Los profesionales de la privacidad: una profesión para el futuro.

Intervención en el Congreso Nacional de Privacidad de APEP. Mayo de 2011.

Estimados compañeros y compañeras.

Debo sinceramente agradecer la oportunidad que me brinda la Asociación Profesional Española de Privacidad de comparecer en este Congreso y espero hacer honor a la confianza que se ha depositado en mí al plantearme desarrollar esta ponencia.

En cierta medida esta intervención tiene un especial valor afectivo. Permitidme contar alguna vieja batalla de abuelo cebolleta. Hace algún tiempo, en 1993 un investigador algo más joven que hoy, se personaba ante la ventanilla de su universidad dispuesto a obtener por la cara una copia de su expediente. Bueno por la cara, y por el derecho de acceso de la LORTAD. La respuesta que recibió fue clara, precisa y contundente: aquí esa ley no la aplicamos, hay que pagar un certificado.

Desde aquel primer fracaso, al que han seguido muchos otros para que os voy a engañar, ha llovido algo y quien os habla ha ido acumulando las experiencias que me han llevado aquí. No diré que debido a la rabieta, un motivo muy español, pero lo cierto es que unos años después me incorporaba a la plantilla de la misma universidad como responsable de protección de datos. En aquellos años batallé duramente con mis compañeros del Servicio de Informàtica, cuya paciencia para hacerme entender todos y cada uno de los conceptos técnicos necesarios resulto de un valor inestimable agradezco.

Al margen de aspectos relacionados con la docencia y la investigación, mi paso por Justicia y la Agencia Española de Protección de Datos, que me temo que muchos de los asistentes habrán sufrido, cierra un circulo que creo que me proporciona una atalaya privilegiada.

Toda esta experiencia me ha permitido aprender algunas cosas que ahora pretendo compartir con mis compañeros. Y que enuncio para después desarrollarla:

  1. El derecho a la protección de datos es un derecho esencial, es el elemento nuclear para garantizar la libertad del individuo en la sociedad de la información.
  2. El papel de los profesionales de la privacidad en nuestra sociedad es esencial para el respeto de este derecho y además incorpora valores positivos que benefician a las organizaciones.
  3. Necesitamos que nuestra profesión se consolide, que el nuestro sea un perfil reconocido y sólido. Debemos ser conscientes de que nuestro ámbito profesional es plural y multidisciplinar, y debemos aprovechar la riqueza que nos proporciona una unidad de objetivos con una pluralidad de perfiles.
  4. El papel del asociacionismo en nuestro ámbito es esencial, y debe hacerse desde aquí una llamada a la unidad de acción.
  5. Los retos para el futuro de la privacidad son inabarcables y nuestro papel profesional y personal para hacerles frente es inestimable.

Debo subrayar, que esta no es sólo mi ponencia y agradecer a todos los que en Linkedin aportaron hace unas semanas su granito de arena en la discusión que allí se planteó. Las conclusiones positivas que de mi intervención se deriven pertenecen al patrimonio común, lo polémico o lo equivocado que en mis palabras exista, sólo a mi se debe imputar.

  1. El derecho a la protección de datos es un derecho esencial, es el elemento nuclear para garantizar la libertad del individuo en la sociedad de la información.

Como profetizó Negroponte, como nos mostró Matrix, amigos, amigas, me temo que vosotros y yo no somos otra cosa que bites, terabites de información disponibles para cualquier uso. Ahora que el paradigma informático ilustra incluso la neurobiología y penetra todos los ámbitos de las ciencias sociales existe una verdad quasi evidente: esencialmente somos información.

En el plano más básico, mientras escucháis juzgáis como visto, como hablo e incluso a Julián mis feromonas le transmiten información que de modo inconsciente esta procesando. Nada comparable con un buscador, la trazabilidad de las cookies o la geolocalización de mi smartphone. Si en los 90 el Grupo del Artículo 29 ponía como ejemplo una autobúsqueda de un periodista norteamericano ¿Qué podemos encontrar hoy?

La web 2.0 multiplica de modo exponencial esta realidad. En las redes sociales, nuestra opinión, nuestras compras, nuestra localización cualquier elemento vinculado o vinculable a un dispositivo capaz de almacenar información nos define frente al mundo. En el mundo internet es insuficiente el viejo paradigma de los derechos frente al Estado que inspiró la Declaración de Derechos de la Constitución de los Estados Unidos o la Declaración de los Derechos del Hombre y del Ciudadano.  Nuestra libertad depende de cada corporación, de cada empresa, incluso de cada individuo capaz de procesar información. El mundo de Orwell no es un mundo sólo del y para el estado. Cada uno podemos ser opresores u oprimidos, cada uno podemos ser el Gran Hermano.

    En un contexto así, educar en privacidad, implementar la tecnología de modo que respete la vida privada, y garantizar el cumplimiento normativo resulta esencial para garantizar nuestra libertad. Y esto, no convierte a nuestra profesión  en vocera de una obligación que sufrir. Al contrario, la dota de una dimensión social y política que debe conducirnos a estar orgullosos de ella, pero a la vez, nos atribuye una enorme responsabilidad que debemos soportar sobre nuestros hombros con rigor y tenacidad.

  1. El papel de los profesionales de la privacidad en nuestra sociedad es esencial para el respeto de este derecho y además incorpora valores positivos que benefician a las organizaciones.

Precisamente por ello, nuestra tarea necesita ser socialmente visible y reconocible. Pero, permitan que descienda a un plano seguramente menos elevado. Que la información constituya el elemento nuclear, el petróleo de la nueva sociedad influye de modo determinante sobre su tratamiento.

Es evidente que las organizaciones prefieren que el individuo les facilite esa información de modo voluntario y confiado, cae por su peso que la adopción de decisiones basada en procesos intensivos de información y conocimiento requiere de información confiable, es de Perogrullo, que habrá que proteger la información. Y todo eso, es lo que aportamos los profesionales de la privacidad: seguridad, calidad, confianza, profesionalidad.

Se suman en los últimos tiempos demasiados errores, demasiados diseños aventurados pensando que todo es posible, que los ciudadanos lo soportan todo. Y no es así. Si la vivada ya no existe, y nos importa un pimiento, como afirma cierto gurú de las redes sociales, como sociedad en libertad estamos abocados al fracaso. Si como firmemente creo, el individuo siempre busca la libertad tarde o temprano la conciencia social e individual respecto de la tutela de la información formará parte de esos derechos inalienables e indiscutibles que la sociedad considera intocables.

Y en este contexto los profesionales de la privacidad somos una herramienta indispensable y no sólo desde el punto de vista profesional, nuestra responsabilidad individual  y nuestro compromiso social es ineludible.

  1. Necesitamos que nuestra profesión se consolide, que el nuestro sea un perfil reconocido y sólido. Debemos ser conscientes de que nuestro ámbito profesional es plural y multidisciplinar, y debemos aprovechar la riqueza que nos proporciona una unidad de objetivos con una pluralidad de perfiles.

Para desempeñar adecuadamente nuestra profesión, para cumplir con esa misión a la que me acabo de referir necesitamos que nuestro perfil profesional sea reconocido y reconocible. Todos recordamos cómo se reivindicó el la figura del auditor de seguridad, desde aquel curso en la UIMP en Santander cuya realización se pierde poco menos que en el horizonte de lo mítico. Mucho hemos discutido en Linkedin sobre si somos galgos o podencos, y como en la fábula me temo que o hacemos algo al respecto o nos van a cazar.

Seamos sinceros el nuestro es un oficio de frontera, puede que no seamos conscientes, pero somos pioneros. Y como tales, hemos llegado a este mundo desde los más variopintos y remotos lugares. Algunos, entre los que me encuentro nunca cursamos un master sobre protección de datos. Y ésto nos sitúa ante una realidad en la que convivimos abogados e informáticos, profesionales de las relaciones laborales, del marketing o de la economía. Y esta pluralidad, que nos enriquece, no es algo que discutir: es un hecho.

Sin embargo, esta no es una situación que se pueda mantener durante mucho tiempo. Como ya ocurrió en algunos oficios, hoy universitarios, los pioneros, vengan de donde vengan adquieren legitimidad por el ejercicio. Pero en muy poco tiempo, el implacable y necesario rodillo de la estandarización hace inviable el mantenimiento de este estado de cosas. El mercado, necesita seguridad, necesita saber qué perfil contrata y que capacidades y competencias tendrá el profesional que va a seleccionar.

Fracasada la presión  durante la tramitación del reglamento hemos apostado por distintos modelos. En primer lugar, han aparecido las conocidas certificaciones. Siguiendo un modelo muy querido al mundo anglosajón, y a los perfiles técnicos, hemos buscado el modo de acreditar ante la sociedad lo que sabemos. Los pioneros por medio del granfathering, el resto mediante un proceso de demostración objetiva de los conocimientos  de los que se disponen.

Sin embargo, debemos ser autocríticos. En este ámbito lejos de buscar consenso, tenemos divergencia y competencia. Y si la competencia es un valor positivo en casi todos los ámbitos de la economía, tal vez no lo sea tanto cuando genere inseguridad.  No esperéis de mí un discurso complaciente en este tema. La convergencia, y la unidad de acción son irrenunciables y urgentes.

Y no me refiero sólo a una convergencia asociativa a nivel nacional y sobre todo internacional. Es evidente que converger con IAPP o ISACA puede tener su valor.  La Convergencia va más allá. Bolonia se planta ante nosotros como un reto para la universidad en la formación por competencias. Las facultades y escuelas de informática, al menos algunas de ellas se plantean ya desde el grado la especialización en auditoria de seguridad. En la mayor parte de las facultades de derecho me temo que el derecho a la protección de datos ni está ni se lo espera. Mientras, si las autoridades lo permiten, ya os lo adelanto que surgirán posgrados oficiales como setas que se contaminarán con la ya endémica titulitis de la Universidad Española.

¿Qué parte de esta formación universitaria de imparte por investigadores expertos en la materia? ¿Qué cauce va a dar entrada a profesionales en ejercicio en la docencia de estos cursos? ¿Qué grado de formación multidisciplinar técnico-jurídica reciben los futuros profesionales? ¿Cómo se desarrollan sus prácticas? E

El tejido asociativo debe encontrar fórmulas de relación que le permitan influir en todos estos procesos.    Los profesionales en ejercicio como docentes, como asesores, como DPO, tenemos la responsabilidad moral de influir para que ese proceso consolide lo que ya sabemos: que los profesionales españoles de la privacidad tienen una calidad excepcional y deben mantenerla, aunque se porque a diario se enfrentan a la norma que tiene fama de ser la mas rigurosa del planeta.

Evidentemente, lo complejo será definir perfiles y competencias. Como sabéis hay esfuerzos en esta línea. En esta materia el interesante debate que abrimos en Linkedin definió un conjunto de aspectos relevantes que me limito a reproducir. Vaya por delante, que no entraré aquí a detallar los conocimientos normativos y técnicos necesarios por todos conocidos y cuya exposición aquí resultaría prolija. En este sentido, coincido con aquellos compañeros que huyendo de etiquetas reivindican una definición clara de funciones y posiciones en el organigrama de las organizaciones.

No obstante, de nuestro debate compartido se dedujo que:

  1. Ya sea desde el interior de la organización ya sea como asesor externo la nota de independencia es un requisito indispensable.
  2. Esta independencia debe acompañarse por  una capacidad de decisión adecuada ya que se trata de garantizar, de manera independiente, el cumplimiento de las obligaciones previstas en la Ley.
  3. Desde la perspectiva de la accountability, como responsabilidad jurídica de las organizaciones, el profesional puede cumplir una función de control de cumplimiento normativo ya sea interno o externo, que en muchas ocasiones imponen regulaciones específicas.
  4. Nuestro rol debe ser proactivo y positivo, ofrecemos calidad, seguridad y confianza. No somos el ave de mal agüero que precede a la catástrofe. Aportamos valor añadido, la privacidad esta llamada a ser una ventaja competitiva. Ya lo está siendo para alguna empresa muy significada en el panorama nacional.
  5. Debemos plantearnos muy seriamente si la figura del DPO, opcional en el art. 18 de la Directiva, y obligatoria en las Instituciones de la Unión Europea debe incorporarse a la LOPD.
  6. El papel del asociacionismo en nuestro ámbito es esencial, y debe hacerse desde aquí una llamada a la unidad de acción.

Ninguno de los retos y de los cambios que acabo de apuntar puede hacerse sin nuestra participación. Y esa participación a mi juicio, en una lista desde luego ni cerrada ni definitiva debería tener en cuenta:

  • El mundo de la educación y el reto de la formación continuada.
  • El plano político.
  • La lacra de la competencia desleal.
  • La concienciación de los responsables de ficheros y en particular de las PYME.
  • Nuestra responsabilidad social.

Desde el punto de vista de la educación universitaria, debemos desarrollar esta tarea de influencia social de una manera proactiva con los Decanos y Directores de facultades y escuelas universitarias y con los colegios profesionales. No podemos renunciar a nuestro papel, tanto desde el punto de vista de los perfiles predominantemente jurídicos como de los informáticos o técnicos, y sin perder de vista horizontes como el de la implementación de políticas de calidad, responsabilidad social corporativa o e-government. Estamos en todos estos planos  y en muchos otros todavía por descubrir.

En nuestro ámbito, disponer de perfiles diversos, ser multidisciplinares, no es una consecuencia es una necesidad y tenemos que ponerla sobre la mesa.

Pero además, ya sea desde un punto de vista asociativo, ya sea desde cualquier otro debemos empujar para disponer de una universidad atenta a los nuevos fenómenos y comprometida con la formación continuada. Y, me temo que si la universidad no asume el reto nosotros mismos deberemos proveer de esos contenidos.

En un plano político y hablando de participación. ¿Cuántos profesionales de la privacidad han participado en la reciente reforma de la LOPD que no tuvieran la condición de funcionarios de la autoridad garante? ¿Cuántos profesionales de la privacidad se sientan en los consejos asesores de las agencias donde si lo hacen ilustres académicos de la historia? ¿Cuántos profesionales influirán en el desarrollo del paquete TELECOM ante la SETSI más allá de los asesores de las compañías del sector?

 ¿Hace falta que responda a estas preguntas? Y sin embargo, es urgente una respuesta política. Y no afirmo esto desde una falsa presunción, desde el ombliguismo profesional. Cada mes se publican en el diario oficial decenas de normas que de un modo u otro inciden en el tratamiento de información personal de los ciudadanos. Hay algunas muy precisas que incluyen una disposición adicional del tipo “cúmplase la LOPD”, la mayoría no dicen nada.

¿Tenemos una relación con los portavoces de los grupos parlamentarios? ¿se nos llama o consulta, más allá de los que por su propio perfil tengan trascendencia social?  ¿nos relacionamos con los parlamentarios que en unos días examinarán en la Comisión Constitucional a un candidato a ocupar la más alta responsabilidad del estado en esta materia?

El magnífico trabajo desarrollado en el ámbito parlamentario por lla Junta de APEP en relación con el coste 0 de muestra que ha llegado la hora de constituir un grupo de interés, un lobby, por mal que suene esta expresión.

Por otra parte, nuestras autoridades garantes desarrollan una intensa labor de aplicación de la normativa. En particular, por su dimensión es destacable la tarea de la Agencia Española de Protección de Datos. Todos utilizamos las resoluciones publicadas y los informes como una suerte de jurisprudencia. Ahora bien, ¿Cuántos de estos documentos resultan aplicables? ¿Se conoce la realidad del día a día en la implementación de la LOPD? Dicho de otro modo, no cuestiono los criterios de las autoridades. Me pregunto hasta qué punto deberíamos acercarnos a ellas, a los grupos parlamentarios y a los ministerios como profesionales para poner sobre la mesa la realidad de las cosas y facilitar su labor. De lo contrario, seguiremos dándonos de bruces contra lo que a veces constituye una labor de ingeniería jurídica alejada de la realidad.

  • La lacra de la competencia desleal.

Sin embargo, el frente político no es el único frente abierto. Como acabo de subrayar esta asociación ha dedicado desde su nacimiento esfuerzos denodados para luchar contra el fraude en el sector. He podido ver la lista de organizaciones detectadas, sus prácticas desleales, su oferta de precios. No me atrevo a calificar estas conductas de infracción administrativa o ilícito penal. Pero hay algo que si se desde la experiencia. La LOPD no se implementa con un copiar pegar. Cada uno podrá ofrecer mejores o peores costes, pero la farmacia de la esquina y la de enfrente, al menos en el plano de la seguridad no tienen nada que ver. Quienes de la mano de lo que no se puede calificar sino de conducta fraudulenta, quienes promueven la LOPD coste 0 nos desprestigian, y nos avergüenzan. Devalúan nuestro trabajo y nuestro compromiso social. Aunque sea lento, aunque no parezca verse la luz al final del túnel, no debemos cejar en la denuncia individual y colectiva y en la persecución de estas conductas.

Y aquí la concienciación de los responsables de ficheros y en particular de las PYME resulta estratégica. Debemos ser imaginativos y encontrar cauces que nos permitan llegar a estas empresas. Seguramente algunos dependan de que la figura del responsable de protección de datos propio o externo, llegue a la LOPD y se convierta nuestro asesoramiento en algo dinámico y continuado y no en un mero episodio de inscripción de ficheros.

No quiero finalizar mi reflexión si aludir a nuestra responsabilidad social. Ahí afuera miles de niños se enfrentan a internet desde los nueve años, sin ayuda, sin formación. Miles de padres se angustian con cada noticia relacionada con el sexting, con cada votamicuerpo. Hay niños acosados o profesores ridiculizados. ¿Qué ocurrirá cuando los menores se apunten másivamente a redes basadas en geolocalización y en la provisión de contactos por proximidad?

Expongo el riesgo más significativo, pero no el único. La seguridad, las dudas normativas, no saber qué hacer son sensaciones comunes a responsables y titulares de derechos. Ni vamos a suplantar a las autoridades educativas, ni a las de protección de datos. Sin embargo, tenemos un espacio abierto al voluntariado y tenemos la responsabilidad de asegurar unas generaciones futuras comprometidas con la el respeto a la privacidad.

Decía al inicio que

  1. Los retos para el futuro de la privacidad son inabarcables y nuestro papel profesional y personal para hacerles frente es inestimable.

En los últimos 15 días hemos oído hablar de smartphones, con fotos o geolocalización, quiebras de seguridad o Cloud computing. En breve la domótica, la Internet de los objetos, las RFID tomarán el relevo que vienen pidiendo desde hace unos años. No olvidemos nunca a nuestros hijos, garantizar su privacidad en las redes será garantizar su futuro.

Hace un mes cometí la imprudencia de pedir ayuda para identificar temas de futuro. Yo apunte los siguientes:

  1. a) Cloud Computing
  2. b) Redes sociales;
  3. c) Internet de los objetos (domótica, etiquetado RFID, seguimiento de dispositivos e interacción con ellos)

Os listo los que me propusieron:

  1. Globalización de la información. “Datos Sin Fronteras”.
  2. Evolución de las tecnologías de la Información y las Comunicaciones. En sentido amplio.
  3. Publicación de datos en internet (boletines, páginas webs, directorios de empleados y un largo ecétera).
  4. Minería de datos y voracidad comercial basada en la geolocalización.
  5. Trazabilidad de comunicaciones, tanto desde el Estado como por parte de las operadoras.
  6. Tratamiento de los da tos de los  nativos digitales que han ido dejando rastro de gustos desde menores de edad, la polarización de gustos, tendencias, aficiones y “sentimientos”.
  7. Identificación de emociones por parte de los aparatos domésticos de forma que reconozcan el estado de ánimo para ofrecer o presentar servicios.
  8. Jurisdicción y Safe Harbor Agreementb
  9. Smart Grid, smart meters.
  10. Anonimización, pseudoanonimización y reidentificación. ¿Cómo sabemos que una solución de anonimización o pseudoanonimización es lo suficientemente robusta?
  11. Trazabilidad de transacciones de pago mediante tarjetas de débito o crédito y similares.
  12. Revisión de la Directiva de Retención de Datos de Tráficof) Datos de tráfico y localización
  13. Historia clínica y receta electrónicas
  14. Genética.
  15. Marketing online y técnicas de trazabilidad de usuarios de forma avanzada (identificadores únicos de dispositivos, fingerprinting,…)
  16. Derecho al olvido.

Con el permiso de la audiencia los desgranaremos uno a uno, dedicando a ello los próximos 100 años.

Evidentemente, no voy a hablar de estos temas. Pero el simple hecho de poder hacer colaborativamente esta lista prueba algo esencial:

  • NOS ENFRENTAMOS A GRANDES RETOS
  • TENEMOS LA CAPACIDAD, LA PREPARACIÓN, LA FORMACIÓN.
  • HEMOS GENERADO O ESTAMOS GENERANDO UN SENTIMIENTO DE COLECTIVIDAD Y PERTENENCIA.
  • NO NOS DETENGAMOS, EL FUTURO ES NUESTRO.

MUCHAS GRACIAS.