Entrevista Carlos Diaz Alsina, experto en protección de datos
“Compliance y DPO somos compatibles: podemos desempeñar ambas figuras pero no de forma ilimitada”
Un experto del prestigio de Carlos Díaz Alsina, Delegado de Protección de Datos (DPO) de Triodos Bank se encargó hace unos días en el webinar de IECOM de analizar la figura de la Evaluación de Impacto en Protección de Datos, conocida a nivel anglosajón como Privacy Inmpact Assesment (PIA)
Con la llegada del Reglamento Europeo de Protección de Datos (RGPD), hace ahora tres años y la nueva Ley Orgánica de Protección de Datos española (LOPDGDD), es fundamental conocer bien esta práctica que ayuda a proteger los datos personales de tercero en el caso que una entidad vaya hacer un tratamiento de datos complejo.
Este experto en privacidad analizó un caso concreto de tratamiento de datos personales que requería dicha Evaluación de Impacto (EIPD), así como entró en detalle de su realización y las dificultades con las que los DPO y responsables de tratamiento pueden encontrarse cuando lo realicen, con documento final incluido
Desde su punto de vista “Tanto si actuamos como Compliance como DPD, debemos asegurarnos de que la Evaluación de Impacto (EIPD) incluye los nuevos tratamientos y que eso se registra adecuadamente en el Registro de Actividades de Tratamiento (RAT).”
¿Podría explicarnos en primer lugar como han encajado las empresas el cambio de normativa de privacidad con el nuevo RGPD y la nueva LOPDGDD que cambia el concepto de privacidad de forma notable?
En el caso de la Entidad a la que yo represento como Delegado de Protección de Datos, Triodos Bank, se ha encajado bien, ha sido un gran cambio, cierto, pero el nivel de madurez en la gestión del riesgo era muy elevado ya.
Como Banco, ya teníamos en nuestro día a día muy instaurado el contacto con los reguladores y la costumbre de adaptarnos a continuos cambios legislativos.
La protección de la privacidad de nuestros clientes siempre ha sido una máxima en Triodos Bank, por lo que conceptos nuevos como la privacidad desde el diseño o por defecto ya formaban parte de nuestra forma de trabajar.
En este escenario, parece necesario que las empresas realicen una evaluación de impacto cuando su desarrollo afecta a derechos fundamentales ¿qué pautas hay que seguir para que la evaluación sea correcta?
¿Alguna vez habéis oído que los seres vivos nacen, crecen, se reproducen y mueren? El tratamiento de datos tiene el mismo ciclo de vida. Ante todo, es fundamental seguir cómo evoluciona en todas sus fases: captura, almacenamiento, uso, cesión y destrucción.
En cada fase, hay que seguir la pista de qué datos son necesarios y quién los trata.
Por ejemplo, ahora que está tan de moda la nube, tanto para un Delegado de Protección de Datos (DPD) como para un Compliance Officer, no nos debería bastar la explicación de que el dato está “en la nube”, deberíamos saber cosas como en qué nube, durante cuánto tiempo, quién tendrá acceso a la misma e incluso dónde está esa nube.
¿Qué es lo más complicado de entender en dicho proceso de evaluación de impacto? ¿Cómo debe gestionarse el registro de actividades del tratamiento en este tipo de situaciones?
Es un ámbito del derecho donde las nuevas tecnologías son esenciales, conceptos como la propia nube, el internet de las cosas, la inteligencia artificial, el blockchain, los Smart contracts, etc. forman parte de cualquier desarrollo que requiera una evaluación de impacto. Lo fundamental en esta gestión de riesgos para mi es la seguridad de la información y la trazabilidad, en cuanto se pierde la pista del viaje del dato, se pierde su uso, su almacenamiento, su destrucción…
Tanto si actuamos como Compliance como DPD, debemos asegurarnos de que la Evaluación de Impacto (EIPD) incluye los nuevos tratamientos y que eso se registra adecuadamente en el Registro de Actividades de Tratamiento (RAT).
También cuando el resultado pudiera ser lesivo para los derechos fundamentales de terceros, hay que hacer una consulta a la AEPD ¿Cómo debe afrontarse dicha consulta?
Francamente, no se me ha dado el caso nunca. En caso de que una evaluación de impacto resultase un posible daño para los derechos y libertades de los clientes o para los terceros, creo que buscaría antes de nada cualquier aproximación alternativa que permitiese salir adelante el proyecto sin esos riesgos.
En caso de que no hubiese alternativa, la consulta debería centrarse, desde mi punto de vista, en la ponderación de los beneficios a los derechos fundamentales y libertades de los interesados frente a los riesgos resultantes. La balanza debería decantarse hacia los primeros, pero como digo, habría que verse en la situación.
¿Qué sanciones podemos exponernos si la evaluación de impacto no está bien hecha o al final ese tratamiento de datos sigue adelante pese a la vulneración de derechos que hay?
Pues en este caso podrían recibir multas administrativas de hasta 10 000 000 de euros o de una cuantía equivalente al 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
A esto hay que añadir el daño reputacional que podría sufrirse claro.
¿Es usted partidario que el compliance officer gestione los temas de privacidad o que la figura del DPO y responsable de tratamiento sean diferentes?
Compliance Officer y DPO somos figuras muy afines; en responsabilidades, en funciones, en aproximación al trato de clientes y grupos de interés, en independencia…
Yo creo que somos compatibles y podemos desempeñar ambas figuras, pero no de forma ilimitada. Al igual que pedimos a las áreas de negocio, nosotros mismos tenemos que garantizar un entorno de control efectivo y establecer barreras que impidan los posibles conflictos de interés, no podemos monitorizarnos a nosotros mismos, hay que delimitar que rol que se desempeña en cada proyecto y separar claramente las funciones con un claro perfil de cumplimiento normativo, de un perfil involucrado en el desarrollo o en el buen fin del proyecto.
¿Podemos hablar ya de un compliance en protección de datos por lo que ha crecido esta práctica, o aun es una disciplina dentro del derecho tecnológico?
Yo creo que sí, el Compliance Officer debe incorporar al universo de cumplimiento la normativa de protección de datos, incluso en los modelos de negocio más dirigidos a las empresas, porque siempre habrá detrás una persona física. Y ojo, también a la inversa, el Delegado de Protección de Datos no debería alejarse demasiado del cumplimiento normativo, son roles compatibles, que puede desempeñar una misma persona y, en caso de ejercerse por separado, que deben ir de la mano y darse soporte mutuo.
De listado de tratamientos de datos personales que maneja la AEPD hay algunos que no deben realizar esta evaluación de impacto, ¿Le parece que está actualizado dicho archivo??
El listado es de septiembre de 2019, por lo que aún se puede hablar de un listado actualizado, sí. Por supuesto habrá más tratamientos que no estén ni en el listado del sí, ni en el del no. Para estos casos, la AEPD pone a disposición una serie de guías y herramientas que resultan muy útiles, como Facilita o Gestiona, que permite hacernos una serie de preguntas a modo de check list para ver si debemos realizar esa EIPD.