07 maig 2018

José Luis Piñar, DPO de l'Advocacia: "La Abogacía Española, Referent nacional i internacional en protecció de dades "

José Luis Piñar, advocat i doctor en Dret, ha estat nomenat per la Comissió Permanent de l' Consejo General de la Abogacía Española com a nou delegat de protecció de dades de l'Advocacia, figura requerida pel nou Reglament Europeu de Protecció de Dades i aplicable per a corporacions de dret públic, entre altres entitats i organismes, a partir de el 25 de maig de 2018

És vocal permanent i president de la Secció de Dret Públic de la Comissió General de Codificació i vicepresident de la Secció de Dret i Tecnologies de la Informació i la Comunicació de la Reial Acamia de Jurisprudència i Legislació. Com a titular de la Càtedra Google sobre Privadesa, Societat i Innovació i Director de l'Màster en Protecció de Dades, Transparència i Accés a la Informació de la Universitat CEU-San Pablo és un dels més destacados experts internacionals en protecció de dades i dret de la innovació tecnològica.

A causa de l'interès de la temàtica ia les qualitats professionals de l'entrevistat, s'han realitzat onze preguntes a José Luis Piñar.

  1. Quines són les tasques adequades que posarà en marxa per adaptar el Consejo General de l'Advocacia a la nova normativa que entra en vigor el 25 de maig?

En efecte el proper dia 25 de maig serà plenament aplicable el Reglament Europeu de Protecció de Dades, que va ser publicat ja en 2016. Reglament que estableix un nou model de protecció de dades basat en l'avaluació de risc que per als interessats pot suposar el tractament de les seves dades i en l'aplicació del principi de responsabilitat activa tal com està definit en l'article 24 de l'Reglament, que obliga a adoptar les mesures tècniques, organitzatives i de seguretat que siguin necessàries per a garantir i poder demostrar que els que tracten dades personals ho fan amb ple respecte a el nou marc normatiu. En aquest nou marc la figura del delegat de protecció de dades ocupa un lloc de gran importància, a l'objecte de facilitar el compliment de la normativa, tant de l'Reglament europeu com, en el futur, de la nova Llei Orgànica de Protecció de Dades que en ara mateix està debatent al Parlament.

A hores d'ara, i com a delegat de protecció de dades, estic impulsant totes les iniciatives necessàries per adaptar el Consell a la nova normativa. Amb el suport d'un qualificat equip de lletrats i tècnics de mateix Consell, inclosa la Delegació de Brussel·les, estem identificant els tractaments de dades que porta a terme el Consell i analitzant si és necessari adoptar alguna mesura per adaptar-los a l'Reglament; hem d'elaborar el nou registre d'activitats de tractament; estem identificant els títols habilitants dels tractaments, tenint en compte que a partir de l'25 de maig no serà possible el consentiment tàcit i que els tractaments que estiguessin basats en tal consentiment amb anterioritat a aquesta data hauran de ser revisats per determinar si és possible seguir portant a terme o si pel contrari han de basar-se en altres títols, com l'interès legítim de Consell en els casos en què no exerceixi potestats públiques; estem revisant les mesures de seguretat implantades per adaptar-les en el seu cas a el nou model; hem de revisar totes les clàusules informatives atès que el Reglament incrementa notablement les obligacions dels responsables pel que fa a l'obligació d'informar els interessats; també hem de revisar els nombrosos contractes d'encarregat de tractament que té subscrits el Consell ja que el Reglament exigeix ​​tenir en compte noves obligacions que han de requerir-se als encarregats; també hem de valorar si en algun cas és necessari dur a terme avaluacions d'impacte a la protecció de dades i hem de revisar les transferències internacionals que, si s'escau dugui a terme el Consell. I al costat de totes aquestes actuacions volem generar una nova cultura de la protecció de dades en el Consell i en la mesura que sigui possible en l'advocacia en el seu conjunt. Sóc conscient que el Consell ha de ser, i està cridat a ser-ho, un referent nacional i internacional en matèria de protecció de dades, que no ho oblidem, és un dret fonamental essencial en les modernes democràcies i més encara en la societat digital. Per això no només hem dissenyat un document amb les onze qüestions bàsiques que en tot cas s'han de tenir en compte per a un ple respecte a la protecció de dades, sinó que s'han previst diverses iniciatives de formació en matèria de privacitat dirigides a tot el personal de el Consell.

Però la nostra intenció és anar més enllà, i per això volem potenciar la presència de Consell en els principals fòrums nacionals i internacionals sobre protecció de dades, no només a Europa, sinó en regions com Iberoamèrica. Per a això ja hem posat en marxa línies de contacte i col·laboració amb entitats Europees com CCBE, la Comissió Europea o el supervisor europeu de Protecció de Dades, o amb la UIBA. En definitiva, doncs, s'està posant en marxa, en un temps necessàriament breu, un ventall de mesures que permetin a el Consell complir amb el Reglament europeu dins el termini requerit per a això. I que permetin fer de Consell una institució de referència nacional i internacional en matèria de protecció de dades.

  1. Des de la seva paper com a supervisor de l'acompliment normatiu Com valora l'observança actual de l'Advocacia i dels Col·legis d'Advocats de la normativa sobre protecció de dades?

He de dir que el grau de compliment de Consell en matèria de protecció de dades és més que satisfactori. És molt elevat. No només pel que fa a l'acompliment de les obligacions formals que requereix la normativa vigent (sobretot la Llei Orgànica de Protecció de Dades de 1999, LOPD), com ara la inscripció de fitxers, sinó pel que fa a la implantació de les mesures tècniques i de seguretat exigides. En aquest sentit és de rigor recordar que el Consell ha merescut les certificacions ISO 20000-1, ISO 270001 i, sobretot, el primer certificat de l'Esquema Nacional de Seguretat que va ser emès a Espanya per AENOR. El que no obstant això he de dir és que al meu entendre és necessari incrementar la cultura de protecció de dades en el Consell. Crec que s'ha de millorar la consciència de la importància de tenir en compte en tot moment la protecció de dades en el tractament quotidià de la informació personal.

Quant als Col·legis la veritat és que no disposo en aquests moments de referències contrastades sobre el grau de compliment real. El que sí vull destacar és que el Consell i en particular el Delegat de protecció de dades estem a la seva disposició per impulsar el compliment i aplicació de l'Reglament Europeu. De fet ja s'han organitzat diverses sessions informatives en diversos Col·legis i tenim previst dur acabo més en els pròxims mesos.

  1. Quins són els principals canvis exigits per la nova normativa que afecten els Consells i Col·legis d'Advocats?

Ja les he assenyalat en gran mesura a l'respondre a la seva primera pregunta, al menys pel que fa a el Consell es refereix. Al meu entendre la novetat més important deriva de l'canvi de model que el Reglament porta amb si. D'un model basat en el compliment concret de la normativa es passa a un altre fonamentat en la responsabilitat activa dels responsables i encarregats, de manera que com abans comentava els correspon analitzar, valorar i decidir les mesures tècniques, organitzatives i de seguretat que hauran de prendre i implantar per garantir el compliment de la normativa i demostrar davant les autoritats de protecció de dades. Aquest canvi radical de model va acompanyat per descomptat de múltiples novetats que van des de la no necessitat d'inscriure els fitxers però si de portar un registre d'activitats de tractament, a la implantació de noves obligacions d'informació als interessats, passant per la necessitat de revisar els contractes d'encarregat o els protocols per atendre l'exercici dels drets d'accés, rectificació, cancel·lació i oposició, als quals s'afegeixen altres de nous, com el dret a la portabilitat. I un altre canvi de primer ordre: la necessitat de nomenar un delegat de protecció de dades, que el Reglament imposa a totes les autoritats i organismes públics, entre els quals es troben els Consells i Col·legis, com d'altra banda confirma el projecte de nova Llei Orgànica de Protecció de Dades. I totes aquestes obligacions han d'estar plenament operatives el proper dia 25 de maig.

  1. ¿I les noves obligacions sobre protecció de dades que afecten els despatxos d'advocats?

Els despatxos com a responsables o encarregats, és a dir com aplicadors de la norma o "subjectes passius" de l'Reglament, han d'adaptar-se el Reglament, des d'aquesta nova perspectiva de la responsabilitat activa. En aquest sentit gran part de les obligacions que acabo d'assenyalar corresponen també als despatxos d'advocats.

  1. Quins són els requisits que destacaria més importants per exercir la figura de delegat de protecció de dades o DPO, en anglès?

Estan fixats en el Reglament Europeu. L'article 37 disposa que el delegat de protecció de dades serà designat atenent les seves qualitats professionals, en particular als seus coneixements especialitzats de el Dret i la pràctica en matèria de protecció de dades, ia la seva capacitat per exercir les seves funcions. He de dir que ni el Reglament ni el Projecte de Llei Orgànica de Protecció de Dades exigeixen una titulació específica per actuar com a delegat, però és evident que els llicenciats o graduats en Dret estan en una especial situació per a això. No en va el Reglament fa referència expressa als coneixements jurídics de l'delegat. Per la seva banda l'anomenat Grup de Treball de l'Article 29, integrat per totes les Autoritats de Protecció de Dades dels estats membres de la UE, ha elaborat un interessant document sobre el delegat de protecció de dades en què assenyala que en el cas de una autoritat o organisme públic, el delegat ha també posseir un coneixement sòlid de les normes i procediments administratius de l'organització. A més no hem d'oblidar que el delegat està cridat a ocupar un lloc molt important en la garantia d'un dret fonamental com és el dret a la protecció de dades, i en aquest sentit no ja els juristes, sinó els advocats compten amb una molt especial qualificació per a això. En conseqüència, crec que sens dubte els juristes en general i els advocats en particular compten amb un perfil especialment adequat per exercir com a delegats de protecció de dades, sempre que comptin, a més, com és lògic, amb experiència pràctica en la matèria.

  1. Significa la nova normativa sobre protecció de dades una major garantia per als ciutadans i usuaris?

Sens dubte. No només perquè incrementa els seus drets i garanties, sinó perquè s'imposen noves obligacions als responsables i encarregats que es tradueixen en majors garanties per als interessats. No oblidem que la perspectiva de l'possible risc que el tractament de dades té per als interessats passa a ser una de les claus de l'Reglament. A més, es modifica el règim de el consentiment dels interessats, de manera que ja no serà vàlid el consentiment tàcit, es reconeixen nous drets com el dret a la portabilitat de les dades o la nova regulació de el dret de supressió en el seu vessant de dret a l' oblit, es ressalta el dret a rebre una indemnització pels danys que un tractament il·lícit de dades pugui ocasionar, s'incrementen les obligacions de transparència i informació que cal exigir als que tracten dades personals, s'augmenten els supòsits de dades especialment protegides o es regula amb més detall el tractament de dades de menors. A més, en un escenari en el qual les fronteres físiques cada vegada tenen menys rellevància pel que fa a el tractament de dades, el Reglament pretén dissenyar un model global per a tota la UE, el que s'ha de traduir en una major seguretat jurídica per als interessats en tota la Unió.

  1. Són els advocats conscients el nivell de risc per gestionar dades confidencials? Considera que el nou model de privacitat és una càrrega per als advocats o més aviat una forma de guanyar reputació i competitivitat?

No m'aventuraria a afirmar, sense dades fefaents, si els advocats són conscients d'aquest risc. Sí crec que és constatable el fet que queda no poc per fer. Personalment he tingut ocasió de participar en diverses sessions sobre protecció de dades organitzades per diversos col·legis d'advocats i he pogut apreciar certa manca d'informació en els advocats, però a el mateix temps un enorme interès per complir plenament amb el nou Reglament. El que sens dubte genera noves obligacions i càrregues per a tots nosaltres pel que fa advocats, però a el mateix temps suposa una magnífica oportunitat per guanyar reputació i competitivitat, ja que no hi ha dubte que complir amb la legislació de protecció de dades permet ordenar el desenvolupament de les funcions dels advocats.

  1. Considera que amb l'entrada en vigor de l'Reglament Europeu de Protecció de Dades ¿es pot parlar d'un nou model de privacitat aportant drets com l'oblit i la portabilitat de dades?

És una cosa que he ressaltat en nombroses ocasions. El Reglament porta amb si un nou model de protecció de dades. Però no només ni potser principalment per reconèixer i regular aquests nous drets -tot i que el dret a l'oblit no ho és tant-, sinó per imposar el principi de seguretat activa, l'anomenada responsabilitat, com a eix de el nou model. Ja abans m'he referit a això i ara ho reitero.

  1. És possible que els col·legis d'advocats puguin compartir la figura de l'delegat de protecció de dades? ¿Això obligarà que el DPO tingui un perfil més flexible i dinàmic per gestionar la privacitat?

Sí que és possible. El Reglament així ho estableix en l'àmbit de les autoritats i organismes públics. L'article 37.3 afirma expressament que quan el responsable o l'encarregat de l'tractament sigui una autoritat o organisme públic, es podrà designar un únic delegat de protecció de dades per a diverses d'aquestes autoritats o organismes, tenint en compte la seva estructura organitzativa i grandària. És a dir, podria donar-se el cas que un mateix delegat ho fos per a diversos Col·legis. Potser això obligui a que l'DPO tingui un perfil més flexible, però el realment important és que d'aquesta manera es podria aconseguir una major uniformitat en la definició i aplicació de la protecció de dades pels diferents Col·legis. En aquest sentit, el Consejo General i els Consell Autonòmics estarien cridats a tenir un especial protagonisme, podent fins i tot oferir aquest servei de delegat a diversos Col·legis. La mateixa Agència Espanyola de Protecció de Dades ha ressaltat que d'aquesta manera s'aconseguiria una molt desitjable homogeneïtzació en l'aplicació de la normativa, el que sens dubte redundaria en molt notables beneficis per als propis Col·legis i per als interessats.

  1. Creu que hi haurà algun conflicte entre aquest Reglament de Protecció de Dades i el que properament vindrà d'Europa sobre e-privacy o protecció de les dades personals en el sector de les comunicacions electròniques?

No hauria de haver-los. En qualsevol cas el nou reglament sobre e-privacy està plantejant dubtes en relació amb alguns temes de certa rellevància, com el relatiu a l'tractament dels anomenats metadades. Que hi ha dificultats queda demostrat perquè la proposta de reglament sobre e-privacy no podrà entrar en vigor i ser plenament aplicable el 25 de maig de al present any 2018, com es pretén. Això es deu als dubtes que planteja la regulació que es proposa i que podria no coincidir plenament amb el Reglament General. Al meu entendre s'hauria d'enfortir el dret a la confidencialitat dels continguts de les comunicacions electròniques, que ha de quedar emparat pel secret de les comunicacions, però hauria de reconsiderar, com he assenyalat, el règim de el tractament de les metadades. Crec per tant que encara hi ha marge per continuar amb la reflexió de la necessitat de considerar el Reglament com a marc general de regulació de la protecció de dades a la UE i la necessitat de regular en l'estrictament necessari les especialitats que, si s'escau puguin caracteritzar determinats àmbits o sectors, com el de les comunicacions electròniques.

10 + 1.- Creu que Internet pot arribar a confondre entre la realitat física i la realitat virtual? Què pot fer el dret i els organismes reguladors per evitar-ho?

És una possibilitat que no hem de descartar. Els avenços tecnològics són tan inqüestionables com impredictibles. La realitat augmentada, la intel·ligència artificial, la Internet de les coses o fins i tot dels cossos, la robòtica, i tantes altres tecnologies disruptives plantegen a l'jurista i a el dret reptes que no sempre són fàcils d'afrontar. En qualsevol cas no és la primera vegada que el dret s'enfronta a situacions disruptives. I la veritat és que ha sabut i pogut enfrontar-s'hi. Per al que és imprescindible tornar als principis generals i essencials de el dret. Doncs només un esquema sòlid de principis serà capaç de donar resposta als problemes puntuals que la innovació generi. Cal a més dissenyar un esquema de relacions entre la regulació i l'autoregulació a l'objecte de poder adaptar les normes a les necessitats i peculiaritats de determinats sectors. Els reguladors per la seva banda han d'assumir un paper proactiu, d'impuls i conscienciació en relació amb un dret, la protecció de dades, essencial en la societat contemporània.

Comparteix: