Entrevistamos a Antonio Muñoz Marcos, Data Protection Technical Director, Global DPO Office de Telefónica, con motivo de la celebración de la segunda edición del Congreso de Privacidad que organiza AEC.
1.- Sr. Muñoz ¿qué tiene de especial para un DPD ejercer como tal en la mayor empresa española como es Telefónica?
Mi trabajo, en cuanto responsable operativo de las actividades que se desarrollan en la Oficina Global DPO de Telefónica, y el del equipo con el que trabajo, consiste en diseñar e implantar el modelo de gobierno global de privacidad en el Grupo Telefónica, principalmente coordinando todas las piezas del mismo para que funcionen (asesoramiento jurídico y técnico, controles, funciones específicas DPD, etc.) y, en definitiva, supervisando el cumplimiento en protección de datos en el Grupo. Esto tiene de especial, por la envergadura y el carácter de la actividad de Telefónica, que se plantean permanentemente retos a los que tienes que hacer frente, muchos de ellos mediados por las últimas tecnologías y otros por la dimensión y alcance de la actividad. Telefónica es una empresa con un especial compromiso en privacidad y de ahí procede nuestro Manifiesto por un nuevo pacto digital, nuestra posición como primer operador en el ranking de Digital Rights 2019 o los compromisos que asumimos con los principios éticos en Inteligencia artificial de los que hemos sido pioneros. Impulsar esta actividad y hacerlo con el nivel de excelencia que merece, dota a este trabajo de una naturaleza y motivación especial. Hacerlo además con un enfoque multijurisdiccional, en el desarrollo de productos y servicios sobre nuevas tecnologías, Internet de las Cosas, Big Data, Inteligencia Artificial, e impulsando internamente una sensibilidad y una cultura de respeto por la protección de los datos de carácter personal, hace de esta actividad un apasionante reto.
2.- ¿Qué complejidad comporta el carácter multinacional de Telefónica en la labor de su equipo DPD?
El equipo DPD global tiene entre sus tareas la coordinación con el resto de equipos DPD y con los responsables de privacidad de las operaciones del Grupo. Esto plantea, como no puede ser de otra forma, la necesidad de abordar la complejidad de la protección de datos impulsando un enfoque común, la generación de una cultura global, la coordinación de esfuerzos y el establecimiento de canales de comunicación abiertos para intentar dar respuesta a los retos y que se plantean cada día en cada jurisdicción y, además, con una mirada puesta en la evolución normativa de la protección de datos en los diferentes países y a nivel internacional.
3.- En su opinión ¿qué principales desafíos suscita la aplicación de la Inteligencia Artificial al Data Governance?
Lo primero de todo es convertir los principios éticos que nos hemos dado en realidades de nuestro día a día, bajándolas a nivel de diseño de producto. Generar presencia y herramientas que permitan evaluar desde el primer minuto el impacto en la protección de datos, las medidas que hay que implementar, tanto de diseño de producto, como de algoritmia, de seguridad y usabilidad y todo ello hacerlo de una manera no invasiva, naturalmente embebida en el propio diseño, actuando no desde fuera sino implicados desde dentro.
4.- ¿Cuáles considera que son los nuevos modelos de negocio basados en la Big Data que están implantándose acertadamente?
Tendríamos dos tipos de modelos. Por un lado aquellos basados en el tratamiento de datos anonimizados y agregados, que garanticen la irreversibilidad del dato, que permiten generar una información estadística de enorme utilidad, tanto para su aplicación en el negocio como a servicios e infraestructuras públicos o a las aplicaciones social good en la lucha contra la pobreza, las catástrofes naturales o la contaminación.
El otro modelo es el centrado en proporcionar servicios personalizados, adaptados a las necesidades y preferencias de los clientes, respetando en todo momento su privacidad y el control sobre el tratamiento de sus datos.
5.- El ecosistema digital está evolucionando a gran celeridad y plantea la necesidad de optimizar y dotar de plena eficacia al procesamiento de datos en tiempo real. Según usted ¿qué debería mejorar o qué se precisa –tecnológica, funcional o regulatoriamente hablando- para hacer ello posible?
Necesitamos implementar mecanismos que sean capaces de asociar eficientemente finalidad, legitimidad y datos, de manera que, en tiempo real, en función de la aplicación usuaria, que es la que acota la finalidad del tratamiento, seamos capaces de identificar la legitimidad de la que trae causa, y a partir de ahí habilitar el acceso y tratamiento de los datos o, en su caso, anonimizarlos. Ese es, por ejemplo, el trabajo que estamos haciendo en la definición de los requisitos de protección de datos de la Cuarta Plataforma de Telefónica. Todo ello debe estar acompañado de un enfoque regulatorio future proof, evitando planteamientos globales basados en casos concretos, sino en principios y reglas generales, potenciando la responsabilidad proactiva y el análisis y mitigación de riesgos en su aplicación.
6.- Las entidades bancarias y financieras empiezan a reconocer el enorme valor de los datos. ¿Será el dato la nueva moneda de cambio (“el datacoin”) o patrón económico en este escenario de la economía del dato en el que nos estamos adentrando?
No cabe duda del valor económico de los datos. No obstante, a mi entender, la explotación de los datos personales debe verse siempre desde la perspectiva de los derechos fundamentales, desde el lado del derecho a la protección de los datos y del derecho a la privacidad. Cuando hablemos de moneda, de valor, de propiedad o de intercambio no debemos nunca de dejar de resaltar que el dato personal es, ante todo y por encima de todo, el elemento básico en la configuración de ambos derechos y que dotarlo de una naturaleza distinta no debe hacerse en su perjuicio.
7.- La ecuación formada por los aspectos legales del uso del Big Data y el RGPD ¿supone realmente un dolor de cabeza para los DPDs? ¿Cuál es su experiencia?
Empezamos la andadura de la adecuación de las actividades de big data desde sus propios comienzos hace ya casi siete años y participamos en la redacción de la guía de big data de la AEPD. Con todo ello comprobamos que los tratamientos big data y la normativa de protección de datos son perfectamente compatibles. Por supuesto que es necesario afrontar diversos retos y gaps, y hacerlo desde el lado del sentido común, la razonabilidad y proporcionalidad, el enfoque basado en la identificación de riesgos y su mitigación y en la integración del asesoramiento en el diseño.
8.- Y para terminar, aprovechando su experiencia como abogado y Legal Counsel en Telefónica ¿cuál o cuáles serían sus consejos para todos aquellos abogados que nos leen y que se están planteando orientar su labor profesional como DPDs?
La labor del DPD, que en esencia es multidisciplinar, es en última instancia, la de un operador del derecho; y no de cualquier disciplina jurídica, sino de una tan técnicamente compleja como la que emana del Reglamento europeo (y normativa complementaria o análoga en otros países). Ello requiere un enorme componente de aplicación práctica del sentido jurídico, para acompañar a la norma en su aplicación diaria en la organización. Tiene el reto apasionante para un abogado de explorar la aplicación del derecho sobre nuevos territorios asociados a la técnica y la tecnología, el negocio, la organización, la gestión de proyectos, la sociedad y la cultura.