Entradas

Integración de la protección de datos personales en la gestión ordinaria de los responsables del tratamiento como requisito indispensable para garantizar los derechos y libertades individuales

Hace dos semanas se publicó una resolución que sancionaba la falta de previa realización de evaluación de impacto de privacidad, que habría llevado al responsable del tratamiento a la conclusión que no se superaba la evaluación de necesidad y proporcionalidad y, por tanto, se hubiera abstenido de iniciar el tratamiento, incluso en modo de prueba voluntaria.

La guía publicada este verano por la Agencia Española de Protección de Datos, sobre gestión del riesgo y evaluación de impacto, dejaba meridianamente claro que se iniciaba una nueva fase en la que sería exigible a los responsables del tratamiento un mayor nivel de madurez en su proceder y acreditación de su responsabilidad proactiva.

En línea con lo que en su momento ya estableció el Grupo de Trabajo del Artículo 29 la mencionada guía, por un lado, nos recuerda que las evaluaciones de impacto se integran en la gestión ordinaria del riesgo de actividades de tratamiento, es decir, son actividades integradas y, por otro lado, que el enfoque debe centrarse, única y exclusivamente, en la gestión del riesgo para los derechos y libertades de las personas físicas. Es decir, son relevantes exclusivamente las amenazas para los derechos y libertades del interesado, de tal manera que la mitigación de las amenazas para el responsable del tratamiento -como la garantía de cumplimiento normativo a efectos de evitar sanciones- constituye un requisito previo indispensable a todo tratamiento de datos, pero no integra propiamente la gestión del riesgo de actividades de tratamiento.

Tanto el legislador como las autoridades de control tienen claro que el riesgo cero no existe y que todo tratamiento de datos personales -por mínimo, a modo de prueba o sencillo que sea- es susceptible de generar un riesgo para los derechos y libertades individuales y, por ello, la gestión de dicho riesgo debe integrarse, inexcusablemente, como un proceso transversal a toda la organización, resultando imprescindible el compromiso e impulso por parte del responsable del tratamiento por cuanto sobre él descansa, exclusivamente, la obligación de garantizar los derechos y libertades de los interesados.

Para conseguir que la protección de datos y su gestión del riesgo se integre en la gestión ordinaria es preciso alcanzar un nuevo nivel de madurez, distinguiendo claramente los roles que corresponden al delegado de protección de datos y al propio responsable del tratamiento. Ha sido relativamente habitual que, en una fase inicial en muchos casos superada, se considerara que “la protección de datos era cosa del delegado de protección de datos” y se le encomendara directamente tanto el diseño como la ejecución material de todas las tareas, tanto preventivas como reactivas.

Es preciso segregar, de forma efectiva, las funciones que corresponden al responsable del tratamiento y las que corresponden al delegado de protección de datos permitiéndole centrarse en su verdadero cometido: Asesorar, liderar la cultura de cumplimiento, detectar y alertar de riesgos, proponer medidas mitigadoras y supervisar su implantación y ser punto de contacto con las autoridades de control. Corresponde al responsable del tratamiento la toma de decisión y ejecución efectiva de todo cuanto sea preciso para cumplir con su obligación de garantizar los derechos y libertades de los interesados, implicando a todos sus profesionales de manera que se logre el convencimiento de que “la protección de datos es cosa de todos”.  

Solo con una adecuada segregación de las funciones que corresponden al delegado de protección de datos y al responsable del tratamiento, se puede lograr la efectiva incorporación de la protección de datos en la gestión ordinaria de toda organización y, con ello, la efectiva protección de los derechos y libertades de los interesados.

Isabel Mascaró Currás
Compliance Officer, Delegada de Protección de Datos y Vocal ENATIC.

Compliance tecnológico: Cinco retos para la temporada 2021/22

Después de un verano tan deseado, comenzamos una nueva temporada trepidante y llena de retos y objetivos dentro del mundo del Derecho Digital. A continuación, indico algunos de esos aspectos que considero que van a plantearnos una importante dedicación a los profesionales que nos dedicamos a ayudar a las organizaciones a cumplir las normas, mitigar sus riesgos y aportar eficiencia a los nuevos negocios y operaciones digitales:

  • Reto 1. Legal Risk mapping: Cada vez resulta más complicado en organizaciones de cierto tamaño tener un mapa visual que nos ofrezca información clara de qué normas nos aplican, qué grado de madurez de cumplimiento tenemos en cada una de ellas, qué controles o medidas son comunes para cumplir varias normas, etc.

    La presión normativa a las que las empresas están sometidas es abrumadora, en asuntos generales y, en particular, en asuntos digitales. En muchas compañías se genera algún tipo de estudio de aplicabilidad normativa impulsado por Legal, Compliance, DPO, etc. que, en muchos casos, pronto queda obsoleto y pierde valor.

    En cambio, desde los Board cada vez existe más preocupación por el impacto que los incumplimientos normativos pueden tener en la empresa, ya sea por las sanciones o barreras de negocio que puedan representar, como por el impacto reputacional.

    Por ello, resulta conveniente trabajar en la realización y actualización de estos legal risk mapping:
    • con detalle del alcance, operaciones o servicios de la compañía donde nos aplican,
    • que refleje los indicadores y evidencias de cumplimiento necesarias para tener en tiempo real un termómetro de Compliance Tecnológico,
    • que establezca el grado de madurez y cumplimiento de los diferentes requisitos normativos y nos ayude a saber dónde trabajar y con qué medios para mitigar los riesgos más representativos,
    • con capacidad de absorber los nuevos requisitos y obligaciones que van a venir impuestas por reciente o inminente normativa (ENS, NIS, DORA, nuevos criterios RGPD, Derechos Digitales, Cookies, nueva ley sobre canales de denuncia y protección de alertadores, reconocimiento facial, etc.)
  • Reto 2. Uso de inteligencia artificial en procesos de la compañía: El uso de procesos de inteligencia artificial se está extendiendo poco a poco en todas las áreas de una organización.

    Si bien inicialmente se aplicó a la gestión de clientes, mejorar su perfilado y segmentación, predecir hábitos de consumo o preferencias, actualmente las áreas de RRHH, operaciones, administración y financiero, legal, etc. también se están apuntando al uso de tecnologías y herramientas que utilizan la Inteligencia Artificial.

    En este sentido, será fundamental participar y asesorar como profesionales de derecho digital en tales proyectos desde dos diferentes enfoques:
    • Comprobar que el uso de IA está alineado a las buenas prácticas internacionales que se han publicado desde diferentes instituciones (trazabilidad, auditoría, calidad de algoritmos, etc.), así como alinearlo a los criterios de la futura normativa europea que ya se ha planteado por la Comisión Europea. Por supuesto, uno de los retos es la protección de los derechos de los individuos y que el uso de IA no vulnere los mismos en términos de igualdad, privacidad, etc.

      En este sentido, España publicó noviembre de 2020 una Estrategia Nacional de Inteligencia Artificial donde uno de sus 6 ejes estratégicos es el de “establecer una marco ético y normativo que refuerce la protección de los derechos individuales y colectivos, a efectos de garantizar la inclusión y el bienestar social”.
    • Protección de intangibles por la aplicación de IA en procesos de negocio, es decir, proteger los algoritmos creados o licenciados, los resultados y datos generados por aplicación de la IA, secretos comerciales, viabilidad para comercializar información disociada, etc.
  • Reto 3. Gobierno del camino al Cloud: Sin duda muchísimas organizaciones llevan tiempo contratando más y más servicios en Cloud, trasladando gran parte de su IT a la nube, ya sea en modo IaaS, PaaS, SaaS, etc. y la tendencia es seguir haciéndolo en mayor medida.

    Las implicaciones a nivel legal, de riesgos y cumplimiento son muy diversas en ese “journey to Cloud”, y a la vez muy diferentes de un modelo de internalización de la tecnología, en aspectos como la responsabilidad contractual del proveedor, el control de los datos, los riesgos de ciberseguridad, la gestión de evidencias de cumplimiento, Auditorías y supervisión por terceros o por Autoridades de Control, licenciamiento de software y modo servicio, gestión de crisis y brechas de seguridad, plan de salida y cambio de proveedor, etc.

    Por todo ello, se hace más necesario que nunca diseñar e implantar un sistema de Gobierno para el Cloud en cada organización, donde se definan los roles, responsabilidades y jerarquías en las variadas tomas de decisión que hay que tomar y que pueden conllevar importantes impactos para la compañía en términos de ineficiencia, asunción de riesgos, mayor coste en la factura del proveedor, problemas de seguridad, falta de coordinación interna, etc.

    Es necesario quitarse de la cabeza que ir a la Cloud es igual a desalojar todo tipo de responsabilidades en la compañía y que esa responsabilidad es asumida por el proveedor de manera íntegra. Es vital dotarse de esas políticas y procedimientos internos sobre Cloud para una mejor gestión de la contratación, monitorización y mantenimiento, cálculo de ahorro económico, mejor interlocución con el proveedor, mayor mitigación de riesgos, mejor control de eventuales crisis…
  • Reto 4. Implantación de Legaltech: Se habla mucho de Legaltech, de su mercado floreciente y de lo que aporta la digitalización y la incorporación de tecnologías en la función de las áreas legales, de Compliance y de Riesgos.

    Pero considero que es necesario dar un paso más y sacar todo el partido a las posibilidades que muchas herramientas nos ofrecen. En muchas organizaciones apenas se han implantado ninguno de estos sistemas o se limitan a gestores documentales, de expedientes, bases de datos, y otros productos de estas características.

    En algunas grandes corporaciones ya podemos ver cómo se han incorporado a los equipos legales y de Compliance expertos en tecnologías que ayudan a valorar la oferta de mercado, realizar demos y pilotos, liderar la implantación de las tecnologías seleccionadas, hacer un seguimiento de su utilidad y uso a través de indicadores, etc.

    En esta temporada 21/22 creo que debemos dar un paso de madurez y apostar por tecnologías Legaltech más disruptivas (y muy testeadas) que incorporan machine learning e IA y cuya aportación es enorme para una Asesoría en términos de valor añadido, capacidad de gestión de riesgos legales, ahorro de tiempo de los equipos, visión holística del estado de la compañía a nivel legal, capacidad de report a Dirección y Consejo, mejor relación e interlocución con áreas de negocio y con empleados, mejor control de medidas legales en los procesos de negocio, etc.
  • Reto 5. Apoyo continuo en la Transformación Digital: Considero que ya era un reto en la temporada anterior 20/21, y quizá lo siga siendo en la siguiente. Y es que los profesionales del Derecho Digital deben estar al lado de las áreas de IT y las oficinas de Transformación Digital, ya que los retos a los que se enfrenta la organización son enormes.

    Resulta fundamental conocer el diseño de los nuevos procesos, de la incorporación de tecnologías, del tratamiento de los datos, etc. que se pretende realizar en la organización, ya que el impacto legal es muy grande en aspectos como las responsabilidades contractuales, el cumplimiento de la normativa de protección de datos, propiedad intelectual e industrial, la protección de activos intangibles, la ciberseguridad, etc.

    Para terminar, resulta necesario implantar un sistema de “legal by design” y poder dar esa cobertura legal de manera continua desde que se diseña ese nuevo producto o servicio, pero además resulta necesario establecer un buen sistema de gestión que facilite internamente los análisis de riesgos legales, la custodia de evidencias de cumplimiento y control, la monitorización de controles legales en el avance del proyecto, etc.

Hay muchos más retos para los profesionales del derecho digital, pero he querido hacer mención a estos cinco que considero los más fascinantes que se nos plantean para los próximos meses.

Mucho ánimo y salud compañer@s para enfrentarnos a esta temporada 2021/22.

Carlos A. Saiz
Presidente de ENATIC y socio de Ecix Group