado alguna cantidad económica o incurrido en alguna responsabilidad y, es entonces cuando ve creada la necesidad.

“Necesidad”, mágica palabra que realmente hace alcanzar el éxito en cualquier proyecto innovador. Creo que la gran oportunidad ahora es demostrar que los servicios jurídicos especializados, de los que dicho sea de paso habla específicamente el reglamento para el desempeño del DPO, son altamente necesarios para las administraciones públicas y empresas obligadas a incorporar esta figura más allá del mero cumplimiento.

Los empresarios bastante tienen con dirigir sus negocios, mantener estable su idea, sus cuentas, sus recursos y poner el foco en su crecimiento. Por experiencia y, sin duda resultándome por ello totalmente respetable, el empresario percibe el cumplimiento como un expediente a cubrir y, si es posible al menor coste. Tiene otros muchos costes, muchos de cumplimiento también y, sobre todo, muchos de carácter necesario.

DELEGADO DE PROTECCIÓN DE DATOS

Al menos en materia de protección de datos personales así está siendo hasta la fecha. Con el nuevo reglamento el término “responsabilidad” cobra nueva dimensión: han de hacerse las cosas de la forma establecida para cada supuesto en especial, ha de poderse demostrar con evidencias qué se está haciendo para cumplir en cada concreto caso, garantizándose  los procesos de cumplimiento y, además, en muchos casos tasados teniendo un DPO que vele por dicho cumplimiento de una forma tan responsable que ha de mantenerse independiente de las directrices empresariales.

En palabras de Miguel Recio “debe asegurarse un mercado de servicios profesionales libre de competencia desleal que garantice realmente el derecho efectivo a la protección de datos. El principio de responsabilidad (“accountability”) requiere de medidas y acciones continuas. Esto hace necesario que los responsables y encargados del tratamiento de datos personales entiendan el verdadero alcance y significado del derecho a la protección de datos personales, mientras que nosotros como sus asesores debemos ser capaces de hacer llegar mensajes claros que ayuden a tomar decisiones adecuadas”.

El reglamento viene a simplificar, en cierto modo, ese “cubrir el expediente” basando el cumplimiento en una cuestión de conciencia y responsabilidad. Ya no nos dice qué medidas de seguridad han de aplicarse a cada caso en función del nivel de los datos a tratar, sino que cada responsable del tratamiento ha de concretar responsablemente sus medidas adecuadas y, además, mantener una política de constante creación de evidencias del cumplimiento. A mí sólo se me ocurre hacer esto como un traje a medida de cada cliente, viendo la sistematización de los servicios un error de alto riesgo.

Los asuntos en los que existe implicación de datos personales han cambiado mucho. Entiendo que sea relativamente fácil automatizar respuestas en implantación de LOPD en la actualidad para un despacho de abogados, para una comunidad de propietarios, para un club de fútbol. Y, lamentablemente, la realidad es que cuando revisas este tipo de implantaciones estándar descubres sin sorpresa que su nivel de cumplimiento es más bien escaso y que el nivel de conocimiento (y por tanto responsabilidad) del empresario y todo su personal sobre lo que tienen implantado es nulo. Es decir, justo lo contrario de lo que ahora el Reglamento General de Protección de Datos viene a exigir.

Pero es que además de un tiempo a esta parte los asuntos con implicación en materia de protección de datos personales no están viniendo solos. Vienen de la mano de auténticos proyectos en los que la protección de datos es una de las muchas patas que debemos evaluar en materia de seguridad de la información en la empresa.

NUEVAS TECNOLOGÍAS

Ahora los clientes nos piden validar proyectos del tipo inteligencia artificial de análisis de big data aplicada al diseño de productos crediticios en entidades financieras  en los que tenemos que intensificar la minimización de los datos personales. Ahora los clientes no piden validar proyectos de protección de sistemas y redes situados entre una zona desmilitarizada o virtualizada y la red interna de la empresa y los diferentes sistemas locales y asistentes en dicha zona (routers, firewall, servidores, dispositivos de almacenamiento, etc), Centro de Datos, entornos multicloud, movilidad y usuarios finales fijos o móviles. ¿Alguien cree que esto se puede validar con una implantación de LOPD al uso? ¿Hace falta sólo saber de protección de datos?.

En la mayoría de estos servicios de consultoría se da soporte al cliente en la evaluación y validación o comprobación de la consistencia de las medidas de seguridad que deben tenerse o se tienen que mejorar, con la estrategia de seguridad de la empresa respecto de las ofrecidas por proveedores con un nivel alto en estándares de calidad y seguridad IT. Y dentro de todo esto, siempre hay tratamiento de datos de carácter personal.

Es necesaria una capacitación técnico jurídica, la que puede aportar la abogacía digital para poder evaluar este tipo de proyectos o, en otro escenario, harán falta dos tipos de expertos el técnico y el jurídico. Pero desde luego nada se parece ya a “te notifico los ficheros a la agencia y te paso varias plantillas para que firmen tus empleados cuando les contratas y una plantilla de contrato de encargado de tratamiento para que te firmen los del mantenimiento informático”.

Como bien apuntaba Carlos Saiz “el Reglamento ha propiciado el paso de una norma de “utilities” a una norma de principios estratégicos para la compañía, de ser el “último mono” al directivo de privacidad, por lo que la estrategia y colaboración multidisciplinar alineando todas las disciplinas a la gestión de riesgos de la información y de la privacidad se antoja fundamental”.

Llegados a este punto, las conclusiones alcanzadas en la mesa respecto de las perspectivas que consigan materializar la oportunidad con solidez son: Formación, capacitación y colaboración institucional y multidisciplinar en la regulación que se produzca del ejercicio del profesional experto en privacidad.

La formación continua y especializada es clave para el desarrollo de las profesiones relacionadas con la privacidad. “Los profesionales de la privacidad españoles están, por lo general, muy bien preparados para enfrentarse al reto del Reglamento. Muchos de los cambios que trae el RGPDE, ya llevamos tiempo implementándolos y desarrollándolos en España (Privacy by Design, Privacy by Default, Privacy Impact Assesment…). No nos va a costar tanto como a otros compañeros europeos. ¡Pero no nos confiemos!. La formación continua y especializada será clave para el futuro de nuestra profesión. Nos esperan dos años para ponernos al día, refrescar y profundizar conocimientos de transferencias internaciones, cesiones de datos, derecho al olvido, reclamaciones de ciudadanos en terceros países,…” apuntaba Marcos Judel.

Todos concluimos en  la necesaria colaboración multidisciplinar jurídico técnica en el desarrollo normativo del reglamento, en el requerimiento de capacitación y competencias para el ejercicio profesional en materia de privacidad y en la necesaria implicación de instituciones que nos representan para conseguir tener voz y participación en los debates, investigaciones y trabajos normativos del desempeño de las figuras reglamentadas.

Carmen Pérez Andujar argumentaba el compromiso de participación activa del Consejo General de la Abogacía Española con ENATIC y las restantes asociaciones implicadas en la representación de la abogacía digital en el desarrollo normativo del Reglamento. Estando en juego miles de puestos de trabajo de aquí a dos años para la abogacía a nivel europeo, las competencias jurídicas en evaluación del riesgo y establecimiento de controles de cumplimiento deben ser reconocidas como prioridad.

Rodolfo Tesone, presidente de ENATIC concluyó indicando que el reglamento supone la punta visible de iceberg de lo que está por venir. Los intereses en cuanto a mercado/sector/actividad que se van a cocinar en los próximos meses delimitará cómo quedará el tablero de juego profesional para los próximos 10 a 20 años, siendo fundamental una óptima gestión de esa partida estratégica manteniendo un permanente dialogo con los agentes e instituciones implicadas.

—————————————————

[i] El pasado viernes 29 de abril, ENATIC organizó en la sede del Consejo General de la Abogacía Española, la primera jornada monográfica sobre el impacto del Reglamento General de Protección de Datos aprobado el día 14 de abril por el Parlamento Europeo. La sesión culminó con la mesa que da título a este artículo y que tuve el placer de coordinar entre grandes profesionales expertos en privacidad, representantes de intereses colectivos implicados y buenos amigos.

Una mesa con máximos exponentes de las principales organizaciones e instituciones a nivel nacional enfocadas en impulsar el reconocimiento de la abogacía en general y de la abogacía digital en particular:

Carmen Pérez Andújar (socia en Evengreen Legal y vicesecretaria de Medios Materiales y Tecnológicos del Consejo General de la Abogacía Española), Rodolfo Tesone (presidente de ENATIC), Carlos Sáiz (director Data Privacy Institute y socio de Écix), Marcos Judel (vicepresidente de APEP y socio de Audens) y Miguel Recio (socio de Global Data Protection Consulting).

Lo cierto es que entramos en escena justo tras la intervención, en la mesa anterior, de Ignacio Martínez San Macario y Jesús Fernández Acevedo quienes hicieron llover metáforas de nuestras más queridas míticas películas en relación a los hitos y oportunidades que esta nueva, aunque sobradamente repasada y estudiada normativa europea, supone para el futuro de los juristas expertos en protección de datos y seguridad de la información. Tanto así que nuestra mesa bien podía titularse “En ocasiones veo oportunidades” en una profesión en la que constantemente nos vemos abocados a ver retos vestidos de enormes dificultades.

Si ninguna oportunidad viene servida en bandeja, ésta no iba a ser menos.