Cinco años de RGPD: los gurús de la protección de datos hacen balance
La privacidad se consolida como un nicho de trabajo en los bufetes en la era de la IA
Los expertos en privacidad están de cumpleaños. El Reglamento General de Protección de Datos (RGPD), la norma que puso coto al mercadeo de la información de los ciudadanos dentro de la Unión Europea, cumple cinco años de vida el próximo mes de mayo. Entró en vigor en 2016, pero es aplicable desde el 25 de mayo de 2018. En este periodo, la privacidad ha pasado de ser un área de conocimiento secundaria a perfilarse como uno de los departamentos imprescindibles en los despachos de abogados. Para hacer balance de qué ha cambiado con esta norma, pionera y referente en el mundo, y qué retos se plantean en la protección de los datos en la Unión, Cinco Días Legal ha entrevistado a los seis abogados españoles reconocidos con medalla de oro por el directorio Chambers and Partners en esta materia.
El RGPD, coinciden los expertos consultados, es solo la punta del iceberg de un tsunami regulatorio que no ha hecho más que comenzar. Normas como el Reglamento de Mercados Digitales (que pone coto empresas como Google o Facebook) y el Reglamento de Servicios Digitales (que controla el acceso a información pública) dan fe de la ambiciosa estrategia de la Unión Europea para blindar la privacidad de sus ciudadanos.
La creciente concienciación por la privacidad se ha traducido en aumento de los deberes para las empresas y ha engordado la factura en servicios jurídicos. La firma de abogados Broseta, por ejemplo, el único despacho que cuenta con dos profesionales en el podio de Chambers and Partners en esta categoría, confirma un aumento de la facturación en 2022 de dos veces y medio en comparación con lo facturado en 2017 por estos asuntos. Garrigues, Uría Menéndez y Hogan Lovells, los otros bufetes de los expertos destacados en el ranking, también corroboran el aumento de los clientes en este apartado.
Dicho boom de dudas legales responde a un cambio de paradigma. Las mercantiles, acostumbradas a contar con los abogados para problemas puntuales (como una inspección o la amenaza de una sanción administrativa), ahora exigen la presencia de los letrados en todas las fases del proyecto, si este implica tratar información de terceros.
Ahora es común, incluso, que las grandes empresas cuenten con su propio departamento especializado en asesoramiento en privacidad y que estas “se apoyen en grandes despachos únicamente en aspectos que revisten mayor complejidad”, señala Marta del Coto, responsable de la oficina de Barcelona de Iterlegis, una firma especializada en el reclutamiento de abogados para despachos y empresas. Y agrega: “También hemos percibido una mayor demanda de este tipo de perfiles por parte de firmas multidisciplinares de menor tamaño”.
Del Coto expone que los bufetes tienen más dificultad para encontrar expertos en la franja sénior (socios/directores/delegados de protección de datos), en la que “no es sencillo dar con perfiles potentes”. Aunque esta práctica no llega a los niveles de facturación de otros departamentos, como M&A o Banking, explica, “es un área que las empresas deben tener muy bien cubierta” por los riesgos potenciales.
La Agencia Española de Protección de Datos (AEPD), dirigida por Mar España (quien en julio cumplirá cuatro años de mandato caducado), tiene el poder de imponer multas millonarias a las empresas infractoras. En 2022, la entidad utilizó esta potestad en 283 ocasiones, lo que sumó 23 millones de euros en sanciones.
Sin embargo, una reciente sentencia de la Audiencia Nacional, de marzo de 2023, puede abrir la puerta a la anulación en cadena de algunos expedientes. El fallo en cuestión revocó una multa de cinco millones de euros a BBVA. La Audiencia concluyó que la AEPD no fue lo suficientemente minuciosa a la hora de justificar la sanción.
“El perfil de jurista tecnológico cada vez está más demandado”
Socio del departamento de derecho mercantil de Garrigues en la oficina de Madrid, Alejandro Padín es responsable del área de TI (tecnología e información), protección de datos y comercio electrónico. En su trayectoria ha acumulado experiencia en la tecnología aplicada a diversos sectores y ha asesorado en el lanzamiento de varios operadores móviles virtuales. Como apunta Padín, la economía digital funciona sobre la base de la transmisión de información y datos, la mayor parte de las veces de carácter personal. Por ello, asegura, “cada vez es más necesario el asesoramiento jurídico no solo en cumplimiento de RGPD, sino en materia de privacidad desde un punto de vista estructural”. Los retos que plantean en este campo los avances de la tecnología, subraya, requieren de “un perfil de jurista tecnológico que cada vez está más demandado y que las universidades deben preparar”.
“Hay un incremento de consultas sobre inteligencia artificial”
Socio del área de propiedad intelectual e industrial y medios y tecnologías de la información de Hogan Lovells en la oficina de Madrid, Gonzalo F. Gállego está especializado en protección de datos y privacidad, ciberseguridad, outsourcing, tecnologías de la información, copyright y transacciones sobre IP. En el asesoramiento sobre protección de datos, describe, existe una demanda continua y estable de consultas tanto sobre el cumplimiento normativo “como respecto a investigaciones y procedimientos sancionadores de la AEPD y recursos judiciales ante sus decisiones”. Esta es una materia que no es ajena a “sorpresas” provenientes de “sentencias, nuevas guías o decisiones de supervisores o, también, nuevas normas”, añade. En cuanto a la casuística, el socio destaca que ha aumentado mucho "la solicitud de asesoramiento en normas corporativas vinculantes o BCRs (por sus siglas en inglés), análisis de impacto para transferencias y proyectos de cumplimiento multijurisdiccional", Actualmente, relata, “hemos visto un incremento relevante de solicitudes de servicios en el ámbito de la inteligencia artificial, área que plantea numerosos retos”. "El principal desafío que enfrenta la normativa de protección de datos es saber adecuar su letra y aplicación a los enormes cambios que se están produciendo", afirma.
“Tenemos un mercado muy maduro en protección de datos”
Javier Fernández-Samaniego es el socio director de Samaniego Law, un despacho de abogados especializado en resolución de conflictos y derecho de las nuevas tecnologías. En España, afirma, “tenemos un mercado muy maduro en protección de datos”. El experto recuerda que se han cumplido 30 años desde la primera ley reguladora y destaca que “la cultura de cumplimiento está muy consolidada”. Si bien es cierto, explica, que hubo un "pico de trabajo" en los años contiguos al del RGPD, ·"ahora mismo estamos en la velocidad de crucero habitual". La mayoría de los encargos que reciben hoy en el despacho, cuenta, se centran en la defensa en procedimientos sancionadores o los problemas derivados de la transferencia de datos con EE UU “ante la incertidumbre generada por la saga de anulaciones del Privacy Shield”, así como los programas de cumplimento y los servicios externalizados de DPO (delegado de protección de datos). Las dudas ante los nuevos modelos de negocio basados en inteligencia artificial, big data y 5G han irrumpido con proyectos como el uso de datos médicos para mejorar diagnósticos.
“Los datos son un activo esencial en cualquier proyecto empresarial”
Leticia López-Lapuente dirige el área de protección de datos y comercio electrónico de Uría Menéndez desde 2019. La socia cuenta que, en la actualidad, los clientes necesitan de un servicio integral que no se limita a la protección preventiva frente a multas. “Los datos son un activo esencial en cualquier proyecto empresarial”, asegura, por lo que, cada vez más, “cuentan con nosotros desde la misma concepción de un nuevo negocio que requiere su uso”. El asesoramiento integra “otros aspectos normativos esenciales como las cuestiones de ciberseguridad, e-commerce, la protección de los datos como activo intangible o su uso en el contexto de tecnologías disruptivas”. Algunas de las cuales, añade, “van a tener regulación específica muy pronto”. Asimismo, "ya existe nueva normativa europea en materia de datos digitales, como el Reglamento UE de Gobernanza de Datos, y se espera en fechas próximas el Data Act”.
“Muchas empresas revisan sus políticas para evitar sanciones”
Miguel Geijo es socio y director del área de privacidad IT y entornos digitales de Broseta, donde además dirige el área mercantil.En este lustro, valora, los clientes han pasado de "demandar asesoramiento para adaptarse al RGPD" a exigir otros encargos, como la "elaboración de informes de ponderación de interés legítimo o evaluaciones de impacto en la protección de datos". Geijo considera evidente que las sanciones de la AEPD han llevado a muchas empresas a "revisar en profundidad sus políticas de privacidad". Con la vista en el futuro, el abogado señala una reciente sentencia de la Audiencia Nacional, un fallo que revoca una multa de cinco millones de euros a BBVA – a quien asesoró el propio bufete – y que podría abrir la puerta a revisar otras sanciones similares del organismo de control. "Dado que las resoluciones de la AEPD son siempre resueltas por el mismo órgano judicial, esta doctrina podría ser aplicable a otros casos", valora el experto.
“La monetización de los datos personales es uno de los actuales desafíos”
Socio de privacidad, IT y entornos digitales de Broseta, Agustín Puente cree que el RGPD "podría ser mejorado" en algunos puntos, como "el régimen de las transferencias internacionales", señala. Sin embargo, agrega, adaptar la normativa a los desafíos que la nueva era tecnológica plantea será difícil, pues legislar es un proceso lento y lo más probable es que los nuevos reglamentos nazcan "probablemente obsoletos". Puente, quien fue durante varios años director del área jurídica de la AEPD, aboga en cambio porque sean los organismos de control y los tribunales los que resuelvan de forma ágil las incógnitas que los avances tecnológicos planteen. Y lo hagan "de forma uniforme", subraya, algo esencial. La inteligencia artificial, la generación de modelos predictivos y el tratamiento de datos biométricos serán, bajo su juicio, algunos de estos desafíos. La actividad de las plataformas de servicios online también planteará interrogantes