Entrevista a Javier Cao – Día europeo de Protección de Datos 2015
1) Un año más celebramos el Día Europeo de la Protección de Datos personales, ¿se ha consolidado la conciencia social sobre el valor de este derecho?
En general creo que tanto las noticias vinculadas con el reconocimiento del derecho al olvido como los continuos incidentes en materia de seguridad han hecho que la privacidad haya ocupado más horas de tertulia y prensa que en años anteriores. Sin embargo no puedo calibrar si el hecho de que sea un tema más comentado suponga una mayor percepción y conciencia de la relevancia que la privacidad va cobrando en nuestras vidas. La incorporación de nuevas tecnologías en nuestras vidas que van proporcionando nuevos servicios y que suponen un leve sacrificio a la privacidad va minando poco a poco la moral de aquellos que pensamos que es posible mantener cierto control sobre nuestros datos. Vemos como SmartTV en sus pantallas de configuración informan que reportarán al fabricante datos sobre el uso que hacemos del aparato sin que sea posible deshabilitar dicha opción, servicios que indican que registran nuestra posición sin permitirnos negarnos a ello pese a no ser necesario para la utilización del producto, etc. Un montón de situaciones cotidianas donde el individuo concienciado debe mantenerse en estado de alerta para poder valorar si lo que se está solicitando es o no adecuado y supone una lesión a su privacidad. Aunque haya una mayor conciencia sobre este derecho es también una realidad que las nuevas tecnologías no tienen como requisito inicial el “privacy by desing/default” y siguen extendiéndose sin demasiadas restricciones. También se va consolidando en los nuevos servicios que el ratio beneficio/privacidad incrementándose y el afectado percibe que cierta cesión de datos puede merecer la pena por el retorno que recibe traducido en conocimiento tras procesar esos datos. Servicios como notificaciones del estado del tráfico en tiempo real y cómo afecta eso a los compromisos de la agenda, salud financiera por el seguimiento de cuentas corrientes o estado de salud proporcionado por las aplicaciones de los dispositivos wearables son ejemplos de servicios que suponen la cesión de privacidad a cambio de una mejor información sobre otras cuestiones.
2) ¿Espera Vd. que finalmente en el periodo 2015-2016 se contará con un reglamento de protección de datos. Si no le importa, de este futuro Reglamento de Protección de datos indique el aspecto más positivo y el más negativo.
Todavía va a ser difícil calibrar qué ocurrirá finalmente. Es obvio que al otro lado del Atlántico van a ver esta directiva como un serio problema para seguir colonizando la economía del siglo XXI y van a intentar retrasar al máximo su aprobación dado que ello supone ganar tiempo e incrementar su poder de facto al ser servicios cada vez más universales e imprescindibles para muchos ciudadanos.
Además, a raíz de los últimos atentados en París de nuevo se plantea la balanza entre seguridad y privacidad a colación del registro europeo de la identidad de pasajeros. De nuevo aparecen tensiones que será complicado vaticinar cual será el lado ganador.
3) A lo largo de 2014 APEP ha prestado singular atención a los derechos de los menores, al impulso de la formación y certificación de los profesionales, a la transparencia o al diálogo tanto entre ordenamientos separados por el Atlántico como entre tecnología y Derecho. Las organizaciones sociales, los reguladores, el legislador o los gobiernos ¿dónde deberían poner el acento en 2015?
Quizás en este 2015 toque empezar a motivar al tejido empresarial español con la importancia que tiene la protección de datos dentro de las organizaciones como parte relevante del compliance corporativo y de la importante percepción que tiene para los clientes el que los datos confiados sean adecuadamente custodiados. A esto va a contribuir el hecho de que precisamente ahora la revelación masiva de datos de forma intencionada esté siendo usada como método de ataque por parte de algunos grupos de ciberdelincuentes en lo que denominamos “doxing”. Los recientes incidentes de Sony donde se han dado a conocer nóminas de empleados y actrices o el caso Apple y la revelación de fotografías almacenadas en iCloud hacen que las empresas vean ya con preocupación el no preservar de forma adecuada la privacidad de sus clientes.
Todo ello puede tener un marco de gestión adecuado con la reciente publicación de la norma ISO 19600:2014 Compliance management systems – Guidelines que precisamente pone el foco en modelar como un ciclo de mejora continua los procesos internos de las organizaciones por alcanzar el buen gobierno y el cumplimiento normativo. El hecho de que esta norma sea certificable supone quizás un empujón importante para que las empresas que tengan responsabilidad corporativa puedan ahora acreditar de forma fehaciente su compromiso por garantizar la máxima diligencia.
4) 2014 fue el año del “derecho al olvido”, ¿Qué retos nos esperan en 2015?
Este año 2015 creo que uno de los actores principales va a ser el Big data en todas sus facetas y vertientes. Vamos a empezar a ver despegar proyectos de “Internet of things” (IoT) en entornos cercanos como la gestión de ciudades, la elaboración de planes estratégicos para el despliege de “Smart cities” por toda España para darse un baño de tecnología y modernidad en la antesala de las elecciones o el uso de wearables de la mano de relojes inteligentes y de mejores pulseras de cuantificación, etc. Los grandes de la tecnología ya han puesto su mira en la recogida de datos de salud y ese será seguramente el campo de más crecimiento.
El big data es un reto para la privacidad porque ésta no tiene necesariamente que verse dañada si las cosas de hacen de forma correcta. En la medida en la que sólo interesen datos agregados y disociados la privacidad no correrá ningún peligro… pero como siempre queda la tentación de hacer identificable a cada uno de los registros de un estudio, ese será el dilema que habrá que ver cómo resuelven.
También, como he comentado en el apartado anterior, los incidentes de seguridad van a ser más frecuentes y de mayor relevancia. En temas de seguridad tenemos una deuda técnica importante que pagar todavía dado que siempre ha sido éste el aspecto sacrificado en pro del despliegue rápido y la puesta en marcha de servicios para el desarrollo de nuevos modelos de negocio. Lo que si va ocurriendo es que la relevancia de los fallos de seguridad es cada vez mayor dado que existen empresas en el mundo que aglutinan grandes volúmenes de información y por tanto, en un solo fallo, el daño muy alto.