Entrevista: Jesús Rubí, adjunto al director de la AEPD

Entrevista: Jesús Rubí, adjunto al director de la AEPD

 

Jesus Rubi Navarrete

Adjunto al director de la Agencia Española de Protección de Datos, Jesús Rubí Navarrete lleva 20 años ligado a esta institución: ha ostentado en otras etapas el cargo que hoy ocupa, pero también ha sido subdirector general de Inspección de Datos. Con anterioridad fue director del Gabinete del Ministro de Justicia, secretario general técnico del Ministerio de Relaciones con las Cortes, director general de Relaciones con las Cortes y vocal del Tribunal de Defensa de la Competencia. Autor de diversas publicaciones en materia de publicidad, derecho de competencia, procedimiento administrativo y protección de datos personales, también colabora con diferentes universidades españolas. Pero, su actividad va más allá de nuestras fronteras: participa en reuniones y conferencias internacionales sobre protección de datos personales; colabora en proyectos con otras autoridades de protección de datos (República Checa, Bulgaria, Bosnia y Herzegovina, Israel y Croacia), y es coordinador de la Red Iberoamericana de Protección de Datos.

  • Podríamos decir que el RGPD supone un gran cambio en esta materia. ¿Lo están abordando las empresas como deberían? O, mejor dicho, ¿lo han abordado en estos dos años, desde que entró en vigor, como deberían?

Estamos pendientes de algunas encuestas que arrojen más resultados. Pero, tras las múltiples y muy variadas reuniones que hemos mantenido en todo tipo de foros (administraciones públicas; empresas pequeñas, medianas y grandes, etc.), podemos decir que hay una gran sensibilización con la aplicación de esta norma. Yo llevo 20 años en la agencia y diría que la sensibilización que ha habido con esta normativa no es comparable con ninguna otra anterior. Hay muchísima más sensibilización, urgencia e inquietud en el cumplimiento. Aunque, es cierto que esta predisposición al cumplimiento y al conocimiento no se ha aprovechado adecuadamente en el periodo de dos años, desde que entró en vigor. Digamos que esta predisposición creció de manera exponencial en los últimos 8-10 meses antes de su aplicación.

  • ¿Son las pymes la gran preocupación para la Agencia?

Sí, porque el reglamento supone una modificación en las modalidades de cumplimiento de esta normativa (además de los nuevos derechos que se reconocen y deberes que se imponen). En lo que se refiere al modelo de cumplimiento, es enormemente diferente al anterior porque se basa en la diligencia activa de cada uno, y hay toda una metodología de medidas que hay que ir adoptando para cumplir con la normativa de protección de datos.

En el caso de las pymes y micropymes (no de todas, porque hay algunas que hacen tratamientos muy intensivos de datos personales), cuyo tratamiento de datos es de muy bajo riesgo, la metodología que exige cumplir el reglamento es compleja. Por eso, hemos desarrollado una herramienta muy básica y muy sencilla que se llama Facilita.

Es una herramienta que hace una preselección para saber si se es de bajo riesgo o no. Permite, en los ficheros más habituales, obtener documentalmente parte (o la mayor parte) de las obligaciones del reglamento, adaptadas a cada empresa. En este punto, es necesario recordar que, en este modelo de cumplimiento, uno de los aspectos fundamentales es la necesidad de documentar todo lo que se hace y por qué se hace.

  • Además de la herramienta, ¿qué otros materiales se han puesto a disposición de las pequeñas y medianas empresas para facilitarles la tarea?

Hemos creado una hoja de ruta, porque en el RGPD hay una serie de medidas con una sistemática jurídica (y no práctica). En esta hoja de ruta, hemos establecido con qué medidas hay que empezar: el registro actividades de tratamiento, el análisis de riesgos (y, en función de este, tienes que adoptar -o no- otras medidas, como hacer evaluaciones de protección de datos o nombrar un DPO), etc. Se han indicado los pasos que hay que ir dando, tanto para empresas como para las administraciones públicas. Y, además de la guía general sobre RGPD, se ha elaborado una guía práctica de cada uno de esos pasos. Todas ellas están a disposición de las empresas en nuestra página web (https://www.aepd.es/guias/index.html).

  • Comentabas que este es un régimen más preventivo y proactivo. ¿Cuáles son los pros y los contras de esta “autonomía”?

El reglamento tiene dos características fundamentales: la prevención y la flexibilidad. La prevención está basada en esta nueva metodología de cumplimiento que se fundamenta en analizar qué actividades de tratamiento realizo, el análisis de riesgos en base a criterios propios, y el resto de medidas de cumplimiento. Esta es la parte proactiva porque cada cual tiene que ver y analizar todo este tipo de medidas, desde una perspectiva de seguridad y de la “lesión” que se puede producir en los derechos de las personas. La flexibilidad se produce porque, precisamente, como resultado de esos análisis hay que establecer una serie de medidas acordes a las necesidades. No son iguales para todos: pueden ser más sencillas (por ejemplo, en el caso de la mayoría de las micropymes); más complejas, en medianas empresas, o de complejidad superior en grandes corporaciones. Hay ese margen de flexibilidad para que esas medidas se adapten a la tipología de tratamientos que realiza cada una de las compañías.

  • La figura del delegado de protección de datos (DPO) es un elemento clave en el reglamento. ¿Cómo valoran desde la Agencia esta figura?

Valoramos esta figura muy positivamente. El DPO es un profesional, o un equipo de profesionales, muy cualificado (interno o contratado de forma externa), que se encarga de asesorar, informar, resolver dudas y supervisar que las cosas se hagan de forma correcta. En este punto hay que matizar que el DPO no es quien tiene que cumplir la normativa; quien tiene que cumplir es la organización a la que presta sus servicios.

Toda su labor la tiene que llevar a cabo manteniendo un contacto muy fluido con la alta dirección de la empresa. Por este motivo, es una figura que va a contribuir de una manera muy especial a la adaptación y al cumplimiento del reglamento. Pero, además, tiene otras funciones ya que, por ejemplo, es el punto de contacto con las autoridades de protección de datos y con los ciudadanos.

Tiene ese papel interno de mejora y asesoramiento, y externo de tratar de resolver posibles reclamaciones relacionadas con la protección de datos. También es el punto de contacto más fluido con la propia autoridad de protección de datos.

  • Esta figura no es obligatoria en todos los casos, pero, ¿diría que es recomendable? 

Aún en los casos en los que es voluntario, puede suponer una ventaja y una mayor facilidad y diligencia para el cumplimiento de esta normativa. Imaginemos profesionales que, por su actividad, tienen la obligación de pertenecer a un colegio profesional. El colegio puede facilitar a esos profesionales (repartiendo el coste entre todos) el asesoramiento del DPO. Y, aunque no sea obligatorio, es una manifestación y un plus de diligencia en el cumplimiento de la norma. En asociaciones empresariales se da la misma situación.

  • Uno de los casos en los que es obligatorio es aquel en el que las actividades del responsable, o encargado, consistan en operaciones que requieren una observación habitual y sistemática de los interesados a gran escala (por ejemplo, videovigilancia). ¿Podemos definir qué es un tratamiento a gran escala?

No hay una definición exacta de “gran escala”, depende de muchas circunstancias. Hay unas directrices, que están en la web de la Agencia, del grupo de autoridades de protección de datos, que ofrecen orientación sobre cómo interpretar y cumplir el reglamento (qué criterios tener en cuenta para saber si son o no a gran escala). Pero, es algo que depende de las circunstancias. Un centro comercial, por ejemplo, tiene videovigilancia intensiva. Comparativamente con lo que es el resto de la ciudad no sería a gran escala, pero proporcionalmente con respecto a las personas que van allí a diario sí lo es.

  • El régimen sancionador es mucho más estricto. ¿Cuáles son los aspectos que más va tener en cuenta la Agencia?

Con la normativa anterior de protección de datos existía un régimen sancionador que se ha considerado, en muchas ocasiones, duro. El modelo de cumplimiento estaba muy focalizado en el régimen de las sanciones económicas; la opción de apercibir y no imponer sanción económica era limitada. Esto cambia con el RGPD. Es verdad que las sanciones previstas en el reglamento pueden ser de unas cuantías enormemente superiores a las de la anterior LOPD. Pero, también es verdad que, en este modelo de supervisión que está en el reglamento, hay otro conjunto de medidas correctivas que puede adoptar la autoridad de protección de datos, y que no tienen por qué dar lugar a una sanción económica.

Por ejemplo, hay una medida que es la advertencia, que se pude hacer, incluso, cuando no se ha constatado una infracción. Por ejemplo, alguien presenta una denuncia sobre la videovigilancia de una comunidad de propietarios y, sin necesidad de constatar si se ha producido una infracción, desde la Agencia se podría informar al presidente o presidenta de la comunidad de cuáles son los requisitos para hacer videovigilancia, advertirle de que debe cumplirlos y consultar si los cumple o no, sin necesidad de una sanción.

Hay todo un abanico de medidas, con lo cual el modelo de supervisión es mucho más flexible y proactivo, y no está tan focalizado en las sanciones (aunque se les de mucha importancia). Es mucho más equilibrado que el anterior y cuenta con medidas que permiten corregir, en la práctica, posibles errores o incumplimientos puntuales sin necesidad de imponer una sanción económica.

Y, ¿de qué depende? Pues, de cómo se cumpla el reglamento: que se sea diligente, se siga la metodología prevista para el cumplimiento, que se documente todo lo que se hace (incluso cuando sea algo que consideremos no aplicable, se debe argumentar por qué no lo es), etc. El que no tenga diligencia, o no pueda acreditarla, estará más cerca del régimen de sanciones económicas.

Esto nos va a dar una flexibilidad mayor para que se garanticen los derechos de los ciudadanos, sin necesidad de imponer sanciones económicas, siempre que se haya adoptado una conducta diligente, incluso, aunque se haya hecho una interpretación que no coincide con la del regulador.

  • En el caso de multinacionales, y empresas con sede en un país diferente, el procedimiento sancionador puede complicarse. ¿Cómo se va a abordar este asunto?

Una de las grandes ventajas e innovaciones de este reglamento es que es la primera norma a nivel mundial que está adaptada adecuadamente al entorno de Internet. Y lo está en dos sentidos: porque ha reconocido nuevos derechos y porque ha establecido unos criterios que garantizan los derechos de los ciudadanos europeos, respecto de multinacionales que estén fuera de la Unión Europea. Y, en ese sentido, el reglamento establece dos criterios: si la organización está fuera de la UE, pero trata datos de europeos en los servicios que genera y esos servicios están dirigidos específicamente a ciudadanos europeos, tiene que cumplir con la normativa europea de protección de datos. O, si está fuera de la UE y monitoriza la conducta de los europeos (como hace Facebook para adaptar la publicidad), tiene que cumplir con esta normativa. Y, además, debe asignar un representante en la UE al que se puedan dirigir las autoridades europeas para obtener información o exigir responsabilidades. Es un avance enorme porque supone la posibilidad, en este mundo globalizado, de poder exigir a quienes tratan datos de ciudadanos europeos un sistema de garantías que, a lo mejor, no existe en su país.

  • Se hace muy necesario contar con una normativa nacional adaptada al reglamento. ¿En qué momento se encuentra la tramitación de la nueva Ley Orgánica de Protección de Datos?

Se encuentra en el Congreso de los Diputados, después del plazo de presentación de enmiendas, y está en manos de los grupos parlamentarios la negociación correspondiente para aprobar el proyecto. Lo deseable hubiera sido que la aprobación de este proyecto hubiese coincidido con el 25 de mayo, porque esa adaptación hubiese sido integral y hubiese generado mayor seguridad jurídica. Pero, los plazos parlamentarios tienen sus propios mecanismos. Ya se sabe cuál es la orientación de las enmiendas de los distintos grupos y hay que ver a qué consensos se llega para que se apruebe lo antes posible la nueva LOPD. Aunque, hay que tener en cuenta que la nueva ley por la que nos regimos es el Reglamento Europeo de Protección de Datos; la ley española es la que adapta, en los aspectos en los que permite el reglamento, nuestro sistema jurídico a las previsiones de la norma europea.

  • Por su actividad, ¿qué sectores pueden tener un mayor impacto en la privacidad de los ciudadanos? ¿Va a centrar la Agencia sus recursos en ellos?

La Agencia promovió antes de la aplicación efectiva una serie de reuniones con los sectores en los que, por su volumen o por la incidencia que tienen en los derechos de las personas, han tenido tradicionalmente una mayor incidencia o tienen dudas respecto de la aplicación del reglamento. Estamos haciendo estas reuniones sectoriales para tratar de una manera presencial, directa y fluida las dudas de última hora para que cumplan adecuadamente la norma. Algunos ejemplos son: sector de la publicidad, telecomunicaciones, turismo, grandes superficies comerciales, suministros de energía, etc. Aquellos en los que hay tratamientos masivos de datos.

  • Con el cambio normativo, han aparecido muchas empresas que ofrecen asesoramiento a muy bajo coste y, probablemente, pocas garantías. Según hemos visto en declaraciones de Mar España, es un tema que preocupa a la Agencia. ¿Cómo se plantean actuar ante este tipo de ofertas?

Por un lado, en aspectos como el DPO, hemos promovido un sistema de certificación, no para que sea obligatorio certificarse como delegado de protección de datos, pero sí para que haya una mayor transparencia en el mercado sobre el nivel de conocimientos y formación. Pero, por supuesto, se puede ser DPO sin seguir este esquema de certificación, siempre que se cumplan las previsiones del reglamento.

Pero, somos conscientes de que hay entidades que están ofreciendo sus servicios de una manera que no es leal ni transparente. Por ejemplo, hay algunas entidades que se están ofreciendo como DPO a empresas que no van a tener obligación de tenerlo y se auto designan. En esta situación están, también, aquellas compañías que ofrecen asesoramiento a “coste cero”. Estas empresas, aprovechando la financiación de la fundación Tripartita y dando a entender que dan formación, ofrecen un asesoramiento gratuito. Por eso, hay que insistir en que ante la variedad de ofertas (que ha aumentado de una forma exponencial) hay que hacer una reflexión y tratar de obtener información sobre la calidad del asesoramiento que se va a recibir.

  • ¿Quiere añadir algo más a modo de conclusión?

No estamos acostumbrados a este sistema de cumplimiento que depende de la diligencia de cada uno, ni a documentar todo lo que hacemos o analizamos (y que nos lleva a tomar determinadas decisiones). Es muy importante ese cambio de mentalidad que, además, tiene una perspectiva de futuro. Porque el análisis que se haga ahora hay que seguir haciéndolo y actualizándolo en el tiempo.

Vamos a tener que cambiar la mentalidad en varias cosas, pero, una vez cojamos esta rutina, el modelo de cumplimiento y de garantía de los derechos de los ciudadanos puede haber mejorado cuantitativa y cualitativamente de una manera importante.

agencia española de proteccion de datos

Comments

Comentarios desactivados