Los delegados de protección de datos se consolidan como referentes digitales en un entorno en creciente regulación

Bajo el título ‘Nuevos horizontes regulatorios en Derecho Digital’, el Ilustre Colegio de la Abogacía de Madrid (ICAM) acogió este jueves, 20 de marzo, el I Encuentro de Derecho Digital, en el que una treintena de especialistas de empresas, despachos, instituciones y organismos reguladores abordaron los desafíos normativos más acuciantes.

Organizado por la sección TIC del ICAM que preside Alejandro Touriño, a lo largo de las seis sesiones de debate se abordaron los retos de los delegados de protección de datos (DPO) en un marco regulatorio en constante evolución, así como el impacto de los recientes Reglamentos DSA (Digital Services Act) y DMA (Digital Markets Act) en la economía digital y el funcionamiento de las grandes plataformas.

En este contexto, el decano del Colegio Eugenio Ribón presentó un completo plan estratégico para abordar el uso de la inteligencia artificial (IA) en la profesión jurídica, destacando la participación activa del ICAM en el proceso regulatorio actualmente en desarrollo en España.

La hoja de ruta de la corporación madrileña se basa en cuatro ejes: formación especializada para el uso eficiente de la IA, participación en el desarrollo normativo, promoción de estándares éticos y creación de un centro de asesoría en IA para despachos y abogados. Además, el Colegio publicará una guía con las directrices para garantizar la supervisión humana, la transparencia y la protección de derechos en el uso de esta tecnología en el sector legal.

Por su parte, Alejandro Touriño, como coordinador e impulsor del encuentro, señaló que «vivimos un momento ágil y desafiante donde la tecnología avanza más rápido que el derecho. Hay una amalgama de normas que debemos ordenar para garantizar la seguridad jurídica. Sector público y privado deben cooperar, porque queda mucho por hacer: este es solo el inicio de una transformación profunda».

En la inauguración del acto intervino finalmente Ofelia Tejerina, presidenta de la Asociación de Internautas, quien destacó que «la inseguridad jurídica que enfrentamos en materia de protección de datos, inteligencia artificial y ciberseguridad exige formación especializada en jueces y abogados. Debemos simplificar las regulaciones, evitar redundancias y promover prácticas responsables. Nos espera mucho trabajo y paciencia para traducir correctamente estas normas en seguridad real».

El decano, Eugenio Ribón, presentando la estrategia del ICAM sobre IA responsable. (Imagen: ICAM)

IA y datos

Lorenzo Cotino desgranó —en su primera intervención como presidente de la Agencia Española de Protección de Datos (AEPD)— los retos de la inteligencia artificial en materia de protección de datos. En su ponencia, ofreció una profunda reflexión sobre la interconexión entre la protección de datos y la inteligencia artificial. Un tema que ya esbozó en su comparecencia en el Congreso, donde fue ratificado como presidente.

Durante su ponencia, titulada ‘Los nuevos riesgos para la protección de datos por la inteligencia artificial y la respuesta de la AEPD’, Cotino anunció la próxima puesta en marcha de un plan estratégico de la AEPD, cuyo borrador se abrirá a la participación pública. «La sociedad civil tiene mucho que aportar en temas de derechos digitales y protección de datos», aseguró.

Por su parte, Alberto Gago, asesor del Gabinete de la Secretaría de Estado de Digitalización e Inteligencia Artificial, defendió una «tercera vía» que equilibre innovación y regulación, superando la dicotomía tradicional. «No se trata de elegir entre regular o innovar, sino de avanzar hacia un modelo de innovación responsable que proteja a los ciudadanos y a las empresas, generando confianza y seguridad jurídica», señaló.

Este experto también ilustró la idea con un ejemplo: «La regulación no solo es compatible con la competitividad, sino que es capaz de generar nuevos mercados, como demuestra el caso del derecho a la portabilidad de datos. El sandbox regulatorio, el primero en Europa, diseñado específicamente para reducir cargas regulatorias, facilitar especificaciones técnicas y otorgar ventaja competitiva al sector tecnológico europeo, es notorio».

Los DPO, clave

En este escenario, el papel de los delegados de protección de datos (DPO) va a ser clave. En una mesa moderada por Daniel López, socio de Ecija y co-chair del capitulo español de la IAPP, tomaron la palabra Antonio Muñoz, Global DPO en Telefónica; Miriam Oñoro, Legal Counsel Director in Technology, Digital and Data en el Banco de Santander; Álvaro Puras de Luis, Lead Privacy Counsel and Data Protección Office de Fever; y Juan José Pérez, Data Protección Officer de la CNMC.

Para Álvaro Puras de Luis, DPO a nivel mundial de esta plataforma, «en este último año nos hemos enfrentado al boom regulatorio emergente, al igual que todos los temas relacionados con las transferencias internacionales de datos y la supervisión de nuestra cadena de suministros para mitigar en la medida de lo posible que se produzcan brechas de seguridad. Ha sido un proceso de due dilligence previo para evitar cualquier tipo de problema».

Alejandro Touriño, Eugenio Ribón y Lorenzo Cotino, nuevo presidente de la AEPD, en este encuentro digital organizado por el ICAM. (Imagen: ICAM)

Por su parte, Antonio Muñoz recordó que ya habían pasado siete años tras la entrada en vigor del Reglamento General de Protección de Datos (RGPD), destacando que «creo que nuestra figura lidera el cambio en todo lo relacionado con el entorno digital. Creo que estamos pasando de un modelo de gestión del dato personal a otro sobre tecnología responsable. Esa evolución se ha producido en el seno de la empresa y en nuestra actividad profesional. En medio de la normativa que está llegando como la DMA, DSA, las normas de ciberseguridad y el propio Reglamento de IA hacen que nuestra presencia sea indiscutible en estas organizaciones».

En opinión de Miriam Oñoro, abogada responsable del área digital y de datos de Santander, «hemos pasado siete años trepidantes, tanto desde el punto de vista de la privacidad como desde el punto de vista de la irrupción de las nuevas tecnologías. Vivimos un momento de sobrerregulación transversal y sectorial. El cliente tiene más conciencia de la privacidad y nos obliga a diseñar servicios digitalizados a medida y a trabajar muy cercanos al negocio. Ahora somos conscientes de la importancia del dato como activo para poder dar un mejor servicio desde una mejor explotación del dato».

Juan José Pérez, desde la CNMC, resaltó que «en el 2018 hubo una carrera en las administraciones públicas para nombrar DPO, sin embargo, aún no está desarrollada esta figura en todos los estamentos. Un DPO puede venir de cualquier sector, en mi caso de la auditoría interna orientado al riesgo en este tipo de entornos. En este escenario público, tenemos la figura de los DPO compartidos en entidades locales pequeñas que comparten a ese profesional. Sin embargo, parece más lógico que sea interno al organismo para que conozca mejor esas interioridades y tenga acceso directo a la organización de ese ente público».

En el debate, también se habló de que las políticas corporativas de las empresas se centran algunas en políticas de IA que regulen el flujo de datos. Para Miriam Oñoro, el debate es apasionante: «En el sector financiero tenemos tres líneas de defensa y hay que ver dónde colocamos al DPO. No existe una solución perfecta, todo depende del punto de sus funciones donde pongas el foco. El DPO puede estar en segunda línea para dar criterios, pero es un debate que no está resuelto en ninguna organización por el momento. Ahora trabaja con el CISO y otros directivos, lo que redunda en beneficio de todos».

DPO, útil al negocio

En opinión de Álvaro Pura de Luis, «el DPO debe ser estratégico y actuar como un puente entre el cumplimiento y el negocio. Es importante entender el negocio y todo el ciclo de datos personales de la organización para no estar perdido. Al mismo tiempo, es fundamental el desarrollo de habilidades sociales que servirán para crear una cultura de cumplimiento entre todos los empleados y participar en las decisiones de alto nivel, estratégicas de desarrollo de negocio. Es fundamental lanzar el mensaje de que gracias a la organización puede crecer el negocio».

Por su parte, desde la CNMC, Juan José Pérez resalto que «el modelo de las tres líneas de defensa nos ha servido para saber cómo tienen que hacer las cosas en ese esquema mental que nos hacemos. Sin embargo, en los últimos años el Instituto de Auditores Internos cree que las líneas no están del todo claras. El DPO vive habitualmente en la segunda, pero no puede descuidar las otras dos, sabiendo que desde la tercera coge distancia y funciona mejor como supervisor. Nuestro papel supone hacer una labor de concienciación a todos los niveles de la entidad sobre la protección de datos personales».

Alejandro Touriño y Ofelia Tejerina comentando el panorama exigente que se avecina en este entorno digital cambiante. (Imagen: ICAM)

Para Antonio Muñoz, el papel del DPO es clave en todo este entorno. Debe ser útil al negocio y conocerlo muy bien, de la misma forma que lo conoce el equipo de marketing o comercial. Tenemos que conocer la parte de tecnología y sistemas de cada organización con terceros. Hay que evaluar toda la preevaluación de proveedores, pero antes de su contratación hay que hacerla. Luego, con la contratación cerrada, es más complicado seguir esa estela. Se trata de contar con proveedores confiables, evaluados y que hemos certificado. El uso de procesos de automatización de la IA puede ayudar en esa gestión».

A juicio de la abogada experta en tecnología del Santander, «la homologación se hace tanto a nivel de protección de datos como de ciberseguridad con nuestros proveedores y tiene su complejidad. Hay mucho trabajo por delante y distintos reguladores que una empresa multinacional como la nuestra tienen que afrontar. Se trata de buscar soluciones creativas para el control de proveedores que es cada vez más complicado y hacer una due dilligence para revisar esa homologación no es sencilla».

Desde la CNMC, su actual DPO resaltó que «esta evaluación de proveedores y su certificación no la podemos hacer directamente, hay que ir a concursos públicos abiertos donde se puede presentar cualquiera. La Ley de contratos de sector público ya va por más de cuatrocientos artículos, lo que hace que el procedimiento de contratación esté extremadamente reglado. Es otra forma de gestionarlo, pero tenemos las herramientas para realizar nuestro trabajo».

La digitalización es necesaria

Este I Encuentro de Derecho Digital del ICAM concluyó con la intervención en la clausura de Ignacio Azorín, director de estrategia digital de la Comunidad de Madrid, que disculpó la ausencia del consejero de digitalización, Miguel López-Valverde, junto con Mabel Klimt, diputada responsable de Tecnología e Innovación de la Junta de Gobierno del ICAM; y Alejandro Touriño, presidente de la Sección TIC del ICAM.

El dirigente madrileño ha destacado el esfuerzo de la Comunidad de Madrid en materia tecnológica. Si la región ya es reconocida como un hub digital de referencia en el sur de Europa, desde la Consejería madrileña se aspira a que ese estatus crezca hasta que Madrid se posicione como un líder mundial en digitalización.

En su intervención, Mabel Klimt, diputada responsable de Tecnología e Innovación de la Junta de Gobierno del ICAM, mostró su opinión crítica sobre el Reglamento de Inteligencia Artificial de la Unión Europea.

Consideró que este reglamento es «poco valiente» y, al igual que sucedió con la normativa del derecho al olvido, la regulación está reaccionando más que anticipando. En este sentido, afirmó que Europa ya ha perdido la carrera por la inteligencia artificial debido a la falta de un enfoque más audaz, y dio su opinión sobre que el Reglamento sólo establece un marco limitado, sin hacer suficiente énfasis en los incentivos fiscales a la innovación.