«La AEPD se ha fijado como prioridad la protección de las personas en Internet». Mar España
Mar España Martí es la directora de la Agencia Española de Protección de Datos (AEPD) desde julio de 2015. Licenciada en Derecho por la Universidad Pontificia de Comillas, es funcionaria de carrera del Cuerpo Superior de Administraciones Civiles del Estado en la especialidad jurídica desde 1989. A lo largo de su carrera profesional ha trabajado en diferentes instituciones como el Defensor del Pueblo, el Instituto de la Mujer o la Junta de Comunidades de Castilla-La Mancha.
Hablamos con ella sobre la protección de datos, desde su marco normativo hasta los retos futuros a los que se enfrentan los reguladores europeos como la AEPD.
¿Por qué la ciudadanía debe darle importancia a la protección de sus datos?
El derecho a la protección de datos es la capacidad que posee cada persona para disponer y decidir sobre la información que le identifica o le puede llegar a identificar. Se trata de un derecho fundamental reconocido en la Constitución Española y regulado y protegido tanto por el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPGDD).
La proliferación y el uso masivo de las nuevas tecnologías es una realidad con enormes ventajas pero también lleno de desafíos. Los ciudadanos deben ser conscientes de sus derechos para saber exigirlos ante quienes tratan su información personal y las organizaciones deben apostar por la protección de datos como un valor que les aporta competitividad a la hora de desarrollar nuevos productos y servicios, dado que la innovación no puede llevarse a cabo sin tener en cuenta los derechos de las personas.
¿Qué papel desempeña la agencia al respecto?
La Agencia Española de Protección de Datos tiene entre sus objetivos principales fomentar una cultura de protección de datos tanto entre la ciudadanía como entre las organizaciones que tratan información personal. Teniendo en cuenta el avance de la digitalización, también se ha fijado como prioridad la protección de las personas en Internet.
La Agencia continúa y va a continuar con su política de fomento de la cultura de protección de datos, en un contexto inicialmente marcado por el cambio de paradigma que supuso la aplicación del Reglamento General de Protección de Datos y que requirió adaptar muchos de los recursos existentes al nuevo marco normativo, caracterizado por un cambio de enfoque basado no tanto en la reactividad como en la proactividad, por la cual los sujetos obligados no solo deben cumplir la ley, sino estar en disposición de probar dicho cumplimiento. Fruto de esta necesidad y de los nuevos desafíos que marca el RGPD, la Agencia ha reestructurado o elaborado desde cero más de 100 guías y herramientas para ayudar a empresas y administraciones al cumplimiento de la norma y facilitar a los ciudadanos el conocimiento de sus derechos y el ejercicio de los mismos.
Además, para fomentar el compromiso de las organizaciones la Agencia cuenta con el Pacto Digital para la Protección de las Personas, una iniciativa a la que se han adherido más de 400 organizaciones y que trata de impulsar tanto la transparencia en las entidades, de forma que los ciudadanos conozcan qué datos personales recogen sobre ellos y para qué se utilizan, como la innovación ética, evitando que las nuevas tecnologías perpetúen sesgos o aumenten las desigualdades generando discriminación algorítmica.
Desde su nombramiento como directora de la AEPD en 2015, la normativa de protección de datos ha evolucionado con la entrada en vigor y posterior aplicación del Reglamento General de Protección de Datos (RGPD) y de nuestra Ley Orgánica de protección de datos personales y garantía de los derechos digitales. Háblenos un poco sobre estas normas y sobre los cambios que han supuesto, especialmente para las empresas y empresarios individuales, en lo que al tratamiento de datos de contacto profesional respecta.
Estas normas ya llevan tiempo siendo de aplicación, en concreto el RGPD es plenamente aplicable desde mayo de 2018, hace ya más de 4 años. Respecto a la LOPDGDD, el próximo 7 de diciembre hará 4 años desde que entró en vigor y es aplicable. La aprobación de la normativa europea obedece a varias razones, entre las que cabe destacar el garantizar un nivel uniforme y elevado de la protección de los derechos y libertades de las personas físicas en lo que se refiere al tratamiento de sus datos, que ahora es equivalente en todos los Estados de la UE; y hacer frente a los retos que la rápida evolución tecnológica y la globalización plantean para la protección de los datos personales.
En cuanto a las novedades que introdujo, la principal es la evolución a un modelo basado, fundamentalmente, en la proactividad para aquellas empresas y organizaciones que tratan datos personales. Este principio de responsabilidad activa exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha valoración, adoptar las medidas que procedan. Ese principio de accountability obliga a responsables y encargados no sólo a cumplir con el RGPD, sino a poder demostrarlo.
A su vez, la LOPDPGDD recoge entre las disposiciones aplicables a determinados tratamientos de datos las relativas a los datos de contacto de empresarios individuales y de profesionales liberales en su artículo 19, que establece que, salvo prueba en contrario, el tratamiento de los datos de contacto y en su caso los relativos a la función o puesto desempeñado de las personas físicas que presten servicios en una persona jurídica se presume amparado en el interés legítimo, siempre que el tratamiento se refiera únicamente a los datos necesarios para su localización profesional; y que la finalidad del tratamiento sea únicamente mantener relaciones de cualquier índole con la persona jurídica en la que el afectado preste sus servicios.
Esta presunción también se aplica al tratamiento de los datos relativos a los empresarios individuales y a los profesionales liberales cuando se refieran a ellos únicamente en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.
¿Cuáles son las principales amenazas o peligros que detectan hoy en día?
Las amenazas y los peligros que se detectan actualmente han crecido de forma exponencial debido a la expansión de los tratamientos digitales y la accesibilidad a sistemas de proceso de datos muy intrusivos. Se han acrecentado los tratamientos de datos biométricos en cualquier sector, en el sector de la salud han aumentado servicios y dispositivos que recogen datos sanitarios fuera del ámbito profesional y el volcado de los servicios tradicionales a Internet permite la recogida masiva de datos personales en todos los ámbitos de la vida diaria, entre otros ejemplos.
Tecnologías ya comunes como la inteligencia artificial, el Internet de las Cosas, los neurointerfaces, el 5G y, en general, la hiperconectividad genera una acumulación de datos personales. Las brechas de datos personales son una constante, y debido a la tendencia a acumular cada vez más información, dichas brechas ya tienen un carácter masivo. La amenaza ya no es a la privacidad individual, es un riesgo sobre el aspecto social del individuo y sobre la sociedad en sí misma.
Recientemente la AEPD ha lanzado la versión web de Evalúa_Riesgo RGPD, ¿cómo surge esta herramienta? ¿Qué objetivo persigue y en qué consiste?
Evalúa_Riesgo es una herramienta cuyo objetivo es ayudar a los responsables y encargados a identificar los factores de riesgo de los tratamientos de datos personales; hacer una primera evaluación no exhaustiva, del riesgo intrínseco, incluyendo la obligación de realizar una EIPD, y facilitando la gestión del riesgo residual al utilizar medidas y garantías para mitigar dichos riesgos.
Se trata de un recurso ágil, intuitivo y fácil de usar, que ofrece un informe final con los factores de riesgo identificados. Además, es compatible con todos los navegadores y sistemas operativos. La herramienta recoge los factores de riesgo identificados en el RGPD, la LOPDGDD, las directrices del Comité Europeo de Protección de Datos y otras guías, lo que agiliza significativamente el análisis de los factores de riesgo y facilita la tarea de los delegados de protección de datos.
Este recurso forma parte del ‘Decálogo de recursos de ayuda de la AEPD’, que incluye herramientas como ‘Facilita_RGPD’ o ‘Facilita Emprende’, estas últimas orientadas a pymes y profesionales, y diseñadas para ayudar a los responsables y encargados en la tarea de adecuar sus tratamientos de bajo riesgo a la normativa de protección de datos. Ambas herramientas son compatibles, ya que cubren espectros distintos de la aplicación del principio de responsabilidad proactiva.
¿Qué otros proyectos, en funcionamiento o que se vayan a poner en marcha, destacaría?
Actualmente estamos impulsando iniciativas en muchos sentidos, tantos como sectores económicos y sociales existen en nuestro país. Todos ellos tienen la máxima atención de la AEPD y a todos ellos dedicamos los mayores esfuerzos. Sin dudarlo prestamos atención a aquellos aspectos que tienen un carácter más transversal y que implican un impacto en un número mayor de sectores. Por ello, hay tres campos en los que estamos trabajando más intensamente: la utilización de sistemas de inteligencia artificial en tratamientos de datos personales, el uso de la biometría, especialmente para los casos de identificación y autenticación de personas, y las iniciativas de concentración y tratamiento de datos personales.
Estos tres campos se proyectan sobre todos los colectivos, todos ellos importantes, pero hay uno en especial que es el más vulnerable, el colectivo de los menores, que son nuestro presente y futuro, y que es más sensible a una pérdida de privacidad.
Desde un plano sectorial, en los extremos se encuentran las pymes y las Administraciones Públicas. Los primeros son el núcleo del tejido productivo español, y por eso es necesario producir recursos para que la eficacia de la protección de datos la puedan aplicar con la máxima eficiencia. Por otro lado, las Administraciones están al servicio de la ciudadanía y su eficacia y eficiencia deben estar unidas a una protección máxima de los derechos de las personas.
¿Qué tipo de colaboración existe actualmente entre la Agencia y asociaciones como Asedie, la Asociación Multisectorial de la Información, a la que pertenece INFORMA?
En el Plan Estratégico de la Agencia se establecieron como ejes de actuación la mejora de los servicios de información y asesoramiento a los sujetos obligados por la normativa de protección de datos a través de la creación de nuevas vías de comunicación y el refuerzo de la transparencia (Eje 3), y el acercamiento de la Agencia a los responsables de la privacidad (Eje 4), lo que se tradujo en medidas de atención a los responsables y en la elaboración de materiales y herramientas prácticas.
Entre las vías de comunicación cabe destacar que se estableció un primer canal de información para responder a las dudas que los responsables y encargados del tratamiento podían albergar en la adecuación a la regulación que establece el RGPD y que, pasado el tiempo, ha sido sustituido por el Canal del DPD, abierto a las consultas que formulen las organizaciones y asociaciones representativas de responsables y encargados como Asedie.
Por otro lado, como he mencionado anteriormente, el Pacto Digital, al que está adherida Asedie, constituye una iniciativa a través de la cual se canaliza la colaboración con la cultura y el compromiso con el derecho a la protección de datos. Además, en este sentido, hay que añadir la participación en congresos y jornadas organizadas por Asedie y por la Agencia, así como el mantenimiento de reuniones para tratar asuntos sobre protección de datos relacionados con la actividad que desarrollan los socios de Asedie.
¿Qué balance hace del papel de la Agencia hasta el momento?
Según datos del CIS, al 76% de los españoles le preocupa mucho o bastante la protección de sus datos personales. En consecuencia, es necesario cambiar el enfoque y abordar la protección de datos como una apuesta de presente y, sobre todo, de futuro. Contar con productos o servicios que cumplan con la protección de datos es una condición indispensable para el avance de la economía digital.
Somos conscientes de que la Agencia ha sido tradicionalmente conocida por su potestad sancionadora ante incumplimientos. Nuestra misión es velar para que se cumpla la legislación de protección de datos, pero también somos conscientes de que hay que ofrecer a aquellos que tratan datos, sobre todo a las pymes que son las que tienen menos recursos, las mejores guías, herramientas y asesoramiento del que somos capaces. Por ello las iniciativas que hemos realizado en los últimos años han sido de muy diversa índole, y hemos llevado a cabo guías, recomendaciones, herramientas, informes y acciones divulgativas, trabajando de forma estrecha con todos los sectores, desde autónomos y pymes a grandes empresas, para promover que el cumplimiento de la normativa sea proactivo y trabajando también especialmente con los delegados de protección de datos.
Creo que en los últimos años se ha avanzado mucho en el conocimiento de la normativa de protección de datos y de lo que supone. Las pymes de nuestro país deben saber que en la Agencia también trabajamos para ayudarles con el cumplimiento de la normativa.
También te puede interesar
6 recomendaciones para gestionar de forma eficaz los datos de contacto
Ciberseguridad y ciberresiliencia. Entrevista a Luis Gonçalves, CISO del Grupo Informa
No hay comentarios