Buenos días, Cecilia, nos alegra mucho entrevistarla para la sección SERIE LIMITADA de Morillon Avocats.
Tiene Usted una trayectoria impresionante en el área de la Protección de datos. Esto despierta nuestra curiosidad: ¿Cómo decide alguien dedicarse a ello o como llega a esta área?
Llegué a protección de datos por casualidad, ya que era una abogada de fusiones y adquisiciones. Allá en 1997, no existía la especialidad de protección de datos en el despacho en el que trabajaba. Tuve que encargarme de un asunto de telemedicina que conllevaba transferencias de datos de pacientes entre una clínica española y oncólogos de EE.UU. El asunto era complejo y requirió mucho estudio, que tuve que hacer de forma autodidacta, porque ni había libros ni había profesores o mentores. Para rentabilizar este esfuerzo, el despacho me fue encargando los asuntos de protección de datos que fueron entrando posteriormente, en temas tan variopintos como la lucha contra el blanqueo de capitales y financiación de terrorismo, la titulización de deuda, las ventas paralelas de medicamentos por las farmacias, las ventas de derechos de crédito, la creación de biobancos o la lucha de los herederos contra la difusión televisiva post mortem de entrevistas de una princesa. Acabé creando y liderando esa práctica en el despacho y en su red latinoamericana y a compartir mis conocimientos a nivel académico.
Estamos todos inmersos, como consumidores y usuarios intensivos de nuevas tecnologías en la problemática de la protección de datos. ¿Cree Usted que somos conscientes de lo que hay detrás de esta actividad?
Hemos pasado de la ignorancia al miedo y pocos han tratado de vencer ambos por via del estudio. La digitalización de la sociedad y la economía ha sido y sigue siendo un proceso donde no hemos nacido ¨sabiendo¨. Los avances científicos vinculados a la tecnología han ido generando distintos casos de uso y, como toda actividad humana, los ha habido fantásticos y los ha habido nefastos. Y siguen evolucionando. Debemos seguir teniendo la curiosidad de entender el mundo en el que vivimos y el que dejaremos como legado a nuestros hijos, no desde el miedo, pero sí desde el sentido crítico.
¿Cuáles son los principales desafíos que se plantean en materia de protección de datos desde el punto de vista de las empresas o las organizaciones?
Las organizaciones tienen hoy en día una clara sensibilización respecto del impacto de la normativa que regulan los datos personales. Es inusual que una organización de cierto tamaño en el sector privado no cuente con un programa de protección de datos. En contraposición, y con honrosas excepciones, al sector público le queda más camino por recorrer al respecto.
Protección de datos es también un negocio y ha creado puestos de trabajo con valor añadido: ha permitido crear nuevas e interesantes profesiones vinculadas a la explotación de los datos personales, con perfiles muy diversos tanto en el sector privado como en el público. Desafortunadamente, también se ha creado otro ¨negocio¨ que permite a personas y organizaciones sin escrúpulos explotar el miedo a las multas y daño reputacional.
Protección de datos se ha convertido en una materia que se ha hecho muy técnica, compleja y poco intuitiva. En muchas ocasiones, su implementación es cara y su interpretación no se ha caracterizado ni por su seguridad jurídica ni por su carácter innovador. Su interpretación ha sido en muchas ocasiones extremista, olvidando que -como ocurre con todos los derechos fundamentales- la protección de datos personales no es un derecho absoluto.
¿Es posible y realista una política de protección de datos integral a infalible? ¿Qué condiciones requeriría?
¡Ninguna obra humana es infalible! Y tan obra humana son las políticas de protección de datos como la legislación que impone su contenido. Y no menos humana es la reticencia/vagancia a leer por parte de muchos de sus potenciales lectores.
Muchas organizaciones cuentan con políticas de protección de datos que abordan los aspectos requeridos por la ley. Sin embargo, la ley impone cuestiones que no siempre resultan del máximo interés para el ciudadano al que van -en principio- destinadas. Por otra parte, la interpretación extrema u oportunista de los requisitos legales ha resultado una ciencia … cuanto menos incierta.
Es evidente que redactando ¨políticas de privacidad¨ no es la única manera (ni la más idónea) de trasladar cuestiones interesantes y relevantes para nuestra toma de decisiones o crear confianza en las prácticas de las organizaciones. Mientras sea un requisito legal, hay que cumplirlo. Sin embargo, se puede complementar con otras formas de facilitar transparencia centrada en otros aspectos clave que interesen al usuario, así como explorar formatos alternativos al texto y facilitar información más precisa en el momento más útil, esto es, de forma contextual. Para que funcione, debe premiarse estas u otras formas innovadoras de transparencia.
¿Está funcionando la legislación al mismo ritmo que la velocidad y magnitud de la circulación de datos?
Aunque la legislación de protección de datos en Europa no tiene la ¨solera¨ de los códigos civiles, no podemos decir que es una legislación nueva. Sus principios se han mantenido válidos en gran medida a lo largo de varias décadas a pesar de que la velocidad y magnitud de la creación, transformación y circulación de datos personales ha sido una constante. La dificultad, a mi modo de ver, está más vinculada con su interpretación extrema. No debemos ignorar el resto del ordenamiento jurídico y sí luchar por que evolucione con rigor científico.
¿Qué saben los hackers que no saben las empresas que tratan de defenderse de ellos?
Siempre se dice que se trata de una carrera eterna, pero no sólo en relación con los hackers sino también en relación con otros actores dañinos más modernos, como son los scrapers que, a diferencia de los hackers, no explotan una vulnerabilidad de seguridad sino que emulan de forma automatizada comportamientos humanos de uso legítimo.
En cuando a los hackers, parecen tener el interés y el tiempo y a veces la financiación, para localizar y explotar vulnerabilidades. Y en la mayor parte de las ocasiones la mayor vulnerabilidad somos todos nosotros, los empleados o contratistas que tenemos acceso o tratamos de otra forma los datos personales bajo el control o responsabilidad de las empresas o administraciones públicas.
¿Qué hace el usuario medio que facilita el “trabajo” de los que entran en las brechas que existen en cualquier sistema de información?
Si se facilita conscientemente la brecha, ese usuario en su condición de empleado o contratista de una organización puede incurrir en responsabilidad civil, laboral y penal. Para la organización que lo haya contratado, esa brecha puede significar una responsabilidad administrativa y civil con consecuencias relevantes en materia de sanciones y daño reputacional que desgraciadamente no podrá recuperar del empleado o contratista en última instancia responsable.
Dejando al lado las brechas de seguridad, el usuario puede ser también el cómplice necesario para facilitar tareas de scraping cuando permite que los scrapers le utilicen para instalar APIs al sistema de información que está en la diana.
Los usuarios no tienen generalmente mucha idea de lo que hacen las empresas con sus datos, ni a que consiente cuando pulsan “acepto”. Paralelamente, esos mismos usuarios tienen múltiples derechos que contempla la legislación, que no ejercen ni saben ejercer. ¿Qué es lo que no funciona?
En mi opinión, hay varios factores. Sin duda, los ecosistemas de datos son complejos y las organizaciones tienen sus dificultades para encontrar el equilibrio entre el nivel de detalle y la ¨comprensibilidad¨ de las explicaciones. Por otra parte, no es inhabitual que los usuarios no lean (ni visualicen/escuchen cuando se utilizan vídeos) ni los contratos ni las políticas de privacidad: somos responsables de nuestros propios actos y “no leer” no puede ser una excusa jurídicamente válida para ¨no saber¨. Es cierto que no podemos obviar que una de las razones (pero no la única) por la que la lectura no resulta atractiva es porque los legisladores y los reguladores no han estado acertados en el diseño y enforcement de la información a facilitar en las políticas de privacidad o de la gestión de las cookies. Finalmente, se ha hecho un marketing nefasto del GDPR, abonado por las actuaciones de muchos reguladores en la materia, haciendo creer erróneamente a la ciudadanía que protección de datos es sinónimo de consentimiento en todos los casos.
Parte de la solución estaría en unas condiciones legales que fueran comprensibles. ¿Es verdad que la inteligencia artificial puede ser útil para resumir y simplificar los textos legales farragosos e mayoritariamente incomprensibles para el usuario medio?
Quizás la inteligencia artificial pueda hacer un buen resumen. Pero, como decía antes, la cuestión no se reduce a que el texto sea corto o contenga un nivel de léxico abordable. Si examinamos las últimas decisiones de los reguladores en materia de transparencia, sus exigencias en cuanto al nivel de detalle son contradictorias con la producción de textos cortos y fáciles de entender.
¿Cree Usted que las empresas “abusan” de la confianza que los usuarios depositan al facilitar sus datos?
Cualquier generalización es incorrecta. Hay de todo obviamente, pero en mi experiencia profesional, el punto de partida de las empresas es cumplir con las exigencias regulatorias. Cuando se les hace imposible (por oneroso o técnicamente inviable) o los requisitos no tienen sentido, toman las mejores decisiones que pueden a la luz de sus recursos, su gestión del riesgo y el sentido común. Por eso es tan importante que cuenten con buenos profesionales de la privacidad para trabajar conjuntamente en un buen retorno de la inversión en protección de datos y en identificar la relación del requisito de que se trate con el propósito último de esta normativa, que no es otro que coadyuvar a proteger la dignidad de los individuos.
De manera intuitiva, sabemos que la protección de datos, y todas las políticas y medidas que van asociadas a ella, son para nuestro bien. Pero ¿cómo convencería Usted a un escéptico?
La sensibilidad en materia de protección de datos es muy personal y las motivaciones de cómo y porqué compartimos o no nuestros datos personales difiere. En lo que pueda ayudar a la reflexión de escépticos a nivel de usuario, al menos trataría de compartir con ellos cuáles son mis motivaciones personales, porqué están conectadas con protección de datos y las acciones que adopto al respecto. A mí, lo que más me preocupa en relación con mis datos personales y los de mi familia es el potencial impacto en nuestra seguridad física y su acceso por Estados no democráticos. En sentido positivo, me importa igualmente que mis datos puedan facilitar la investigación científica de calidad (cuando estamos sanos, no entendemos que “somos el paciente de mañana”) y valoro la personalización en ciertos servicios que lógicamente requiere la construcción de un perfil dinámico. Asimismo, compartiría alguna de las medidas rutinarias que tomo habitualmente en relación con mi huella digital, lo que incluye tomar decisiones conscientes cuando facilito o no datos personales, lo cual depende mucho de la identidad de la entidad con la que me relaciono y las finalidades de uso que me comunican, así como en la activación y monitorización periódica de las configuraciones de privacidad y seguridad.
A estas alturas del desarrollo de las tecnologías de la información, ¿hay forma de creer que nuestra identidad y nuestros datos están bien protegidos y usados para los fines que nos garantizan los depositarios de los mismos?
La formulación de la pregunta pone de manifiesto la quiebra de confianza que existe al respecto, que reside en la falta de cultura ¨datil¨ tanto en nuestra educación reglada como en las prácticas del pasado reciente de muchas organizaciones públicas y privadas. Desgraciadamente, esa quiebra de confianza también fue y sigue siendo alimentada por el sensacionalismo y la búsqueda del drama constante de muchos medios de comunicación. En mi caso, estudio y trato de hacerme una opinión interesándome por la fuente: reviso las políticas en la materia y si existen configuraciones de privacidad y seguridad para actuar en consecuencia.
Suponemos que Usted ha leído “1984”. ¿Estamos lejos o cerca?
Lo leí cuando era adolescente y lo volví a hacer en mi treintena. Estábamos cerca y lo seguimos estando: las democracias son frágiles y debemos exigir de nuestros gobernantes y de nosotros mismos el respecto por el imperio de la ley y las instituciones, la separación de poderes y no olvidar ni revisitar la historia.
¿Qué problemas cree Usted que son más inquietantes en la sociedad actualmente?
Me preocupa el cansancio o pesimismo vital que mina la capacidad de construir y mantener una visión ambiciosa y no resignada de nuestro futuro. Me preocupa el abandono de la cultura del esfuerzo, el adoctrinamiento “woke” y la dificultad de mantener diálogos de forma respetuosa.
Tratemos ahora de algunos aspectos personales, si le parece bien.
Cuando no está trabajando en estas actividades que parecen tan complejas, ¿en que ocupa su tiempo?
Disfrutando de mi familia, amigos y aficiones y … leyendo dos chats de mis compañeros del LFM.
¿Qué personas, actuales o pasadas, son para Usted una referencia, un modelo, o un objeto de admiración?
Mi madre, mi madrastra y mi abuela, por su brillantez intelectual, sus sensibilidades artísticas y sus exquisitos modales.
Díganos tres objetivos que le gustaría a usted lograr a medio plazo.
Asumiendo que mantengo salud y trabajo, educar bien a mis hijas, encontrar tiempo para bailar y tener la energía suficiente para seguir aprendiendo.
Como antigua alumna del LFM, ¿Qué mensaje desea transmitir a sus excompañeros o a la comunidad educativa del Liceo en general?
Cuando más tiempo pasa, más valoro la educación que he recibido en el LFM. Me siento agradecida y privilegiada de haber aprovechado el sistema educativo francés, que nos transmitió la importancia del rigor científico, nos enseñó el amor por la lectura así como a construir un espíritu crítico y a tener amplitud de miras y tolerancia. ¡Sigue siendo mi colegio favorito!
¿Hay alguna cosa que le gustaría añadir en esta entrevista?
¡Muchas gracias por invitarme a hacerla!
Muchas gracias por su tiempo y por compartir estas impresiones con nuestros lectores.