Entradas

Entrevista a Belén Arribas, presidenta de Enatic

Belén Arribas ha sido entrevistada por Luisja Sánchez para Economist & Jurist, con motivo de su reciente nombramiento como presidenta de ENATIC. En la entrevista ha aprovechado para subrayar la importancia de la inteligencia artificial (IA) en la transformación del ámbito legal, destacando que su adopción es crucial para automatizar procesos y liberar tiempo para que los abogados se concentren en aspectos estratégicos y de mayor valor añadido. Ha destacado, igualmente, que ENATIC, a través de su renovada Junta Directiva, se compromete a fortalecer la figura de los abogados especializados en derecho tecnológico, fomentando su capacitación y la colaboración en la transformación digital; y ha enfatizado que, en esta nueva etapa, la asociación buscará aumentar su influencia en los procesos de digitalización en España, abordando cuestiones clave como la ciberseguridad, la protección de datos y el impacto de la esta nueva tecnología.

Arribas ha enfatizado igualmente la necesidad de que los juristas se especialicen en IA, dada la creciente importancia de este campo y su impacto en otras disciplinas jurídicas. Ha recordado que ENATIC es consciente de los riesgos regulatorios y reputacionales que se derivan del uso de esta tecnología, por lo que se enfocará en ofrecer formación y recursos para que los profesionales del Derecho estén preparados para enfrentar estos desafíos. La asociación abogará, según sus palabras, por una gobernanza colegiada en la implementación del Reglamento de Inteligencia Artificial, involucrando a tecnólogos y especialistas en ética y derechos fundamentales, pues es consciente de la importancia de un enfoque multidisciplinar en la supervisión de estas tecnologías emergentes.

Lee la entrevista completa.

Entrevista a Belén Arribas, vicepresidenta de Enatic

Belén Arribas, vicepresidenta de ENATIC, ha concedido una entrevista a Derecho Práctico con motivo de la celebración del X Congreso ENATIC el próximo 24 de noviembre en el Auditorio de la Secretaría de Estado de Digitalización e Inteligencia Artificial, con la participación destacada de Carme Artigas, quien clausurará el evento. El congreso abordará temas cruciales como la ética digital, la propiedad intelectual, el metaverso, la ciberseguridad y la inteligencia artificial, entre otros. Arribas moderará una mesa sobre legaltech, diseñada para representar la diversidad del sector, que contará con la participación de expertos como Jordi Estalella, Ferrán Sala y Beatriz Vila.

El Congreso será también la primera colaboración tangible entre ENATIC y el Global Legaltech Hub, una alianza que busca organizar actividades conjuntas y ampliar la influencia española en el ámbito del derecho tecnológico. Arribas destaca la importancia de no separar el derecho digital de la tecnología legal, pues ambos campos se interrelacionan y fortalecen mutuamente. También ha aprovechado para recordar el compromiso de ENATIC con la internacionalización y el desarrollo del derecho digital, en línea con sus alianzas con entidades como FIADI e IFCLA.

Lee la entrevista completa.

A vueltas con las transferencias internacionales de datos a y desde Estados Unidos

Tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, los EE.UU. “contraatacan” con un proyecto de ley denominado Protegiendo los datos de los estadounidenses de la vigilancia extranjera, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional. 

Como es sabido, tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, el CEPD adoptó recomendaciones sobre medidas suplementarias para realizar transferencias internacionales de datos a países fuera de la UE / EEE, los llamados terceros países.

La recomendación adoptada contiene un sistema de varios pasos que deben llevarse a cabo para garantizar un nivel de protección “esencialmente equivalente” al que ofrece el RGPD cuando los datos se transfieren a un tercer país. El responsable del tratamiento debe evaluar si existe algún aspecto en la legislación o práctica del tercer país que impida que el encargado del tratamiento cumpla con sus obligaciones derivadas del RGPD y el mecanismo de transferencia elegido. Si el responsable del tratamiento llega a la conclusión de que la legislación o la práctica del tercer país implica que el encargado del tratamiento no puede cumplir con sus obligaciones y, por tanto, no puede garantizar una protección “esencialmente equivalente”, deben adoptarse medidas suplementarias.

A pesar de las recomendaciones citadas, subsiste una gran inseguridad jurídica en cuanto a lo que se entiende por un “nivel de protección esencialmente equivalente” y cómo conseguirlo y, más importante aún, poder acreditarlo, en la práctica.  Es de la máxima relevancia que los responsables del tratamiento y sus asesores conozcan qué entienden las autoridades de control por el término “nivel de protección esencialmente equivalente”.

Aunque las recomendaciones del CEPD hacen referencia a todo tercer estado, el TJUE ya se ha pronunciado en relación a la legislación estadounidense sobre protección de datos, a pesar de lo cual lo previsto en las recomendaciones sigue siendo de obligado cumplimiento en ese contexto.

Así las cosas, desde el Departamento de Comercio norteamericano se insiste en que el Privacy Shield y los flujos de datos transatlánticos son una prioridad para la Administración Biden. El 25 de marzo de 2021, la Secretaria de Comercio de EE.UU., Gina Raimondo, y el Comisario europeo de Justicia, Didier Reynders, emitieron una declaración conjunta en la que señalaron que “el gobierno de EE.UU. y la Comisión Europea han decidido intensificar las negociaciones en relación a obtener un mejorado marco Privacy Shield UE-EE.UU. para dar cumplimiento a la sentencia de 16 de julio de 2020 del TJUE en el caso Schrems II. Estas negociaciones subrayan nuestro compromiso compartido con la privacidad, la protección de datos y el estado de derecho y nuestro reconocimiento mutuo de la importancia de los flujos de datos transatlánticos para nuestros respectivos ciudadanos, economías y sociedades “.

El Departamento de Comercio informa, en su web, además, de que el Departamento continúa administrando el programa Privacy Shield – en el que siguen autocertificadas cientos de empresas- mientras continúan esas negociaciones.

Por su parte, los EE.UU. publican un proyecto de ley titulado “Protegiendo los datos de los estadounidenses de la vigilancia extranjera”, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional.  Por consiguiente, se pretenden requerir controles de exportación con respecto a ciertos datos personales de ciudadanos estadounidenses.

El proyecto de ley requiere, entre otros aspectos, formar una lista de categorías de información personal que pueden ser explotadas por gobiernos extranjeros; elaborar una lista de países a los que la exportación de datos personales iría en detrimento de la seguridad nacional y establecer un umbral cuantitativo para las transferencias anuales que, si se excediera, dañarían la seguridad nacional de los EE.UU.

Se prevé la imposición de controles impositivos a la exportación, reexportación o transferencia en el país de datos personales que superen los umbrales establecidos. Dichos controles  podrían incluir la necesidad de obtener una licencia o autorización.

 A la espera de saber si el proyecto de ley progresará y será aprobado y, en ese caso, conocer cuáles serán las definiciones finales de conceptos como exportación, cuáles serán los criterios de evaluación para considerar que una transferencia de datos daña o no la seguridad nacional de los EE.UU., las excepciones a los requisitos de autorización y licencia y, no menos importante, el régimen sancionador que resulte aprobado, la controversia está servida.

Belén Arribas Sánchez
Vicepresidenta de ENATIC

Directrices 07/2020 del EDPB sobre los conceptos de responsable y encargado del tratamiento en el RGPD

El CEPD (EDPB, en inglés) ha publicado recientemente las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, versión 1.0, adoptada el 2 de septiembre de 2020. El texto completo se puede encontrar aquí.

Estas Directrices estuvieron abiertas a consulta pública de septiembre a octubre de 2020 y el CEPD recibió más de un centenar de documentos con comentarios. Los mismos están disponibles en línea en la web del CEPD. Es probable que se publique una nueva versión a corto plazo pero, mientras tanto, los profesionales de la privacidad a menudo recurrimos a estas relevantes Directrices en busca de orientación para resolver asuntos complejos de nuestros clientes relacionados, entre otras cosas, con las relaciones entre grupos de empresas.

Las Directrices son extraordinariamente largas y detalladas (48 páginas).  Ofrecemos aquí nuestra selección de las pautas que ofrecen información relevante para entornos de grupos de empresas:

  • (…) Los conceptos de responsable del tratamiento, corresponsables y encargado del tratamiento son conceptos funcionales en el sentido de que tienen como objetivo asignar responsabilidades de acuerdo con los roles reales de las partes y son conceptos autónomos en el sentido de que deben interpretarse principalmente de acuerdo con la normativa europea de protección de datos.
  • En principio, no existe limitación en cuanto al tipo de entidad que puede asumir el rol de responsable, pero en la práctica suele ser la organización como tal, y no un individuo dentro de la organización (como el CEO, un empleado o un administrador), que actúa como responsable. Un responsable del tratamiento es un organismo que decide determinados elementos clave del tratamiento.
  • La condición de responsable puede estar definida por ley o puede provenir de un análisis de los elementos fácticos o circunstancias del caso. Ciertas actividades de tratamiento pueden verse naturalmente vinculadas al rol de una entidad (un empresario para los empleados, un editor para los suscriptores o una asociación para sus miembros). En muchos casos, los términos de un contrato pueden ayudar a identificar al responsable del tratamiento, aunque no son decisivos en todas las circunstancias.
  • Un responsable determina los fines y los medios del tratamiento, es decir, el por qué y el cómo del tratamiento. El responsable del tratamiento debe decidir sobre estos aspectos. Sin embargo, algunos aspectos más prácticos de la implementación (“medios no esenciales”) pueden dejarse al encargado. No es necesario que el responsable del tratamiento tenga realmente acceso a los datos que se están procesando para ser calificado como responsable del tratamiento.
  • Puede haber situaciones en las que varios actores traten sucesivamente los mismos datos personales en una cadena de operaciones, teniendo cada uno de estos actores un propósito independiente y medios independientes en su parte de la cadena. En ausencia de una participación conjunta en la determinación de los fines y medios de la misma operación de tratamiento o conjunto de operaciones, debe excluirse la corresponsabilidad y los diversos actores deben considerarse como responsables independientes sucesivos.
  • El tratamiento de datos personales puede implicar a múltiples encargados. Por ejemplo, un responsable puede optar por involucrar directamente a múltiples encargados o involucrar a diferentes encargados en etapas separadas del tratamiento (múltiples encargados). Un responsable también puede decidir contratar a un encargado, quien a su vez, con la autorización del responsable, contrata a uno o más encargados (“subencargados”). La actividad de tratamiento confiada al encargado puede estar limitada a una tarea o contexto muy específico o puede ser más general y extensa.
  • Una entidad separada significa que el responsable decide delegar todas o parte de las actividades de tratamiento a una organización externa. Dentro de un grupo de empresas, una empresa puede ser un encargado de otra empresa que actúa como responsable, ya que ambas empresas son entidades independientes.
  • Si el responsable del tratamiento decide tratar los datos por sí mismo, utilizando sus propios recursos dentro de su organización, por ejemplo, a través de su propio personal, ésta no es una situación del encargado.
  • El tratamiento de datos personales en nombre del responsable requiere, en primer lugar, que la entidad tercera trate los datos personales en beneficio del responsable. En el artículo 4 (2), el tratamiento se define como un concepto que incluye una amplia gama de operaciones que van desde la recopilación, el almacenamiento y la consulta hasta el uso, la difusión o la puesta a disposición y la destrucción. En la práctica, esto significa que todo tratamiento imaginable de datos personales constituye un tratamiento.
  • El tratamiento debe realizarse en nombre de un responsable, pero de otra manera que bajo su autoridad o control directo. Actuar “en nombre de” significa servir a los intereses de otra persona y recuerda el concepto legal de “delegación”. En el caso de la legislación de protección de datos, un encargado está llamado a implementar las instrucciones dadas por el responsable al menos con respecto al fin del tratamiento y los elementos esenciales de los medios.
  • La licitud del tratamiento de acuerdo con el Artículo 6 y, en su caso, el Artículo 9 del Reglamento, se derivará de la actividad del responsable y el encargado no debe tratar los datos de otra manera que de acuerdo con las instrucciones del responsable. Aun así, como se describió anteriormente, las instrucciones del responsable aún pueden dejar cierto grado de discreción sobre cómo servir mejor a los intereses del responsable, permitiendo que el encargado elija los medios técnicos y organizativos más adecuados.

Por último, resulta muy útil la consulta del diagrama de flujo en el Anexo I (Diagrama de flujo para aplicar los conceptos de responsable, encargado y corresponsables en la práctica) pues puede ayudar a analizar un escenario complejo, por ejemplo, el caso de un grupo de empresas de estructura  sofisticada y sus operaciones de tratamiento y flujos de datos.

Belén Arribas Sánchez
Vicepresidenta de ENATIC