Entrevistamos a Teresa Pereyra, socia de Protección de Datos y Privacidad de Écija, con ocasión de la celebración del Día Internacional de Protección de Datos Personales 2024
- Hola Teresa, para empezar, y según tu trayectoria y amplia experiencia en el área de privacidad, protección de datos y nuevas tecnologías, nos gustaría conocer tu visión sobre el futuro de los Departamentos de Protección de Datos en las empresas, ¿consideras que es un sector en crecimiento?
Sin duda. A lo largo de los últimos años la cultura de la privacidad ha ido calando en las organizaciones y ganando protagonismo. Esto se debe, entre otros factores, al empuje proporcionado por un conjunto normativo cada vez más amplio y complejo que nos presupone además ya cierta madurez en la gestión y tratamiento de la información; al creciente interés de las empresas por optimizar la explotación y monetización de los datos personales a los que tienen acceso y a la necesidad de procurar la seguridad de la información cuyo volumen es cada vez mayor.
Todo ello desemboca en la necesidad de contar con perfiles cada vez más cualificados en los equipos legales de las empresas, que cuenten con los conocimientos y experiencia necesarios para asegurar el cumplimiento de las obligaciones legales en materia de protección de datos. La composición de estos equipos y la fórmula elegida para ello (equipo interno, abogados externos o una mezcla de ambos) dependerá de muchos factores, pero el objetivo es siempre reducir el riesgo de carácter leal y contribuir a mejorar la operativa de las empresas.
- A la hora de formar un equipo de protección de datos, ¿consideras que es más importante priorizar la contratación de profesionales con conocimientos especializados en derecho o dar preferencia a aquellos con un profundo entendimiento del negocio?
Ambas cuestiones son prioritarias. Se requiere, por un lado, que el profesional cuente con sólidos conocimientos y experiencia suficiente para contribuir a la reducción del riesgo legal que supone a la empresa un escenario de incumplimiento y, por otro lado, que el profesional encargado de vigilar y/o contribuir al cumplimiento de las obligaciones de la empresa en materia de protección de datos cuente con un entendimiento profundo del negocio y sus particularidades (actividad, sector, volumen de tratamientos, etc.) que le permita integrar la privacidad en la estrategia legal de la empresa y no limitarse a un mero cumplimiento formal de las obligaciones.
De esta forma, el cumplimiento legal en materia de protección de datos deja de convertirse en una carga o stopper para las empresas para contribuir a la búsqueda de soluciones jurídicas, al cumplimiento de los objetivos estratégicos de la organización y a la innovación.
¿Cuál sería la estructura y composición ideal de un equipo para garantizar el cumplimiento efectivo de las normativas de privacidad y protección de datos?
No existe un único modelo exitoso. En relación con la estructura, cada empresa u organización requerirá una composición distinta que debe tener en cuenta factores como la actividad y sector al que pertenece, alcance nacional o internacional de su actividad, tamaño y complejidad de la empresa, volumen y tipología de tratamientos de datos de carácter personal que se llevan a cabo, entre otros.
Adicionalmente, es importante analizar bien la naturaleza y volumen de las necesidades legales de la empresa en esta materia para dimensionar correctamente al equipo y dotarlo de las herramientas necesarias para que pueda desempeñar su labor de forma satisfactoria.
Otro factor relevante, es que incardinar al equipo legal adecuadamente para que pueda comunicarse adecuadamente con todas las áreas y equipos y tenga visibilidad completa de lo que sucede en la empresa pudiendo de forma proactiva asesorar y hacer las propuestas necesarias para contribuir al cumplimiento legal.
- En ocasiones, en las empresas hay determinados departamentos que, aunque respetan la protección de datos, la perciben como un freno a las posibilidades de crecimiento del negocio ¿qué parte de razón pueden tener estos departamentos? ¿qué les dirías para que vean en la Protección de Datos a un aliado?
Si bien es cierto que la normativa que regula el tratamiento de información de carácter personal tiene por objeto establecer límites al tratamiento, su objetivo no es impedir el tratamiento de los datos personales, sino indicarnos la forma correcta de hacerlo. Es cierto que aún hay muchas empresas que perciben la protección de datos como un obstáculo, pero en muchos casos esto es así porque han relegado el cumplimiento de estas obligaciones hasta el último momento en lugar de integrarlo desde el principio y permitir que pueda desplegar su valor, entre otros, indicarnos como proceder adecuadamente al tratamiento en lugar de impedirlo.
Cumplir las obligaciones en materia de protección de datos no solo reduce el nivel de riesgo de recibir una sanción económica con motivo de una infracción, también reduce el riesgo de sufrir un incidente de seguridad y limita el alcance o impacto que éste pueda tener; contribuye a que la empresa funcione de forma más eficiente y mejore su operativa; mejora la confianza en nuestros servicios y contribuye positivamente a nuestra reputación corporativa y contribuye a la consecución de los objetivos estratégicos de la empresa y a la innovación. Entender el cumplimiento legal como una herramienta de valor y no solo como una herramienta para evitar sanciones, es esencial para cualquier empresa.
- ¿Consideras que los clientes aprecian la excelencia en la gestión de seguridad y protección de datos de una empresa, o con cumplir con los mínimos requisitos legales es suficiente para mantener la reputación del negocio?
La realidad es que hay clientes de todo tipo, aunque, afortunadamente, cada vez son más las empresas que valoran positivamente el valor del cumplimiento y lo integran en su estrategia legal. Así, la privacidad, lejos de ser un obstáculo se convierte en un elemento más de valor para la consecución de los objetivos estratégicos de la empresa.
Por otro lado, no debemos olvidar que detrás de estas obligaciones está la necesidad de protección del derecho fundamental de cualquier persona a decidir sobre el uso que se hace de su información personal. Por tanto, el conjunto de principios y estándares que debemos implementar en nuestra organización debe entenderse también como una forma de respeto hacia nuestros clientes o usuarios y una garantía de su derecho a decidir en relación a su información personal.
- En relación a última actualización de la Guía sobre el uso de cookies por parte de la AEPD, nos gustaría conocer tu opinión acerca de que muchas páginas web estén optando por ofrecer la opción de pago al usuario como alternativa a aceptar el uso de cookies. ¿Crees que existe un consentimiento viciado en esta acción?
La obligación de colocar en el banner un botón que permita rechazar todas las cookies, ha tenido un alto impacto en el mercado que ha visto como se reduce exponencialmente la cantidad de información que puede recabar de los usuarios online. Entre las alternativas para hacer frente a esta situación, ha sido la propia AEPD, en la línea de otras autoridades europeas y el propio TJUE, la que ha dejado la puerta abierta a la opción de ofrecer el pago al usuario para que no se instalen cookies en su navegador.
Ahora bien, para evitar que el consentimiento pueda carecer del requisito de libertad que viciaría su validez legal, la AEPD requiere que las alternativas que se ofrecen al usuario sean similares entre ellas, aunque no especifica mucho más al respecto. No obstante, las recomendaciones de otras autoridades europeas que sí se han pronunciado sobre requisitos concretos sobre cómo configurar adecuadamente estos escenarios, pueden resultarnos de utilidad. Así, por ejemplo, el consentimiento se presumirá válido si el precio establecido para la alternativa a la instalación de cookies es justo y razonable. Debemos valorar las circunstancias concretas de cada caso para desplegar las medidas necesarias para garantizar la libertad de elección.
- Viendo los grandes avances en Inteligencia Artificial, ¿qué consideraciones deberían tenerse en cuenta para garantizar la seguridad y la privacidad de los datos en un contexto de creciente adopción de estas tecnologías?
Es fundamental conocer y entender la tecnología que se pretende adoptar en la organización y el rol que juega en ella así como. Solo así puede evaluarse adecuadamente el impacto de ésta en el tratamiento de los datos personales de la organización, los riesgos asociados y las implicaciones en materia de ciberseguridad.
Igualmente relevante resulta la elección de un proveedor tecnológico que ofrezca las garantías necesarias en relación con la seguridad y la privacidad.
La aplicación de los principios de privacidad por defecto y desde el diseño, contribuyen a llevar a cabo este ejercicio de reflexión y a que la implementación de cualquier tecnología en la empresa se lleve a cabo en condiciones de cumplimiento legal y seguridad.
- A corto plazo, ¿a qué principales retos se enfrenta la protección de datos a corto plazo? ¿Y a medio y largo plazo?
El aumento y sofisticación de los ciberataques colocan a la ciberseguridad y la gestión de incidentes de seguridad, están entre las cuestiones que más preocupan a las empresas actualmente.
Adicionalmente, hay un amplio conjunto de normas recién aprobadas que comenzarán a ser aplicadas en breve y contienen obligaciones o cuestiones específicas relacionadas con la protección de datos que deberán implementarse en los próximos meses y/o años, entre ellas, la Data Act, Data Governance Act, AI Act, DSA, DMA, etc.
Por último, implantar y profundizar en una cultura empresarial en materia de privacidad y ciberseguridad sigue siendo determinante a la hora de hacer realidad la estrategia y políticas de privacidad de una organización y, por tanto, una labor constante para los equipos de privacidad de las empresas.
- Por último, cuando entras en una nueva web ¿aceptas todas las cookies? ¿Sería admisible el derecho personal a la renuncia de privacidad para evitar la molestia de tener que decidir entre aceptar o rechazar las cookies cuando se navega en Internet?
El derecho a la protección de datos de carácter personal tiene el rango de derecho fundamental, lo que significa que goza del máximo nivel de protección que nuestra Constitución otorga y es irrenunciable. No obstante, si bien es cierto que los sistemas usados para la emisión del consentimiento necesario para la instalación de cookies han sido mayoritariamente percibidos como una “molestia” no creo que la solución pase por renunciar a nuestro derecho a decidir, sino por diseñar e implementar sistemas más cercanos a la realidad de los negocios, más amables con los titulares de la información con el fin de último de que, lejos de dejar decidir sobre el uso de nuestra información, nos involucremos de forma más activa en la toma de decisiones que afecta al tratamiento de nuestros datos.