Los DPO se configuran como pieza clave en las empresas para gestionar el futuro Reglamento de IA

La sede en Madrid del grupo FCC ha albergado una reunión de la DPO Community creada desde el Data Privacy Institute, grupo de trabajo sobre privacidad que impulsa ISMS Forum. Una comunidad de expertos en privacidad donde están registrados desde hace siete años cerca de 450 delegados de Protección de Datos (DPO) de los que un centenar acudieron presencialmente.

En la agenda de esta reunión al más alto nivel se debatió cómo las organizaciones se van a adaptar al nuevo Reglamento de IA y el papel del DPO como profesional que podría gestionar esta nueva actividad y su regulación ante el vacío legal existente en el futuro Reglamento. Además, s ha hablado sobre la situación de las transferencias internacionales de datos y se analizó la llamada gobernanza de la privacidad, porque en cada empresa hay una forma diferente de implementar esta figura del DPO.

Carlos Saiz, vicepresidente de ISMS Forum, director del Data Privacy Institute y socio de Ecix Group explica que “llevamos cerca de siete años con este tipo de sesiones exclusivas para DPO. Cada uno de estos encuentros tiene lugar en alguna de las empresas asociadas a esta iniciativa. La anterior se hizo en CEPSA. La que acabamos de celebrar es la reunión numero 16. Habitualmente solemos organizar tres encuentros de trabajo al año”.

Sobre los temas que se abordaron en esta reunión, Saiz recordó que la ponencia de Julián Prieto, subdirector general de Promoción y Autorizaciones en la Agencia Española de Protección de Datos, sirvió para abordar el estado actual de las transferencias internacionales de datos, que acaba de modificarse con un nuevo acuerdo entre EEUU y UE y que recientemente ya tuvo su primera reclamación por un ciudadano francés que se sintió dañado en sus derechos.

“En ese debate propiciado por Prieto, los propios DPO señalaron que el régimen actual de transferencias internacionales es algo complejo de entender. Ahora no se sabe si se pueden utilizar las cláusulas modelos de la UE. El gran reto es cuando se contrata alguna de las big tech tecnológicas porque realmente no hay margen de negociación en esos contratos. Son contratos impuestos y no hay ese margen para negociarlo”.

Según explica Saiz, “el principal reto es más geopolítico y es realmente que haya un sistema en EEUU que sea parecido a Europa y que no sea tan provisional como estos instrumentos anteriores que fueron anulados por el TJUE, como Safe Harbor, Privacy Shields y ahora el llamado Frame Work de privacidad suscrito entre EEUU y UE que veremos si el activista Max Schrems lo tumba de nuevo como en las anteriores ocasiones”.

Por el momento, “los DPO con los que hemos debatido son profesionales de mucho nivel. Están en grandes compañías y tienen notables conocimientos sobre éste y otros temas. A veces es un problema de volumetría, con lo cual cada transferencia internacional debe regularse de forma distinta. No es la misma una transferencia de datos a la India, o a EEUU o a un país como Argentina”, aclara el vicepresidente de ISMS Forum”.

Edwin Blom, CISO de FCC, explicando como gestiona su empresa la política de seguridad. (Foto: ISMS Forum)

¿Quién gestiona la IA?

En este contexto, Saiz revela que hay un tema importante por resolver relacionado con la Inteligencia Artificial ( IA ) que se debatió en este foro. “El problema es que el reglamento de IA no regula que figura tiene que supervisar internamente el tema, como existe en protección de datos, como es la figura del DPO. No se regula la figura del IA Officer. Parece que las empresas tienen libertad y cierta dificultad para dar este tipo de responsabilidades de manera interna”.

Para Saiz “todos son muy conscientes desde que hay tratamientos con datos personales que ya tienen IA o que se van a hacer con IA en breve. Desde esta comunidad de DPO nos estamos preparando lo mejor posible. De hecho, una entidad como ISMS Forum publicaba recientemente una Guía sobre los aspectos éticos y normativos a tener en cuenta en materia de IA”.

En opinión de este experto, “lo que debatimos sobre esta cuestión deja claro que son los DPO los que mejor posicionados se encuentran en el seno de las empresas para llevar a cabo esta necesaria tarea de supervisión y regulación y para impulsar el cumplimiento normativo en la IA. Eso obligara a los DPO a conocer bien la IA y sus tratamientos de datos en lo referente a protección de datos y de la adecuación de la empresa a los requisitos desde Reglamento de IA”.

Asegura que el Reglamento de la IA tiene bastantes cosas comunes con el RGPD de protección de datos. “Eso significa que ya hay una metodología instaurada hace tiempo de los DPO que les facilitaría integrar este modelo de la IA en su forma de trabajar, pero esto genera más trabajo en estos profesionales. Tendrán que inventariar las guías que ya se están desarrollando en la empresa; hay que hacer análisis de riesgos y del impacto que pueden tener en los derechos de las personas, entre otras tareas”.

Gobernanza de la privacidad

Otra cuestión que interesó a los asistentes en esta reunión tuvo que ver con la llamada gobernanza de la privacidad. Se debatió sobre los modelos de gobierno que las empresas aplican para desarrollar su política de privacidad desde el trabajo de los DPO. “Por lo que hemos visto en el debate, cada empresa plantea su propio modelo interno de DPO en función y de su actividad y de la complejidad interna para gestionar este tipo de trabajos, siempre complejos”, apunta

En este sentido, se indicó que “todo es muy variable. “Los modelos de las entidades financieras son diferentes a las de otras compañías, en ellos puedes encontrarte una veintena de profesionales de la privacidad. Puede existir también la figura del Chief DPO y las filiales tienen sus DPO específicos, en otras firmas son órganos colegiados multidisciplinares o multifuncionales o pueden tener un DPO externalizado, que también lo permite la ley”.

De hecho, en este asunto se analizó todo lo que implica desarrollar un modelo de cumplimiento de privacidad. “Supone que el DPO trabaje con un equipo de analistas, de expertos en riesgo, su relación con los ingenieros y equipo jurídico de la empresa, que siempre deben ser alineados. Al final, cada organización lo gestiona en función de sus intereses y su problemática. No podemos indicar que haya soluciones estándar sobre esta cuestión”.

Desde esta perspectiva, el análisis de fondo que subyace sobre la actividad del DPO en las organizaciones “es que es una figura necesaria para las empresas, pese a que el RGPD y la AEPD española lo indiquen de carácter obligatorio en determinados sectores, compensa tenerlo incorporado para una mejor gestión de los tratamientos de datos, incidencias en materia de privacidad y cumplimiento normativo que obliga a todas las entidades por igual” apunta el propio Carlos Saiz.

Para este experto, “nadie duda de la utilidad de los DPO. El problema es que no siempre tiene los recursos necesarios para realizar su trabajo. Un DPO en una gran organización puede ser insuficiente si no tiene equipo a su alrededor. Es importante, además, que la dirección de la empresa apoye su labor. Es mucho trabajo y cada vez más son necesarias herramientas automatizadas para dicha gestión y los retos son enormes”.

En la actualidad, uno de los temas que preocupan a los DPO “es el de la diligencia debida de los proveedores. Antes de contratar a un proveedor por cualquier organización hay que tener la garantía que es cumplidor en materia de privacidad. El problema es que a medida que la empresa es más grande más proveedores hay. Hay empresas que subcontratan esa labor de externalización de los proveedores porque no tienen equipo para realizar esta tarea”.

El DPO tiene que actualizarse

Entre los asistentes a esta reunión de trabajo está Susana Rey, ingeniera de telecomunicaciones que forma parte de la Oficina del DPO de MasMovil que la integran cuatro profesionales. “Estamos dentro de un área específica que la forman auditoria, compliance y protección de datos, que engloba las funciones de cumplimiento normativo dentro de la compañía”.

Susana Rey pertenece a la oficina del DPO de MasMóvil y cree que estos profesionales deben liderar la problemática de la IA. (Foto: ISMS Forum)

“Aquí se enmarca esta Oficina de DPO, donde se asumen todas las tareas o funciones que debe gestionar un DPO, sobre todo la parte de análisis de riesgos y de participar en la definición de los proyectos internos para que se logre la privacidad desde el diseño. Que todos los proyectos de la casa salgan con nuestro sello que cumple con la normativa de protección de datos”.

Sobre su presencia en este tipo de reuniones en la DPO Community, subraya que reconoce que es asidua a estos eventos desde sus inicios. Ha sido DPO antes de otros operadores de telecomunicación. “Siempre me pareció una idea buena como foro poder exponer en valor lo que haces y lo que hacen en otras empresas. Se trata de compartir las dudas desde que se puso en marcha el RGPD en 2018. Lo que hemos hecho estos años es intercambiar opiniones”.

En este encuentro, que ha sido el número 16, se han abordado cuestiones como la de la transferencia internacional de datos, donde la presencia de Julián Prieto, subdirector general de la AEPD ha servido para conocer el criterio del regulador “Es muy interesante conocer la visión de la AEPD sobre esta cuestión ahora clave para muchas empresas. Sabemos ahora cuáles son sus criterios y que le preocupa al regulador”.

Desde ese punto de vista, Rey indica que “el intercambio de opiniones entre los DPO y el subdirector de la AEPD ha sido muy enriquecedor. Hemos conocido cuántas decisiones de adecuación se les pide, qué tipo de consultas abordan, sobre todo ahora que hay un tercer acuerdo entre UE y EEUU. Nuestro trabajo es cómo adaptar esos criterios a las necesidades de cada empresa. En nuestro caso, seguimos apostando por minimizar esas transferencias internacionales”.

Otro de los grandes temas que se ha abordado es la gestión de la IA y su normativa. En el debate se indica que, ante el vacío legal del futuro Reglamento de IA, es previsible que los DPO puedan asumir este tipo de atribuciones. “Nosotros, desde el Grupo MasMóvil, vamos a asumir todo lo que tiene que ver con el cumplimiento normativo de la IA. Eso va a requerir más formación en estos temas para los DPO y ver cómo se adapta a la estructura y necesidades de cada empresa. Pero hay sinergias muy clara porque la mayor parte de estos proyectos de IA tienen impacto en protección de datos”.

Desde esta perspectiva, “va a ser muy difícil que en todos esos entrenamientos no haya datos personales de forma directa e indirectamente. En muchos casos los algoritmos se utilizan en o para personas, con lo cual vuelve a suceder lo mismo. Eso implica la relación estrecha entre los proyectos de IA y los datos personales. Tampoco tendría sentido tener áreas separadas”.

Tecnología y jurídico deben entenderse

Por su parte, Pilar Pascual ejerce de Data Protectión Officer de Liberty Seguros en Europa en España, Irlanda, Portugal e Irlanda del Norte. “Dentro del nuestro modelo de gobernanza contamos con un equipo de profesionales localizado en cada país. Somos un equipo multidisciplinar en el que se combinan abogados con otros perfiles. De hecho, contamos con un ingeniero en el equipo. Los mundos de la privacidad y tecnología deben entenderse”.

Pilar Pascual ejerce de Data Protectión Officer de Liberty Seguros en Europa y está convencida de la importancia de las transferencias internacionales de datos. (Foto: Liberty Seguros)

Sobre su presencia en estas reuniones de la DPO Community, recuerda que se incorporó desde sus inicios. “Es un punto de encuentro con DPO de distintos sectores, con lo cual puedes tener una visión integral del mundo de la privacidad. Al mismo tiempo podemos conocer las opiniones de la AEPD como regulador en materia de privacidad. Es un momento de poder impartir inquietudes y que el regulador se acerque al mundo de los DPO”.

De hecho, uno de los temas que se abordó fue el de la transferencia internacionales de datos. “Para nosotros es importante al ser una multinacional americana, cuando las transferencias salen del entorno europeo tenemos muy en cuenta lo que dice el RGPD. Nosotros hacemos nuestro análisis de riesgo para ver si esa transferencia se puede realizar o no y en cualquier caso tomamos las medidas adicionales para cumplir con la normativa y proteger a nuestros clientes, proveedores y mediadores”.

Respecto a este nuevo acuerdo entre UE y EEUU, explica que “ya ha habido una reclamación de un parlamentario francés que sentía dañados sus derechos por este nuevo acuerdo y acudió a los tribunales europeos, que le han denegado su reclamación. Es la tercera vez que se crea un marco seguro entre Europa y EEUU y es probable que dentro de un tiempo vuelva a replantearse de nuevo”.

En cuanto al futuro del Reglamento de la IA, esta experta coincide con el debate general que “no está claro quién debe asumir esta labor de supervisión. En el RGPD es el DPO, como así viene estipulado. Aquí parece que no queda definido. En nuestro caso, el DPO debe ser parte fundamental cuando haya tratamientos de datos que implican inteligencia artificial, pero debe ser un stakeholder que colabore con otros de la organización de forma simultánea”.

A este respecto, Pascual indica que “hay que crear un equipo multidisciplinar que impulse un marco de gobernanza de la IA. No es cosa sólo del DPO, sino de más stakeholder. A este respecto, había que implicar también al responsable del Data Governance, o Calidad del Dato; el responsable de seguridad, que debe intervenir desde el departamento de Compliance y al mismo tiempo el equipo de Legal. Al mismo tiempo, dependiendo del tratamiento, hay que incluir también la parte de negocio y al de Recursos Humanos o de talento. Debe estar ahí, pero el DPO no puede trabajar solo”.