Eduard Chaveli: La AEC y Govertis junto con Telefónica han convertido el Club del DPD en el espacio de referencia para los DPD

Entrevistamos a Eduard Chaveli , CEO de Govertis, con motivo de la celebración de la segunda edición del Congreso de Privacidad que organiza AEC.

1.-  Sr. Chavell ¿qué papel juega Govertis y la AEC respecto a la promoción y desarrollo de la figura del DPD?

La AEC y Govertis junto con Telefónica han convertido el Club del DPD  en el espacio de referencia para los DPD donde pueden compartir conocimientos, experiencias e inquietudes con otros DPD; donde pueden formarse y capacitarse para el ejercicio de la profesión e - incluso - para poder certificarse. Desde Govertis damos el soporte de conocimiento en la materia a la AEC al servicio del Club del DPD. Por ejemplo damos cobertura a un blog muy dinámico que aborda los temas de actualidad para los DPD y somos quienes dinamizamos el #ClubDPD_AEC

2.- ¿Qué persigue el II Congreso de Privacidad: Diálogo de DPDs, y por qué ese título aludiendo directamente al diálogo?

El Congreso es el principal foro para la profesión de DPD, en el que los mismos pueden no sólo escuchar los temas de mayor actualidad en la materia de la mano de grandes profesionales y DPDs de grandes organizaciones representativas de diferentes sectores, sino también dialogar con ellos. En una materia como esta “con tantas aristas” el diálogo e intercambio de experiencias es fundamental.

3.- En su opinión ¿cuáles son los principales retos a los que hoy por hoy se enfrenta el DPD en el ejercicio de su labor dentro de una organización o empresa española?

Hay otros muchos retos pero estos son algunos de los principales retos internos a los que se enfrentan los DPD:

1. Uno de ellos es la necesaria implicación de la Dirección. Ni esta ni ninguna otra norma puede calar si desde la propia Dirección no hay una implicación.
2. Relacionado con lo anterior está la necesaria dotación de recursos: económicos, personales, materiales, de tiempo, etc. Por ejemplo un DPD sin tiempo para esta labor porque tiene otras tareas que le absorben en el día a día no puede desempeñar bien su labor.
3. También poder disponer de “aliados internos” que le ayuden a ganar capilaridad y llegar a toda la organización.
4. Y por último, que la organización le haga partícipe en forma adecuada y en tiempo, de todas aquellas cuestiones que tengan o puedan tener relación con protección de datos, pues quizá en algunas organizaciones aún se le ve como un stopper de ciertas decisiones de la empresa o como una figura impuesta por la ley y - digamos - un tanto decorativa y con la que no se cuenta en todos los casos en que debiera ser así. Esto dejará de ser así cuando dichas organizaciones apuesten por la protección de datos y consecuentemente no vean al DPD como un trámite (incluso obstáculo), sino como lo que es: un garante del cumplimiento de la normativa de protección de datos; y por tanto, de los interesados y también del Responsable. Y eso será así cuando el derecho de los “interesados” sea también una prioridad de las organizaciones y estas apuesten por la protección de datos porque CREAN en ella.

4.- ¿Sería conveniente regular la figura del DPD dotándola de un estatuto profesional propio?

Actualmente existe un estatuto jurídico básico del DPD que se puede extraer del RGPD y la LOPDGDD (lo que estos denominan  “posición”); y existen también unas interesantes Directrices del Grupo de Trabajo del Artículo 29 (*) sobre el DPD. De todo ello se pueden extraer ese régimen jurídico básico que regula diferentes aspectos como los supuestos de designación, recursos, independencia, conflicto de intereses etc. pero hay otros que requieren de desarrollo o concreción: uno de ellos es el relativo a la compatibilidad con otros roles. Es verdad que algunos aspectos han sido desarrollados por la AEPD mediante informes, pero quizá pasado un cierto tiempo y recogida la experiencia existente pueda configurarse un estatuto jurídico integral del DPD.

5.- Hace unos días el Magistrado de la Sala II del Tribunal Supremo D. Vicente Magro Servet nos sorprendía al demandar la creación de un registro de Compliance Officers para que sirviera de apoyo a los tribunales a la hora de buscar peritos expertos en esa materia para aquellos casos que así se requiriese. Mutatis mutandis ¿habría que hacer lo propio con los DPDs?

En todas las materias es interesante que existan profesionales capacitados y cuyo conocimiento esté acreditado y puedan intervenir cuando sea requerido ante los Tribunales. En relación con la protección de datos existe una certificación “oficial” que es la que es conforme al Esquema de certificación AEPD- ENAC. Los profesionales que superan el proceso de prerrequisitos para poder presentarse  al examen y lo aprueban, aparecen en un registro de DPD publicado por cada Entidad de Certificación acreditada. En este enlace se pueden ver las Entidades de Certificación acreditadas.

Como se ve la AEC es una de las pocas entidades de certificación acreditadas por ENAC.

Hay muchos profesionales que están muy capacitados y no se han certificado (pues no es obligatorio) y no aparecen en dicho listado; pero dicha certificación desde luego sí que garantiza de manera objetiva la superación de unos requisitos por dichos DPD, bajo un proceso sometido a auditorías de ENAC. Además, dicha certificación a los tres años caduca y debe renovarse acreditando una serie de requisitos.

Por tanto, dicho registro podría utilizarse como base para su consulta ante la necesidad de peritos en la materia. Obviamente también debieran de adherirse voluntariamente los DPD a dicha posibilidad de ser peritos.

6.- La conjunción tecnológica resultante de sumar la Inteligencia Artificial, el Machine Learning, el Cloud computing, el Blockchain y el Big Data ¿Supone una amenaza o “un revoltijotech” repleto de oportunidades, qué piensa?

El Derecho en general siempre va por detrás de los hechos intentando darles “cobertura legal”. Ya sucedió eso en los orígenes de la privacidad también cuando Warren y Brandeis hablaron por primera vez de privacidad a finales del siglo XIX ante los nuevos retos que suponía la emergente tecnología de entonces (la aparición de la cámara fotográfica o del teléfono). Y hoy en día de nuevo es así, con la diferencia de que la velocidad a la que cambian las tecnologías dificulta al derecho dar una respuesta ágil y adecuada. En todo caso, estas tecnologías no suponen una amenaza sino una nueva oportunidad que tienen la Sociedad y el Derecho de conseguir que la humanidad no se aparte de esas reglas del Derecho que están extraídas de la esencia del ser humano. Y en este punto Europa ha tenido y tiene un papel esencial en el mundo añadiendo al Derecho un componente ético, cada vez más importante, y haciendo de ella su baluarte frente a otras latitudes del mundo en las que parece que ante la “dictadura del dinero todo vale”. Quizá sea posible encontrar un equilibrio  - deseable  y necesario - entre conseguir una progresión económica y que ello no sea a costa de los derechos humanos, entre ellos el de la protección de datos.

7.- Y para terminar ¿qué aconseja a los DPDs para gestionar en términos de calidad su labor en el Data Governance?

El principal consejo que se puede dar a un DPD creo que es que esté bien formado Y dicha formación no sólo se refiere  a la protección de datos , sino que debe de conocer muy bien la organización a la que presta dichos servicios y la legislación del sector de actividad de la misma. Otro consejo sería que no pierda en ningún momento la honestidad para con el interesado o titular de los datos, que es el verdadero protagonista de la protección de datos y cuyo derecho fundamental debe garantizarse.

(*) El Grupo de Trabajo del Artículo 29 (GT 29), creado por la Directiva 95/46/CE, es un órgano consultivo independiente integrado por las Autoridades de Protección de Datos de todos los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea.  Ahora, este órgano ha desaparecido, en virtud de la constitución el Comité Europeo de Protección de Datos (Considerando 139 y artículo 68 RGPD).