Cómo pueden afrontar las empresas TIC la aplicación del nuevo Reglamento General de protección de datos.

Intervención en el evento de entrega de los Premios APDCAT.

Muy Honorable Sra. Presidenta del Parlamento de Cataluña, Ilustres señoras y señores diputadas y diputados, Ilustrísima directora de la Autoridad Catalana de Protección de Datos, señores y señoras.

Responder a la pregunta sobre cómo pueden afrontar las empresas la aplicación del nuevo Reglamento General de protección de datos no es precisamente una tarea sencilla y es imprescindible hacerlo con prudencia, humildad y compromiso. En este sentido, les ruego que entiendan mi intervención como una aportación más en un debate que tiene que ser a la fuerza colectivo si queremos que sea eficaz.

En mi opinión, nos encontramos ante un reto multidimensional que enfrentará los empresarios catalanes a valores éticos y jurídicos esenciales. Que proporcionará oportunidades significativas de crecimiento de una economía digital catalana y de apostar por nuevos modelos económicos. Este Reglamento, bien entendido y bien aplicado podría ser el motor de un escenario de innovación digital que ponga a las personas y la garantía de su seguridad y libertad en el centro de todas las cosas.

Pero los retos sólo podrán ser resueltos, entendidos y superados por el tejido empresarial, si el Parlamento de Cataluña, si su Gobierno y si la Autoridad Catalana se ponen a trabajar desde este mismo momento. Quizás se cuestionen las competencias de esta última sobre el sector privado. No hablamos ahora de esto. Las cifras demuestran que allí donde existe una autoridad autonómica el cumplimiento de las entidades públicas crece y el efecto de su ejemplo es traslada al entorno privado de manera inmediata.

Hay que entender también que la contratación pública alineada con el Reglamento desplegará unos efectos directos en los proveedores. También las redes de investigación universitaria pública, la sanidad, y su interacción con el sector privado industrial y empresarial, influyen en el crecimiento de una economía digital y de un marco de investigación sobre personas y datos que reclama orientación y guía práctica. Hablamos finalmente, sobre como la tarea ejemplificadora de la autoridad Catalana de Protección de Datos cuya entrega de un Premio nos reúne aquí, resultará sin duda fundamental y tendrá que crecer en acciones y contenidos.

Desgraciadamente tengo que empezar con un análisis de riesgos. Nuestras empresas van a necesitar de ayuda, apoyo y formación y les aseguro que la van a recibir de muchas maneras. Hemos padecido y sufrimos la lacra de las empresas del Coste Cero que han desviado recursos públicos para la formación regalando el asesoramiento.

Desgraciadamente tenemos por delante tiempos en los cuales pretendidos gurús y expertos venderán humo amparados por la imagen pública que a veces confieren las siglas de falsas o verdaderas organizaciones. Y ustedes verán como nos dicen que con tres tardes y mil euros nos hacen expertos en el Reglamento, o cómo algunos se arrimaran al poder para recibir una autoridad prestada que no les corresponde por puro contacto físico con un cartel o una mesa.

Tenemos que asegurarnos que los profesionales sean capaces de identificar la calidad ya que, como tristemente y ha pasado, de manera no intencional avalamos a personas y colectivos que lejos de pensar en el bien común verán en este reglamento una manera de enriquecerse y prestigiar su imagen. La formación, en esta materia tiene que ser rigurosa, orientada a proveer competencias, y confiable para las organizaciones.

En veinte minutos no hay tiempo, ni se debe profundizar en la explicación de una norma compleja. Me permitirán, y me perdonarán, que me fije en dos conceptos fundamentales: accountability y protección de datos desde el diseño y por defecto. El uso del anglicismo no responde a ningún esnobismo jurídico. Estamos incorporando sin duda una nueva filosofía una manera de hacer y entender las cosas que supera la concepción social latina de la responsabilidad.

No se trata de que sea la comisión de una infracción material el elemento determinante de la exigencia de responsabilidad. Hay que hacer algo más interesante y productivo. Es necesario que empresas y administraciones pongan los medios, los procesos, las garantías que permitan estar en condiciones de cumplir la norma, y de acreditar que esta capacidad la tenemos de manera efectiva.

Y en esta nueva manera de entender el cumplimiento normativo la protección de datos desde el diseño y por defecto opera de manera determinante. A pesar de que a nuestras empresas les pueda parecer un concepto nuevo y de difícil comprensión dispone de una traducción suficiente comprensible: «usted tiene que poner la privacidad como requerimiento desde el primer momento de concebir un producto, un proceso o una tecnología y garantizar que su desarrollo sea respetuoso con el derecho a la protección de datos y, por conexión con los derechos fundamentales de las personas». Hablamos por lo tanto de que el crecimiento de la economía digital y de la sociedad de la información tiene que estar regida por un humanismo tecnológico que ponga las personas y sus datos en el centro de nuestras decisiones con un horizonte claro: garantizar su libertad de autodeterminación.

Y esto tiene una primera consecuencia muy directa y comprensible: tratar los datos proporcionales e indispensables, el derecho a la protección de datos por defecto. Ahora bien, hay toda una serie de previsiones, como por ejemplo el deber de ampliado de transparencia o información al afectado, la portabilidad de los datos, el derecho al olvido, el registro y documentación de los tratamientos, la práctica de análisis de riesgos en determinados casos, o la garantía de la seguridad y la notificación de violaciones graves a las personas afectadas, que constituyen el objeto y la concreción material de esta accountability de la cual hablábamos.

Llegados a este punto, querida directora me permito la licencia de cambiarle el título a esta mesa. Porque yo creo que la pregunta tendría que ser como pueden afrontar las empresas TIC las oportunidades del nuevo reglamento general de protección de datos. Porque las oportunidades son muchas y las tenemos ante nosotros.

En primer lugar, la aplicación del Reglamento no puede ser concebida como un coste sino como una inversión. Y esta inversión nos permitirá sin lugar a dudas una mejora de todos nuestros procesos que determinará sin ningún tipo de duda en una mejor administración de los recursos humanos y materiales y una mejor calidad y confiabilidad de nuestra información.

Pero no sólo esto. La respuesta a las preguntas que plantea el Reglamento tiene que enfocarse por las empresas TIC, por el conjunto del tejido empresarial y por las administraciones, como la apertura de un nuevo ciclo de innovación “privacy-oriented” que si se usa en inglés suena ahora si bastante más autoritativo. Y este ciclo se tiene que concebir desde el punto de vista de la teoría de los juegos como una apuesta en la que todos ganamos.

Y por eso los buenos profesionales serán imprescindibles en todas partes. En primer lugar en este Parlamento y en el Gobierno de Cataluña. No hace mucho, la Generalitat Valenciana ha aprobado una ley con una Disposición Adicional bastante sorprendente. La norma que busca la publicación de las cuentas de la Generalitat no se limita a decir aquello de “se tiene que garantizar el derecho a la protección de datos”. Fija un plazo para hacer una evaluación previa de impacto en la privacidad. En el futuro, el Parlamento de Cataluña legislará en muchos ámbitos donde la protección de datos estará y deberá tenerla presente de manera material y no puramente formal.

En segundo lugar, la ayuda, las guías prácticas, el fomento de actividades confiables, la capacidad de escuchar y dar respuestas por parte de la APDCAT será crucial no sólo en cuanto a su papel de garante de un derecho fundamental sino para el conjunto de la economía catalana.

Por último estamos los profesionales. No nos tienen que menospreciar, estamos llamados a ser el interlocutor necesario, el catalizador que haga posible que las empresas cumplan la norma. Y aquí la figura del delegado de protección de datos será fundamental. Debo decirles que no estoy aquí para vender ningún producto, ni para exigir privilegios. Más bien al contrario, hablo de una figura de geometría variable que allí donde los procesos sean intensivos y masivos, como las universidades o Diputaciones o ya existe o existirá a tiempo completo, pero que por ejemplo tendría que acompañar con un informe técnico el inicio de tareas a una pequeña consulta médica o farmacia.

Ahora bien, aquí los profesionales tenemos una sería responsabilidad. No somos ni propietarios, ni autoridades de protección de datos. Tenemos que ser vehículos y catalizadores, salvo en caso de ilegalidad manifiesta lo que nos pide la protección de datos desde el diseño es una respuesta sobre “cómo hacer algo”. Y por eso, debemos apostar por una formación rigurosa y de alto vuelo que nos capacite en términos jurídicos, tecnológicos y organizativos. Una formación de calidad orientada a competencias y además verificable.

Y a base de ser desagradable me tendrán que dejar compartir una reflexión, no se fíen de pretendidos registros de expertos, ni del divismo de algunas personas, ni de los falsos debates sobre el perfil formativo. Necesitamos que nuestras empresas cuenten con profesionales formados mediante una oferta formativa verificada, confiable y de calidad. Y en esto los poderes públicos no pueden restar inactivos.

Para acabar querría compartir una reflexión final. En mi opinión a pesar de que podemos reservar la definición de empresas TIC bien para las empresas de innovación del sector de las tecnologías de la información, bien para las empresas intensivas en el tratamiento de información de todo tipo, todas las empresas, todas las administraciones o ya son TIC, o lo serán en breve, o excepto en el sector productivo más básico desaparecerán. Si mi abuelo Vicente levantara la cabeza y viera como las naranjas que se venden por internet han permitido el mantenimiento de pequeños negocios agrícolas familiares que ofrecen calidad frente a las multinacionales alimentarias, no lo creería.

Creo que es nuestro deber de recordar ahora casos como las Sentencias Costeja-Google, Digital Rights Ireland, o Schrems y también recuperar todos los escándalos recientes con pérdidas de millones de datos por carencias de seguridad. Vemos aquí los peligros de un Estado vigilante sin limitaciones, de la falsa imagen pública de nuestra identidad, o de la permanente exposición al peligro de nuestra información.

Los hechos demuestran que a la sociedad digital  existen muchas oportunidades de apostar por un capitalismo depredador de datos y personas, por un modelo de explotación publicitaria que lejos de informar trata de influir si no de falsificar y manipular las preferencias del consumidor. Se trata de un modelo en el que sólo rige la regla de si puedes hacerlo y ganar dinero tienes que ir adelante sin ninguna otra consideración. Hablamos de un mundo en el que los menores y su imagen se comercia por centros escolares que para obtener una buena opinión en un blog abren las puertas a un presunto delincuente sexual. Les hablo de un mundo en el que el scoring o la analítica de los datos podrá discriminar en el trabajo, en la salud o en el acceso al crédito a partir de nuestros comentarios en una red social. Teóricos como Baugman, David Lyon, Mayer-Schonberger, Rodotà o el precursor Alan Westin, nos advierten sobre como la sociedad vigilada ya no es patrimonio del estado sino de las corporaciones.

En cuanto a Cataluña el debate puesto en marcha por la iniciativa VISC+ hizo patentes no sólo los riesgos, sino también el potencial uso demagógico de nuevas formas de ludismo tecnológico.

Ante este estado de cosas el Reglamento proporciona una guía, un camino que puede hacer a nuestras empresas productoras de tecnología confiable y segura. Y puede hacer de la nuestra una economía digital competitiva desde la ética de los derechos humanos.

Deben creerme si les digo que nos jugamos mucho, que las autoridades tienen que hacer posible el desarrollo de las TIC con la difícil tarea de adoptar decisiones restrictivas muy ajustadas, con un dibujo de trazo fino. Pero deben creerme también si les digo que nos jugamos también nuestro modelo de libertades.

Y en cambio en nuestro horizonte se otea un mundo en el que Big Data y salud revolucionen la medicina, donde nuestros ancianos estén afectivamente conectados con su familia, donde la biónica y la robótica hagan que los ciegos vean y los paralíticos anden, donde una democracia y un gobierno ciudadano, social y colaborativo sea viable, donde el sueño Kantiano de atreverse a saber esté al alcance de todos sin discriminación social, ideológica, racial o económica.

Para lograr esta utopía, como Ulises nos encontramos perdidos en el Mediterráneo, y el Reglamento constituye sin duda un cuaderno de bitácora que a pesar de que no nos conducirá a Ítaca nos permitirá disponer de puertos seguros lejos de sirenas y cíclopes.