El Reglamento de Protección de Datos cumple cinco años con el reto de adaptarse a tecnologías como la Inteligencia Artificial

Este 25 de mayo se cumplen cinco años de la aplicación directa del Reglamento General de Protección de Datos (RGPD), que supuso un antes y un después en el ámbito de la privacidad y la protección de datos. Un cambio de concepto donde valores como la privacidad desde el diseño o la accountability son elementos a tener en cuenta por las organizaciones.

En este periodo hemos asistido a numerosas novedades relevantes, como la aprobación de la legislación española de protección de datos personales, el surgimiento de la figura del delegado de Protección de Datos (DPD), el establecimiento de nuevas bases legales para el tratamiento de datos, el refuerzo de los derechos de los interesados, o el necesario fortalecimiento de la ciberseguridad, entre otras.

Para los expertos, estas cuestiones y aquellas vinculadas a la Estrategia Europea de Datos y la irrupción de tecnologías emergentes como la Inteligencia Artificial y Metaverso, dibujan un entorno plagado de desafíos.

La profesionalización de la privacidad

Carlos Saiz, socio responsable del área de privacidad de Ecix Group, es también el presidente de ENATIC, asociación que engloba a los abogados especialistas en derecho TIC y vicepresidente de ISMS Forum desde donde dirige el Data Privacy Institute, foro de debate sobre privacidad.

Una de las primeras consecuencias de la implementación del RGPD fue que los profesionales se formasen y organizaran entidades especializadas para comprender y analizar los cambios de esta normativa europea.

Este abogado recuerda que aquella noche de entrada del RGPD, su despacho organizó una fiesta particular con clientes, proveedores y medios de comunicación para dar la bienvenida a esta normativa europea en un hotel de la capital de España. “Atrás quedaron meses de mucho trabajo porque había que adaptar a las empresas a esta nueva normativa. Algunas compañías lo dejaron para el final. Hubo bastante trabajo el año previo y el posterior a la implementación”, recuerda.

Carlos Saiz, socio responsable de privacidad de Ecix Group y presidente de ENATIC. (Foto: E&J)

A su juicio, la aparición de entidades especializadas “han sido importantes para la necesidad de la profesionalización de los DPD y en general de cualquier profesional de la privacidad, como asesores, auditores, abogados que ha impulsado foros de debate, cursos de especialización y el fomento de certificaciones”.

Sobre la irrupción de la Inteligencia Artificial (IA) y las herramientas que se desarrollan, Saiz recuerda que, en el Reglamento de la IA, a diferencia del RGPD no se establece quien deba encargarse de su implementación. “Eso puede generar una gran oportunidad para los delegados de Protección de Datos (DPD). Estos profesionales tienen que ser habilitadores de los desarrollos tecnológicos, por un lado y garantes de los derechos de la protección de datos que pueda verse impactada por tos desarrollos tecnológicos”.

Saiz advierte que en estos cinco años el RGPD se ha convertido en el estándar mundial de la protección de datos. “Es un gran logro el hecho que muchos países estén aplicando los criterios de este Reglamento para su normativa nacional. Lo vemos en Asia y América Latina y se estudia en Estados Unidos. Algo se habrá hecho bien cuando esto se aplica en el resto del mundo”, apunta.

En cuanto al papel de los reguladores, y en especial de la Agencia Española de Protección de Datos (AEPD) “creo que ha hecho un esfuerzo grande para acomodarse al RGPD pese a su escasez de medios combinando su aspecto sancionador con el de apoyo a las organizaciones con la aparición de distintas guías y recursos para entender los cambios de dicha normativa”.

En cuanto a las multas, “creo que el reto es homogeneizar esas multas en toda la UE. En el caso de España, es un país que sanciona mucho pero no por más dinero que otros países. Ahora el esfuerzo es de armonizar los criterios sancionadores para que esa infracción tenga la misma sanción en cualquier jurisdicción”.

Respecto a la multa millonaria a Meta por parte de la autoridad irlandesa de 1.200 millones de euros “las grandes tecnológicas hacen tratamientos de datos complejos, lo que provoca que su impacto sea mayor en el caso de algún incumplimiento de esa normativa. Son multas ejemplarizantes y la tendencia es que sigan creciendo en los próximos años a nivel de cuantía”.

La importancia de los expertos en privacidad

Marcos Judel, socio director de la boutique legal AUDENS y presidente de la Asociación Profesional Española de Privacidad (APEP ), señala el papel clave de los profesionales de la privacidad y delegados de protección de datos en la implementación del RGPD; “formados, capacitados y comprometidos con la calidad y la excelencia que ayuden a lograr este frágil equilibro”.

Al mismo tiempo indica que “aunque no sea obligatorio el DPD se ha convertido en un perfil necesario en muchas organizaciones para ayudarles en esta tarea tan estratégica y, además, un DPD voluntario permite demostrar diligencia y responsabilidad activa, así como la posibilidad de solventar situaciones de conflicto antes de que sucedan”.

Marcos Judel presidente de APEP. (Foto: APEP)

Desde su punto de vista, afortunadamente cada vez hay una mayor conciencia social y empresarial de la importancia de la protección de datos, pero falta mucho cambio por recorrer. Las empresas pueden tomar dos caminos en cuanto al cumplimiento normativo y la forma en la que abordarlo: el correcto y el fácil.”

Judel señala que “quienes escogen asumir en sus organizaciones la protección de datos como una seña más de identidad, la ven como una oportunidad y como un elemento positivo de venta que además aporta seguridad jurídica, frente a aquellos que no lo implementan. Es fundamental rodearse de asesores buenos para su cumplimiento”.

El presidente de la APEP, entidad que organizó hace uno días su IX Congreso Internacional en Málaga, reconoce que en este escenario “la Agencia Española de Protección de Datos ha tenido un papel también importantísimo en estos años, tanto a nivel sancionador como desde el punto de vista divulgativo con su capacidad para aportar guías y soluciones útiles tanto para las empresas y administraciones públicas como para los profesionales que nos servimos de sus criterios para poder desarrollar mejor nuestro trabajo”.

En dicho Congreso se debatió “el tsunami normativo que va a ser aprobado en la UE en los próximos meses y que afecta a protección de datos y privacidad y entre el que se encuentra el Reglamento de Inteligencia Artificial. No podemos olvidar que la IA y sus implicaciones pueden afectar a los derechos y libertades de las personas si no son implementadas adecuadamente”.

En este entorno de la IA, el papel de los profesionales de privacidad es clave, una vez formados en la materia para liderar la implantación de dichas tecnologías “habrá que hacer ponderaciones necesarias y en la confección de medidas de control a aplicar en torno a esta tecnología cuando tenga que ver con datos personales, por ejemplo, en cualquiera de sus fases de adquisición de información, de entrenamiento de algoritmos o para procesamiento y uso de la información final”.

Mejor de lo que pensamos

Para Paz Martín, abogada experta en privacidad que desde hace años dirige la boutique jurídica Legal Things Abogados, “creo que a lo largo de estos cinco años estamos mejor de lo que pudiéramos pensar. Hemos pasado del estado de desconcierto inicial por la nueva legislación a una conciencia mucho mayor, son solo en grandes organizaciones, sino también a nivel de startups, desarrolladores, emprendedores, pymes y autónomos”.

Paz Martín, socia directora de Legal Things. (Foto: E&J)

Esta abogada recuerda que en los días de entrada del RGPD hubo una actividad notable de muchas empresas que habían dejado para el final su adaptación. “Estaba en Barcelona dando una formación sobre adaptación al Reglamento Europeo y al mismo tiempo haciendo una implantación de esta normativa europea. Ese mes de mayo del 2018 fue muy duro a nivel de trabajo. Esa evolución experimentada hace cinco años es fruto de la labor de la AEPD y de los profesionales de la privacidad que nos hemos convertido en apóstoles de la protección de datos”.

Desde su punto de vista, “nunca una normativa de este tipo había despertado tanta expectación. En cuanto a las multas, hay que reconocer que hubo un periodo de gracia, aunque no se dijo expresamente, en el que la AEPD publicó muchas guías para adaptarnos al RGPD, porque era un sistema diferente. Han ayudado mucho los criterios que ha ido marcando tanto el regulador como el propio Comité Europeo de Protección de Datos”.

Respecto a las primeras sanciones importantes, “empezamos a ver los criterios que tiene el regulador. Algunas de ellas han sido mediáticas, pero junto a ellas hay mucho apercibimiento en pymes y multas de carácter testimonial. Hay que reconocer que la proporcionalidad de la AEPD se ha cumplido en muchas ocasiones, en otras acabaron en los tribunales recurridas. Muchas de las sanciones son de grandes tenedores de datos, empresas algunas de ellas no ubicadas en la UE”.

En cuanto a los retos que se avecinan a nivel de privacidad, para Martín “el tema estrella, pasado la influencia del Metaverso, es el desarrollo de herramientas de Inteligencia Artificial. Ahora la iA por la gestión masiva de datos y el uso que puede hacer de ellos tiene que confrontarse con la adaptación de esta tecnología al RGPD. Es uno de los grandes retos a la espera del Reglamento de la IA pendiente de aprobar”.

Al mismo tiempo, esta experta considera que “el otro gran tema pendiente tiene que ver con la transferencia internacionales de datos. Ha sido precisamente una infracción de Meta lo que ha provocado la multa millonaria de la autoridad irlandesa. Es un tema pendiente regular bien a falta de un acuerdo entre UE y EEUU.”

A nivel de usuario “se echa en falta más prudencia de los usuarios con sus políticas de privacidad, ahora que surgen tecnologías como TikTok o el ChatGPT. Todavía se dan los datos personales sin demasiado conocimiento. Se aceptan términos y condiciones a veces sin darse cuenta lo que estamos haciendo”.

Nuevos retos de la protección de datos

Flora Egea, socia responsable de privacidad de Legal Army, era ya la delegada de protección de Datos del BBVA cuando se implementó el RGPD. Recuerda que esta entidad financiera ya llevaba meses trabajando en la implementación de esta normativa cuando se incorporó a dicha entidad. El trabajo fue tan duro para cambiar y adaptar procedimientos nuevos que se introdujeron que se celebró con una fiesta sorpresa dentro del propio BBVA.

Cinco años después, Egea está en el otro lado de la mesa, como asesora de empresas en materia de privacidad, especialmente multinacionales. “Hay cuestiones del RGPD que aún no han calado y necesitan más tiempo. Los beneficios son claros porque los ciudadanos europeos estamos mejor protegidos en materia de privacidad”.

Flor Egea, socia responsable de privacidad de Legal Army. (Foto: E&J)

Desde su punto de vista, se ha mejorado la cultura de cumplimiento en las organizaciones e instaurado el borrado de datos que antes de la implementación del RGPD no existía, “pero aun el RGPD no es la aplicación uniforme en toda Europa. Su mecanismo de coherencia necesita algo más de recorrido”.

Flora Egea considera que “la gestión de las transferencias internacionales de datos es uno de los temas pendientes porque las pautas que marco el RGPD se consideran que no son suficientes. Ahora hay que mejorar este escenario porque la normativa exige unas cosas y por fuera de ella se nos pida muchas más, lo que genera cierta inseguridad jurídica y multas como la de Meta por la autoridad irlandesa”.

Desde su punto de vista, “hay tres escenarios para resolver este asunto. El primero que adapten la normativa rápidamente, para que tengamos un Privacy Shields 2.0 y no lleguemos a octubre cuando Meta tendría que pagar las transferencias y borrar datos. Si eso ocurre, Meta tendrá que pagar la multa y no tendrá que hacer grandes cambios. Esperamos que esto ocurra y no se genere un efecto dominó”.

Pero hay otros escenarios menos deseables. “Hay otras dos posibilidades, que se traigan los servidores a Europa y tengan dos compañías distintas con tratamientos que no tienen nada que ver, una en EEUU y otra en Europa, cosa que creo que no vaya a ocurrir. Y otra opción sería que se cierre el negocio aquí en Europa y que haya un éxodo de más empresas y que lo hagan en otros países”.

Para Egea, “esta última situación, ante el miedo a las sanciones podría generar que cerrasen el negocio en Europa. Urge por ello arreglarlo de la única forma que es beneficios para todos los intereses. La normativa actual es vaga y no permitía ejercer derechos desde Europa. Así se firmaría el Privacy Shields 2.0 lo que ayudaría a legalizará las transferencias de datos a EEUU y las empresas podrían estar tranquilas”.

También aclara que “con esta solución se arreglaría el tema en EEUU pero habría que ver qué pasa con otros países donde no queda solucionado. Así, en países como India se utiliza mucho porque supone ahorro de costes para hacer tratamientos de datos enormes. Todavía hay un riesgo para las empresas que además no pueden solucionarlo fácilmente ante la falta de seguridad jurídica en estos negocios”.

Respecto a los riesgos derivados de la Inteligencia Artificial, “en Europa la norma que está para aprobar señala riesgo alto en ciertas actividades sin entrar en ellas. Dentro de esas actividades, las diferencias de actividades son abismales. Hay tratamientos que pueden representar riesgo alto, pero otros no. Eso pone muchas trabas sobre la mesa en el entorno europeo que puede verse rezagado respecto a otros países en cuanto a la gestión de la innovación”.