Javier Villegas: "Un cambio en el régimen sancionador de lo público favorecería que se tomara mucho más en serio la figura del DPD”

Entrevistamos a Javier Villegas, Lead Advisor en GOVERTIS, con motivo del IV Insight del Club DPD de la AEC, celebrado el pasado día 16 de septiembre.

1.- Hola Javier, para empezar y pensando en todos aquellos de nuestros lectores que no conozcan GOVERTIS ¿podría presentarnos esta compañía y decirnos en qué consiste y qué ofrece?

Govertis es una empresa líder en consultoría especializada en ciberseguridad y seguridad de la información, dentro de los cuales se integran servicios relacionados con privacidad, riesgo, cumplimiento normativo, continuidad de negocio y cíber-resiliencia. Govertis forma parte de Telefónica Tech, tras su adquisición el pasado año, convirtiéndo así T-Tech en la mayor consultora especializada en la materia, integrando las capacidades de consultoría con las de arquitectura y servicios de seguridad gestionada. Govertis está formada por un equipo de más de 100 profesionales de perfil técnico y jurídico, que diseñan e implementan una propuesta holística y diferencial End to End para los clientes, mediante la cual hacer posible una transformación digital segura y eficiente.

2.- ¿A qué tipo de clientes se dirige?

Govertis ofrece una solución integral experta en la modalidad más adecuada para todo tipo de sectores, tanto del ámbito privado como público, adaptándose a las necesidades tanto de PYMES como grandes compañías nacionales y multinacionales.

3.- Es la cuarta edición del Insight del Club DPD de la AEC ¿qué temas y cuestiones en materia de privacidad fueron las más destacas en este evento?

Como de costumbre, se abordaron asuntos de rabiosa actualidad en el mundo de la protección de datos. María Loza, compañera Lead Advisor en Nuevos Retos en Govertis, trató el controvertido tema del reconocimiento facial y sus implicaciones en la privacidad. El auge de esta tecnología y su implantación cada vez más extendida supone riesgos muy importantes para el derecho fundamental a la protección de datos, sobre los que María hizo especial hincapié, destacando noticias y resoluciones recientes que ponen de manifiesto la inseguridad jurídica existente y la necesidad de controlar estos sistemas con una regulación clara y homogénea, al menos a nivel europeo.

Xavier Ribas, Socio de Ribas Abogado, y uno de los referentes nacionales más reconocidos en privacidad, trató el concepto de “gran escala”, presente en distintos apartados de la normativa de protección de datos, aportando claves para interpretar adecuadamente este concepto jurídico indeterminado, algo esencial a la hora de dilucidar la aplicabilidad de determinadas obligaciones. Por mi parte, y para miembros del Club de Delegados de Protección de Datos de AEC, impartí una sesión en formato taller sobre la nueva Guía de análisis de riesgos y evaluación de impacto de la Agencia Española de Protección de Datos.

4.- ¿Qué cuestiones son las que usted abordó en este congreso?

En el desarrollo del taller de la nueva Guía de análisis de riesgos y evaluación de impacto de la AEPD traté de explicar los aspectos principales y más novedosos que trae esta Guía, que contiene algunos aspectos prácticos relevantes para el día a día de los profesionales de la privacidad. Entre otros, destaqué cómo se aclara la posición que ocupan las evaluaciones de impacto en los procesos de gestión de riegos, las diferencias entre estas evaluaciones de impacto y los análisis de riesgos, el rol que desempeñan los DPD,s, en ambos procesos, la diferencia entre amenazas y requisitos de cumplimiento normativo, los factores de riesgo a tener en cuenta así como posibles medidas de control, así como algunos de la herramienta “Evalúa RGPD”, cuyo piloto la Agencia presentó junto con la publicación de la Guía.

5.- Como experto en protección de datos ¿cree usted que nos encontramos a día de hoy con la necesidad de proteger nuestros datos más que nunca? ¿Por qué?

Indudablemente, siempre ha existido esa necesidad, si bien ahora estamos más expuestos por el avance inexorable de las tecnologías, que llevan aparejadas un tratamiento cada vez más invasivo de nuestra información personal. Conceptos en pleno auge en la actualidad como Big data, inteligencia artificial, “machine learning”, “blockchain” y criptomonedas, Internet de las cosas o los propios sistemas de control biométricos como huella o reconocimiento facial, suponen un cambio de paradigma que está trayendo innegables beneficios para la sociedad, pero que acarrean riesgos para la privacidad de los usuarios, que deben ser abordados a tiempo para evitar que supongan un retroceso en nuestros derechos y libertades.

6.- ¿Cuáles son los nuevos retos a los que se enfrenta la figura del Delegado de Protección de Datos y qué proponen ustedes al respecto?

Uno de los retos fundamentales es acompañar a las empresas y organismos en los procesos de transformación digital en los que ya se encuentran inmersos, y que supone una serie de riesgos como hemos indicado con anterioridad. Para ello, el DPD debe estar en permanente formación, tanto técnica como jurídica, para poder evaluar con todo detalle los riesgos y medidas a adoptar en cada caso. Esta formación no puede limitarse a un conocimiento general de la normativa de privacidad, sino que debe completarse con el conocimiento de los sectores específicos de su ámbito de actividad, así como una formación técnica en ciberseguridad y en las nuevas tecnologías y fenómenos disruptivos, ya que solo de esta forma se puede ayudar a cumplir con los requisitos legales de forma acompasada con los objetivos de negocio o de servicio público, en su caso.

También es fundamental, por parte de las organizaciones, que se otorgue al DPD el papel que le corresponde dentro de la estructura organizativa, dotándole de medios y visibilidad, y permitiendo que esté presente de forma activa en las “entrañas” de la organización, para poder asesorar en la toma de decisiones y hacer efectivo el principio de “privacidad desde el diseño”

7.- ¿Hasta qué punto el marco regulatorio español favorece y facilita la labor de los DPOs? ¿Qué echa usted en falta?

Si bien tanto el RGPD como la LOPDGDD dejan claro cual es la posición del DPD y sus funciones, que además son ampliadas y detalladas el Esquema de Certificación de DPD de la AEPD, la ausencia de un estatuto propio dificulta en la práctica que esto se lleve a efecto, por lo que ésta sería una posible solución. Además, observamos que en el sector público existen muchas deficiencias en este sentido, con falta de nombramientos o nombramientos no adecuados (perfiles no cualificados, falta de medios, no inclusión en RPT,s, conflictos de intereses…), que pueden venir motivados en parte por la no aplicación de multas económicas a las administraciones. Un cambio en el régimen sancionador de lo público favorecería sin duda que se tomara mucho más en serio esta figura.

8.- Y para terminar, pensando en nuestro público lector compuesto principalmente por profesionales del mundo del Derecho, entre ellos los especialistas en materia de Privacidad ¿recomendaría la inversión en herramientas de control y auditoría en la gestión de los datos personales para favorecer la labor de los DPOs?

Claramente sí. Los DPD,s supervisamos y asesoramos a empresas y organismos sobre el cumplimiento de la normativa de protección de datos, y éste tiene que venir sustentando en un sistema de gestión, basado en el principio de mejora continua. Esto se basa en una evaluación de riesgos permanente, con la implantación de medidas y el seguimiento y revisión de las mismas. Así mismo, el principio de responsabilidad proactiva y “accountability” requiere obtener evidencias del cumplimiento, para lo cual la figura del DPD.

En definitiva, el dinamismo intrínseco de estos sistemas de gestión de privacidad, la necesidad permanente de actualización, así como la imprescindible generación y custodia de evidencias, hace fundamental contar con herramientas que permitan la automatización y esta revisión constante, además de permitir demostrar en cualquier momento el cumplimiento.