Hace ahora cinco años entró en vigor el Reglamento General de Protección de Datos (RGPD), un marco normativo europeo para salvaguardar los derechos de los usuarios en materias tan delicadas como la privacidad o la seguridad de los datos personales.

Para hacer balance de estos primeros cinco años hablamos con la abogada Laura Martínez Retamar, experta en protección de datos y consultora senior de GlobalSuite Solutions, una compañía pionera en el sector GRC -gobierno, riesgo y cumplimiento- que automatiza la gestión de riesgos, garantiza el cumplimiento de las normativas y optimiza los procesos.

Con Martínez abordamos también las transferencias de datos entre la Unión Europea y Estados Unidos, objeto de la última y multimillonaria multa de Bruselas a Meta, o de la tecnología de moda, la inteligencia artificial.

-De forma resumida y para que todo el mundo lo entienda, ¿qué es el Reglamento General de Protección de Datos?

-Hasta su aprobación, la mayoría de los países tenían normativas específicas sobre protección de datos, pero no era un asunto armonizado. El RGPD ha buscado esa armonización, para que todos los países de la Unión Europea, y también empresas que prestan servicios a ciudadanos de la Unión Europea, cumplan con unas mínimas garantías de seguridad y de protección para el ciudadano europeo.

-Aparte de esa armonización y esa protección general, ¿cuáles eran los objetivos fundamentales cuando se planteó? ¿Qué pretendía conseguir?

-Se buscaba dotar al usuario de un mayor control sobre sus datos personales. El dato personal es el petróleo de las empresas y cada vez hay más y más datos. Las empresas se nutren del dato personal y hay que controlarlo: para qué se usa, qué medidas de seguridad se implantan para protegerlo...

-Cinco años después de su entrada en vigor, ¿qué balance general se puede hacer? ¿Ha cambiado la forma en que funcionan las empresas, por ejemplo, o el modo en que los usuarios se relacionan con estas empresas? ¿Qué se ha solucionado y qué no?

-Yo diría que hay ahora mayor transparencia sobre el uso del dato. Es cierto que, con las anteriores normativas -hablo sobre todo del caso de España, que es el que más conozco-, había políticas de privacidad y un cumplimiento en la protección de los datos personales, pero ahora el contenido de esas políticas de privacidad es más extenso. El RGPD marca unos puntos que hay que incluir en esas políticas de privacidad y sobre los que se debe informar. Y también indica que tienen que ser más accesibles, con el típico enlace a las políticas de privacidad. Ahora, al acceder a una web, o incluso al asistir a un evento, cada vez es más habitual que el responsable lance una primera capa en la que se nos informa de que se recaban nuestros datos para usarlos con unas determinadas finalidades. Yo diría que la gente es más consciente de para qué se usan sus datos, lo que al final deriva en una mayor confianza y mayor seguridad. Si trasladamos eso al mundo empresarial, cada vez hay una mayor concienciación a nivel corporativo. En estos últimos años, las empresas han dedicado más más recursos, con más personal y áreas específicas dedicadas a la privacidad o a la gestión del riesgo y creando también roles como el delegado de protección de datos, una de las figuras más novedosas.

-¿Qué aspecto diría que se pretendía solucionar pero no ha cambiado sustancialmente?

-Hay camino por recorrer. Todavía quedan empresas por adecuarse a esas normativas, aunque son pocas. Con el RGPD se pretende que las empresas maduren mejor sus sistemas de gestión: cómo manejar el dato, cómo informar, cómo llevar a cabo metodologías de análisis de riesgos o evaluaciones de impacto. Se busca establecer procesos más automatizados, más efectivos, que permitan por ejemplo solucionar una brecha de seguridad. El RGPD también marca, por ejemplo, unos plazos de aviso de estas incidencias desde que se detectan. Pero hay empresas que no cuentan aún con estas soluciones integradas, lo que se llama GRC, gobierno, riesgo y cumplimiento. Lo cierto es que cada vez se les exige más a las empresas en este campo.

Las leyes europeas de mercados y servicios digitales

-¿Cómo encaja el RGPD en normas más recientes de la Unión Europea como la ley de mercados digitales o la ley de servicios digitales?

-A estas normas se les exige, de entrada, que se complementen con el RGPD. Ambas aluden directamente al Reglamento y lo mencionan cuando hablan de la protección del dato personal en concreto. Por poner un ejemplo, la ley de servicios digitales (que entre otras cosas busca regular la publicidad en las plataformas en línea), indica cómo tiene que ser el consentimiento para la recepción de la publicidad o de la necesidad de las empresas de que faciliten oponerse a seguir recibiendo comunicaciones comerciales. Hay obligaciones también a nivel de transparencia, relacionado con las políticas de privacidad que mencionaba al principio. Todo eso al final es cumplimiento del RGPD. En la ley de mercados digitales, es similar. Se busca dotar de esas garantías de protección del dato para crear entornos digitales más seguros, tanto para el usuario como para las empresas.

-¿Sirven de algo las multas multimillonarias a las grandes tecnológicas? Porque parece que se limitan a pagarlas pero después no cambia nada sustancial ni se solucionan los verdaderos motivos por los que se las sanciona.

-Más que para las grandes empresas, que es cierto que tienen muchos recursos para hacer frente a las multas, por muy millonarias que sean, creo que las sanciones sirven más para las empresas que estamos un poco más abajo. Tenemos que cumplir porque, de cara a un cliente o proveedor, tu imagen se ve afectada. Creo que está sirviendo para concienciar a las plantillas, para que los empleados tengan esa preocupación. Los empleados somos la primera línea de defensa.

-Frente a todo, además.

-Exacto, somos los que, abriendo un correo de spam, podemos hacer que una amenaza entre en nuestro equipo o en nuestros servidores y termine creando un gran problema. Por eso creo que al final todo esto sirve para crear concienciación.

El papel de las grandes tecnológicas

-Lo que ocurre es que son las grandes tecnológicas las que manejan un mayor volumen de datos mundiales y, si ellas no cambian nada, por mucho que las medianas o las pequeñas sí lo hagan, al final el usuario sigue estando igual de desprotegido.

-Hay grandes empresas que sí están haciendo cosas. Por poner un ejemplo reciente, Microsoft ha actualizado sus políticas de privacidad y seguridad de Azure Open AI, garantizando al usuario y a la empresa cliente que la seguridad de su entorno tecnológico es muy grande, que el dato que la empresa vaya a incorporar a ese producto no va a exponerse a terceros. A nivel de las políticas de privacidad y seguridad que están redactando las grandes tecnológicas, digamos que sí que dan esas garantías de seguridad. El usuario, la empresa, tenemos que hacer ese ejercicio de confianza de creernos lo que nos dicen. Todo eso con independencia de que el asunto de las transferencias internacionales de datos no está aún resuelto.

-Las transferencias de datos fueron precisamente el motivo de la última multa de la Unión Europea a Meta. Mark Zuckerberg se quejó de tener que jugar con distintos marcos normativos y de que las regulaciones de la Unión Europea son mucho más estrictas que las de Estados Unidos. En paralelo, se supo que la UE y EEUU negocian para reactivar esa transferencia de datos, que se canceló porque Bruselas consideraba que era inseguro mandarlos a Estados Unidos. ¿Se ha resuelto ya eso?

-No. Todas las empresas buscan que se vuelva a crear ese marco de seguridad tras la derogación del llamado Privacy Seal o escudo de privacidad. Existe una necesidad real de volver a un marco que permita esa transferencia internacional del dato, porque es verdad que las grandes tecnológicas están en su mayoría en Estados Unidos. Amazon, Microsoft o Google ya tienen, o los están construyendo, centros de datos en Europa, para garantizar, al menos sobre el papel, que tus datos se queden en la UE. Pero vivimos en un mundo globalizado y se necesita que existan garantías cuando se transfieren los datos.

-¿En qué punto está ese asunto?

La Comisión Europea publicó en diciembre de 2022 un proyecto de decisión, un nuevo marco que regule estas transferencias. Eso se trasladó al Comité Europeo de Protección de Datos, que emitió un dictamen [PDF] en el que ve aspectos positivos pero considera que hay puntos que siguen sin resolverse. Uno de los motivos por los que se derogó el Privacy Seal es el acceso por parte de las autoridades gubernamentales de EEUU a los datos de las grandes tecnológicas. Y eso sigue sin resolverse en este nuevo marco que se está elaborando. Entre los puntos novedosos de esta propuesta, que no es definitiva y a la que le queda aún mucho trámite, es que tiene que haber una cooperación necesaria entre las agencias de EEUU y las autoridades de la UE, la CE y el Comité de Protección de Datos. Además, se plantea que, una vez entre en vigor, se revise al cabo del año y después con una periodicidad de tres o cuatro años. La idea es que incluya un procedimiento de derogación de emergencia que permitiría que se pueda volver a cancelar si se comprueba que los problemas siguen ahí. Pero todo esto no es definitivo. El siguiente paso es que lo revise el Parlamento Europeo y todavía no se sabe cuándo ni cómo lo hará.

-Parece, por un lado, que la Unión Europea se mueve muy despacio, que todo tiene que pasar por muchísimos trámites burocráticos. Por otro, diría que a EEUU le interesa más controlar la cuestión comercial, de libertad de mercado y abuso de competencia, que la protección de los datos o la privacidad del usuario. Son mentalidades opuestas que no debe de ser fácil encajar.

-El principal escollo es ese, que son intereses diferentes, pero habrá que llegar en algún momento a un consenso. A EEUU le interesa que ese flujo de datos no se detenga. Y hay muchas empresas europeas con sedes allí. A nivel corporativo, se busca esa necesidad de protección. El RGPD proporciona, en esos casos en los que debes transferir un dato internacionalmente a un lugar que no se considera que tiene esas garantías de seguridad, unas cláusulas contractuales tipo elaboradas por la Comisión Europea, una serie de mecanismos que puedes utilizar. Pero, en el caso de Meta, por ejemplo, eso no sería suficiente, porque las autoridades de EEUU pueden seguir accediendo a esos datos por medio de requerimientos.

-Tiene entonces razón Zuckerberg cuando dice que el marco regulatorio en la UE es mucho más estricto.

-Nosotros trabajamos con muchos clientes de Latinoamérica, de países como Ecuador o Chile. Muchos de estos países tenían sus normativas de protección de datos, claro, pero en concreto en el caso de Ecuador, en mayo publicó una nueva normativa que es muy similar al RGPD, con cláusulas casi idénticas. En Europa tenemos un sistema muy garantista y hay muchos países que, al empezar a desarrollar esa preocupación por la seguridad del dato, se están basando en nuestro modelo de cumplimiento.

-De un tiempo a esta parte, cuando las grandes tecnológicas presentan productos (el último caso han sido las gafas Apple Vision Pro), inciden mucho en cómo protegen los datos de los usuarios. Lo vemos en anuncios de Apple pero también de Samsung, por ejemplo, con su plataforma Knox.

-Es llamativo que las grandes compañías empiecen a hablar de la seguridad y la privacidad en los anuncios de sus productos. Las grandes compañías, como comentaba al hablar de Microsoft, están vendiendo que cumplen, que tienen esa preocupación por la privacidad y la seguridad que antes existía, pero quizás de forma no tan destacada. Ahora, cuando una empresa plantea un producto, la privacidad es una pata que tiene que abordar sí o sí, con prácticas o precauciones en el manejo del dato en las que antes a lo mejor ni reparaban. Los famosos conceptos de anonimización, seudonimización del dato, bloqueo… están más en auge desde la entrada en vigor del RGPD. La idea que tratamos de trasladar a las empresas es que, si no necesitan el dato personal, que no lo utilicen, o que lo anonimicen. No son procesos técnicamente sencillos, pero se pueden llegar a implantar.

Inteligencia artificial

-Vayamos al tema de moda: la inteligencia artificial. ¿Es peligrosa? ¿Qué riesgos comporta para la seguridad y la privacidad?

-El famoso ChatGPT, que se usa tanto, parece que al principio utilizaba la información que subías para elaborar sus propios modelos y mejorar esa inteligencia. Microsoft, al comprar una parte de ese código fuente de OpenAI, ha introducido más transparencia. La principal precaución con la inteligencia artificial, con los chatbots de este tipo, es que hay que saber si el servicio o producto que uses te asegure que protege todos los datos que tú quieras subir. Puede que haya productos de inteligencia artificial que no lo garanticen o que contengan políticas de privacidad un poco oscuras, que por ejemplo no llegan a decir exactamente cuál es el origen del dato. En este sentido, OpenAI ha actualizado recientemente sus políticas de privacidad, sobre todo a raíz de la investigación del uso de ChatGPT por distintas autoridades de protección de datos.

-Además, es una tecnología que ha despuntado de forma exponencial en muy poco tiempo, con cambios casi cada día.

-Estamos en el proceso de intentar entender todo este mundo porque sobre todo a nivel legal hay muchas zonas grises. Las empresas lo quieren utilizar a más no poder, muchos clientes nuestros nos preguntan y las posibilidades y formas de uso, lo que cada uno quiere hacer con ella, son infinitas. Lo que aconsejamos es que se tenga cuidado, que se sea consciente de que lo que se sube puede quedar expuesto a terceros. Nosotros, a nivel interno, ya hemos empezado a mostrar avisos para nuestros empleados, para que tengan precaución al usar o subir datos a servicios que no tengamos contratados o supervisados, como un consejo de seguridad más.