José Luis Piñar: “Adaptarse al Reglamento Europeo supondrá asumir un nuevo modelo de privacidad para las empresas”
José Luis Piñar, director de la Cátedra Google CEU.

José Luis Piñar: “Adaptarse al Reglamento Europeo supondrá asumir un nuevo modelo de privacidad para las empresas”

|
14/10/2016 06:58
|
Actualizado: 12/4/2022 10:49
|

A lo largo de este Foro de Gobernanza en Internet que ha tenido lugar en la SETSI en Madrid han desfilado muchos expertos. Uno de ellos es José Luis Piñar, exdirector de la Agencia Española de Protección de Datos (AEPD), catedrático de Derecho Administrativo de la Universidad CEU San Pablo y presidente de la Sección Tercera, de Derecho Público, de la Comisión General de Codificación.

José Luis Piñar es además, director de la Cátedra Google CEU, la única que existe en el mundo.

También fue vicepresidente del Grupo Europeo de Autoridades de Protección de Datos y presidente-Fundador de la Red Iberoamericana de Protección de Datos.

¿Qué importancia tiene en los datos personales el llamado Internet de las cosas, fenómeno nuevo que ha surgido en la Red?

Los expertos señalan que se refiere a la interconexión digital de objetos cotidianos con internet. Hablamos de 50.000 millones de estos objetos con sensores en el mundo.

Estos sensores recaban muchos datos personales en una cantidad espectacular.   Hay datos que pueden ser especialmente protegidos como los datos de salud. También se puede conocer la conducta y los hábitos de cualquier persona.

¿Le sorprende a usted, todo un experto en privacidad, que ahora los datos personales y la privacidad estén en un primer plano como el de ahora?

Llevo veinte años vinculado a esta actividad de una u otra forma. A lo largo que pasaban los años hemos visto que la importancia de los datos personales crecía progresivamente. Dicho esto es impredecible señalar qué es lo que va a ocurrir; qué es lo nuevo que nos va a venir encima en materia de privacidad.

Lo que realmente sorprende es la cantidad de innovaciones que se han puesto en marcha en los últimos años. La mayor parte de ellas implica el tratamiento de datos personales. Quizás esta última cuestión era lo más difícil de predecir en cuanto a este tema.

Creo que se venía venir que la protección de datos iba a ser clave en la innovación y en el desarrollo socioeconómico de cualquier país. Lo que es difícil de predecir es qué va a pasar ahora y con qué novedades nos encontraremos en el futuro.

En este contexto de cambio se aprobó recientemente el Reglamento Europeo de Protección de datos que entrará en vigor en mayo del 2018 ¿Cómo se están adaptando las empresas al mismo?

La adaptación debe ser progresiva. Hay muchas novedades en el Reglamento que atañen a las empresas y sobre todo hay un nuevo modelo de privacidad. Se pasa de la gestión de los datos al gobierno de la información.

El Reglamento potencia mucho el principio de responsabilidad proactiva y la llamada evaluación del riesgo. Se insiste mucho en la proactividad de los responsables de esta cuestión en el seno de la empresa. Esto hace que se complique bastante la situación.

Creo que las pymes tendrán más problemas a la hora de adaptarse a la nueva norma europea. Serán ellas mismas las que tengan que evaluar qué medidas técnicas y organizativas deben adoptar para adaptarse a dicho Reglamento.

captura-de-pantalla-2016-10-13-a-las-20-53-21

José Luis Piñar, director de la Cátedra Google CEU.

Como podemos ver, es un cambio importante que veremos cómo se asume por las empresas..

No creo que sea fácil adaptarse al nuevo entorno. Lo que más cuesta es el cambio de modelo del que hablamos. Cuando entre en vigor el Reglamento no será necesario inscribir los ficheros como se hacía hasta ahora. En cambio si será necesario un Registro de actividades.

Todo esto lo que va a generar una menor carga formal en cuanto a cumplimiento de normas. Cada empresa tendrá que evaluar qué medidas de seguridad tiene que implantar en su interior.

Lo que sí sorprende es que siendo la protección de datos un elemento clave, la figura del DPO; Delegado de Privacidad, no sea obligatoria en todas las empresas , si vemos el Reglamento..

El llamado DPO es obligatorio para todos los organismos públicos y empresas que traten a gran escala una serie de datos.

Creo que las empresas deberían tener un responsable en su seno que se ocupase de gestionar la privacidad de los datos. Hay que darse cuenta que la aplicación del Reglamento puede generar problemas y es necesario un experto que conozca bien la norma y su entorno.

“Las empresas deberían tener un responsable en su seno que se ocupase de gestionar la privacidad de los datos por la propia complejidad del Reglamento Europeo”.

Muchas grandes compañías tienen al DPO o experto en privacidad. Sería importante que la figura del delegado o responsable de protección de datos en cualquier empresa. Tendrán que buscar a ese profesional y darle los medios adecuados para que haga su trabajo.

Usted estuvo vinculado a la AEPD donde fue director hace ya algunos años. ¿Le sorprende la gestión de Mar España al frente de este organismo?

Se nota que hay un cambio de talante en la Agencia. Sobre la gestión de la nueva directora creo que está haciendo una magnífica labor asumiendo un papel más proactivo entre los operadores privados y públicos de la privacidad.

Creo que se percibe un acercamiento mayor a los problemas de la protección de datos y a sus responsables y encargados. No puedo dejar de estar de acuerdo porque lo que está haciendo Mar España lo intenté en mi momento como director de la AEPD. Ahora el reto es ver cómo interpreta la implantación del Reglamento Europeo de Protección de Datos en nuestro país.

Recientemente AEPD e INCIBE han creado una Guía para mejorar la Seguridad en Internet. ¿Qué opina de esta iniciativa?

Publicaciones de este tipo siempre son necesarias porque hay que ofrecer al ciudadano pautas sobre situaciones concretas en las que se pueda ver inmerso. Es otra forma de explicar que la ley hay que cumplirla desde otra perspectiva.

Días antes nos enterábamos de una fuga de datos en una empresa del prestigio de Yahoo. ¿Qué deben hacer empresas y ciudadanos ante esa fuga de datos, realmente?

Ahora con el nuevo Reglamento en la mano cuando se produzca una fuga de datos, lo que los expertos llaman brecha de seguridad, habrá que notificarla de inmediato, so pena de recibir cuantiosas multas económicas a la correspondiente autoridad de protección de datos.

Lo primero que debe hacer la empresa es esa notificación. Luego los interesados pueden tomar medidas. Todos tenemos que darnos cuenta los retos que traen consigo la innovación tecnológica, su vertiente positiva y su lado más complejo.

Es como si lleváramos el cinturón de seguridad en un vehículo, así debe ser nuestro comportamiento en el mundo virtual y ser prudente en nuestro comportamiento en Internet y redes sociales.

captura-de-pantalla-2016-10-13-a-las-20-53-46

Piñar también es presidente de la Sección Tercera de la Comisión de Codificación, durante su intervención en el Foro de Gobernanza.

Usted fue hace dos años miembro del Comité de expertos que Google creó para saber cómo gestionar su respuesta al fallo del TJUE sobre derecho al olvido.

En este Comité no analizábamos casos concretos tanto como elaborar unos estándares generales, unas directrices a Google para que este buscador tuviera criterios y elementos a la hora de evaluar las peticiones de derecho al olvido que le llegasen.

Me resultó muy interesante el debate con los integrantes del Comité y poder reflexionar durante meses sobre los derechos que están en juego. Escuchamos en todo el mundo a decenas de expertos quienes nos dieron sus recomendaciones.

Hay que destacar la libertad de actuación y de reflexión que nos dejó Google como miembros del mismo que no generó ninguna injerencia en nuestro trabajo.

Al final observamos que hay varios derechos que tienen que estar en equilibrio. Y que la protección de datos no es un derecho absoluto como tampoco lo es la liberta de información y que deben estar en juego y convivir.

Después de dos años, ¿podemos señalar que el derecho al olvido ya es un derecho consolidado para el ciudadano?

Yo creo que sí. Al mismo tiempo hay que darse cuenta que este derecho al olvido viene recogido en el artículo 17 del Reglamento Europeo de Protección de Datos aunque quizá algo más restrictivo que la sentencia del TJUE de mayo del 2014.

“El derecho al olvido ya está en la mente de la gente. Los usuarios de internet ya son conscientes de que existe tal derecho y creo que ya es irreversible”.

El derecho al olvido ya está en la mente de la gente. Los usuarios de internet ya son conscientes de que existe tal derecho y creo que ya es irreversible.

Desde hace cuatro años, usted dirige la Cátedra Google CEU, la única en el mundo en materia docente e investigación. ¿Qué balance puede hacer de la misma?

Arrancamos ahora el cuarto año de colaboración y los resultados son muy buenos. Cada año se ha organizado un Congreso Internacional anual. Al mismo tiempo hay seminarios permanentes sobre temas de actualidad.

Un dato importante es que en la Cátedra hemos podido escuchar a expertos de todos los sectores afectados en materia de privacidad. Así hemos oído a las autoridades de protección de datos, jueces, ciudadanos, académicos, magistrados del Supremo y del Tribunal Constitucional, expertos en privacidad, etc.

La Cátedra se ha convertido un referente en nuestro país en materia de privacidad. Es uno de los foros de debate imprescindible para conocer cuál es la relación entre innovación y privacidad. A medio plazo queremos ahora afrontar su internacionalización con seminarios que se organicen en diferentes ciudades europeas.

Al mismo tiempo impulsamos el Master en la propia Universidad CEU San Pablo en Protección de datos. Ahora arranca su cuarta edición el próximo 24 de octubre. Es el único acreditado desde la ANECA y puede preparar personas que puedan desempeñar la labor del citado DPO del que hablamos antes. Hablamos de 70 créditos casi 1200 horas lectivas.

Noticias Relacionadas:
Lo último en Áreas y sectores