Entrevista

Thomas Zerdick: No mantenerse al día con los cambios tecnológicos podría suponer una falta de cumplimiento del artículo 25

Entrevista
ZERDICK

Entrevistamos a Thomas Zerdick, Head of Unit Technology and Privacy, European Data Protection Supervisor, con ocasión de la celebración del XIII Foro de La Privacidad organizado por ISMS Forum y su grupo de trabajo, el Data Privacy Institute (DPI).

1.- Señor Zerdick, el concepto de Privacy by Design o privacidad desde el diseño ha venido evolucionando desde que la Doctora Ann Cavoukian lo desarrollase hace ya veinticinco años en Canadá. Ahora con los avances tecnológicos en materia de Inteligencia Artificial posiblemente se podrá aplicar un análisis predictivo en la configuración de la privacidad en el diseño. En este sentido ¿qué valor jurídico se debería conceder a ese análisis predictivo y automatizado?

Data protection by design is now a legal obligation for organisations, in order to meet the requirements of the General Data Protection Regulation (GDPR).

Using technology tools – even AI enabled tools – could be one way for a controller to design the processing operations, so as to implement data protection principles, such as data minimisation, in an effective manner. Ultimately, the organisation needs to be able to demonstrate that processing is performed in accordance with the GDPR – and this demonstration would need to include an explanation on how the AI enabled tool works.

(traducción)

La protección de datos por diseño es ahora una obligación legal para las organizaciones, con el fin de cumplir con los requisitos del Reglamento General de Protección de Datos (GDPR).

El uso de herramientas tecnológicas, incluso herramientas habilitadas por IA, podría ser una forma de que un controlador diseñe las operaciones de procesamiento, a fin de implementar los principios de protección de datos, como la minimización de datos, de manera efectiva. En última instancia, la organización debe poder demostrar que el procesamiento se realiza de acuerdo con el GDPR, y esta demostración debería incluir una explicación sobre cómo funciona la herramienta habilitada para IA.

2.- ¿Estamos en Europa frente al dilema del Data Protection and Digital Sovereiy vs. Tech Sovereignty?  Y ¿cree que este celo regulatorio puede llegar a perjudicar competitivamente al sector empresarial y económico europeo?

For Europe, Digital sovereignty and Tech Sovereignty today mean essentially that we in the European Union must be able to define our own rules, to make autonomous technological choices, and to develop and deploy strategic digital capacities.

What is the driver behind these ambitions? It is that we see now clearly that our digital development, and our “digital lifestyle” can only work when it is based on our European values, and our fundamental rights. And the protection of personal data is one of these fundamental rights. And citizens rightly expect that the data protection rules in the GDPR must now be applied and enforced in practice. This is and will continue to be beneficial also for our economy – privacy is good for business!

(traducción)

Para Europa, la soberanía digital y la soberanía tecnológica hoy significan esencialmente que en la Unión Europea debemos ser capaces de definir nuestras propias reglas, tomar decisiones tecnológicas autónomas y desarrollar y desplegar capacidades digitales estratégicas.

¿Cuál es el motor de estas ambiciones? Es que ahora vemos claramente que nuestro desarrollo digital y nuestro “estilo de vida digital” solo pueden funcionar cuando se basan en nuestros valores europeos y nuestros derechos fundamentales. Y la protección de datos personales es uno de estos derechos fundamentales. Y los ciudadanos esperan, con razón, que las normas de protección de datos del RGPD ahora se deben aplicar y hacer cumplir en la práctica. Esto es y seguirá siendo beneficioso también para nuestra economía: ¡la privacidad es buena para los negocios!

3.- La Sentencia del Tribunal de Justicia de la Unión Europea, de 16 de julio de 2020, en el asunto C-311/18 (“Schrems II”) ha dado paso a una etapa “post Privacy Shield” y ha propiciado  un cambio de tendencia interpretativa del European Data Protection Board (“EDPB”) respecto a las transferencias internacionales de datos. Con este precedente solo queda preguntarse  ¿hacia dónde nos dirigimos y qué papel habrá de jugar la interpretación no restrictiva que se pueda hacer del artículo 49 del RGPD?

The “Schrems II” judgment by the European Court of Justice is another important milestone for our understanding of what “protection of personal data” means in practice.

As the independent data protection supervisory authority for Union institutions, offices, bodies and agencies, we have asked these EU institutions to analyse the legality of data transfers to the US and to act in accordance with the accountability principle. Article 49 of the GDPR itself prescribes that the derogations are for “specific situations” only and may only be considered in the absence of a Commission adequacy decision, or in the absence of appropriate safeguards.

As a consequence, the decision of whether or not a transfer should be continued, suspended or discontinued, lays entirely with the organisation. At the same time, this judgment provides an opportunity for organisations to assess if transfers to third countries are necessary at all. To the extent that this would help, data controllers can renegotiate their contracts with their service providers or find new ones that can ensure full compliance with the law. This might also mean to bring the data back to Europe and have them processed by European companies.

(traducción)

La sentencia “Schrems II” del Tribunal de Justicia de las Comunidades Europeas es otro hito importante para nuestra comprensión de lo que significa en la práctica “protección de datos personales”. Como autoridad supervisora ​​de protección de datos independiente para las instituciones, oficinas, órganos y agencias de la Unión, hemos pedido a estas instituciones de la UE que analicen la legalidad de las transferencias de datos a los EE. UU. Y que actúen de acuerdo con el principio de responsabilidad. El propio artículo 49 del RGPD prescribe que las excepciones son solo para "situaciones específicas" y solo pueden considerarse en ausencia de una decisión de adecuación de la Comisión, o en ausencia de las salvaguardias adecuadas. Como consecuencia, la decisión de si una transferencia debe continuar, suspenderse o descontinuarse es responsabilidad exclusiva de la organización. Al mismo tiempo, esta sentencia brinda a las organizaciones la oportunidad de evaluar si las transferencias a terceros países son necesarias. En la medida en que esto ayude, los responsables del tratamiento de datos pueden renegociar sus contratos con sus proveedores de servicios o encontrar otros nuevos que puedan garantizar el pleno cumplimiento de la ley. Esto también podría significar traer los datos de regreso a Europa y hacerlos procesar por empresas europeas.

4.-  En las Directrices 7/2020 (“the Guidelines 07/2020 on the concepts of controller and processor in the GDPR”) se abordan los conceptos de responsable y encargado del tratamiento, ambos sometidos al RGPD, si bien no se trata de conceptos nuevos. Sí, en cambio, se alumbra un concepto que empieza a resultar interesante como es el de la corresponsabilidad o responsabilidad conjunta (“joint responsibility” o “co-responsibility”) ¿Qué efectos depara la diferencia existente entre los conceptos de responsabilidad conjunta y de igual responsabilidad, cuando intervienen los responsables y encargados del tratamiento de datos personales?

The GDPR has reinforced the relationship between controller and processor. Now not only the controller has clear legal obligations, such as being able to demonstrate at all times that processing is performed in line with the GDPR (“Accountability”). Now also the processor has self-standing obligations, for instance to guarantee data security, but also an obligation to actively work together with the controller. In that sense, they both “jointly” are “co-responsible” for compliance with the GDPR, for those areas under their control.

In the eyes of the data subject, both controller and processor are “responsible” for   compliant processing of his or her personal data. It is also difficult sometimes to understand for the citizen who is controller and who is processor. As a consequence, a person who has suffered damage as a result of an infringement of the GDPR has the right to receive compensation from either the controller or the processor for the damage suffered.

(traducción)

El GDPR ha reforzado la relación entre controlador (responsable) y procesador (encargado). Ahora, no solo el responsable del tratamiento tiene obligaciones legales claras, como poder demostrar en todo momento que el tratamiento se realiza de acuerdo con el RGPD ("Responsabilidad"). Ahora el procesador también tiene obligaciones autónomas, por ejemplo, garantizar la seguridad de los datos, pero también la obligación de trabajar activamente junto con el controlador. En ese sentido, ambos “conjuntamente” son “corresponsables” del cumplimiento del RGPD, para aquellas áreas bajo su control.

A los ojos del interesado, tanto el controlador (responsable) como el procesador (encargado) son "responsables" del procesamiento conforme de sus datos personales. A veces también es difícil de entender para el ciudadano quién es el controlador y quién es el procesador. Como consecuencia, una persona que haya sufrido un daño como resultado de una infracción del GDPR tiene derecho a recibir una compensación del controlador o del procesador por el daño sufrido.

5.- En relación con The State of the Art in Enterprise Privacy hay que tener en cuenta que el propósito de los legisladores es que la estrategia de seguridad en la privacidad evolucione continuamente en línea con los avances tecnológicos que se van sucediendo, pero ante un panorama de incertidumbre como el actual marcado por la pandemia y por la aparición de nuevas tecnologías disruptivas como la Inteligencia Artificial avanzada, la Machine Learning, la Blockchain, la computación cuántica,… nos plantea la pregunta de ¿cuál es el impacto que generan los niveles de innovación y de ciberseguridad que presentan las empresas en la medición de “el actual estado del arte” en el cumplimiento del RGPD?

All organisations need to continuously advance the understanding and application of ‘state-of-the-art’ technology. Just look at the astonishing rise of different technology for videoconferences because of the COVID19 pandemic, with new challenges for the protection of personal data.

In the GDPR, we find specific references to the “state of the art” in Article 32, for security measures, and also in Article 25 on data protection by design and by, thus extending this benchmark to all technical and organisational measures embedded in the processing. In the context of Article 25, the reference to “state of the art” imposes an obligation on controllers, when determining the appropriate technical and organisational measures, to take account of the current progress in technology that is available in the market.

The “state of the art” is therefore a dynamic concept that cannot be statically defined at a fixed point in time, but should be assessed continuously in the context of technological progress. In the face of technological advancements, a controller could find that a measure that once provided an adequate level of protection no longer does. Neglecting to keep up to date with technological changes could therefore result in a lack of compliance with Article 25.

(traducción)

Todas las organizaciones necesitan avanzar continuamente en la comprensión y aplicación de la tecnología "de vanguardia". Basta ver el asombroso auge de diferentes tecnologías para videoconferencias debido a la pandemia de COVID19, con nuevos desafíos para la protección de datos personales. En el RGPD, encontramos referencias específicas al “estado del arte” en el artículo 32, para las medidas de seguridad, y también en el artículo 25 sobre la protección de datos desde el diseño y por, extendiendo así este punto de referencia a todas las medidas técnicas y organizativas integradas en el Procesando. En el contexto del artículo 25, la referencia al “estado de la técnica” impone a los responsables del tratamiento la obligación, al determinar las medidas técnicas y organizativas adecuadas, de tener en cuenta el progreso actual de la tecnología disponible en el mercado. El "estado del arte" es, por lo tanto, un concepto dinámico que no puede definirse estáticamente en un momento determinado, sino que debe evaluarse continuamente en el contexto del progreso tecnológico. Frente a los avances tecnológicos, un controlador podría encontrar que una medida que alguna vez proporcionó un nivel adecuado de protección ya no lo hace. Por lo tanto, no mantenerse al día con los cambios tecnológicos podría suponer una falta de cumplimiento del artículo 25.

6.- En materia de Accountability-based privacy programme se plantea la siguiente pregunta: ¿hasta qué punto nuestro actual marco regulatorio fomenta o no realmente la innovación en la privacidad, y si es lo suficientemente flexible para que las empresas puedan adaptarse de manera eficiente a todos los retos que suscitan las nuevas tecnologías y las prácticas comerciales globalizadas?

The current legal framework for data protection we have in the EU is principle-based, and technological neutral. Innovation in privacy is not only possible, but also welcome!

And the question should rather be asked the other way around: European companies should be at the forefront in developing new technologies and in influencing globalized business practices – not only “adapt” to what other parts of the world are doing. The GDPR is a grand opportunity for European companies to show how data, non-personal and personal, can be processed, in full respect of our values and our fundamental rights.

(traducción)

El marco legal actual para la protección de datos que tenemos en la UE se basa en principios y es tecnológicamente neutral. La innovación en la privacidad no solo es posible, sino que también es bienvenida.

Y la pregunta debería hacerse más bien al revés: las empresas europeas deberían estar a la vanguardia en el desarrollo de nuevas tecnologías e influir en las prácticas comerciales globalizadas, no sólo "adaptarse" a lo que están haciendo otras partes del mundo. El RGPD es una gran oportunidad para que las empresas europeas muestren cómo se pueden procesar los datos, tanto personales como no personales, en el pleno respeto de nuestros valores y derechos fundamentales.

7.- Recientemente el abogado español Efrén Díaz (Bufete Mas y Calvet), uno de los grandes especialistas en Derecho Geoespacial, planteaba la necesidad de considerar a los datos geoespaciales como datos personales. ¿Qué opina de esa proposición, los datos geoespaciales y de geoposicionamiento de los ciudadanos deberían ser considerados datos personales?

Any information which relates to an identified or identifiable natural person is “personal data” which then make the GDPR rules apply. If geospatial data reach that threshold, the GDPR applies automatically.

(traducción)

Cualquier información que se relacione con una persona física identificada o identificable es "datos personales" que luego hacen que se apliquen las reglas de GDPR. Si los datos geoespaciales alcanzan ese umbral, el RGPD se aplica automáticamente.

8.- Y ya para terminar, en breve estará plenamente configurada y ya operativa la nueva Administración Estadounidense bajo la presidencia de Joe Biden. A modo de carta de deseos o “carta a los Reyes Magos” ¿qué actuaciones o medidas regulatorias pediría usted a este nuevo gobierno norteamericano que adoptase en la defensa y desarrollo de los derechos de privacidad y la protección de datos personales con eficacia internacional?

Many of us have read again last year, on the occasion of its 130th anniversary, the famous article written by US lawyers Samuel Warren and Louis Brandeis on “The Right to Privacy”.[1]

Following the global trend, the US should now urgently adopt a general  data protection framework which provides effective rights not only for US citizens but for all individuals, which is compatible with the GDPR and which meets the requirement of “essential equivalence with the GDPR”. This must include changes in US legislation on the surveillance of electronic communication, as evidenced by the Schrems II judgment of the European Court of Justice.

(traducción)

Muchos de nosotros hemos vuelto a leer el año pasado, con motivo de su 130 aniversario, el famoso artículo escrito por los abogados estadounidenses Samuel Warren y Louis Brandeis sobre “El derecho a la privacidad”. Siguiendo la tendencia global, EE. UU. debería adoptar urgentemente un marco general de protección de datos que proporcione derechos efectivos no solo para los ciudadanos estadounidenses sino para todas las personas, que sea compatible con el GDPR y que cumpla con el requisito de "equivalencia esencial con el GDPR". Esto debe incluir cambios en la legislación estadounidense sobre la vigilancia de las comunicaciones electrónicas, como lo demuestra la sentencia Schrems II del Tribunal de Justicia de las Comunidades Europeas.

[1] https://www.cs.cornell.edu/~shmat/courses/cs5436/warren-brandeis.pdf