Entrevista

Eusebio Moya: “Ser DPD o consultor en materia de privacidad exige un alto nivel de conocimientos TIC"

Entrevista
Eusebio Moya

Entrevistamos a Eusebio Moya, jefe del Departamento de Protección de Datos y Seguridad de la Información y delegado de protección de datos de la Diputación Provincial de Valencia, con motivo de su participación en el IV Congreso "Diálogos de DPD`s" que El Club del DPD de la Asociación Española para la Calidad ha celebrado en diciembre.

1. Hola Eusebio, en el “IV Congreso Privacidad Diálogos de DPDs” se han abordado temas de enorme interés en el ámbito de la privacidad y los DPDs. ¿Cuál es la situación actual del DPD en España, lo tiene más fácil que hace unos años, cuáles son sus necesidades actuales?

Sin duda la situación del DPD ha evolucionado mucho desde la entrada en vigor del RGPD, pasando de ser un rol prácticamente inédito a tener una presencia importante en el escenario de los tratamientos de datos personales. La obligación de designar un DPD en los casos previstos en la normativa junto con el lanzamiento del Esquema de Certificación de DPD por parte de la AEPD han sido factores determinantes para la expansión y relevancia de la figura.

España es uno de los países de la UE con mayor número de DPDs, superando los 60 mil según el registro de la AEPD. Pero hay una gran diferencia entre el número de DPDs registrados pertenecientes al sector privado y los del sector público, superando con creces el privado al público. Y ello a pesar de que prácticamente el total de entidades y organismos que conforman el sector público están obligados a designar un DPD.
No obstante la importante evolución que citaba anteriormente, creo que el DPD todavía está en fase de consolidación.

En mi opinión el DPD necesita equilibrar los perfiles profesionales actuales; en el conjunto de DPDs aprecio brechas importantes en el dominio de la materia y en el papel que adoptan. También sería necesario incidir en su independencia y, específicamente en el sector público, promover profesionalmente la existencia de DPDs internos.

2. Hablando de cambios ¿qué nuevos retos se plantean en el nuevo Esquema Nacional de Seguridad y qué intersecciones suponen para la protección de datos?
Como ya comenté en mi intervención en el Congreso, nos encontramos ante la evolución de la primera norma legal que establece un marco de seguridad uniforme de los sistemas de información en el conjunto de las Administraciones. El mayor reto es, por tanto, el acierto que pueda tener el legislador no solo al incorporar las novedades derivadas de los avances tecnológicos, las amenazas y riesgos inherentes, sino también debido a la mayor exposición de la norma en su aplicación, por la extensión que se ha producido del ENS a la práctica totalidad de los sistemas de información del sector público, a los proveedores tecnológicos de la Administración y por adoptarse como referente de seguridad de otros marcos normativos, como la protección de datos personales.

En este último sentido, la Disposición Adicional Primera de la LOPDGDD obliga a los responsables del sector público a aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el ENS, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

3. Eusebio, como jefe del Departamento de Protección de Datos y Seguridad de la Información de la Diputación Provincial de Valencia ¿qué implicaría concretamente para la Diputación el nuevo Esquema Nacional de Seguridad?

Nuestra base de partida es bastante sólida debido a que abordamos con prontitud el proceso de adecuación de nuestros sistemas al ENS, a lo que hay que añadir la implantación de políticas y normativas internas de seguridad de la información, la constitución de un Comité de Seguridad y haber llevado a cabo procesos más o menos regulares de auditoría.

Ahora mismo nos encontramos en plena revisión de las políticas que he citado, tomando como referentes el nuevo marco de protección de datos personales y lo que conocemos del borrador del próximo ENS. El nuevo ENS contiene cambios que esperamos incorporar con el mínimo impacto posible.

Queremos aprovechar la coyuntura de esta revisión de normas y procedimientos internos para mejorar también algunos aspectos que la experiencia durante estos años de vigencia nos ha proporcionado. Desde esta perspectiva creo que se nos brinda una buena oportunidad de mejora.

4. ¿Qué implicaciones trae consigo el pasaporte COVID en materia de protección de datos? ¿Es compatible el Certificado Covid con la protección de datos personales?

Lo primero a reseñar es que el Pasaporte Covid está regulado por el Reglamento (UE) 2021/953, que entró en vigor el pasado mes de julio; el tratamiento de los datos personales que comporta es ajustado al RGPD siempre para los fines sanitarios que señala y para garantizar el ejercicio del derecho a la libre circulación de los ciudadanos.

El problema surge cuando pretende ampliarse su uso a fines como la restricción de acceso a lugares de restauración, ocio o tiendas en general. La aplicación del RGPD va a exigir siempre una base jurídica que legitime ese tratamiento.

El TS ha tenido ocasión de pronunciarse al respecto –STS 1412/2021, Sala 4ª de lo contencioso- considerando que la exigencia de exhibir el certificado covid para acceder a determinados establecimientos de hostelería y ocio es ajustada a derecho si concurren los requisitos de "idoneidad, necesidad y proporcionalidad" en relación con la situación sanitaria y social en cada territorio y en cada momentos concreto. Por eso, habrá que analizar caso por caso y considerar las circunstancias específicas señaladas y la fórmula de tratamiento de los datos para determinar si es o no compatible.

5. Ahora que empieza a hablarse del Metaverso y de lo revolucionario que va a suponer el paso a la transrealidad ¿Hasta qué punto el mundo virtual del Metaverso afectará a la privacidad de los ciudadanos?

Como informático y apasionado de la tecnología, estos avances me parecen fascinantes y creo que pueden aportar una mejora importante en la calidad de vida de las personas y en el desarrollo económico. Como jurista, me preocupa la falta de transparencia que pueda darse a los usos reales del tratamiento de datos implicados, y el potencial peligro de manipulación masiva de la población que la concentración de tanta información personal en ciertas manos puede provocar.

El Metaverso se sustenta en una digitalización exhaustiva, tanto de las personas como del entorno en el que viven. Si el Metaverso se convierte en una realidad van a tenerse que afrontar muchas cuestiones relativas a los derechos de las personas, en un mundo con unos elevadísimos niveles de digitalización y globalización. Pero es innegable que el elemento más expuesto en este escenario es la privacidad. De hecho, todos los avances en tecnologías de la información siempre han venido manteniendo fricciones con la privacidad.

6. En el Congreso se ha presentado la “Guía sobre Transferencias Internacionales de Datos” elaborada por la Red Iberoamericana de Protección de datos, en este sentido ¿Qué cambios son los que el DPD ha tenido y tiene que tener en consideración a la hora de lidiar en el ámbito de las transferencias internacionales de datos?

Sin duda la sentencia de 16 de julio de 2020 del TJUE, mediante la que se anula la declaración del nivel adecuado de protección del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EEUU, ha supuesto un punto de inflexión importante, no solo para las transferencias de datos a los EEUU sino a cualquier otro país fuera del Espacio Económico Europeo.

La nota que puede definir mejor en estos momentos la situación en que se encuentra un DPD a la hora de abordar una transferencia internacional es la incertidumbre. Es difícil completar las garantías exigibles fuera del marco del reconocimiento de la Comisión a países que garanticen un nivel de protección adecuado, o en los supuestos de las BCR. El recurso a las denominadas “salvaguardas adicionales” presenta la dificultad de que en muchos casos no son negociables las condiciones del tratamiento (software de gestión, servicios cloud, etc).

El problema es que no existe una homogeneidad no solo jurídica sino cultural sobre la protección de datos personales. La visión europea es siempre más rigurosa en este sentido, más garantista. La posible solución debería ser lo más global posible y no debería polarizarse –prevalencia del derecho fundamental o prevalencia de la actividad económica- sino buscarse un punto de equilibrio.

7. ¿Habría que dotar a los DPDs de una regulación propia a modo de estatuto profesional legalmente reconocido?
La figura del DPD se recoge de una manera abierta en el RGPD, al DPD se le exige que acredite conocimientos especializados en el derecho y la práctica de protección de datos, así como aptitudes para desempeñar las tareas contempladas en el RGPD.

No se restringe el ejercicio profesional de DPD a la tenencia de ciertas titulaciones, ni siquiera el hecho de tener una formación a nivel universitario es requisito. Lo más cercano a un “estatuto” profesional actualmente es el Esquema de Certificación de DPDs de la AEPD, donde se especifican los requisitos de acceso, se establece la superación de ciertas pruebas para obtener la certificación y se vincula a la aceptación de un código ético. Pero recordemos que la certificación es un medio de acreditar los requisitos profesionales, no una condición para poder ejercer de DPD.

Regular el ejercicio de una profesión tiene cosas buenas, como una mayor garantía de profesionalidad, más penetración social, etc; pero también contraindicaciones, como el corporativismo que tradicionalmente ha acompañado a determinados profesionales. Una regulación en este sentido siempre sería positiva en tanto objetivara el propósito del DPD de ser un garante del cumplimiento normativo, dotando a la profesión de rigor y calidad.

8. Y para terminar, pensando en nuestro público lector compuesto principalmente por profesionales del mundo del Derecho e integrantes de despachos, asesorías, departamentos jurídicos de empresas, etc. muchos de ellos que ejercen como DPDs, desde su experienca ¿qué consejo principal les brindaría en un momento tan especial como el actual en el ámbito de la gestión de la protección de la privacidad?

Ser DPD o consultor en materia de privacidad exige un alto nivel de conocimientos no solo de normativa, tanto la específica de la materia como la sectorial en la que se produzcan los tratamientos de datos, sino también de las tecnologías de la información y las comunicaciones. Ello implica un mayor grado de exigencia a la hora de estar actualizado profesionalmente, pues el ritmo de avances tecnológicos es trepidante y la normativa que les resulta de aplicación está sometida a igual presión en la actualización de contenidos.

Mi consejo a cualquier profesional en este campo es que reserven un tiempo de su quehacer cotidiano para estar al día en estos aspectos. Sé que las tareas diarias nos absorben tanto que es difícil “robar” una porción de tiempo; pero hay que intentar en cada jornada laboral aprender algo nuevo sobre tecnologías aplicadas, sobre posiciones de las autoridades de control o los tribunales. En nuestro mundo profesional unas semanas sin asomarse a lo que está sucediendo en estos aspectos es perder perspectiva y efectividad.
Si de verdad quieres consolidarte como un buen profesional de la protección de datos y la privacidad tienes que tener muy claro que aquí no existe zona de confort alguna.

 

Entrevista realizada por Carlos Porras y José Ramón Moratalla, en enero de 2022.