Miguel Recio: "Sin ciberseguridad no hay protección de datos personales efectiva"

Entrevistamos a Miguel Recio Gayo, abogado del departamento de TMC de CMS Albiñana & Suárez de Lezo

- Apenas llevamos unos días del año 2020, un año que mucha gente imaginaba como el año de las nuevas tecnologías, la era digital, etc. Ahora que ya estamos en 2020, ¿podemos decir que verdaderamente es la era digital en la que es indispensable contar en el día a día con las nuevas tecnologías?

Sí, estamos inmersos en un proceso de transformación digital que hace indispensable que contemos en el día a día con el uso de las nuevas tecnologías tanto en nuestra vida personal como profesional.

Es decir, todo lo que nos rodea ha evolucionado hacia lo “digital por defecto”, de manera que necesitamos conocer cómo hacer uso de las nuevas tecnologías, y considerar también las tecnologías emergentes, para poder utilizarlas en nuestro beneficio personal y profesional.

Si ponemos la vista apenas una década atrás, podemos ver que se han producido importantes avances, desde la nube hasta la más reciente blockchain, que todavía está en desarrollo. Sin las nuevas tecnologías no podríamos hablar de la era digital y, por tanto, debemos ser conscientes y responsables del uso que hacemos de estas.

- ¿Hemos perdido privacidad con la transformación digital? ¿A qué retos se enfrenta el sector jurídico?

En cuanto a si hemos perdido privacidad, quizás deberíamos pensar también si la privacidad y la tecnología están en constante evolución, ya que, por ejemplo, surgen nuevos derechos como el derecho a la portabilidad y también obligaciones como la evaluación de impacto relativa a la protección de datos.

Además, como explica el Reglamento General de Protección de Datos (RGPD) en sus considerandos, el derecho a la protección de datos “debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad”. Esto da lugar a que tengamos que considerar también una nueva percepción de privacidad, si bien esto no quiere decir que no existan casos en los que lo que se produce es una vulneración o infracción de la protección de datos y/o la privacidad.

El sector jurídico tiene que conocer muy bien esta realidad con la finalidad de poder desempeñar su labor en la garantía de los derechos fundamentales. Es decir, comprender las implicaciones de la transformación digital es clave para el sector jurídico, tanto si es usuario de la tecnología como si asesora en la materia.

- Respecto a este avance con la ayuda de las nuevas tecnologías, ¿podemos decir que en el ámbito legal ya existen juzgados especializados en Protección de Datos o es necesaria formación de los operadores jurídicos?

Si bien podemos considerar que ya contamos con órganos jurisdiccionales especializados en protección de datos, en particular la Sala de lo Contencioso de la Audiencia Nacional, el Tribunal Supremo y el Tribunal Constitucional, la formación especializada de los operadores jurídicos es una necesidad.

A diario se plantean cuestiones novedosas sobre el significado y alcance del articulado tanto del Reglamento General de Protección de Datos (RGPD) como de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), sobre las que los operadores jurídicos necesitan formación.

Y las nuevas tecnologías, si tenemos en cuenta en particular los tratamientos masivos de datos y la Inteligencia Artificial, pueden ser de gran ayuda en análisis jurídicos que, hasta hace muy poco, eran complicados de hacer por los costes que implicaban.

- ¿Las empresas han tomado conciencia sobre la importancia de contar con un Delegado de Protección de Datos (DPO)?

La están tomando, siendo buena muestra el incremento en el número de inscripciones según las cifras publicadas por la Agencia Española de Protección de Datos.

No obstante, la figura del Delegado de Protección de Datos (DPO), incluso cuando ha sido nombrado, sigue siendo una gran desconocida para muchas empresas tanto por lo que se refiere a cómo hacer su designación de manera adecuada como a las funciones y tareas que tiene.

Suele ser frecuente ver ofertas de empleo en las que el DPO dependerá jerárquicamente de un departamento, en lugar de tener un canal de información directa con el más alto nivel de la organización, o en las que tiene funciones que son incompatibles con su independencia y con las funciones que tiene encomendadas en el RGPD y en la LOPDGDD, como podría ser tomar decisiones sobre el tratamiento de los datos personales.

En definitiva, si bien la conciencia ha aumentado, todavía queda mucho por lo que se refiere a comprender la relevancia de esta figura en el marco europeo actual de protección de datos.

- Con la puesta en marcha de la obligatoriedad del registro horario en las empresas, la AEPD pidió a éstas que los sistemas utilizados para realizar dicho control fuesen lo menos intrusivos posible, ¿esto se ha conseguido?

Al respecto, es necesario tener en cuenta que el tratamiento de datos personales derivado del registro horario implica, como cualquier otro, un riesgo en materia de protección de datos que hay que evaluar.

Además, si se tratan categorías especiales de datos, como por ejemplo ocurriría en el caso de la huella dactilar si es la que se utiliza para esta fialidad, será necesario adoptar medidas adicionales para cumplir, entre otros, con los principios de proporcionalidad y minimización de datos, así como con la obligación de adoptar medidas técnicas y organizativas adecuadas.

Por tanto, el uso que se haga de los sistemas de registro horario requiere evaluar dicho tratamiento de datos personales, considerando entre otros si se tratan categorías especiales de datos, y cumplir con todas las obligaciones, tales como las relativas a informar de dicho tratamiento, a cumplimentar el registro de actividades del tratamiento o a contratar a encargados del tratamiento que ofrezcan garantías suficientes.

- En 2019, ¿ha habido importantes sanciones por el incumplimiento del nuevo Reglamento de Protección de Datos?

Si atendemos a otros Estados miembros, en 2019 la autoridad federal alemana impuso una multa de más de 9,5 millones de euros a un proveedor de servicios de telecomunicaciones por no aplicar medidas adecuadas de seguridad; la autoridad de protección de datos de Berlín impuso una sanción de 14,5 millones de euros a una inmobiliaria por varias infracciones del Reglamento General de Protección de Datos y la autoridad griega de protección de datos impuso una multa de 150.000 euros por tratar datos personales de empleados sin la base de legitimación adecuada.

Además, cabe recordar casos como la multa de la CNIL a Google o de la ICO a Marriott International.

Y según hemos conocido recientemente por declaraciones de la Directora de la Agencia Española de Protección de Datos publicadas en la prensa, hay ya iniciados expedientes sancionadores que podrían acabar con multas relevantes en nuestro país para grandes empresas.

- Hace pocos días, conocíamos a través de los medios de comunicación el hackeo que había sufrido el fundador de Amazon Jeff Bezos. Una noticia que causó gran impacto en la sociedad. Cada vez hay más relación entre la ciberseguridad y la protección de datos, ¿hasta qué punto se debe exigir contar con un nivel mínimo de ciberseguridad para garantizar la auditoría en materia de protección de datos?

Sin ciberseguridad no hay protección de datos personales efectiva. En este sentido, fue un total acierto que las Administraciones Públicas tuvieran que cumplir con el Esquema Nacional de Seguridad (ENS) y que, en virtud de la LOPDGDD, se hay extendido su cumplimiento a los terceros que presten a aquéllas un servicio en régimen de concesión, encomienda de gestión o contrato.

La ciberseguridad es responsabilidad de todas las organizaciones, siendo necesaria la formación y la concienciación de quienes trabajen en las mismas, con independencia de qué información traten o, incluso, aunque no traten información. Actualmente, cualquier organización puede ser el blanco de un ataque de phishing, ransonware u otras acciones que tienen como objetivo la información, sean datos personales u otra información con valor económico.

Por tanto, implantar medidas y auditarlas para verificar que los controles funcionan correctamente y extender estas acciones a quienes nos prestan servicios es esencial para poder garantizar la confidencialidad, integridad y disponibilidad de la información.

- ¿Qué mejoras debería poner en marcha el nuevo Gobierno sobre Protección de Datos?

Una necesidad relevante es la de desarrollar el estatuto jurídico de la Agencia Española de Protección de Datos.

Por otra parte, cabe tener en cuenta que, antes del 25 de mayo de este año, la Comisión Europea presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del RGPD. Es una cuestión relevante a la que nuestro Gobierno tiene que prestar atención por las implicaciones que puede tener en la práctica.

En cuanto a iniciativas legislativas, es urgente que se aborde la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

Día Europeo de la Protección de Datos.

Más información sobre el entrevistado, Miguel Recio.