'Garrigues Data Day': llegó el 25 de mayo, ¿y ahora qué?

El 25 de mayo ha llegado. Pero esto no es un final, es solo el principio. Así lo subrayó Javier Marzo, socio del departamento de Mercantil de Garrigues, que inauguró el Data Day organizado por la firma el primer día de aplicación del Reglamento General de Protección de Datos (RGPD) con el fin de subrayar las cuestiones clave de la nueva regulación europea. Javier Marzo recordó que el reglamento ha generado y sigue generando dudas en situaciones reales y es ahí donde el despacho quiere estar y acompañar a los clientes.

A continuación, Alejandro Padín, counsel del área de Privacidad y Tecnología de Garrigues, dedicó su exposición a explicar lo que hay que tener en cuenta ahora que ha llegado la fecha marcada en rojo en el calendario de las empresas. En su intervención abordó el entorno regulatorio a corto y medio plazo en España y la UE, así como el análisis de las enmiendas planteadas en el Congreso español al Proyecto de Ley de LOPD.

Alejandro Padín explicó que, con la nueva regulación, se ha logrado dar un vuelco a la información que se maneja en las organizaciones: “Ya es todo un éxito y por fin se ve la importancia de todo ello”. En cualquier caso, al igual que Javier Marzo, ha querido lanzar un mensaje claro al público presente en el Data Day de Garrigues: “El mundo no se acaba aquí, de hecho, en realidad, empieza aquí”.

Bases de datos más robustas y útiles

Una de las consecuencias para las empresas será (y está siendo ya) que las bases de datos que manejan se verán reducidas en un 50%, pero, tal y como subrayó Alejandro Padín, “eso no tiene por qué ser malo, sino que puede suponer tener bases de datos más robustas, útiles y de mayor valor”.

En cuanto a las novedades regulatorias, recordó que hace solo unos días se publicó en el BOE una corrección de errores del RGPD por cuestiones de traducción. Se trata de un documento que se conocía ya desde abril, pero que, en realidad, iba más allá de una mera corrección de errores e introducía en el Reglamento algunos cambios relevantes.

Por otro lado, señaló que el proyecto de ley español de reforma de la LOPD no ha avanzado mucho en los últimos meses: “Ahora ya están las enmiendas, pero son tantas que probablemente va a tardar más de lo que pensábamos. De hecho, ya dudo que vayamos a tener la ley antes de final de año”.

Una vez lista la nueva LOPD, se tendrá que aprobar el real decreto del reglamento de desarrollo. Se esperan también las leyes nacionales al respecto en todos los países europeos, nuevas guías del Grupo de Trabajo del Artículo 29 y la actuación de las agencias nacionales. Sobre esta última cuestión, Padín destacó que habrá que tener muy en cuenta lo que digan las agencias de otros países, ya que, al tratarse de una normativa común, los pronunciamientos de las autoridades de protección de datos de otros Estados pueden sentar precedentes. Ello hará necesario un seguimiento exhaustivo de sus pronunciamientos.

El delegado de protección de datos

Otra de las cuestiones clave es la relacionada con el delegado de protección de datos o DPO (por sus siglas en inglés). Katiana Otero, asociada del área de Privacidad y Tecnología de Garrigues, explicó los aspectos más importantes a tener en cuenta sobre esta figura. Se refirió, por ejemplo, a los requisitos que debe tener un DPO según la nueva normativa: conocimiento técnico y jurídico con experiencia demostrable de la normativa de privacidad; conocimientos sobre la compañía y el sector de actividad; y ética profesional. Además, este profesional debe ser especialmente cauteloso y evitar conflictos de intereses tanto internos como externos. Katiana Otero también planteó cuestiones que pueden generar debate en el futuro: qué relación laboral vincula a la empresa con su DPO, si debe modificarse el contrato laboral de este responsable, y si se le podría despedir y en qué circunstancias.

Por su parte, Alejandro Sánchez del Campo, of-counsel de Garrigues, analizó los retos que se están planteando en la actualidad en el mundo del big data y de la inteligencia artificial (IA). Empezó su intervención explorando el concepto de inteligencia artificial y continuó hablando de los retos que plantean, en términos de responsabilidad, los posibles sesgos de los algoritmos, y también reflexionó sobre si tiene sentido que tengan personalidad electrónica como sugiere el Parlamento, los principios que deberían aplicarse en el diseño de la IA, así como la última comunicación de la Comisión Europea en la que dice que Europa debería invertir 20.000 millones para no perder este tren. Cerró su intervención con alguna mención al uso actual real que se está haciendo del big data.

El broche final corrió a cargo de Francisco Pérez Bes, secretario general del Instituto Nacional de Ciberseguridad (INCIBE). Explicó que el RGPD es “una nueva regulación que quiere hacer evolucionar la manera de proteger la información: se pasa de cumplir unos requisitos a tener que responsabilizarse y elegir las medidas técnicas y organizativas apropiadas y eficaces para cada organización”. Pero invitó a verlo como una oportunidad. “Estamos ante lo que debe ser una cultura empresarial, con obligaciones constantes y permanentes para lograr proteger la información: es una obligación legal y deontológica, pero también es responsabilidad social corporativa, buenas prácticas empresariales, diligencia profesional, etc.”, indicó. Por último, señaló la importancia de adoptar medidas preventivas, de tipo técnico y organizativo, para proteger la seguridad de las compañías.