La celebración del Día Europeo de la Protección de Datos traslada a la primera plana la necesidad de seguir trabajando mediante la cooperación, el impulso de políticas flexibles y la modernización de la cultura. Sobre ello habla Marcos Judel, presidente de la APEP.
Cada 28 de enero se celebra el Día Europeo de la Protección de Datos. Una fecha señalada en el calendario que invita a reflexionar sobre el papel de la privacidad y la protección de datos para lograr una confianza digital plena. En un escenario en el que se generan miles de millones de datos online cada segundo, contar con una salvaguarda que garantice el correcto tratamiento de la información más crítica o sensible resulta vital. Conocedoras de ello, las autoridades europeas de protección de datos han hecho de esta premisa su misión estrella. No solo por el abanderamiento de robustas políticas que permiten proteger los datos de terceros, sino por su carácter proactivo a la hora de liderar, por su capacidad de situar a Europa a la cabeza.
Tomamos el pulso tanto a Europa como a España en materia de protección de datos, desde la madurez de la sociedad y sus organizaciones o empresas hasta el envejecimiento del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés). Contamos para ello con la pericia de Marcos Judel, presidente de la Asociación Profesional Española de Protección de Datos (APEP). Así ha hablado para CSO España.
Aprovechando la efeméride del Día Europeo de la Protección de Datos, ¿cuál diría que es el grado de maduración de la sociedad española en la materia? ¿Y de las empresas afincadas en territorio nacional?
En España la protección de datos es un derecho fundamental autónomo desde el año 2000 que emana directamente de la Constitución de 1978, es decir, tiene una enorme trayectoria legal a sus espaldas. Sin embargo, no fue hasta el 25 de mayo de 2018 cuando, con la entrada en aplicación -que no en vigor, que ya llevaba dos años- del Reglamento General de Protección de Datos de la Unión Europea, la sociedad, la ciudadanía, tuvo una mayor conciencia de sus derechos en materia de privacidad. Desde entonces, sin lugar a dudas, la protección de datos ha pasado a ser un derecho mejor conocido por los ciudadanos y, a la vez, más respetado por el sector empresarial.
Entiendo esta evolución como resultado de la conjugación de varios factores, como el interés de los medios de comunicación por noticias relacionadas con la innovación, las tecnologías y la privacidad; el esfuerzo de las empresas en ser más respetuosas y cumplidoras de la norma; y un mayor grado de información de la ciudadanía que, cada vez más, conoce sus derechos, los ejercita y presenta denuncias para hacerlos valer. Además, también influyen las sanciones de la Agencia Española de Protección de Datos, con multas millonarias a los incumplidores.
«El principal reto que tenemos es impulsar una adecuada cultura de protección de datos. Con ello no solo lograremos un mayor cumplimiento, sino una sociedad más justa y mayor capacidad de competitividad para potenciar España y Europa como motores económicos y sociales»
No obstante, hay dos maneras de enfrentarse a un nuevo sistema normativo con capacidad sancionadora: con una mentalidad abierta a las oportunidades y con el punto de vista fijo a largo plazo, o con una mentalidad cerrada y cortoplacista. Quien opte por la segunda opción hará las cosas mal y tarde, por mera obligación, sin darle valor a la esencia que persigue la regulación y despreciando los derechos y libertades que ampara. Por el contrario, quien siga la primera corriente, convertirá la obligación en una oportunidad, en una ventaja competitiva, en un valor añadido con el que diferenciarse y llegar a un público cada vez más pendiente de estos temas.
Desde la APEP vemos una gran evolución e interés en muchas empresas de nuestro país por cumplir con el GDPR. Se aprecia por la contratación interna o externa de asesores, consultores, auditores, abogados o delegados de protección de datos, de los recursos que ponen a nuestra disposición, y de las consultas cada vez más de alto nivel que nos hacen. Pero también vemos la otra cara de la moneda, la de quien ve esto como un mal del que tiene que desprenderse lo antes posible. El principal reto que tenemos como colectivo profesional e, incluso, como sociedad, es impulsar una adecuada cultura de protección de datos. Con ello no solo lograremos un mayor cumplimiento por parte de las empresas, sino también vivir en una sociedad más justa y, de paso, aumentar la competitividad para potenciar España y Europa como motores económicos y sociales.
Este 2023 el Reglamento General de Protección de Datos soplará las velas tras cumplir un lustro desde su implementación. ¿Cómo diría que está envejeciendo la normativa?
El GDPR es una norma muy flexible, lo que la hace que se pueda aplicar con facilidad a las nuevas situaciones que impliquen tratamientos de datos aún con el uso de nuevas tecnologías o modelos de negocio innovadores. Este cuenta con dos pilares que afianzan claramente su flexibilidad. Por un lado requiere que quienes traten datos personales realicen un análisis de riesgos específico para determinar qué puede afectar a los derechos y libertades de las personas. De esta manera, cada empresa, cada organismo, hará su propio análisis y sacará sus propias conclusiones de qué mejorar. Por otro, la norma requiere que se adopten medidas adecuadas para eliminar o mitigar esos riesgos. De nuevo, deja el cumplimiento en manos de los sujetos obligados. Serán las empresas e instituciones públicas las que decidan cómo proteger los datos personales y hasta dónde llegar para ello, siendo responsables, no solo de cumplir con la norma, sino de poder demostrarlo. No hay fórmulas mágicas para todo el mundo.
Sin embargo, esta enorme flexibilidad que lo hace envejecer tan bien, implica por otro lado que el régimen sancionador se aplique igualmente a medida: las autoridades de control tienen una gran capacidad para valorar si se han aplicado esas medidas de protección para cubrir cada uno de los riesgos.
A pesar de estas características, el RGPD es una norma general, lo que implica que puede ser complementada con otras normativas más actuales. De hecho la Unión Europea está desarrollando un paquete de medidas legislativas en varios aspectos relacionados con esta materia, como la recientemente aprobada Data Governance Act o las futuras normas enmarcadas en la estrategia europea de datos: la Ley de Mercados Digitales, la Ley de Servicios Digitales, ePrivacy…
Europa es uno de los continentes que más relevancia otorga a la protección de los datos de terceros. Muestra de ello son algunas de sus robustas políticas al respecto. ¿Hacia donde deberíamos caminar este nuevo año para prosperar en la salvaguarda de información crítica?
No debemos olvidar que el nombre completo del reglamento es de protección de datos y libre circulación de datos. Es decir, se trata de conjugar la protección de la privacidad de las personas con el desarrollo de negocios tecnológicos e innovadores que requieren del uso de esos datos. Y esto es clave para la competitividad de las empresas europeas frente a otros entornos en los que las organizaciones no tienen normas tan duras, como el caso de Estados Unidos.
Este año el camino debe continuar hacia el impulso y difusión de la cultura de la privacidad en las organizaciones basada en un cumplimiento por convicción y no por miedo a la sanción. Quienes asumen la privacidad como parte del ADN de su modelo de negocio no solo corren menos riesgos de sanción y daño reputacional, sino que protegerán mejor los datos personales y la información crítica, contentando a los usuarios y ciudadanos cada vez más conscientes y celosos del uso de su información. Para ello, será clave que empresas y administraciones públicas cuenten con delegados y delegadas de protección de datos.
«Quienes asumen la privacidad como parte del ADN de su modelo de negocio no solo corren menos riesgos de sanción y daño reputacional, sino que protegerán mejor los datos personales y la información crítica, contentando a los usuarios y ciudadano»
Poniendo el foco en la figura de los DPO, ¿qué papel le merecen en España? En la actualidad hay un importante gap entre el talento especializado y la demanda, a pesar de que se ha superado la barrera de los 100.000 DPO inscritos según la AEPD…
Una aplicación del GDPR que vaya acorde al desarrollo del negocio o de las políticas públicas, que aporte un valor diferenciador y de innovación, que sea un activo para la competitividad y no una mera carga u obligación no es fácil de lograr. Y para que esto suceda deben confluir dos partes. La empresa o la institución por un lado, que debe estar concienciada de la importancia de la protección de datos para su futuro y, acorde con ello, buscar a un profesional adecuado a sus necesidades, darle los medios y recursos oportunos y dejarse aconsejar. Por otro, el delegado de protección de datos, que deberá ser un perfil proactivo, que comprenda a todas las áreas implicadas y que ayude a conjugar el cumplimiento de la norma con el desarrollo del negocio.
No vale nombrar a un DPO y olvidarse. Eso no es cumplir la norma. Un DPO tiene que estar al tanto de lo que se hace en el momento planificar o diseñar para poder asesorar en la privacidad desde el inicio. Desde APEP hemos pedido a la Agencia Española de Protección de Datos que promueva acciones para, en el seno de inspecciones o expedientes sancionadores, controle si los DPO nombrados participan en el asesoramiento como exige la norma o son únicamente un perfil de paja para cubrir el expediente. Este punto es clave para poder impulsar una cultura en el seno de las organizaciones óptima para que tengan una adecuada seguridad jurídica, se eviten sanciones y, a la vez, se protejan mejor los derechos y libertades de las personas entorno a su intimidad, que es el derecho fundamental que se busca cubrir.
¿Qué tendencias pronostica que imperarán este 2023 en materia de protección de datos?
Desde luego, seguiremos viendo más sanciones millonarias tanto de la Agencia Española de Protección de Datos como del resto de autoridades europeas de protección de datos, lo que dará pie a muchos titulares y a mucho trabajo para los profesionales de la privacidad que tendremos que realizar adaptaciones y revisiones de procesos, contratos, políticas de privacidad, etc.
Además de las nuevas normas europeas relacionadas con la materia enmarcadas en la estrategia europea de datos y la estrategia industrial europea, sin duda, dos de los elementos más destacados para 2023 en protección de datos tendrán que ver con la inteligencia artificial, la ciberseguridad, el metaverso y la tecnología blockchain. De hecho, desde APEP ya estamos centrando varios eventos y formaciones entorno a estas temáticas para que las personas asociadas puedan afrontar los retos que se plantean con seguridad.
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |