07 mayo 2018
José Luis Piñar, DPO de la Abogacía: “La Abogacía Española, referente nacional e internacional en protección de datos”
José Luis Piñar, abogado y doctor en Derecho, ha sido nombrado por la Comisión Permanente del Consejo General de la Abogacía Española como nuevo delegado de protección de datos de la Abogacía, figura requerida por el nuevo Reglamento Europeo de Protección de Datos y aplicable para corporaciones de derecho público, entre otras entidades y organismos, a partir del 25 de mayo de 2018
Es vocal permanente y presidente de la Sección de Derecho Público de la Comisión General de Codificación y vicepresidente de la Sección de Derecho y Tecnologías de la Información y la Comunicación de la Real Academia de Jurisprudencia y Legislación. Como titular de la Cátedra Google sobre Privacidad, Sociedad e Innovación y Director del Master en Protección de Datos, Transparencia y Acceso a la Información de la Universidad CEU-San Pablo es uno de los más destacados expertos internacionales en protección de datos y derecho de la innovación tecnológica.
Debido al interés de la temática y a las cualidades profesionales del entrevistado, se han realizado once preguntas a José Luis Piñar.
- ¿Cuáles son las labores adecuadas que va a poner en marcha para adaptar el Consejo General de la Abogacía a la nueva normativa que entra en vigor el 25 de mayo?
En efecto el próximo día 25 de mayo será plenamente aplicable el Reglamento Europeo de Protección de Datos, que fue publicado ya en 2016. Reglamento que establece un nuevo modelo de protección de datos basado en la evaluación del riesgo que para los interesados puede suponer el tratamiento de sus datos y en la aplicación del principio de responsabilidad activa tal como está definido en el artículo 24 del Reglamento, que obliga a adoptar las medidas técnicas, organizativas y de seguridad que sean necesarias para garantizar y poder demostrar que quienes tratan datos personales lo hacen con pleno respeto al nuevo marco normativo. En este nuevo marco la figura del delegado de protección de datos ocupa un lugar de gran importancia, al objeto de facilitar el cumplimiento de la normativa, tanto del Reglamento europeo como, en el futuro, de la nueva Ley Orgánica de Protección de Datos que en estos momentos está debatiéndose en el Parlamento.
En estos momentos, y como delegado de protección de datos, estoy impulsando todas las iniciativas necesarias para adaptar el Consejo a la nueva normativa. Con el apoyo de un cualificado equipo de letrados y técnicos del propio Consejo, incluida la Delegación de Bruselas, estamos identificando los tratamientos de datos que lleva a cabo el Consejo y analizando si es necesario adoptar alguna medida para adaptarlos al Reglamento; hemos de elaborar el nuevo registro de actividades de tratamiento; estamos identificando los títulos habilitantes de los tratamientos, teniendo en cuenta que a partir del 25 de mayo no será posible el consentimiento tácito y que los tratamientos que estuviesen basados en tal consentimiento con anterioridad a dicha fecha tendrán que ser revisados para determinar si es posible seguir llevándolos a cabo o si por el contrario han de basarse en otros títulos, como el interés legítimo del Consejo en los casos en que no ejerza potestades públicas; estamos revisando las medidas de seguridad implantadas para adaptarlas en su caso al nuevo modelo; hemos de revisar todas las cláusulas informativas dado que el Reglamento incrementa notablemente las obligaciones de los responsables en lo que se refiere a la obligación de informar a los interesados; también debemos revisar los numerosos contratos de encargado de tratamiento que tiene suscritos el Consejo pues el Reglamento exige tener en cuenta nuevas obligaciones que han de requerirse a los encargados; también debemos valorar si en algún caso es necesario llevar a cabo evaluaciones de impacto a la protección de datos y hemos de revisar las transferencias internacionales que en su caso lleve a cabo el Consejo. Y junto a todas estas actuaciones queremos generar una nueva cultura de la protección de datos en el Consejo y en la medida en que sea posible en la abogacía en su conjunto. Soy consciente de que el Consejo ha de ser, y está llamado a serlo, un referente nacional e internacional en materia de protección de datos, que no lo olvidemos, es un derecho fundamental esencial en las modernas democracias y más aún en la sociedad digital. Para ello no sólo hemos diseñado un documento con las once cuestiones básicas que en todo caso han de tenerse en cuenta para un pleno respeto a la protección de datos, sino que se han previsto diversas iniciativas de formación en materia de privacidad dirigidas a todo el personal del Consejo.
Pero nuestra intención es ir más allá, y para ello queremos potenciar la presencia del Consejo en los principales foros nacionales e internacionales sobre protección de datos, no sólo en Europa, sino en regiones como Iberoamérica. Para ello ya hemos puesto en marcha líneas de contacto y colaboración con entidades Europeas como CCBE, la Comisión Europea o el Supervisor Europeo de Protección de Datos, o con la UIBA. En definitiva, pues, se está poniendo en marcha, en un tiempo necesariamente breve, un abanico de medidas que permitan al Consejo cumplir con el Reglamento europeo dentro del plazo requerido para ello. Y que permitan hacer del Consejo una institución de referencia nacional e internacional en materia de protección de datos.
- Desde su papel como supervisor del cumplimiento normativo ¿Cómo valora la observancia actual de la Abogacía y de los Colegios de Abogados de la normativa sobre protección de datos?
Debo decir que el grado de cumplimiento del Consejo en materia de protección de datos es más que satisfactorio. Es muy elevado. No sólo en cuanto al cumplimiento de las obligaciones formales que requiere la normativa vigente (sobre todo la Ley Orgánica de Protección de Datos de 1999, LOPD), tales como la inscripción de ficheros, sino en lo que se refiere a la implantación de las medidas técnicas y de seguridad exigidas. En este sentido es de rigor recordar que el Consejo ha merecido las certificaciones ISO 20000-1, ISO 270001 y, sobre todo, el primer certificado del Esquema Nacional de Seguridad que fue emitido en España por AENOR. Lo que sin embargo debo decir es que en mi opinión es necesario incrementar la cultura de protección de datos en el Consejo. Creo que debe mejorarse la conciencia de la importancia de tener en cuenta en todo momento la protección de datos en el tratamiento cotidiano de la información personal.
En cuanto a los Colegios la verdad es que no dispongo en estos momentos de referencias contrastadas sobre el grado de cumplimiento real. Lo que sí quiero destacar es que el Consejo y en particular el Delegado de protección de datos estamos a su entera disposición para impulsar el cumplimiento y aplicación del Reglamento Europeo. De hecho ya se han organizado varias sesiones informativas en diversos Colegios y tenemos previsto llevar acabo más en los próximos meses.
- ¿Cuáles son los principales cambios exigidos por la nueva normativa que afectan a los Consejos y Colegios de Abogados?
Ya las he señalado en gran medida al responder a su primera pregunta, al menos en lo que al Consejo se refiere. En mi opinión la novedad más importante deriva del cambio de modelo que el Reglamento trae consigo. De un modelo basado en el cumplimiento concreto de la normativa se pasa a otro fundamentado en la responsabilidad activa de los responsables y encargados, de modo que como antes comentaba les corresponde analizar, valorar y decidir las medidas técnicas, organizativas y de seguridad que habrán de tomar e implantar para garantizar el cumplimiento de la normativa y demostrarlo ante las autoridades de protección de datos. Este cambio radical de modelo va acompañado por supuesto de múltiples novedades que van desde la no necesidad de inscribir los ficheros pero si de llevar un registro de actividades de tratamiento, a la implantación de nuevas obligaciones de información a los interesados, pasando por la necesidad de revisar los contratos de encargado o los protocolos para atender el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, a los que se añaden otros nuevos, como el derecho a la portabilidad. Y otro cambio de primer orden: la necesidad de nombrar un delegado de protección de datos, que el Reglamento impone a todas las autoridades y organismos públicos, entre los que se encuentran los Consejos y Colegios, como por lo demás confirma el proyecto de nueva Ley Orgánica de Protección de Datos. Y todas estas obligaciones han de estar plenamente operativas el próximo día 25 de mayo.
- ¿Y las nuevas obligaciones sobre protección de datos que afectan a los despachos de abogados?
Los despachos como responsables o encargados, es decir como aplicadores de la norma o “sujetos pasivos” del Reglamento, han de adaptarse al Reglamento, desde esa nueva perspectiva de la responsabilidad activa. En este sentido gran parte de las obligaciones que acabo de señalar corresponden también a los despachos de abogados.
- ¿Cuáles son los requisitos que destacaría más importantes para desempeñar la figura de delegado de protección de datos o DPO, en inglés?
Están fijados en el Reglamento Europeo. El artículo 37 dispone que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales, en particular a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, y a su capacidad para desempeñar sus funciones. Debo decir que ni el Reglamento ni el Proyecto de Ley Orgánica de Protección de Datos exigen una titulación específica para actuar como delegado, pero es evidente que los licenciados o graduados en Derecho están en una especial situación para ello. No en vano el Reglamento hace referencia expresa a los conocimientos jurídicos del delegado. Por su parte el llamado Grupo de Trabajo del Artículo 29, integrado por todas las Autoridades de Protección de Datos de los estados miembros de la UE, ha elaborado un interesante documento sobre el delegado de protección de datos en el que señala que en el caso de una autoridad u organismo público, el Delegado debe también poseer un conocimiento sólido de las normas y procedimientos administrativos de la organización. Además no debemos olvidar que el delegado está llamado a ocupar un lugar muy importante en la garantía de un derecho fundamental cual es el derecho a la protección de datos, y en este sentido no ya los juristas, sino los abogados cuentan con una muy especial cualificación para ello. En consecuencia, creo que sin duda los juristas en general y los abogados en particular cuentan con un perfil especialmente adecuado para ejercer como delegados de protección de datos, siempre que cuenten además, como es lógico, con experiencia práctica en la materia.
- ¿Significa la nueva normativa sobre protección de datos una mayor garantía para los ciudadanos y usuarios?
Sin duda. No sólo porque incrementa sus derechos y garantías, sino porque se imponen nuevas obligaciones a los responsables y encargados que se traducen en mayores garantías para los interesados. No olvidemos que la perspectiva del posible riesgo que el tratamiento de datos tiene para los interesados pasa a ser una de las claves del Reglamento. Además, se modifica el régimen del consentimiento de los interesados, de modo que ya no será válido el consentimiento tácito, se reconocen nuevos derechos como el derecho a la portabilidad de los datos o la nueva regulación del derecho de supresión en su vertiente de derecho al olvido, se resalta el derecho a recibir una indemnización por los daños que un tratamiento ilícito de datos pueda ocasionar, se incrementan las obligaciones de transparencia e información que cabe exigir a quienes tratan datos personales, se aumentan los supuestos de datos especialmente protegidos o se regula con mayor detalle el tratamiento de datos de menores. Además, en un escenario en el que las fronteras físicas cada vez tienen menos relevancia en lo que se refiere al tratamiento de datos, el Reglamento pretende diseñar un modelo global para toda la UE, lo que debe traducirse en una mayor seguridad jurídica para los interesados en toda la Unión.
- ¿Son los abogados conscientes del nivel de riesgo por gestionar datos confidenciales? ¿Considera que el nuevo modelo de privacidad es una carga para los abogados o más bien una forma de ganar reputación y competitividad?
No me aventuraría a afirmar, sin datos fehacientes, si los abogados son conscientes de ese riesgo. Sí creo que es constatable el hecho de que queda no poco por hacer. Personalmente he tenido ocasión de participar en varias sesiones sobre protección de datos organizadas por diversos Colegios de Abogados y he podido apreciar cierta falta de información en los abogados, pero al mismo tiempo un enorme interés por cumplir plenamente con el nuevo Reglamento. Lo que sin duda genera nuevas obligaciones y cargas para todos nosotros en cuanto abogados, pero al mismo tiempo supone una magnífica oportunidad para ganar reputación y competitividad, pues no cabe duda de que cumplir con la legislación de protección de datos permite ordenar el desarrollo de las funciones de los abogados.
- Considera que con la entrada en vigor del Reglamento Europeo de Protección de Datos ¿se puede hablar de un nuevo modelo de privacidad aportando derechos como el olvido y la portabilidad de datos?
Es algo que he resaltado en numerosas ocasiones. El Reglamento trae consigo un nuevo modelo de protección de datos. Pero no sólo ni quizá principalmente por reconocer y regular esos nuevos derechos –aunque el derecho al olvido no lo es tanto-, sino por imponer el principio de seguridad activa, la llamada accountability, como eje del nuevo modelo. Ya antes me he referido a ello y ahora lo reitero.
- ¿Es posible que los Colegios de Abogados puedan compartir la figura del delegado de protección de datos? ¿Esto obligará a que el DPO tenga un perfil más flexible y dinámico para gestionar la privacidad?
Sí es posible. El Reglamento así lo establece en el ámbito de las autoridades y organismo públicos. El artículo 37.3 afirma expresamente que cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño. Es decir, podría darse el caso de que un mismo delegado lo fuese para varios Colegios. Quizá esto obligue a que el DPO tenga un perfil más flexible, pero lo realmente importante es que de este modo se podría conseguir una mayor uniformidad en la definición y aplicación de la protección de datos por los diferentes Colegios. En este sentido, el Consejo General y los Consejo Autonómicos estarían llamados a tener un especial protagonismo, pudiendo incluso ofrecer ese servicio de delegado a diversos Colegios. La propia Agencia Española de Protección de Datos ha resaltado que de este modo se conseguiría una muy deseable homogenización en la aplicación de la normativa, lo que sin duda redundaría en muy notables beneficios para los propios Colegios y para los interesados.
- ¿Cree que habrá algún conflicto entre este Reglamento de Protección de Datos y el que próximamente vendrá de Europa sobre e-privacy o protección de los datos personales en el sector de las comunicaciones electrónicas?
No debería haberlos. En cualquier caso el nuevo reglamento sobre e-privacy está planteando dudas en relación con algunos temas de cierta relevancia, como el relativo al tratamiento de los llamados metadatos. Que existen dificultades queda demostrado porque la propuesta de reglamento sobre e-privacy no va a poder entrar en vigor y ser plenamente aplicable el 25 de mayo del presente año 2018, como se pretende. Ello se debe a las dudas que plantea la regulación que se propone y que podría no coincidir plenamente con el Reglamento General. En mi opinión debería fortalecerse el derecho a la confidencialidad de los contenidos de las comunicaciones electrónicas, que ha de quedar amparado por el secreto de las comunicaciones, pero debería reconsiderarse, como he señalado, el régimen del tratamiento de los metadatos. Creo por tanto que todavía hay margen para continuar con la reflexión de la necesidad de considerar el Reglamento como marco general de regulación de la protección de datos en la UE y la necesidad de regular en lo estrictamente necesario las especialidades que en su caso puedan caracterizar a determinados ámbitos o sectores, como el de las comunicaciones electrónicas.
10+1.- ¿Cree que Internet puede llegar a confundir entre la realidad física y la realidad virtual? ¿Qué puede hacer el derecho y los organismos reguladores para evitarlo?
Es una posibilidad que no debemos descartar. Los avances tecnológicos son tan incuestionables como impredecibles. La realidad aumentada, la inteligencia artificial, la Internet de las cosas o incluso de los cuerpos, la robótica, y tantas otras tecnologías disruptivas plantean al jurista y al derecho retos que no siempre son fáciles de afrontar. En cualquier caso no es la primera vez que el derecho se enfrenta a situaciones disruptivas. Y lo cierto es que ha sabido y podido enfrentarse a ello. Para lo que es imprescindible volver a los principios generales y esenciales del derecho. Pues sólo un esquema sólido de principios será capaz de dar respuesta a los problemas puntuales que la innovación genere. Es necesario además diseñar un esquema de relaciones entre la regulación y la autorregulación al objeto de poder adaptar las normas a las necesidades y peculiaridades de determinados sectores. Los reguladores por su parte han de asumir un papel proactivo, de impulso y concienciación en relación con un derecho, la protección de datos, esencial en la sociedad contemporánea.