Lorenzo Cotino: "Estamos muy lejos de que las herramientas de analítica de datos desplacen la necesidad de contar con el DPD."
Entrevistamos a Lorenzo Cotino Hueso, Catedrático de Derecho Constitucional de la Universidad de Valencia, con ocasión la celebración del 2º Insight 2022 del Club DPD.
Si nos ponemos las gafas de la protección de datos , el mundo que nos rodea y todas las actividades humanas pueden verse como un enorme conjunto de datos y procesamiento de los mismos, tipo Matrix. De ahí que potencialmente la normativa de protección de datos puede proyectarse a todo tipo de actividad humana y sectores. En modo alguno es nueva la importancia que ya tiene la protección de datos en el ámbito laboral, consumo, comunicaciones, investigación y biomedicina, Administración digital, transparencia pública, ciberseguridad y un largo etc. De hecho, en algunos casos el Derecho de protección de datos casi pasa a ocupar un lugar preeminente en algunos sectores porque la regulación que existe cuenta con pocas garantías, concreción o mecanismos coercitivos. En ámbitos digitales y disruptivos la protección de datos pasa a ser casi el único Derecho aplicable (drones, IoT, robótica, big data, blockchain y, especialmente, inteligencia artificial). De hecho, los principios y derechos de la protección de datos han pasado a inspirar y ser el modelo de referencia de nuevas regulaciones y garantía de nuevos derechos digitales.
Esta vis expansiva de la protección de datos, ciertamente, puede resultar incómoda a los profesionales de los datos, puesto que siempre les obliga a conocer otros sectores regulatorios, pueden necesitar apoyo y en general han de trabajar mano a mano con diferentes tipos de profesionales. Pero creo que para los DPD esto es mucho más una oportunidad que un problema. Ellos están habituados a las metodologías de análisis de riesgos, al trabajo de monitoreo, implantación de garantías, relación con diferentes perfiles, disciplinas y sectores en las organizaciones, así como la seguridad siempre es un sector afín. Puede considerarse que están estratégicamente situados y privilegiados y tienen la capacidad de “saltar” profesionalmente a muchos ámbitos con relativo poco esfuerzo. Así, los DPD pueden ampliar sus posibilidades profesionales y proyectarse a estos sectores que se están digitalizando aceleradamente.
Dicho lo anterior, lo cierto es que el DPD no es un superhombre o supermujer y por lo general están absorbidos por las muchas tareas y obligaciones legales y organizativas, no siempre las más importantes. Como luego se señala, el incremento de herramientas para su función pueden liberar al DPD de las actividades menos importantes y estimulantes a las que hoy día dedican lamentablemente más tiempo que el que les gustaría.
En cierto modo el llamado metaverso no plantea problemas jurídicos que sean nuevos o que no se den ya por el uso masivo de la población de redes sociales, plataformas, sistemas en la nube. Pero los acelera y multiplica. Y es que el metaverso queda aderezado con el tratamiento de los macrodatos por sistemas de IA, realidad aumentada, IOT, interfaces neutorales y como resultado sensorización, neuromárketin, perfilados, lecturas biométricas, categorizaciones y de emociones de enorme profundidad. Y salpimentado con el 5G, criptomonedas, tokens y NFT uso de pagos virtuales, blockchain y un largo etcétera.
Así pues, el salto al metaverso y a nuestro avatar virtual supone un -nada virtual, sino muy real- salto y aceleración de todos los problemas que ya se dan hoy en día.
En consecuencia, no sólo hay que manejar la normativa de protección de datos, sino su contextualización en plataformas a partir de la regulación en UE, la Digital Services Act, la Data Act, la Digital Markets Act, entre otras.
Se va a hacer mucho más importante que nunca relativizar el papel del consentimiento de los usuarios (que sin duda lo darán). Hay que recordar que es nulo si los tratamientos de datos son desproporcionados o contrarios a los fundamentales principios de la protección de datos.
Los DPD van a tener que estar muy atentos a qué hacen sus organizaciones y su personal en el metaverso. La posibilidad de que se den muy malas prácticas por falta de conocimiento y de concienciación es muy alta. De igual modo, van a tener que “vigilar” la aceptación de políticas o contratación con las plataformas que prestan servicios de metaverso y en el metaverso y la posible comunicación de datos de la organización a estos encargados.
Los DPD van a necesitar apoyo, estudio y formación al respecto y, sobre todo, apoyo en su organización para hacerse imponer frente a las malas prácticas o inercias que puedan darse.
Si la actividad de la organización se “integra” en el metaverso, va a ser necesaria más que nunca la responsabilidad proactiva, análisis de riesgos y, en muchos casos, estudios de impacto y otras medidas del RGPD .
Desde hace ya décadas se cuenta con herramientas cada vez más avanzadas para el cumplimiento normativo de privacidad y protección de datos. Algunas son ya ampliamente conocidas en el sector y a buen seguro en el club del DPD.
El mayor interés de incorporación tecnológica es relativo al acceso a los sistemas, a los datasets, a las infraestructuras así como a los recursos humanos de la organización. Todo ello para la evaluación de los mismos, de los procesamientos que se realizan, la trazabilidad de los mismos y conocimiento de las comunicaciones. Estos instrumentos también permiten conocer y monitorear los elementos de seguridad con los que se cuentan, su funcionamiento y eficacia. Muchas actividades son estandarizables, secuenciables, contables y computables y todo puede permitir un control y monitoreo de datos y procesos muy efectivo de cara al cumplimiento de protección de datos. Asimismo, las tecnologías existentes ya permiten simplificar algunas cuestiones de gestión evitando duplicidades, por ejemplo. En esta línea, las herramientas de gestión de incidencias, servicios, reportes de incidencias, etc. resultan de especial interés. También son muy útiles las herramientas para la facilitación de comunicaciones con la propia organización de las actividades, adecuaciones, análisis de riesgo.
A las herramientas de analítica de datos mencionadas se les añaden las capas de inteligencia artificial y el quantum. Ello puede hacer de mucha mayor calidad, profundidad y alcance las labores que deben acometer los DPD. Estamos en cualquier caso muy lejos de que ello desplace la necesidad del DPD, sino que con suerte, van permitiendo que su actividad se dedique a tareas de menor importancia y gestión y se pueda centrar en los riesgos más importantes que estas tecnologías pueden detectar, así como intentar proyectar en las organizaciones las soluciones que en su caso puedan proponer estos sistemas.
Además, no hay que olvidar que buena parte de los problemas y riesgos que se generan -y que los sistemas pueden detectar- son problemas de origen humano y de problemas culturales y de formación en la organización. El DPD va a tener que seguir el elemento básico para intentar corregir estos problemas.
La figura del DPD es uno de los avances más palpables, acertados y eficaces del RGPD. Contamos ya con miles de profesionales ya muy formados, innovadores y voluntariosos. La articulación de estos profesionales es esencial. Y especialmente de los DPD que trabajan para las organizaciones públicas y privadas más importantes, como es el caso del Club DPD. Las posibilidades de intercambiar conocimientos, experiencias así como de relacionarse son enormes y ello ya por sí solo tiene un valor individual y particular incuestionable. Pero además, los DPD organizados en foros como el Club del DPD, les permite hacerse valer de cara a sus propias organizaciones y también de cara a todo el sector público y privado al que sirven y a toda la. De igual modo, son unos interlocutores excelentes para las entidades y agencias que hay en España. Así las cosas, no sólo tiene interés para ellos mismos, su participación en el Club y foros similares, sino que es de relevancia para el sector y para las finalidades de la mejor protección de datos y privacidad de toda España.