Entrevista

"El principal reto del RGPD será la correcta aplicación por las empresas de la legitimación de los consentimientos"

Entrevista
Joaquin-Munoz_EDEIMA20170823_0009_1.jpg

Entrevistamos a Joaquín Muñoz Rodríguez, abogado de ONTIER en el área de Nuevas Tecnologías y Propiedad Intelectual.

- Señor Muñoz, ¿podría decirnos hasta qué punto el área de Nuevas Tecnologías y Propiedad Intelectual resulta importante en una firma legal como es Ontier España?

Una de las principales notas características de Ontier es su apuesta firme por la innovación y en el sector jurídico esto pasa, entre otros factores, por poder ofrecer a los clientes una mayor oferta de servicios especializados. El área de Nuevas Tecnologías y Propiedad Intelectual nos permite incrementar la oferta del despacho en cuanto a la vanguardia de servicios prestados y un mayor acceso al ecosistema de empresas tecnológicas de alto potencial.

Además, por la transversalidad de nuestra área de práctica, servimos de apoyo y complemento de las otras áreas del despacho a nivel nacional e internacional  ya que desde España coordinamos la práctica en los quince países en los que Ontier tiene oficina. En esta línea, recientemente hemos creado el Data Protection International Team, un equipo formado por abogados de las oficinas europeas del despacho para asesorar a nuestros clientes internacionales en la implementación del nuevo Reglamento Europeo de Protección de Datos.

- Decía su compañero y socio director de Ontier España, Pedro Rodero, que “los avances tecnológicos hacen que los aspectos legales y regulatorios relacionados con las nuevas tecnologías están sufriendo toda una revolución, de ahí que se precisen conocimientos cada vez más especializados”. En este sentido, ¿considera usted necesaria la creación en España de juzgados especializados en Derecho TIC? ¿Qué nivel de conocimiento TIC encuentra en los jueces?

El valor añadido que nosotros ofrecemos a nuestros clientes es precisamente ese: hoy en día no es suficiente el conocimiento de la regulación que afecta a una relación jurídica sino que, como estas se llevan a cabo, en su mayoría ya, en un medio digital, es necesario conocer el funcionamiento técnico del medio para poder resolver apropiadamente los conflictos que se generen.

En el lado de los jueces sucede lo mismo; han de entender el funcionamiento de la tecnología para poder emitir resoluciones lo más rigurosas posible. No creo que sean necesarios juzgados especializados en Derecho TIC o en ciberdelitos ya que es labor de las partes hacerles entender cualquier cuestión técnica que haya de ser tenida en cuenta, pero estoy seguro de en la medida en que se vayan encontrando con asuntos que les permitan profundizar en la materia e ir adquiriendo competencias y experiencia, la formación de los jueces en la materia irá aumentando.

- El Tribunal Supremo ha dictado estos días una interesante sentencia sobre el derecho al olvido en la que ha desestimado el recurso de casación interpuesto por un hombre, absuelto en procedimiento de tribunal del jurado por un doble asesinato, como consecuencia de la demanda de tutela de derecho al honor y a la propia imagen formulada frente a un periódico y sus redactores por la publicación de un artículo en el que se recogía la información de la absolución del acusado -sin mencionar su nombre y apellidos- acompañado de una fotografía de este tomada lícitamente en el acto del juicio. ¿Considera acertada la decisión del Tribunal de no reconocer a la fotografía (imagen personal) dato afecto al ejercicio del derecho al olvido?

Creo que la sentencia es acertada en lo concerniente al ejercicio del derecho al olvido. La Sentencia del TJUE que reconoce tal derecho es clara en cuanto a que el “derecho al olvido” no es un derecho absoluto y en cada caso han de ser ponderados otros derechos en juego. Como se expone en la fundamentación de la reciente sentencia del Supremo, existen varios factores determinantes que hacen que en este caso se haya fallado no conceder tal amparo al recurrente: en primer lugar, la imagen no se puede utilizar como término de búsqueda en los buscadores y la noticia no incluye el nombre y apellidos de afectado, sino sus iniciales, por lo que no se podría hacer un perfil del afectado con la información publicada.

Además, se estima que aún concurre en el caso concreto un interés público en conocer el desenlace de un procedimiento judicial que, tanto por la materia como por las personas concernidas puede haber tenido un impacto considerable en la opinión pública. Por último, el Alto Tribunal encuentra que la información que se da en la noticia es veraz y, por el escaso tiempo transcurrido, no se puede considerar obsoleta. Por todos estos argumentos, que quedan oportunamente recogidos en la sentencia, entiendo que la decisión del Tribunal es acertada a la luz de la sentencia del TJUE y la jurisprudencia reciente.

Tengo más dudas acerca de si la resolución hubiera sido la misma aplicando el alcance que el nuevo Reglamento Europeo de Protección de Datos (Reglamento UE 2016/679) da al “derecho al olvido”, mucho más cercano al derecho de supresión y que exige a los responsables del tratamiento adoptar las medidas oportunas para informar a otros responsables que estén tratando dicha información de la solicitud del interesado de suprimir cualquier enlace a sus datos personales.

- Primero fue WannaCry, después Petya. A su juicio ¿qué instrumentos normativos considera que faltan o requieren mejorarse por parte del Legislador en el sector de la Ciberseguridad?

Creo que no es una cuestión de necesidad normativa, sino de cambio de cultura en las empresas.

Ya tenemos en vigor una nueva Directiva Europea de Ciberseguridad (Directiva UE 2016/1148) cuyo principal objetivo es proteger los “servicios esenciales” de cada país de la Unión de posibles ataques cibernéticos. Esta Directiva, que tendrá que ser transpuesta en España en 2018, cumple una triple función: por un lado, requerir a las empresas que estén dentro de lo que cada país considere servicios esenciales para que tengan implementadas las medidas técnicas oportunas de respuesta ante incidentes de ciberseguridad, por otro, que dichas empresas cuenten, además, con planes de continuidad de negocio en caso de sufrir un ataque y, por último, que las empresas puedan notificar los ataques sufridos a una Autoridad de Control Nacional para que esta conozca el alcance y origen de los ataques y pueda coordinar la actualización de medidas de seguridad.

A pesar de que esta normativa será exigible únicamente a aquellas empresas que prestan servicios esenciales para el mantenimiento de actividades sociales o económicas cruciales, la prestación de su servicio dependa de redes y sistemas de información o un incidente de este tipo tendría efectos perturbadores significativos en la prestación de dicho servicio, como decía al principio, entiendo que todas las empresas podrán tomarla como referencia de cara a actualizar sus medidas técnicas de prevención.

- A menos de un año vista de su entrada en vigor ¿cuáles cree que son los principales retos que traerá consigo la implantación del RGPD en relación al Derecho TIC?

El principal reto, sin duda, será la correcta aplicación de por las empresas de la legitimación de los consentimientos tal y como se recoge en el Reglamento. Hoy en día, la mayoría de los negocios digitales e incluyo los ya no tan digitales se monetizan en todo o en parte a través del tratamiento de datos a gran escala y el Reglamento incide en la importancia de la correcta información y legitimación de los consentimientos de los afectados, algo que no va a ser sencillo de articular en la mayoría de los casos.

Igualmente, al trasladarse a las empresas la responsabilidad proactiva en el cumplimiento de las medidas de seguridad que ellas consideren oportunas, tanto en la aplicación de los Principios de Privacidad desde el Diseño como  en el establecimiento de las medidas, las empresas tienen un reto por delante que corresponderá solventar a los abogados especializados en la materia y a los DPO  que las empresas designen.

- ¿Qué importancia y papel viene a desempeñar la tecnología blockchain en el ámbito del Derecho y las relaciones jurídicas?

Las posibilidades que ofrece la tecnología blockchain a la hora de articular relaciones jurídicas son infinitas.

Ya estamos viendo su aplicación práctica en el sector financiero y de seguros y en el ámbito jurídico va a tener un papel muy importante en el desarrollo de tecnología para la elaboración de contratos inteligentes, la generación de evidencias o los registros de bienes. Algunos despachos ya estamos trabajando desde hace tiempo con esta tecnología y estoy convencido de que pronto va a estar normalizado su uso en el día a día de despachos y empresas.

- Para terminar, ante la situación de efervescente auge en el desarrollo que se encuentra actualmente la Inteligencia Artificial (AI) ¿cree que se debería empezar ya a regular? ¿Por qué?

Creo que, como sucede en la mayoría de avances tecnológicos similares, va a ser difícil contar con una regulación eficiente sin que aún conozcamos el avance y alcance de la tecnología de computación cognitiva o de inteligencia artificial.

En este ámbito creo que aún se tiene que trabajar mucho técnicamente aunque veremos pronto los avances y se antoja que va a tener que ser necesaria una legislación que, al menos, regule el régimen de responsabilidades cuando la “máquina” sea capaz de “tomar decisiones por sí misma” y lo entrecomillo porque en algún punto de esa cadena en la toma de decisiones incidirá el factor humano y será allí donde habrá que introducir valores morales y límites legales para delimitarlo.