El Palacio de Pastrana de la capital de España se quedó pequeño para albergar los cerca de 600 expertos en protección de datos, entre DPO, CISOS, abogados externos e internos y profesionales de la seguridad de la información que acudieron al XV Foro de la Privacidad organizado por ISMS Forum y su Data Privacy Institute.
El encuentro contó con el patrocinio de firmas como Huawei, OneTrust y Vaultree como patrocinadores platino y con Arexdata y RiskRecon, compañía del grupo Mastercard, como patrocinadores oro. Así, entidades como Cumplen, ENATIC, Cyber Madrid y Women4Ciber Spain como colaboradores.
El momento actual que vive la privacidad, con cambios normativos de calado tras la llegada de la directiva NIS2 o el reglamento DORA, aumentan el impacto de las nuevas tecnologías donde la Inteligencia Artificial (IA) y su ChatGPT acapara todas las miradas. Estos fueron elementos claves de las intervenciones de los destacados ponentes que aportaron su visión sobre el entorno que se avecina.
Organizado en dos paneles simultáneos, presentados cada uno de ellos por Carlos Alberto Saiz, vicepresidente de ISMS Forum, director del Data Privacy Institute y socio de Ecix Group, y Henry Velásquez, responsable de privacidad para Sur de Europa y América Latina de la multinacional Publicis Group, fueron tomando la palabra destacados expertos en materia de privacidad.
Así, las primeras intervenciones de Paul Nemitz, asesor principal de la Comisión Europea, y la de Nerea Peris, responsable de la protección de datos en EDPB (siglas del Comité Europeo de Protección de Datos), sirvieron para conocer el punto de vista de las instituciones en este contexto global marcado por los cambios normativos y la irrupción de la Inteligencia Artificial.
En el caso de Nemitz recordó el momento que vive Europa con la próxima aprobación del Reglamento de Inteligencia Artificial (IA) que posiblemente siga un camino paralelo al vigente RGPD Europeo que este mes de mayo cumple sus primeros cinco años de vida. Al mismo tiempo resaltó los riesgos de la IA, sus sesgos y de la posible ilicitud de la procedencia de los datos en algunas ocasiones.
Entre los asistentes, Belen Arribas, abogada experta en tecnología y vicepresidenta de ENATIC, ha conocido a Paul Nemitz que fue el principal asesor para el RGPD y ahora está muy activo en la propuesta de regulación sobre IA, “tiene claro cuál debe ser el peso de la UE en la regulación de la IA. Siempre argumenta sobre el efecto extraterritorial del Reglamento General de Protección de Datos (RGPD) que ha sido muy contestado por las grandes tecnológicas y que extiende a este Reglamento de la IA que será aprobado en los próximos meses”.
Mediación y protección de datos
Fue precisamente Julián Prieto, subdirector general de promociones y autorizaciones en la Agencia Española de Protección de Datos, quien explicó las ventajas de impulsar la mediación en los Códigos de Conducta de diferentes organizaciones. El RGPD los configura como un instrumento del cumplimiento del principio de proactividad pudiendo ser de alcance nacional o trasnacional si guarda relación con actividades de tratamiento de varios países de la UE.
En su presentación, Julián recordó que en materia de protección de datos, son mecanismos de cumplimiento voluntario los que establecen reglas específicas para categorías de responsables o encargados del tratamiento con la finalidad de contribuir a la correcta aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDPGDD).
Prieto explicó la puesta en marcha tras la modificación del Código de conducta de Autocontrol sobre el ‘Tratamiento de datos en la actividad publicitaria’ para incorporar este sistema de mediación, apoyado por los principales operadores de telefonía, que sigue las directrices del Comité Europeo de Protección de Datos y que es pionero en la UE a nivel de implementación en estos momentos. Es una forma de agilizar las reclamaciones de los consumidores y que la AEPD se centre en otros asuntos más complejos, en la práctica.
Esquema de certificación de ISMS Forum
Por su parte, Carlos Alberto Saiz, vicepresidente, y Daniel García, director gerente de ISMS Forum, avanzaron el nuevo esquema de certificación para empresas encargados del tratamiento que estará operativo en unos meses y en el que se ha venido trabajando hasta ahora. Se trata de ayudar a aquellas empresas que tienen una política de privacidad adecuada y que puedan acreditarlo ante terceros que buscan un proveedor en este tema tan específico de dicha cualificación.
A este respecto Saiz indicó que “se trata de avalar su trabajo como prestadores de servicios que van a tratar datos para dar garantías a sus clientes que son los responsables del tratamiento indicando que realmente están cualificados. Es previsible que en tres o cuatro meses esté aceptado por ENAC (Entidad Nacional de Acreditación). A partir de ahí habrá entidades de certificación que se quieran acreditar para hacer auditorías a aquellas empresas que quieran certificarse”.
En su exposición, García comentó la evolución de ISMS Forum afirmando que a lo largo de su historia ha lanzado otras certificaciones, todas ellas referentes en materia de privacidad, “la puesta en marcha de una certificación última sobre la figura del Delegado de Protección de Datos nos ha animado a dar este nuevo paso profesional”. En su intervención explicó el funcionamiento de dicho esquema recalcando que ya había empresas interesadas en certificarse, “en el futuro podremos en marcha un grupo de trabajo interno que ayude a su desarrollo”.
Transferencias internacionales de datos
En su turno de palabra, José Luis Piñar, catedrático de Derecho Administrativo en CEU San Pablo Madrid, consejero de CMS Albiñana & Suárez de Lezo y exdirector de la AEPD, abordó la problemática de las transferencias internacionales de datos planteando el impacto de las sentencias del TJUE Schrems 1 (2015) y Schrems 2 (2020) que anulan Safe Harbour y Privacy Shields y el momento actual tras la orden ejecutiva del presidente de EEUU, John Biden, que pretende resolver la falta de acuerdo existente en la actualidad entre EEUU y la UE en esta materia.
Desde esta perspectiva, Piñar recordó que “ese volumen de transferencias entre la UE y EEUU asciende a 7 trillones de dólares. Ahora mismo se plantea un nuevo acuerdo porque las cláusulas contractuales que se emplean para dichas transferencias son mejorables. Biden anunció una Ley Federal de Datos y resaltó que a través de esta orden ejecutiva modificará la normativa de EEUU en materia de protección de datos que ahora se acercaría mucho al modelo europeo de protección de datos”.
Otras cuestiones que este experto planteó sobre dicha orden ejecutiva tiene que ver con que establecerá el Data Protection Review Court, “un órgano que revisa las reclamaciones en materia de protección de datos que puedan presentar los particulares. Al mismo tiempo permite el acceso de extranjeros a las garantías y tutelas en EEUU. Es una orden ejecutiva que da pasos adelante. Ahora mismo, la Comisión Europea lo está analizando y no creo que se demore mucho el nuevo acuerdo entre EEUU y la UE. Se necesitan certidumbres en las transferencias internacionales de datos”.
Expertos como Paz Martín, directora ejecutive de Legal Things Abogados, aclaró que José Luis Piñar dio una visión muy realista de lo que son las transferencias internacionales de datos afirmando que “es algo que preocupa a todos los DPO que no está aún resuelto y que todos esperamos la decisión de adecuación de la Comisión Europea. Hizo un buen resumen de los acuerdos existentes hasta ahora entra EEUU y la UE, dio pautas de cómo gestionar dichas transferencias en estos momentos con las cláusulas contractuales”.
La importancia del RGPD como norma universal
Por su parte, Leonardo Cervera-Navas, Supervisor Europeo de Protección de Datos, resaltó en su exposición que “el Reglamento General de Protección de Datos (RGPD) ha sido un gran éxito y ha subido el listón de la protección de datos no solo en Europa sino en el mundo entero, con 145 países que tienen una legislación inspirada en dicho Reglamento. Aun así, no podemos caer en la complacencia y las autoridades de protección de datos, debemos hacer cierta autocrítica. Hay que explicar mejor porqué la protección de datos es importante para las organizaciones y mejorar el enforcement respecto a las grandes tecnológicas”.
Otra cuestión que subrayó “es que en materia de transferencias internacionales hay que hacer un esfuerzo para tener una convergencia global mejor. Esto supone dar más confianza a esos países y regiones que comparten nuestros calores democráticos y el Estado de derecho. Al mismo tiempo debemos pedirles que acepten el RGPD como modelo de privacidad a desarrollar en sus respectivas jurisdicciones. Es importante que se acerquen más a nosotros. Creo que el acuerdo entre Estados Unidos y la Unión Europea está más cerca y es una buena noticia por el esfuerzo que han hecho los EEUU”.
Para Cervera-Navas “en este contexto hay que darse cuenta de la importancia de la legislación que se avecina en materia de Inteligencia Artificial. Hay que garantizar un enfoque humano al desarrollo de la tecnología. Es el humanismo digital del que hablo en mis conferencias. A este respecto hay que aprender de la experiencia del RGPD que lleva cinco años operativo para hacerlo mejor. En su artículo 22 ya se dice que no puede haber decisiones automatizadas y que hace falta una supervisión humana”.
Diálogo con Peter Winn
En este segundo panel, coordinado con Henry Velásquez, responsable de privacidad, para Sur de Europa y Latam en Publicis Group, en el que intervinieron Leonardo Cervera y Nerea Peris, este jurista tuvo la oportunidad de conversar con Peter Winn, director interno de privacidad y libertades civiles del Departamento de Justicia de los EEUU, en ese debate, entre otros temas, se habló de las negociaciones existentes entre EEUU y la UE para definir un nuevo marco de las transferencias internacionales.
En este asunto, Velásquez manifestó que, a pesar de los avances en el proceso de adopción de un nuevo EU/US Data Privacy Framework, persisten las críticas y preocupaciones manifestadas por ciudadanos y organizaciones europeas, que indican que la Orden Ejecutiva de Joe Biden no protege suficientemente la privacidad de los ciudadanos europeos ante posibles usos indebidos de los datos personales por parte de autoridades estadounidenses.
A este respecto hizo alusión a la capacidad de limitar, bajo criterios de proporcionalidad y necesidad, la vigilancia de autoridades de seguridad nacional americanas efectuadas mediante signals intelligence y a establecer, en su defecto, mecanismos que permitan una reparación judicial eficaz.
Peter Winn replicó que, en su opinión, tales preocupaciones sí que quedarían cubiertas en la medida en que la protección que se otorgaría a los ciudadanos europeos ante el posible uso desproporcionado de los datos por parte de autoridades estadounidenses es similar al que se otorga a los propios ciudadanos estadounidenses a nivel constitucional y que el mecanismo de reparación judicial que se establece a partir de la Orden ofrece garantías eficaces teniendo en cuenta que intervienen, en primera instancia, el Civil Liberties Officer (CLO) de la National Security Authority de la Estados Unidos y que, en segunda instancia, se podría apelar cualquier decisión ante la recientemente creada Data Protection Review Court.
Debate sobre cibercompliance
Entre las mesas redondas de este XV Foro de la Privacidad, mencionar la que se centró en hablar del llamado cibercompliance, como conjunto de normas que las empresas adoptan para minimizar el impacto de los ciberataques. En este debate que fue moderado por Roberto Baratta, director de Loss Prevention, Business Continuity and Security, DPO de Abanca y miembro del Board de ISMS Forum, se habló de lo que hacen las empresas para luchar contra estos ciberriesgos.
En esta mesa redonda una empresa de software que ofrece soluciones a las empresas con Arexdata representada por Pedro Tortosa, su fundador, junto a las intervenciones de Lucía Sánchez-Ocaña, delegada de protección de datos en Cabot Financial, Virginia Rodríguez, directora de Cybersoc de Caixabank y miembro del Board de ISMS Forum junto a Patricia Muleiro, delegada de protección de datos en la Clínica Universitaria de Navarra, quienes coincidieron en el que el nivel regulatorio se va a incrementar más con la llegada de reglamentos como Dora o directivas como NIS2.
En su turno de palabra, Virginia Rodríguez destacó que las empresas “debemos desarrollar modelos proactivos para cumplir con la normativa de protección de datos”. Además de “supervisar nuestra cadena de suministro de tal forma que nuestros proveedores tengan unos ratios de cumplimiento similares a los nuestros”. A su juicio el compliance ayuda a resolver esa problemática en materia de ciberseguridad donde es necesario contar con herramientas y personal especializado adecuado.
El cierre de este segundo panel lo pusieron los profesionales de ISMS Forum que han realizado el Data Breach Report 2023, una publicación que actualiza la del 2021 y que viene a ser, según explicó Susana Rey, DPO en MásMovil, “un manual muy práctico para afrontar todo lo que es una brecha de seguridad”. En su opinión, dicha brecha hay que gestionarla desde que se hace el correspondiente tratamiento de datos. Y es que una buena planificación con protocolos claros puede ayudar a reducir ese impacto y comunicar bien la incidencia a la AEPD.
Junto a Rey intervinieron otros expertos que han trabajado en este informe como Javier Lomas, responsable de la Protección de Datos en Codere, que se ocupó de analizar las resoluciones más importantes de la AEPD y a nivel judicial. En su exposición señaló que las empresas notificaban 140 incidentes a la AEPD, pero no todos eran sancionables. También recordó que la sentencia del Supremo del 15 de febrero del 2022 señalaba que las empresas no están obligadas a lograr resultados sino a utilizar los medios adecuados para minimizar ese incidente.
Por su parte, Tomás Sanz, responsable ejecutivo de la protección de datos en ING Spain & Portugal, recordó que esta guía pretende ser una herramienta de ayuda para que las empresas puedan tomar decisiones ágiles y estudiadas en relación con las brechas de seguridad. Para Gisela Reverter, integrante de la Asesoría Jurídica Corporativa de VidaCaixa, subrayó que es importante que las empresas deban hacer balance de las brechas que han sufrido para saber realmente en qué han fallado para que se produzca dicho incidente.
Por su parte, el panel primero finalizó con la intervención de Francisco Pérez-Bes, socio de derecho digital de Ecix Group, quien centró su exposición en la nueva herramienta disruptiva de la Inteligencia Artificial, el llamado ChatGPT y del que pudimos saber que Microsoft lo ha implementado en su buscador Bing, lo que genera narrativas en las búsquedas, un aspecto que deja claro cómo esta herramienta puede impulsar la democratización de la IA.
Este XV Foro de la Privacidad concluyó con un cóctel en el que los asistentes pudieron intercambiar opiniones sobre los temas tratados en este evento, así como potenciar su networking con otras empresas afines a sus intereses profesionales. Y es que la privacidad como elemento estratégico convierte necesario contar con socios y alianzas para responder a las obligaciones legales que mara la normativa y sus reguladores.
