“La datificación de la sociedad hace que la necesidad de proteger la información y las personas vaya más allá del control sobre la información, tiene que servir para garantizar el conjunto de derechos y libertades”

24/05/2018

Joana Marí, alumni UAB ’95, estudió Derecho por vocación y ha dedicado toda su carrera a la defensa de los derechos y libertades fundamentales en el ámbito de la protección de datos, actualmente es la responsable de Evaluación y Estudios Tecnológicos y Delegada de Protección de Datos de la Autoridad Catalana de Protección de Datos (APDCAT). Hablamos con ella sobre el nuevo Reglamento General de Protección de Datos (RGPD), que se aplicará el 25 de mayo y del cambio que supone en la manera de gobernar la información por parte de las entidades.

 
¿Por qué decidiste estudiar derecho en la UAB?

Más que una decisión, fue una vocación porque des de siempre había querido estudiar derecho, no quería hacer ninguna otra cosa. Escogí la UAB porque yo venía de Ibiza y no quería estudiar dentro de Barcelona, la UAB tenía un contexto más de campus y tenía buenas referencias.

 
¿Cómo fue tu experiencia? 

La experiencia en la universidad fue realmente buena. Hice amigos que aún mantengo y conocí a gente con la que he ido reencontrándome al cabo de los años. Era una muy buena experiencia ir cada día, coger el tren, llegar, desconectar. Te pasabas allí todo el día, por tanto, las relaciones que generabas eran muy buenas. Des de la perspectiva académica también muy buena experiencia, continúo manteniendo contacto con el profesorado de la UAB sobretodo a raíz de mi profesión.

 

Cuando acabaste, ya tenías claro qué trayectoria seguirías?

Siempre he tenido una tendencia hacía el activismo. Ya cuando estudiaba en la Autónoma me apunté a un grupo de análisis de derechos y libertades fundamentales con la doctora Teresa Freixes y a raíz de eso, empecé a entrar en contacto con todo lo que es el derecho constitucional. Cuando acabé la carrera, hice un máster sobre justicia constitucional, tutela judicial y derechos fundamentales en Esade, y con la tesina sobre la autodeterminación informativa gané el accésit al premio de Protección de Datos Personales de la Agencia Española de Protección de Datos. Trabajé durante un tiempo en la empresa privada, en consultoría en materia de protección de datos como directora del departamento de protección de datos de una multinacional francesa, Sopra Grup y allí pasé a la administración pública, a la que en ese momento se llamaba Agencia Catalana de Protección de Datos (actualmente Autoridad Catalana de Protección de Datos). Siempre me he movido en el contexto de los derechos y las libertades y en concreto, a la protección de datos de carácter personal. Y hace unos años, hice un segundo máster en Auditoria y Protección de Datos en la UAB, cuando ya estaba trabajando en APDCAT.

 

¿Dentro de la Autoridad, has ido cambiando de funciones?

Sí, de hecho yo entré en el 2003 cuando se creó, éramos muy pocos, y a partir de aquí fui evolucionando. Primero estaba exclusivamente en el área del registro de protección de datos de Cataluña, después fui responsable de consultoría y, finalmente responsable de evaluación y estudios tecnológicos, que es el cargo que ostento ahora y recientemente me han nombrado delegada de protección de datos de la autoridad.
 

¿Cuáles son tus responsabilidades?

Des de la perspectiva de evaluación y estudios tecnológicos, básicamente mis funciones están vinculadas a la consultoría, es decir, a dar asesoramiento a todas las entidades que entran dentro de nuestro ámbito de competencias para que se adecuen a la normativa de protección de datos, des de dudas concretas, hasta soporte o asesoramiento continuado en procesos o proyectos que tengan que ver con el tratamiento de datos de carácter personal. Des de la parte de delegada de protección de datos, que es una de las figuras que crea el nuevo Reglamento General de Protección de Datos (RGPD), mi función es la de supervisar el correcto cumplimiento de la normativa de protección de datos dentro de la autoridad.
 

¿Cuál es el ámbito competencial del APDCAT?

El sector público en sentido amplio porque hay des de lo que es pura administración (Generalitat, administración local), a empresas que sean de capital mayoritariamente público, corporaciones públicas, todo el sector universitario catalán o empresas que ejerzan funciones públicas o presten servicios públicos.
 

Hacéis una tarea importante de formación.

Sí, hacemos sesiones divulgativas de carácter general, abiertas a todo el público. Además, hay sectores específicos en los que nos centramos mucho, como son el tema de los menores y adolescentes, estamos haciendo una tarea muy importante en este ámbito.

 

¿Qué supone el nuevo Reglamento General de Protección de Datos (RGPD)?

El nuevo reglamento, que será de obligada aplicación a partir del 25 de mayo, supone un cambio en la manera de gestionar la información. Hay toda una serie de principios que continúan vigentes, como por ejemplo, finalidad, minimización o las bases jurídicas, es decir, eso que nos permite tratar los datos (consentimiento, contracto, una misión de interés público). Eso no varía substancialmente, pero lo que cambia son las obligaciones respecto a la manera de gobernar la información. Lo que pide este nuevo reglamento es que las entidades asuman un compromiso respecto a la garantía del derecho a la protección de datos y al conjunto de derechos y libertades que se puedan ver afectados por el tratamiento de los datos personales. Se reconoce lo que se llama el principio de l’accountability, de la responsabilidad proactiva y demostrable, este es uno de los principales cambios y uno de los pilares en los que se basa el reglamento. Por otra parte, hay un enfoque en el riesgo, es decir, si ahora tenemos unas normas que eran muy formales, muy prefijadas, ahora el reglamento lo que quiere es centrarse en el riesgo y establecer, en función de cada caso concreto, el tratamiento de datos que se está llevando a cabo, determinar cuáles son los riesgos reales y concretos para aquel tratamiento y en función de eso, determinar cuáles son estas medidas y las obligaciones que tiene que cumplir el responsable del tratamiento o el encargado del tratamiento según sea el caso. Es una nueva forma de gobernar la información.

En la sociedad actual, ¿cuáles son los retos principales en materia de protección de datos?

El derecho a la protección de datos se ha convertido en un derecho muy muy importante en la sociedad actual. Porque ya no estamos simplemente hablando de garantizar el derecho a la protección de datos, sino también de controlar cómo el tratamiento de los datos afecta a nuestra vida. Nosotros difundimos y generamos información a cada momento y el tratamiento de esta información puede impactar o incidir en el conjunto de derechos y libertades, por ejemplo, con posibles discriminaciones en función de lo que subes o divulgas a través de las redes sociales o con el acceso a un determinado lugar de trabajo. Es decir, que la datificación de la sociedad, hace que la necesidad de proteger la información y por tanto, de las personas que hay detrás de esta información, vaya más allá del propio control sobre la información y sirva para garantizar el conjunto de derechos y libertades. Han surgido tecnologías emergentes como el big data, el Internet de las cosas, que buscan tratar cuánta más información mejor durante todo el tiempo que sea posible y por no sé sabe bien qué finalidades. Y además, la ciudadanía nos hemos convertido en unos distribuidores continuos de datos de la información de cada una de nuestras rutinas.

 
¿Existe el derecho al olvido, a exigir que se suprima información tuya?

Lo que aparece en el reglamento es lo que se llama el derecho a la supresión, haciendo una referencia directa al derecho al olvido en el título del artículo y que supone la posibilidad de eliminar determinada información que ya no es relevante. Pero no es un derecho absoluto, hay otros derechos que pueden prevalecer por encima, como puede ser la libertad de expresión. Por tanto, el derecho de la protección de datos no es un derecho absoluto y tendrá que ponderarse en función de los otros derechos, de las otras libertades, de los intereses que puedan existir en cada momento.

 
¿Qué derechos tenemos la ciudadanía sobre nuestros datos? ¿Y qué tenemos que tener en cuenta en el momento de cederlos? 

El Reglamento General de Protección de Datos (RGPD), a parte de reforzar las obligaciones de las entidades para que controlen mejor los datos personales, también ha querido reforzar los derechos de las personas para que tengamos más posibilidades de controlar nuestros datos. El nuevo Reglamento mantiene y refuerza derechos que ya existían, como es la posibilidad de acceder o de reflejar la información que las entidades tienen de nosotros o bien, de suprimirla cuando se dan una serie de circunstancias o la posibilidad de no verse sometidos a decisiones individuales automatizadas. En este último caso, para reforzar la defensa frente a situaciones en las cuales un algoritmo toma una decisión sobre una persona sin que haya intervención humana. Y se añaden algunos nuevos, como la limitación del tratamiento y la portabilidad. A parte obviamente de esos derechos que estarían más vinculados al principio de transparencia y al derecho a la información, es decir, las personas tienen que poder saber y entender qué es lo que hacen las entidades con sus datos de carácter personal, porque así podrán ejercer de manera efectiva los derechos comentados. Eso sí, las personas tienen que ser conscientes que tienen información, cuál es la información que dan, en base a qué la están dando y las consecuencias que se pueden derivar.

 

¿Cuáles son los peligros de no ser conscientes y no tener cuidado de los datos que damos? Has hablado de discriminación…

Un peligro muy claro es que las entidades puedan tomar decisiones por nosotros, que creen unos perfiles que a veces no tienen porqué responder a la realidad y que nosotros no sepamos que se han realizado.