El blog de la Mutualidad de la Abogacía

18 enero 2018

Entrevista: Mar España Martí, Directora de la Agencia Española de Protección de datos

Más sobre

“Para los mutualistas, el volumen de ahorro gestionado, la rentabilidad y la solvencia representan confianza”

Con un Plan Estratégico que recoge más de un centenar de actuaciones, la aplicación del nuevo Reglamento Europeo de Protección de Datos (RGPD) es su principal reto.

Desde julio de 2015, Mar España Martí es directora de la Agencia Española de Protección de Datos. Funcionaria de carrera del Cuerpo Superior de Administradores Civiles del Estado en la especialidad jurídica, Mar España es licenciada en Derecho por la Universidad Pontificia de Comillas, máster en Protección Internacional en Derechos Humanos por la Universidad de Alcalá y, además, experta en gestión de entidades sin ánimo de lucro por la Fundación Luis Vives.

Mar España Martí trabaja desde diferentes vías con la vista en el 25 de mayo de 2018, para que las empresas lleguen lo más preparadas posible a la entrada en vigor del RGPD que dice va a imponer una cultura proactiva de la protección de datos. En lo que se refiere a los abogados, destaca el importante papel de los Colegios en su formación sobre esta materia y señala que estos profesionales tendrán una nueva oportunidad de trabajo como Delegados de Protección de Datos (DPD) en las empresas. Las pymes tendrán además la herramienta Facilita_RGPD.

Como mutualista, también se refiere en esta entrevista a la cuestión del ahorro y su importancia para el futuro, ya que, en su opinión, la previsión complementaria da mayores garantías y seguridad en la jubilación.

Ha pasado usted el ecuador de su gestión como directora de la AEPD. ¿Qué balance hace de estos casi dos años y medio al frente de la Agencia?

Han sido unos años de gran intensidad, tal y como exigen los retos que nos marcamos en el Plan Estratégico 2015-2019. El de mayor envergadura es la aplicación del nuevo Reglamento Europeo de Protección de Datos (RGPD) a partir del 25 de mayo de 2018, pero no es el único, ya que el Plan recoge más de cien actuaciones concretas.

Además de las iniciativas que ya hemos lanzado en relación a la nueva normativa, también estamos abordando áreas con un gran impacto en los ciudadanos como la educación y protección de los menores, el tratamiento de datos en el sector sanitario o la contratación irregular. A ello hay que sumar la realización de labores proactivas para detectar el impacto de los nuevos desarrollos tecnológicos en la privacidad, la mejora de la calidad de los servicios de la Agencia y el fomento de las relaciones con aquellos que tratan datos personales y con los profesionales de la privacidad. Con estas medidas, a grandes rasgos, junto a la aplicación del RGPD, queremos generar un clima de confianza en el ámbito de la economía digital, favoreciendo una competitividad e innovación respetuosas con los derechos de las personas.

En el Plan Estratégico 2015-2019 de la AEPD, ¿hay cuestiones que deban tener en cuenta los abogados?

El Plan Estratégico recoge las líneas maestras de la actuación de la Agencia.

Las cuestiones que afectan de forma concreta a los profesionales de la Abogacía dependerán de las materias que suelan abordar en su trabajo, y para ello las guías y directrices que publicamos en la web de la Agencia son extremadamente útiles. En cuanto al Reglamento, los abogados deberán evaluar si deben efectuar análisis de riesgos e implementar las medidas técnicas, organizativas y de seguridad que correspondan, de acuerdo al principio de accountability del RGPD. Además, debido a su formación, tienen una excelente oportunidad de trabajo como posibles Delegados de Protección de Datos en las empresas, ya que el RGPD requiere conocimientos jurídicos para el desarrollo de estas funciones.

Me gustaría referirme también a que la Agencia, en colaboración con la Entidad Nacional de Acreditación (ENAC), ha presentado un Esquema de Certificación de DPD con el objetivo de ofrecer seguridad y fiabilidad tanto a los profesionales de la privacidad como a las empresas y entidades que van a incorporar esta figura a sus organizaciones, que aporta un mecanismo que permite certificar que estos profesionales reúnan un nivel adecuado de habilidades y competencias.

Hay que mencionar que la certificación no es la única vía para ser DPD y que no es obligatorio utilizar un determinado esquema, aunque desde la Agencia hemos creído necesario ofrecer un punto de referencia al mercado. Esas certificaciones se otorgan por entidades certificadoras debidamente acreditadas por ENAC, siguiendo criterios de acreditación y certificación elaborados por la AEPD en colaboración con los sectores afectados.

Sin duda tiene como principal reto el nuevo Reglamento de protección de datos europeo que entrará en vigor en 2018… ¿Qué acciones formativas está llevando a cabo la AEPD y a qué colectivos se dirige?

El nuevo marco normativo tiene un fuerte impacto sobre los ciudadanos, las empresas y las Administraciones públicas, y requiere importantes esfuerzos por parte de todos. En la Agencia estamos efectuando una labor de difusión que queremos centrar no solo en dar a conocer las novedades normativas, sino también, con una perspectiva más práctica, en explicar el modo en que estas afectan a las diferentes organizaciones y en proporcionar información que ayude en el proceso de adaptación.

Esta actividad de difusión y sensibilización la estamos dirigiendo a través de jornadas formativas e informativas a todos los sectores y con su colaboración: con el empresarial, los profesionales y autónomos y el de las Administraciones públicas, complementado con la atención a los ciudadanos a través de cualquiera de nuestros canales de comunicación. El Instituto Nacional de Administración Pública, la Federación Española de Municipios y Provincias o CEOE y CEPYME en el sector privado son algunos ejemplos de las colaboraciones que ya tenemos en marcha.

Me gustaría también destacar las jornadas de formación en el Consejo General de la Abogacía Española y el importante papel que pueden jugar los Colegios Profesionales en ayudar a los abogados en la adaptación al nuevo marco normativo. Desde la Agencia hemos apostado por potenciar la flexibilidad, de forma que, por ejemplo, los Consejos Generales o los propios Colegios Profesionales puedan ofrecer a sus colegiados los servicios de un DPD, pudiendo dar un buen asesoramiento a un coste mucho menor.

¿Será mucho lo que haya que adaptar del texto de la LOPD?

La adopción de una nueva Ley Orgánica de Protección de Datos es necesaria para derogar la actual, que contiene numerosas disposiciones que no son compatibles con el RGPD. Pero también ha permitido hacer uso de algunas de las posibilidades que el RGPD ofrece para completar, desarrollar o facilitar la aplicación de sus disposiciones.

En ese proceso la Agencia ha participado activamente como miembro de la Ponencia de la Comisión General de Codificación que preparó el borrador de Anteproyecto de Ley, aportando sus conocimientos técnicos, pero también toda la experiencia práctica derivada de la aplicación de la normativa actual. El Proyecto de Ley fue aprobado por el Consejo de Ministros el 10 de noviembre y se encuentra en fase de tramitación parlamentaria.

¿Qué iniciativas están desarrollando ya las empresas tanto del sector público como privado?

En la parte que a la Agencia le consta, algunas ya tienen nombrado un DPD y están realizando el análisis de riesgo y la evaluación de impacto.

Y con respecto a los abogados, ¿en qué aspectos concretos de su actividad profesional les va a afectar? ¿Dependerá del tamaño del despacho y del volumen de información que este maneje?

El RGPD sitúa las obligaciones de las empresas en el terreno de las medidas preventivas que deben adoptar para garantizar que están en condiciones de cumplir con sus disposiciones. La aplicación de las medidas de cumplimiento dependerá del riesgo que los tratamientos supongan para los derechos y libertades de los afectados en función del tipo de datos tratados, la naturaleza de los tratamientos o el contexto en que se produzcan. En cuanto a la realización de evaluaciones de impacto, hay que tener en cuenta que el RGPD establece que estas últimas no son obligatorias si el tratamiento de datos personales lo hace un abogado de forma individual.

La confluencia de estos dos enfoques, el preventivo y el de riesgo, supondrá que aquellos que manejan datos deben estar en condiciones de demostrar que han analizado los riesgos de los tratamientos que efectúan y han aplicado las medidas adecuadas para eliminarlos o paliarlos. Es la necesidad de analizar y decidir en cada caso particular cómo aplicar las medidas, al tiempo que se respetan las condiciones mínimas que el Reglamento establece para cada una de ellas, lo que determina la tarea.

¿Cree que la normativa en materia de privacidad guarda equilibrio con las nuevas realidades de la información como, por ejemplo, las redes sociales o el Big Data?

Cada día aparecen nuevos servicios que nos hacen la vida mucho más fácil pero que, en ocasiones, pueden comprometer nuestra privacidad. Por ello, el RGPD incorpora la proactividad como elemento esencial, ofreciendo una nueva forma de crear productos y servicios a través de la protección de datos desde el diseño y las evaluaciones de impacto. El RGPD supone un avance en la protección de datos de los ciudadanos para posibilitar que el sistema pueda hacer frente a los retos que plantean las nuevas tecnologías. Mantiene y refuerza los principios y derechos básicos del modelo europeo de protección de datos, basado en la consideración de esta protección como un derecho fundamental, pero, al mismo tiempo, propone nuevos mecanismos de cumplimiento y supervisión que buscan adaptarlo a un mundo en que ha cambiado radicalmente el modo en que se tratan los datos personales. Asimismo, es importante destacar que el RGPD establece una serie de reglas de obligado cumplimiento para quienes traten datos personales de usuarios en Europa, tanto si operan desde dentro o desde fuera del territorio comunitario.

¿Tienen identificado el perfil de empresa y el sector con mayor grado de implementación de buenas prácticas?

No es posible definir un perfil concreto, aunque es innegable que las grandes empresas disponen de un mayor número de recursos para adaptarse al RGPD. Consciente de ello, la Agencia ha querido ofrecer, en primer término, la herramienta gratuita Facilita_RGPD para fomentar la adaptación de las pymes que tratan datos de bajo riesgo. Estas suponen el 99,8 % del tejido empresarial español y, para ellas, la adaptación al nuevo marco legal puede suponer dificultad no tanto porque hagan tratamientos complejos, sino porque en muchos casos carecen de los recursos necesarios. Somos conscientes de que el RGPD supone un cambio de modelo y vamos a lanzar varios proyectos para intentar que la transición sea progresiva, tanto para pymes como para grandes empresas.

También hemos convocado por primera vez el Premio a las buenas prácticas en privacidad y protección de datos sobre iniciativas para adaptarse al RGPD, que tiene por objeto premiar a las mejores iniciativas tanto de empresas, asociaciones y fundaciones del sector privado como de las entidades del sector público.

Porque en términos generales, y con la ley en la mano, ¿cuál es el grado de cumplimiento de las empresas españolas en cuanto a sus obligaciones de privacidad?

Es difícil responder a esta pregunta en términos generales. La normativa aplicable hoy por hoy es reactiva, es decir, se detecta un incumplimiento en materia de protección de datos y la Agencia declara la infracción, impone una sanción económica o apercibe a la entidad responsable. El nuevo RGPD va a imponer una cultura proactiva de la protección de datos y por ello en la Agencia estamos trabajando en diferentes vías para que las empresas lleguen lo más preparadas posible al 25 de mayo de 2018. Un ejemplo, como comentaba, es la herramienta Facilita_RGPD, que consideramos que puede ser muy útil para un porcentaje muy elevado de las empresas de nuestro país.

Pero existen otras entidades que realizan tratamientos de riesgo alto para los derechos y libertades de las personas para las que la herramienta Facilita_RGPD no es válida porque no es una herramienta de análisis y gestión de riesgos. Para facilitar esta adecuación al enfoque de riesgo del RGPD estamos trabajando en una guía práctica de análisis de riesgos, junto a un catálogo de amenazas y salvaguardas que, de un lado, ayudarán a los responsables a realizar y gestionar las medidas de seguridad necesarias para cada uno de los tratamientos que realicen y, de otro, a determinar el grado de cumplimiento normativo de dichos tratamientos.

Sobre este enfoque de riesgo, estamos actualizando nuestra guía de evaluación de impacto sobre la protección de datos, que estará finalizada en breve. Entendemos que estas actuaciones de la Agencia son imprescindibles para contribuir a la cultura del análisis de riesgos en protección de datos por parte de los responsables, los encargados del tratamiento, los profesionales de la privacidad y los futuros DPD.

En su opinión, y como mutualista, igual que desde la AEPD fomentan y divulgan entre la ciudadanía la cultura de la protección de datos, ¿cómo cree que habría que fomentar la cultura del ahorro y de las finanzas?

Tanto la Mutualidad como la Agencia coincidimos en un elemento primordial en ambos casos, basado en la importancia de la prevención.

¿Cómo debería ser la trayectoria del ahorro para llegar a un futuro óptimo en la jubilación?

En teoría, es muy fácil responder a esta pregunta diciendo que a mayor ahorro mejor futuro en la jubilación. El problema es que no todas las familias pueden ahorrar lo que quisieran. Un buen objetivo podría ser fijarse un porcentaje del sueldo como “no disponible”, ajustando gastos para consolidar esa cultura del ahorro.

¿Considera que el modelo de previsión complementaria servirá para amortiguar las posibles dificultades de las pensiones públicas?

Por supuesto, quienes tengan esta previsión tendrán mayores garantías y seguridad en su jubilación.

Por último, como parte de los casi 200.000 mutualistas que conforman la Mutualidad, ¿qué opinión le merecen los valores de esta entidad de estabilidad, solidez y confianza?

Como entidad de previsión social, la Mutualidad ha ido incorporando nuevas coberturas y haciendo progresos en sus casi siete décadas de vida de los que hemos podido beneficiarnos los mutualistas. El volumen de ahorro gestionado, la rentabilidad del Plan Universal y la solvencia de la entidad son aspectos que valoro de forma muy positiva y que, en definitiva, representan un extra de tranquilidad y confianza.

 

 

 

Post relacionados

Ciberseguridad
Ciberseguridad

¿Está tu despacho preparado para un ciberataque?

Hablamos de uno de los retos prioritarios para el sector. Todos los despachos utilizan internet, pero no todos están blindados…