Intervención Inaugural en el IIII Congreso Nacional de Privacidad APEP.

Una de las cosas que hacen apasionante el ejercicio de nuestra profesión es sin duda el cambio constante. Pero en nuestro caso se produce un fenómeno singular. Ciertamente la evolución tecnológica aparece como un proceso acelerado al que con el legislador y el juez intentan acotar con harta dificultad. Sin embargo, para los aquí presentes, para los profesionales comprometidos la visión se parece más bien a ciertas escenas de Matrix. De algún modo en nuestro universo profundamente “techi”, y da igual si Vd. es jurista, informático o de cualquier otra procedencia, la familiaridad con la tecnología es un requerimiento tan intenso que por decirlo en un lenguaje coloquial: las vemos venir.

Verán, en los comentarios de pasillo con toda seguridad se dirá que acabamos hablando casi siempre de lo mismo: nuevo Reglamento, -y algunos llevamos con nuevos Reglamentos de uno u otro color desde 2005-, big data, smart cities, wearables, interés legítimo, olvido, cloud y cookies, menores, APPS, PIA’s y auditoría.

Y es cierto, radicalmente cierto, hablamos tantas veces de estos temas porque actuamos como una especie de sonda capaz de detectar el maremoto con una leve vibración. Porque en privacidad es radicalmente cierto que “el aleteo de las alas de una mariposa se puede sentir al otro lado del mundo” (proverbio chino) y que cuando una mariposa bate sus alas en Hong Kong, puede provocar una tempestad en Nueva YorK”. Los expertos en privacidad, créanme, somos un sistema de detección precoz del cambio. Y con toda seguridad el modelo de privacvy by design, que con ese u otros nombres como “implementación” venimos aplicando desde hace lustros nos obligan a estar atentos a los cambios en nuestro medio con la finalidad de diseñar estrategias adaptativas.

Precisamente por eso, porque de gestión del cambio, de desarrollo tecnológico y cumplimiento normativa se hablará en las próximas horas, les pido respetuoso permiso para concederme el privilegio de ser egoísta y de hablar de nosotros, de los profesionales y por qué no, de la APEP.

Decía Ignacio de Loyola que en tiempos de tribulación no hay que hacer mudanzas. Nos toca resistir el embate de los elementos, y como el vigía del barco atarnos al mástil y capear la tempestad oteando el horizonte hasta encontrar la luz del faro que nos guíe al puerto.

Los profesionales hemos sufrido mucho. Pero por favor no tomen esta frase como llanto de plañidera, es una constatación. En la tramitación del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, no se admitió ni siquiera introducir una referencia en el Titulo VIII no ya a los profesionales de la seguridad, ni siquiera a los estándares o metodologías de auditoría comúnmente admitidas.

Posteriormente, hemos padecido el embate de la llamada LOPD coste Cero, la actuación de empresas sin escrúpulo alguno que regalan un asesoramiento de una calidad vituperable a cambio de embolsarse los fondos de formación para unos cursos que o no se imparten o se entregan en un DVD que nadie usará. Y así lo hemos hecho saber a la Fundación Tripartita, a la Agencia Española de Protección de Datos, a los medios de comunicación. Y lo hemos denunciado a las autoridades laborales una y otra vez sin el menor apoyo, sin una respuesta efectiva. Y voy a serles sincero, lo vamos a seguir haciendo por convicción ética y moral, porque nuestro deber es velar por la calidad y buen hacer de nuestros profesionales.

Los profesionales nos hemos ganado una bien merecida independencia pese a la carencia de una línea institucional de ayuda, porque se diría que nosotros no somos ciudadanos a los que atender. Curiosamente, incluso cuando la Propuesta de Reglamento pudiera erigir al DPO en interlocutor útil y necesario, en suelo patrio se aplica un modelo de independencia malentendida.

Los profesionales hemos debido soportar el que se diga que la “LOPD es algo gratuito”, “es algo sencillo”, es “algo que puede hacerse uno mismo”. No parecen pensar los mismos las PYME sancionadas por no ser capaces de hacer un análisis de cookies conociendo lo que se comenta en foros especializados de internet. Pero no se preocupen Vds. porque parece que la LOPD en esencia consiste en inscribir un fichero, copiar una política de privacidad, a veces olvidándose de cambiar el responsable, y copiar un documento de seguridad sin ni siquiera eliminar el logotipo de la autoridad que redactó el modelo.

Esta constante banalización de la LOPD ofrece un resultado evidente, lean Vds. los informes de INCIBE. En 2008, según INCIBE (entonces INTECO) un 85% de las Pymes españolas no conocían el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y 96% declaraba tener ficheros un 78% de los cuales con datos personales. De ellas, un 47 % no los había inscrito y un 16% no sabía de qué se les hablaba, pero curiosamente un 84% declaraba estar cumpliendo. En 2012 la segunda oleada del mismo estudio señalaba en su resumen ejecutivo que el 57,5% de las empresas afirmaba haber inscrito sus ficheros en la AEPD. La estimación de INTECO era que solo el 31,8% lo habían hecho. El 1 de abril de 2015 dicho estudio todavía resonaba y CSO Computer World titulaba «La LOPD, asignatura pendiente de las PYMES», afirmando que «Según DAS Internacional, la Ley de Protección de Datos (LOPD) es una asignatura pendiente para las pequeñas y medianas empresas españolas».

Y ahora, cuando en el horizonte se apreciaba la aparición de la figura del delegado de protección de datos la versión del Consejo rebaja cualquier expectativa. Y lo hace de dos maneras, disminuyendo la definición funcional del DPO y convirtiéndolo en una figura disponible para el Derecho Nacional.

Lo primero no debe preocuparnos en exceso. Un campo de juego un poco más amplio e indefinido puede ofrecer multitud de oportunidades. Lo segundo dependerá de nuestro Gobierno. Y a nuestro Gobierno no le pedimos que obligue a empresas y administraciones a proveerse de un DPO, como muchos podemos atestiguar, cuando lo necesitan lo hacen.

Pero en España según el INE el 1 de enero de 2014 había 3.119.310 empresas, la mayoría de las cuales no pueden pagar un DPO a tiempo completo. Lo sabemos. Pero habiendo desaparecido el deber de inscripción para cumplir bien la LOPD necesitarán apoyo en el análisis, en la Privacy by Design, en las Privacy Impact Assessment, en la implementación de la seguridad. Pedimos a nuestro gobierno que llegado el caso apueste por un modelo de geometría variable que obligue en función de la naturaleza y riesgos de los tratamientos a contar con un profesional en estas fases de diseño, en el mantenimiento de las políticas y en la auditoría. Hablamos de servicios part time fácilmente dimensionables y rentables en la relación coste-beneficio. Ya hemos experimentado ese modelo en los profesionales que realizan informes previos obligatorios al inicio de una actividad, y en prevención de riesgos laborales. No es ninguna novedad.

En nuestra particular aventura APEP ha trabajado desde el rigor, se ha provisto de un consejo académico independiente, cuenta con un plan de formación riguroso y está en condiciones óptimas para contribuir a la definición de lo que es un DPO y cuáles son sus capacidades. Durante nuestro mandato, esta Asociación ha colaborado lealmente con el Congreso de los Diputados, con el Foro Nacional de la Confianza Digital en la Secretaría de Estado de Telecomunicaciones, y Sociedad de la Información de la SETSI, con el Grupo de Trabajo Público-Privado de Menores e Internet de Red.es, con INCIBE, ha desarrollado actividades de compromiso social con los menores.

Y podría continuar, nuestro Gobierno, nuestras empresas y administraciones nos encuentran a su lado desde el respeto y el rigor promoviendo la privacidad. Y vamos a seguir haciéndolo desde la independencia sin peajes, desde el convencimiento de los profesionales de la privacidad españoles están altamente cualificados y merecen reconocimiento también institucional por parte del regulador en cuyo consejo ni siquiera participan. La independencia no puede confundirse con la ajenidad, la sociedad digital avanzada exige un compromiso militante con el diálogo. Las redes sociales de todo tipo han puesto sobre la mesa un nuevo concepto: la conversación han reactualizado un elemento fundamental para el progreso del derecho y la tecnología. Preparando este discurso vienen a mi memoria mis clases de filosofía del derecho de hace veinte años y el ideal de consenso racional de Habermas. No se puede no estar en un sitio donde la conversación se produce, en una sociedad democrática no se puede hablar desde púlpitos y despachos, no se puede obviar ni el debate ni a sus protagonistas. Y no estar allí donde nuestra aportación sería del todo enriquecedora es algo doloroso y poco comprensible desde el punto de vista del servicio público.

Y vuelvo por donde anduve, nuestra profesión está en constante mudanza incluso en tiempos de tribulación, navegamos en las fronteras del Derecho sin miedo las quimeras que en los mapas señalan el abismo del fin del mundo. Miramos sin miedo a la terra incognita y estamos dispuestos a explorar y a descubrir, y creedme amigos y amigas de profesión, como presidente de esta asociación y con toda humildad me siento orgulloso de todos y cada uno de vosotros y de vosotras, porque con esta tripulación estoy convencido de que el barco no zozobrará.