Protección de datos
M. Àngels Barbarà: "La gente tiene que saber por qué está cediendo sus datos"
La directora de la Autoridad Catalana de Protección de Datos celebra que el nuevo reglamento europeo incida en la evaluación previa del impacto sobre la privacitat
"Cuando vimos que se aprobaría un nuevo reglamento en esta dirección convocamos el primer Premio de Privacitat en el Diseño". M. Àngels Barbarà, directora de la Autoridad Catalana de Protección de Datos (APDCAT), ha entregado este lunes a la University College London la 5a edición de un galardón donde "cada año se presenta más gente, se ha internacionalizado". La idea de los Premios va en la línea de la nueva normativa europea sobre protección de datos, que finalmente entrará en vigor el próximo mes de mayo. El Reglamento se pone al día tecnológicamente para proteger especialmente los datos de alto riesgo: las que se refieren a la salud, la orientación sexual, la raza o la religión.
El próximo mes de mayo entra en vigor el nuevo reglamento europeo de protección de datos, con un importante cambio de mentalidad. Con la digitalización nuestros datos corren más peligro que antes?
Esto es una realidad. La protección de datos es un derecho fundamental pero no está recogido como tal a la Constitución. Ha sido posteriormente cuando el Tribunal Constitucional lo reconoció así creando jurisprudencia, no se esperaba que pudiera haber este tipo de agresión. El origen de todo esto se plantea en Alemania después de la 2a Guerra Mundial cuando ven que era posible tener una recolección de información con finalidades racistas. Por eso hay determinadas datos como la raza o la religión que son especialmente sensibles y se tienen que tratar con mucha cura.
Ahora vamos repartiendo datos por todas partes...
Sí, tenemos incluso televisiones inteligentes que te pueden escuchar para después decidir. Si alguien lo quiere hacer, magnífico; pero a mí que la tele me escuche o me grabe cuando estoy en casa no me hace ninguna ilusión. Cada cual que haga el que quiera, pero que sea consciente.
De todos modos, una cosa es el que haces con tus datos y la otra tratar las de terceras personas...
Es un tema muy importante y el nuevo reglamento cambia el apartado del consentimiento, que hasta ahora era tácito. Pero la nueva normativa obliga que sea explícito, te lo tienen que pedir y lo tienes que aceptar. Además, la información tiene que ser muy clara. La gente tiene que saber por qué está cediendo sus datos, por qué se utilizarán. Y si un golpe recogidas se piensa que se pueden utilizar por otras cosas que no son la finalidad por la cual se han cedido, se tiene que comunicar y la persona se puede oponer. Ahora resulta que tenemos tanta información que te perfilan de una determinada manera con un algoritmo y puede acabar decidiendo si te dan o no un trabajo, si te dan o no un crédito...
Precisamente la tarea de analista e intérprete de datos es un perfil a la alza...
Más allá que en cualquier negocio tienes que tener los datos adecuados para poder expandirte; este tema hoy ya es tan importante que supera el propio análisis de datos. Nosotros ya estamos enfocándonos hacia temas de consumo y competencia. Comprar o vender una empresa ya no se hace sólo con un análisis económico. Si vendes una empresa con determinada cantidad de datos incluida, puede afectar el mercado de la competencia. Estamos jugando con otras normas. Además, el análisis de datos puede afectar los derechos y las libertades de las personas. Para no hablar de datos genéticos. Ahora te piden el ADN para hacer un tratamiento de piel para decirte qué crema te irá mejor. Con esto estás dando un ADN que te afecta a tú, a tu familia y a tus sucesores. Con este perfil que te pueden hacer con tus datos te adecúan en un contexto. Te dicen que te hacen la vida más fácil segmentando las ofertas que te interesarán. Pero te harán unas ofertas determinadas, pierdes la capacidad de escoger. A quien le vaya bien, que dé todos los datos; pero muchas personas quieren decidir por ellas mismas.
Qué cambiará con el nuevo reglamento de protección de datos?
Una de las nuevas herramientas del reglamento es la privacitat en el diseño. La normativa anterior es estandarizada, te dice todo el que tienes que hacer, que el nivel de seguridad depende del tipo de datos, etc. En cambio, la nueva normativa hace un cambio radical. Los principios básicos son los mismos, pero se establece un nuevo planteamiento: el principio del accountability. Tenemos la obligación de evaluar los riesgos que afectan los derechos y las libertades de las personas. Y tomar las decisiones oportunas para hacerlo bien y estar en disposición de demostrarlo. Para hacer esto el reglamento te da unas herramientas porque todas las decisiones que tengas que tomar dependen de tú.
"Ahora el reglamento es de obligado cumplimiento en todos los países de la UE"
Cuáles son estas herramientas?
La primera es la privacitat en el diseño. Desde el principio de cualquier proyecto, cuando diseñas una app o un servicio, hace falta que pienses en la privacitat.
A la hora de crear cualquier proyecto, hay conciencia de esta necesidad de prestar atención a la protección de datos?
A escala de autoridades y gente conocedora son conscientes. Ahora falta hacer esta difusión porque sea consciente toda la gente que lo tiene que aplicar. Desde una pequeña empresa hasta una gran compañía, los responsables de los datos serán también los responsables que todo esto se haga bien. Hasta ahora cada país tenía una ley, pero ahora el reglamento es de obligado cumplimiento en todos los países de la UE. Esto da unas garantías a los ciudadanos.
Como por ejemplo?
Hasta ahora las grandes empresas que no tienen su sede principal en Europa, como Google o Amazon, podían discutir la normativa. Ahora siempre que presten servicios en Europa tendrán que cumplir este reglamento y esto ya queda fuera de cualquier duda. Otra ventaja que aporta es la relación con las autoridades. Si tienes que hacer una reclamación la resolución la hace el país del ciudadano, el que te garantiza que puedes recorrer en tus tribunales. Si tenías que ir a los tribunales de otro país siempre es más complicado. Es un reglamento pensado con la evolución que ha hecho el mundo en estos años; la situación es muy diferente a cuando se hizo la directiva el 1995 o la LOPD. El mundo va mucho prisa y las tecnologías avanzan exponencialmente. Aporta grandes ventajas pero también puede afectar muy directamente los derechos y libertades de las personas.
Desde el APDCAT también habéis presentado una Guía para la evaluación de impacto relativa a la protección de datos. Por qué es necesaria?
Porque cambia la manera de hacer y el tratamiento de los datos es un proceso integral que tenemos que conocer y controlar. En cada momento tenemos que valorar los riesgos que tenemos y tomar las medidas adecuadas porque no afecten los derechos y libertades de las personas. Esto en España no se ha hecho nunca. Por ejemplo, vigilar que el diseño de un algoritmo no produzca un efecto discriminatorio. La primera valoración de los riesgos es la evaluación de impacto sobre la protección de datos de alto riesgo. Tienes que analizar las maneras de eliminar y minimizar este impacto. Un grupo de expertos han dado una orientación de cómo hacerlo y lo hemos incorporado en esta guía. Es una buena orientación porque la gente sepa por donde ir ante este gran cambio.
A quién va dirigida?
Nosotros lo dirigimos más hacia las administraciones públicas porque son nuestro público mayoritario; pero todas las empresas tendrán que hacerlo. Cualquier persona que tenga que tratar datos tendrá que contar.
"Si vendes una empresa con determinada cantidad de datos incluida, puede afectar el mercado de la competencia"
La nueva normativa también crea la figura del Delegado de Protección de Datos (DPO). Qué características tiene que tener?
Soy partidaria que el mercado sea libre y se autogestione. Las características que tiene que tener esta persona dependerán del tipo de empresa. Pero básicamente tiene que ser un conocedor del tema de protección de datos. Evidentemente, no será el mismo hacer este trabajo en una pequeña empresa que en un gran hospital o en un banco. Quizás tendrán que tener unos conocimientos diferentes, pero suficientes para controlar la aplicación del reglamento y para asumir la responsabilidad que se haga bien en su empresa. Tiene que ser alguien vinculado a la cúpula de la compañía porque tiene que controlar quién hace las tareas. Que traslade la aplicación del reglamento como una responsabilidad corporativa. Un abogado? Un informático? Es igual, tiene que ser alguien con conocimientos. Hay mucha gente que ya hace años que hace esta tarea sin una titulación concreta.
Es un trabajo a jornada completa?
Depende de la organización. Puede ser una persona física o puede ser una empresa a quien se externalice. Una persona que haga un curso de 10 o 30 horas no tendrá capacidad para hacerlo. Hacen falta unos conocimientos sustanciales.