'La innovación no está reñida con la defensa de la privacidad y la protección de datos', Mar España, AEPD

  • IT User

Mar España, directora de la AEPD

De España siempre se ha dicho que tenía una de las legislaciones más estrictas en lo que a protección de datos se refiere. Hablamos con la directora de la Agencia Española de Protección de Datos, Mar España, sobre esta nueva normativa europea y sus implicaciones para la economía digital.

El Reglamento General de Protección de Datos ha entrado en vigor el 25 de mayo de 2016 y comenzará a aplicarse en mayo de 2018. ¿Qué es lo más importante de esta nueva ley?

Esta nueva norma nace para responder a la necesidad de actualizar un marco normativo que acumula dos décadas de antigüedad, estableciendo principios para responder mejor a los retos a los que se enfrenta la privacidad y la protección de datos. Y todo ello en un entorno marcado por un modelo de negocio en el que grandes compañías ofrecen servicios supuestamente gratuitos a cambio de nuestros datos, lo que globalmente constituye un volumen masivo de información. El Reglamento incorpora importantes novedades, entre las que destacan un cambio de modelo para aquellas entidades que tratan datos y la introducción de elementos que mejoran la capacidad de decisión y control de los ciudadanos sobre sus datos personales, al tiempo que unifica y dota de mayores poderes a los reguladores europeos. Asimismo, crea el Comité europeo de protección de datos, una versión reforzada de su antecesor, el GT29, al que asigna capacidad jurídica y cuyas decisiones serán vinculantes para los países miembros.

 

¿Cuáles son los principales cambios que introduce?

Los cambios son numerosos, pero entre ellos podemos destacar, someramente, que la aplicación del Reglamento se amplía a responsables y encargados no establecidos en la Unión Europea siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Asimismo, el Reglamento introduce nuevos elementos, como el derecho a la portabilidad, por el que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar la recuperación de esos datos en un formato que pueda trasladarse. También es una novedad el derecho a la limitación en el tratamiento de los datos personales. Otros cambios importantes son la modificación en la obtención del consentimiento de los ciudadanos, que pasará a ser expreso y no tácito como en la actualidad; la introducción de las evaluaciones de impacto en la protección de datos, así como cambios en las transferencias internacionales de datos, que ya no estarán sujetas al criterio de la AEPD.

 

Algunos expertos opinan que la actual legislación es poco clara en algunos puntos y que, ante el temor de una multa, las empresas siempre se ponen en el peor de los supuestos. ¿Aclara la normativa estos puntos más confusos?

Es comprensible que el proceso de adaptación al nuevo marco europeo de protección de datos pueda plantear dudas y dificultades a las organizaciones. Para mitigarlas en lo posible, la Agencia Española de Protección de Datos ha presentado varias herramientas que tratan de contribuir a hacer más fácil esta adaptación para las pymes, y que están disponibles en nuestra página web.

 

¿Cómo pueden las empresas cumplir con esta nueva normativa? ¿Cuáles son las principales modificaciones que tienen que realizar?

Durante este año seguiremos trabajando para facilitar en todo lo posible el cambio de modelo a aquellas empresas y entidades que tratan datos personales. Es necesario que todas ellas lleven a cabo un análisis de riesgo de los tratamientos de datos que realizan para poder determinar qué medidas han de aplicar y cómo han de hacerlo. Estos análisis serán de mayor complejidad, por ejemplo, si se tratan datos sensibles, se desarrollan varios tratamientos que afecten a gran cantidad de interesados o se utilizan tecnologías innovadoras sobre cuyo funcionamiento no se tienen antecedentes. Como indiqué anteriormente, y para facilitar esta tarea, la Agencia ha lanzado materiales de ayuda dirigidos a las pymes. Asimismo, estamos trabajando en una herramienta básica para que las pymes se autoevalúen y sepan si cumplen con la nueva normativa y si necesitan contar con el delegado de protección de datos (DPO).

Por otra parte, las empresas deberían revisar la forma en la que obtienen y registran el consentimiento, ya que prácticas de consentimiento tácito que hoy se aceptan bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación. Además, este prevé que el consentimiento haya de ser explícito en algunos casos, como en el caso de la autorización para el tratamiento de datos sensibles. Por ello, el consentimiento no podrá entenderse concedido implícitamente a través de algún tipo de acción positiva, por lo que será preciso que la declaración o acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

En definitiva, las empresas deberán adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que establece el Reglamento, para lo que la nueva normativa incorporas medidas como la protección de datos desde el diseño, la protección de datos por defecto, la realización de evaluaciones de impacto sobre la protección de datos, el nombramiento de un delegado de protección de datos, o la notificación de violaciones de la seguridad de los datos, entre otras.

 

¿A qué se exponen si no la cumplen?

El legislador ha previsto dos años de vacatio legis como plazo para que las organizaciones puedan adaptarse al nuevo esquema europeo de protección de datos, haciendo especial énfasis en el concepto de responsabilidad activa, por el cual los responsables deben adoptar las medidas necesarias para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el Reglamento. No obstante, los responsables o encargados del tratamiento de datos siguen estando sujetos a una serie de obligaciones, para cuyo incumplimiento el Reglamento prevé una amplia batería de medidas correctivas, que van desde el apercibimiento a la imposición de multas administrativas, pasando por resoluciones que obliguen a efectuar el tratamiento de una manera determinada o a atender los derechos de los interesados.

 

En 2018 pasará a ser de obligado cumplimiento. ¿Habrá algún tipo de período rogatorio?

Tras este plazo de dos años para permitir que los Estados de la Unión Europea, las instituciones europeas y las organizaciones que tratan datos se preparen para hacer frente a los mandatos que establece la nueva normativa, el Reglamento será operativo el 25 de mayo de 2018.

 

Los datos son el petróleo del siglo XXI. ¿Cómo responde esta nueva normativa a este fenómeno?

El Reglamento europeo de protección de datos incluye mecanismos para que los ciudadanos puedan decidir sobre el destino de sus datos y para que los reguladores posean herramientas eficaces para garantizar los derechos de los posibles afectados. En todo caso, y teniendo en cuenta esta realidad, por la que los principales productos y servicios que ofrecen los grandes proveedores de internet se valen de nuestros datos para su modelo de negocio, es necesario ser consciente una vez más de que en internet nada es gratis y que la defensa de nuestra privacidad empieza por nosotros mismos.

 

El hecho de que sea una legislación europea, ¿cómo ayuda a que las empresas puedan hacer negocio con los datos?

Estableciendo reglas de juego claras y de obligado cumplimiento desde el minuto uno para quienes traten datos de carácter personal de usuarios en Europa, tanto si operan desde dentro como si lo hacen desde fuera del territorio comunitario.

 

Muchas empresas tecnológicas (especialmente de origen estadounidense) ven con buenos ojos un marco común europeo, pero lamentan algunas de las -en su opinión- trabas para hacer negocio aquí. ¿Cuál es su opinión al respecto?

Ésta es una muy buena oportunidad no sólo de ofrecer servicios que respeten la privacidad y la protección de datos de sus usuarios, independientemente de dónde estos residan y de dónde operen los responsables, sino de obtener un plus de confianza y una ventaja añadida. Al apostar por la privacidad y la protección de datos se encuentran mejor posicionados ante la elección de los usuarios.

 

¿Corre Europa (y con ella sus empresas) el riesgo de que se pueda innovar menos en relación a los datos y perder competitividad? ¿Por qué?

Sinceramente pienso que la innovación no está reñida con la defensa de la privacidad y la protección de datos. Debemos verlo como una oportunidad, un reto positivo y no como una amenaza.

 

¿Cómo responde esta normativa a los retos actuales y de futuro?

Cada día aparecen nuevos servicios que nos hacen la vida mucho más fácil pero que, en ocasiones, pueden comprometer nuestra privacidad. Por ello, el Reglamento incorpora la proactividad como parte de su ADN, ofreciendo una nueva forma de crear productos y servicios a través de herramientas como la protección de datos desde el diseño y por defecto y las evaluaciones de impacto. Cumplir con los parámetros adecuados de protección de datos no sólo es importante sino una necesidad.

 

Esta entrevista es parte de las realizadas para la elaboración del reportaje En Portada de IT User de febrero de 2017. Puedes descargarte la revista aquí, o leer el resto de las entrevistas en estos enlaces:

'El Reglamento busca consolidar la política de privacidad en las empresas', Acens

'Cuando se trabaja con algo tan sensible como los datos, es indispensable que haya garantías legales', Check Point

'La tecnología es un componente esencial que va a ayudar a garantizar el cumplimiento permanente del Reglamento', NetApp

'Sin seguridad, no habrá confianza en la innovación y por ende, en la transformación empresarial', Oracle

'Es más importante que nunca que estos datos se mantengan a salvo y que las empresas cumplan con ciertos niveles de seguridad', SonicWALL