El próximo 28 de enero se celebra el Dia Europeo de la Protección de Datos en un momento en el que las sanciones de la AEPD crecen y la privacidad se convierte en algo estratégico. Al mismo tiempo, la irrupción de nueva normativa, especialmente comunitaria como DSA, Ley de Servicios Digitales o directivas como NIS2 o reglamentos financieros como DORA van a definir el reto de salvaguardar el derecho a la protección de datos, un derecho fundamental para el ciudadano.

En este escenario, la irrupción de distintas herramientas tecnológicas, algunas de ellas vinculadas a la Inteligencia Artificial, también ponen el foco en la necesidad de que respeten la privacidad de los ciudadanos. A este respecto, impulsar la privacidad desde el diseño, de ese producto y servicio, elemento clave del RGPD europeo parece clave para lograr ese propósito.

El papel de los profesionales de la privacidad, encuadrados en asociaciones como la Asociación Española de Privacidad (APEP), o la entidad que agrupa a abogados y profesionales digitales como es ENATIC, al igual que la Asociación de Internautas de cara al ciudadano, son decisivas para ayudar a empresas y entidades al cumplimiento de la privacidad y su normativa, en aras de evitar las sanciones de la AEPD que se han incrementado de forma notable en estos dos últimos años.

Hay que cumplir el RGPD

Para Marcos Judel, presidente de APEP y socio director de Audens, “la celebración en Europa del día de la protección de datos es un elemento importante para difundir tres importantes mensajes sobre este derecho fundamental. Por un lado, por supuesto, el impulso y concienciación sobre el derecho a la protección de datos y la privacidad de los ciudadanos. Por otro, el fomento de la cultura del cumplimiento normativo en las empresas y en las administraciones públicas. Y por último, la importante labor de los profesionales de la privacidad y delegados y delegadas de protección de datos.”

Marcos Judel: “Es fundamental contar con una estrategia de privacidad“ (Foto: AEPD)

Sobre lo que fue este 2022 y las claves para atender el 2023, Judel destaca el papel de los profesionales de la privacidad que ayudan a las empresas a cumplir el RGPD europeo a la que califica como “una norma de las más duras que existen en el mundo y que prevé un régimen sancionador también muy duro. Pero es lo suficientemente flexible para permitir el desarrollo de negocios tecnológicos y basados en datos personales, siempre que se haga con unas garantías específicas.

Para este experto, “es evidente que las resoluciones de los procedimientos sancionadores de la AEPD y las sentencias de los órganos jurisdiccionales son un elemento imprescindible para que podamos realizar nuestro trabajo con las mayores garantías y seguridad jurídica. Así, nos fijamos en cuestiones relacionadas con las cookies, el interés legítimo, las formas de solicitar consentimientos para comunicaciones comerciales, aspectos de la información y transparencia a aportar al interesado o las brechas de seguridad”.

Sobre este 2023, el presidente de APEP cree que “las claves en torno a esta materia van a estar tanto en la entrada de aplicación del Reglamento de Gobernanza de Datos, como en la próxima aprobación del paquete de normativas europeas que tienen que ver con esta materia como el Reglamento ePrivacy, o la directiva de Inteligencia Artificial. Esto hará actualizar la formación de los profesionales de la privacidad”.

Respecto a las sanciones de la AEPD, entidad con la que APEP mantiene una estrecha relación de colaboración, en campos como en la formación y cualificación del delegado de protección de datos, reconoce que se han incrementado de forma notable: “Ahora con el RGPD las sanciones son más elevadas, y por tanto más notorias. Su impacto es mucho mayor y provoca un efecto llamada de atención para que los más rezagados en el cumplimiento hagan un mayor esfuerzo por estar al día”.

“No obstante, siempre habrá dos velocidades: quienes ven cualquier obligación como una carga, como algo fútil y que buscarán evitar a toda costa o tratar de cubrirse con servicios de baja calidad e ineficientes; y quienes se toman en serio las oportunidades que ofrece contar con profesionales y delegados de protección de datos serios que ayuden a conjugar el desarrollo de su negocio con el cumplimiento de la norma para evitar sanciones y lograr ser mucho más competitivo y destacar en el mercado. El mensaje en este ámbito es muy claro: lo barato sale caro”.

Crear cultura de privacidad para pymes

Por su parte, Carlos Sáiz, socio de Ecix Group y presidente de ENATIC, señala que “la celebración del  Día de la Protección de Datos es fundamental para recordarnos la importancia de este derecho fundamental en la sociedad que vivimos actualmente y especialmente la necesidad de luchar por su defensa y protección en los entornos digitales”.

Carlos Saiz, presidente de ENATIC y abogados digitales: “Las pymes necesitan un asesoramiento especial en privacidad” (Foto: ENATIC)

Para este jurista, “los profesionales que vivimos en este sector tratamos de dar un sentido jurídico y ético al tratamiento de la información personal por parte de todas las organizaciones, públicas y privadas, intentando equilibrar la competitividad y el desarrollo de la economía digital y el respeto al derecho de la protección de datos”, comenta.

En su opinión, “queda patente que ya no sólo es necesario tener un gran conocimiento jurídico y técnico en materia de privacidad, sino que es fundamental manejar herramientas Legaltech y Regtech para dar soluciones globales al cumplimiento normativo y sus exigencias: RAT actualizado, gestor de consentimientos y cookies, due diligence de proveedores encargados del tratamiento, realización de PIA´s, etc”.

De cara al 2023, este experto define tres aspectos claves: “en primer lugar, ver cómo evolucionan los procedimientos sancionadores, no solo en España, sino también en Europa, ya que desde Europa se está buscando una homogeneización de los regímenes disciplinarios. Y en este sentido, actuar en consecuencia en cada entidad, mejorando el cumplimiento en base a estos criterios”.

Al mismo tiempo, “ayudar a las compañías a tecnificar los modelos de cumplimiento de protección de datos e implantar con mayor profundidad la transformación digital en las áreas de los DPOs y Responsables de Cumplimiento. Asimismo, será fundamental coordinar el cumplimiento de RGPD con las nuevas normas de Ciberseguridad, especialmente ENS, NIS2 y DORA, entre otras”.

Por ultimo el presidente de ENATIC cree que “hay que seguir ahondando en fomentar una cultura de cumplimiento en privacidad y protección de datos, especialmente en PYMES y en entidades públicas”, destaca.

Respecto al papel de la AEPD, Carlos Saiz subraya que “la AEPD ha desarrollado una muy buena labor desde la aprobación del RGPD, pero considero que hay dos factores fundamentales en relación con nuestra Autoridad de Control que se deben solventar, aunque no dependen de la propia AEPD, como son la elección de una nueva dirección y el dotar con mas medios y personal al regulador para que pueda defender el derecho a la privacidad, clave para el desarrollo de nuestra economía digital”.

Control de contenidos y privacidad usuarios

Por su parte, Ofelia Tejerina, presidenta de la Asociación de Internautas cree que ahora “asistimos a un momento de hiperregulación en materia de tecnología y sociedad digital. Cada una de las normas en las que se está trabajando debe tener una perspectiva de protección de datos. No hay ya una actividad que afecta a los usuarios que tenga que recoger estas precauciones, estas garantías y obligaciones en materia de derechos y privacidad”.

Ofelia Tejerina: “Los ciudadanos reclaman más pero deben proteger mejor su privacidad» (Foto: Asociación de Internautas)

Así, pone por ejemplo la DSA que acaba de aprobarse: «La ley de servicios digitales, donde el control de contenidos ilícitos puede afectar  de manera grave a la privacidad de los usuarios. Cuando hablo de privacidad hay que entenderlo en relación a la protección de datos, secreto de las comunicaciones, otro de los aspectos que puede verse vulnerado con el mal uso de las herramientas que tienen a su disposición los prestadores para cumplir con las obligaciones de esta normativa”.

Para esta jurista, “uno del los retos es el control de los contenidos y la privacidad de los usuarios. Otro de los grandes retos en los que podemos incidir tiene que ver con la inteligencia artificial aplicada al reconocimiento de ciudadanos, no solo sobre la identificación facial sino al reconocimiento  de los ciudadanos y su clasificación, porque las posibilidades tecnológicas son infinitas, ahora mismo y las legales, limitadas”.

A lo largo de este último año, la Asociación de Internautas ha recibido múltiples consultas: “Que la mayor parte de ellas han sido redirigidas al canal de denuncias de la AEPD. Porque son cuestiones de imagen relacionadas con mujeres, menores de edad, personas con discapacidad. En esta faceta el papel de la AEPD es importante como apoyo a la ciudadanía para que esta pueda utilizar esas herramientas y defender sus derechos”.

Al mismo tiempo, cuestiones sobre el phishing y la suplantación de identidad también preocupan a los ciudadanos: “Es adentrarnos en el mundo de los delitos, donde esta la figura de las estafas que implican siempre un aspecto de suplantación de identidad. Hay que entender que esta figura no está recogida como tipo pena y sancionable. Viene encajada en otras figuras como la del disfraz que es un agravante que está en el Código Penal o en el tipo de daños que se provocan cuando se utiliza la identidad del tercero. Esta pendiente regular bien la suplantación de identidad”.

Ofelia Tejerina considera que aún “la administración electrónica puede mejorar mucho. Después de dos años de pandemia sigue habiendo problemas importantes de digitalización y acceso a ciertas plataformas públicas. Creo que hay seguir trabajando en la línea de los últimos cinco años en cuanto a la protección de los derechos de los ciudadanos. La llegada del RGPD fue importante pero aun esta sin implementar en muchas empresas”.

De cara a este Dia Europeo de la Protección de Datos, recuerda “hay que aprovechar que existe esta efeméride para recordar que la privacidad es algo que afecta a nuestra dignidad de forma directa. No puede haber derecho personal libre sin la intimidad o protección de datos no está garantizada. Si no hay una protección de datos adecuada no habría libertad de expresión, tampoco habría un derecho a la salud, ni un derecho a la educación etc”