Pocos profesionales como ella conocen como nadie el mundo de la privacidad. Desde la multinacional Pfizer, hace ahora un poco más de un año ejercer como Directora del Área Legal y DPO, Data Protección Officer en Europa. Ahora, tras este IV Congreso que acaba de concluir en Barcelona, Cecilia Álvarez sale definitivamente del anonimato para situarse como presidenta de APEP, Asociación de Profesionales Expertos en Privacidad para los próximos cinco años. “Creo que ha sido un acierto consensuar la candidatura de la nueva Junta directiva de APEP que tengo el honor de liderar con profesionales de experiencia y otros más jóvenes.
Hemos logrado una amplitud geográfica y sectorial mayor y una paridad en género que siempre es saludable”, son sus primeras declaraciones cuando concluye este IV Congreso. Desde su punto de vista este IV Congreso, uno de los primeros eventos que ha analizado el futuro Reglamento Europeo de Protección de Datos tras su aprobación el pasado mes de abril, ha sido un éxito y marca una nueva etapa en APEP, con nueva Junta y con las ideas muy claras para estos próximos años.
“Los profesionales de la privacidad tenemos que apostar por la formación especializada para afrontar los retos que emanan de dicho Reglamento”, subraya. Al mismo tiempo considera que los que gestionamos la privacidad en las empresas debemos saber crear valor en las organizaciones de tal forma que la apuesta por la privacidad sea un valor competitivo de cada empresa”.
Vivir para ver. Se habla de privacidad todos los días y noticias sobre esta materia y la protección de datos son elementos ya habituales para nosotros. ¿Cómo interpreta este cambio de tendencia?
Son los signos de los tiempos, siempre que la innovación está presente hay de forma paralela un punto de vista de cómo afecta a la privacidad. En esta situación nuestro punto de vista, como profesionales de la privacidad, es digna de tener en cuenta y no siempre coincidimos en la misma visión de la privacidad del regulador porque partimos de una experiencia diferente.
En este entorno, también llama la atención el cambio de enfoque de la AEPD, con la llegada de la nueva directora Mar España, presenta en este Congreso recién acabado, ya no solo centrada en el aspecto sancionador de las empresas.
El regulador está dispuesto a escuchar a los expertos del sector y a enfocar de otra manera su relación con estos interlocutores, de los que APEP forma parte de ellos. Este enfoque del que estamos hablando es más plural y abierto que en otras ocasiones. Creo que ha sido uno de los comentarios de este Congreso: todos los asociados valoramos esta forma de acercarse al sector profesional.
Su intervención ha dejado claro cuál puede ser el papel del regulador en este nuevo escenario con el Reglamento de por medio, y que pide a los profesionales de la privacidad en estos momentos. No podemos olvidar que como autoridad de control tendrán que enfrentarse a diferentes retos derivados de la aplicación del citado Reglamento Europeo, con pragmatismo, muchas ganas y pocos recursos.
¿Cuál cree que será su papel cuando el Reglamento esté ya operativo?
Habrá que ver como se adapta al Reglamento en cada uno de los veintiocho países de la UE. El regulador español ha tenido todas las funciones en su seno y las ha ejercitado. Hay otros reguladores que no tenían ese capítulo sancionador y se centraban más en la parte preventiva, junto con otras que se centraron en el terreno formativo.
La AEPD ya ha vivido esa experiencia con la norma española y ha desarrollado todas sus facultades como regulador. Esa experiencia puede ayudar a que ahora se focalicen más en la parte de prevención y formación en materia de privacidad, como nos ha comentado la propia directora Mar España en este Congreso.
No creo que sea sencillo una coordinación entre todos los reguladores como señala el propio Reglamento. Lo que sí es importante es que aquellos documentos no vinculantes del grupo del artículo 29 se van a convertir en decisiones y documentos vinculantes de este Comité de Expertos Europeo que surge nuevo para coordinar el trabajo de los reguladores.
Tenemos curiosidad por saber cómo va a organizar usted, presidenta de APEP, sus primeros cien días al frente de esta entidad. ¿Tiene ya claro qué elementos van a ser prioritarios en su gestión?
Tengo que confesarle que no me he focalizado en esos cien días que usted señala. Y si en los cuatro años que hay por delante para esta nueva Junta Directiva. Hay muchas actividades en curso, pero la más inmediatas tienen que ver con la configuración de grupos de trabajo para analizar la implantación del Reglamento Europeo de Protección de Datos.
A este respecto, además de la colaboración estrecha que habrá entre APEP, el regulador y las otras asociaciones, también habrá que ver como internamente asumimos este desafío. Ya empezó el trabajo con la junta anterior presidida por Ricard Martínez y en estos dos años de transición seremos nosotros quienes lo lideremos internamente.
La parte de la formación, como antes le señalaba, es la más importante. Hemos podido tener ya el texto en castellano del Reglamento desde el pasado cuatro de mayo, lo que nos ayudará a organizar el trabajo. Curiosamente las versiones anteriores solo estuvieron en inglés. Esto ha hecho que en el seno de APEP el nivel de conocimiento del Reglamento por parte de nuestros asociados sea desigual. Queremos ayudarles a que ese GAP se cubra pronto.
¿Qué es lo que más les llama la atención a ustedes, profesionales de la privacidad del citado Reglamento Europeo de Protección de Datos?
Hablamos de un documento muy prescriptivo. Va hasta el fondo del detalle en muchísimos aspectos, lo que en principio puede generar una amplia seguridad jurídica. De todas formas, siempre desde el punto de vista práctico deseas que cualquier norma y más una de este tipo, tenga una mayor flexibilidad en su aplicación.
Quizás lo ideal es que se hubiera logrado un modelo basado más en principios que en detalles hubiera permitido esa flexibilidad que echamos en falta en su aplicación. Este mayor detalle puede significar un corsé en determinados aspectos para llevar a cabo iniciativas desde el punto empresarial.
Además, en dos años que se fijan para su entrada en vigor, puede cambiar bastante del panorama actual tanto a nivel de privacidad e innovación.
Las normas siempre nacen tarde en relación con la realidad que regulan. Es posible que tanto detalle dificulte la implementación del Reglamento. Lo que sí le puedo decir que estos dos años se nos van a hacer muy cortos. Esperemos que en el 2018 mucho de lo que se ha aprobado ahora se mantenga, tanto a nivel de consentimientos, como de otra práctica.
Al final la empresa habrá perdido tiempo, dinero y realizada malas prácticas. Lo que hay que darse cuenta es que no tienes esos dos años y que las empresas deben tomarse en serio la implementación del Reglamento lo antes posible.
Sorprende en el desarrollo del Reglamento que se establezca la privacidad por diseño y las evaluaciones de impacto pero no exista una figura estable en las empresas, como parecía iba a ser el DPO. Curiosa paradoja.
Hay que darse cuenta que en las negociaciones de este Reglamento se partió de una figura obligatoria en las empresas de carácter universal con una seria de características. Sin embargo, en el último año todo se fue desdibujando con la participación más activa del Consejo de la UE.
Por estas circunstancias no es una sorpresa la nueva situación del DPO en el seno de la privacidad. Sin embargo, la norma es tan compleja que aunque la ley obligue o no a tener un DPO las empresas deberán tener un experto en privacidad que les ayude y que sepa convenientemente interpretar la norma y diseñar esa nueva política de privacidad que ahora se exige y cuyas multas son muy elevadas, en caso de incumplimiento por cierto.
Tiene razón, las sanciones son muy duras, pero su aplicación práctica me imagino que tendrán en cuenta ciertos eximentes o comportamientos.
Las sanciones siempre son una parte importante en una norma. Da vértigo comprobar el volumen máximo de sanciones que señala este Reglamento Europeo. Sin embargo, también existen criterios de proporcionalidad a la hora de aplicar las mismas, también reflejados en el propio Reglamento.
Realmente lo que se quiere evitar es que a organizaciones con capacidad económica importante, no les salga rentable incumplir las normativas de privacidad. Esto no significa que todos vayamos a recibir una sanción en el grado máximo por cualquier infracción que se produzca.
Las empresas van a necesitar expertos en privacidad y qué mejor tener una certificación acreditada como la de APEP que señala su competencia ¿Le preocupa que surjan otras con mucha menor calidad en el mercado?
Las certificaciones de personas serán claves, al igual que las de procesos, para saber realmente si la empresa está haciendo su trabajo conforme a las normas. En este caso APEP lleva ya tiempo trabajando en esa certificación que se obtiene tras un exigente proceso. Creemos que tenemos un hueco en el mercado por la rigurosidad de la propia certificación e independencia porque dicha acreditación no se regala a nadie.
En nuestro caso, disponemos de un Consejo independiente Asesor a la asociación que es quien realiza la misma. Lo mismo pasa con nuestros cursos de formación, donde la asignación de profesores también responde a los criterios de otro Comité Independiente cuyo expertise está fuera de toda duda a nivel individual.
¿Tendrá el mercado a medio plazo una certificación europea en materia de responsables de privacidad?
Creo que sí, que acabará surgiendo una certificación europea. Ahora existe una que aglutina más de un país y tiene que ver con la IAPP, Asociación Internacional de Profesionales de la Privacidad, organización americana que tiene una pata europea muy importante. Estoy seguro que los europeos podemos aprender mucho de ellos y que sería positivo que dentro de unos años tuviéramos certificaciones europeas para los DPO y quizás en materia de procesos.
¿Qué va a ser lo más complicado con lo que se encuentra la empresa a la hora de desarrollar su nueva política de privacidad?
Tendremos que desarrollar más habilidades que lo que nos indican nuestros perfiles iniciales. En el caso del DPO, perfil plural, aquel compañero que sea más jurídico tendrá que formarse más en tecnología. Y a la inversa, el profesional de más formación en innovación tendrá que conocer mejor la nueva norma que tendremos que aplicar.
Respondiendo mejor a su pregunta, hay que darse cuenta que harán falta muchos recursos para hacerlo bien en materia de privacidad en un momento en el que las empresas no están sobradas en materia presupuestaria de dedicar más recursos a otras partidas.
Al mismo tiempo, muchas empresas aún ven la privacidad como una carga molesta que hay que cumplir de forma obligatoria pero que no genera valor, eso hará que no inviertan los recursos de forma correcta.
¿Qué consejos le daría a los DPO y asesores de empresa que lean esta entrevista de cara implantar la política de privacidad con el Reglamento como telón de fondo?
Que se den cuenta que la privacidad ha llegado para quedarse. Tienen que ponerse ya a trabajar para adaptarse al nuevo Reglamento. Es cierto que la implementación de esta política de privacidad puede ser compleja, pero a medio plazo será un elemento competitivo para las empresas que apuesten por ello.
No podemos olvidar que el Reglamento es una norma compleja y necesitarán profesionales preparados que les ayuden en ese desarrollo. Desde APEP vamos a trabajar en este sentido de apoyo a las empresas en este proceso de adaptación al nuevo Reglamento.
No hay comentarios.