NOTICIAS

Listado de noticias

El DPO se consolida como figura clave en la protección datos y en la implementación de IA en las empresas

  • 14/02/2025

Más de 450 expertos en privacidad se dan cita en el XVII Foro de la Privacidad celebrado en la capital de España.

Los delegados de protección de datos (DPO) afianzan su posición en el ecosistema empresarial, aunque siguen reclamando recursos suficiente para realizar su trabajo, según se desprende la segunda edición del Libro Blanco del DPO presentado este jueves en Madrid en el XVII Foro de la Privacidad del Data Privacy Institute, organizado por ISMS Forum ante casi medio millar de profesionales.

“En estos cinco años que va de la primera a la segunda edición de este Libro Blanco nuestra actividad se ha consolidado, como un elemento clave para gestionar la privacidad de las organizaciones”, comenta Carlos Saiz, vicepresidente de ISMS Forum y director del Data Privacy Institute, comunidad formada por más de quinientos profesionales que ampara este estudio

Saiz estuvo acompañado en la presentación de este trabajo colectivo en que han participado catorce expertos en privacidad, por Javier Lomas, DPO, Codere y Alberto Casaseca, DPO de Clece quienes comentaron las principales novedades de esta guía, que por lo visto puede convertirse en un elemento de consulta para estos profesionales de la privacidad en su actividad diaria.

Desde su punto de vista “con este documento hemos aterrizado de forma más concreta la figura del DPO, se habla de su perfil, de qué habilidades debe tener, de quién debe depender y cómo debe reportar en esa relación con la dirección de la compañía. Al final con toda esta información condensada en esta informe hemos creado una especie de estatuto profesional, creado desde nuestro colectivo de profesionales de la privacidad”.

La relevancia del DPO

Sobre las novedades, Javier Lomas destacó que “el papel del DPO puede ser clave en la gobernanza de la IA. Si ya en el 2020 hablábamos de ello y la propia IA está en sus inicios, ahora con el Reglamento de IA y los desarrollos existentes es ya una realidad notable. De hecho, la función de nosotros como profesionales podemos ayudar a definir la gobernanza de la IA”.

Por su parte, Alberto Casaseca comentó como se están definiendo los criterios de independencia y autonomía de estos profesionales “Es clave que hay que proteger al DPO para que haga su cometido de una forma adecuada. Hemos incluido un capítulo sobre la IA y el DPO y cuál puede ser su papel en dicho escenario regulatorio. Este Reglamento de IA es nuevo y va a tener un impacto en la gestión de los datos personales”.

Carlos Saiz nos indica que tanto en este Libro Blanco del DPO, como en el Observatorio que también se ha presentado hoy otro informe sobre este profesional ,  𝗘𝗹𝗲𝘀𝘁𝗮𝗱𝗼𝗱𝗲𝗹𝗮𝗽𝗿𝗶𝘃𝗮𝗰𝗶𝗱𝗮𝗱𝗲𝗻𝟮𝟬𝟮𝟱: 𝗩𝗜𝗘𝘀𝘁𝘂𝗱𝗶𝗼𝘀𝗼𝗯𝗿𝗲𝗲𝗹𝗻𝗶𝘃𝗲𝗹𝗱𝗲𝗺𝗮𝗱𝘂𝗿𝗲𝘇𝗲𝗻𝗹𝗮𝗮𝗽𝗹𝗶𝗰𝗮𝗰𝗶o𝗻𝗱𝗲𝗹𝗥𝗚𝗣𝗗en este panel ,también moderado por Saiz y donde han intervenido Xavier Alberdi, DPO de Cabot Financial, junto a Ignacio Cagiga, técnico de protección de datos de Sanitas y Edison Hernández, DPO de Sofinco.

En ambos informes el diagnóstico es claro “hemos constatado que ante la libertad queda el Reglamento de IA para elegir responsable, el papel del DPO, que maneja datos personales puede ayudarle a tomar dicha responsabilidad”, señalan los expertos.

El evento conto con dos itinerarios complementarios en los que se abordaron de manera simultánea las cuestiones claves que preocupan a estos profesionales. En el primero, sobre tendencias, tras el saludo inicial de Roberto Baratta, presidente de ISMS Forum, tomó la palabra Jose Luis Piñar, catedrático de Derecho Administrativo y ex director de la AEPD; para luego analizarse asuntos como los modelos de riesgos tecnológicos bajo aplicación de IA, el gobierno del dato en la era IA, entre otros asuntos.

Menos normas en protección de datos

Jose Luis Piñar, explico en una ponencia llamada “Quo Vadis, Protección de Datos” el conglomerado de normas que hay ahora en Europa.”Los europeos debemos respetar el pleno respeto a los derechos fundamentales, y entre otros el derecho a la Protección de Datos, al libre desarrollo de la personalidad, y a la dignidad de la persona, que la Carta Europea de Derechos Humanos recoge desde el principio. Pero una sobrerregulación, que da lugar a múltiples disposiciones no siempre coordinadas entre ellas puede generar un efecto contrario al deseado”.

Este jurista recordó que “cualquier desarrollo de la inteligencia artificial debe pasar por el pleno respeto a los derechos fundamentales, en particular el derecho a la Protección de Datos, a la privacidad. Por ello la relación entre Protección de Datos e inteligencia artificial es incuestionable. Son dos elementos intrínsecamente unidos sin que ninguno de los dos se explique sin el otro”.

También comento que “la creación del Observatorio de Derechos Digitales, impulsado por el Ministerio de Transformación Digital con el apoyo de la Fundación Hermes de derechos para la ciudadanía digital, es una iniciativa en mi opinión de enorme importancia que va a permitir hacer un seguimiento de la evolución real de los derechos digitales, plasmados en la Carta de Derechos Digitales desde 2021, no solo en España sino a nivel global”.

Otro hito importante de este Foro de la Privacidad, fue la entrevista realizada por Henry Velásquez (Publicis Groupe) a Peter Winn, Acting Chief Privacy and Civil Liberties Officer, United States Department of Justice. La entrevista se centró en las diferencias de regulación de IA europea en relación con la que se implementa en EEUU. Mientras que en Europa hay un Reglamento de IA en EEUU, solo hay propuestas en diferentes Estados. “No hace falta ley federal hay normativa existente para gestionar esos riesgos”.

Una observación interesante que hizo Winn es que “en Europa se regula de forma prematura antes de que se produzcan las situaciones, así se ha hecho con la IA antes del despliegue europeo de estas herramientas. En EEUU lo hacemos al revés ya creemos que hay un marco general que protege a los ciudadanos y la IA no es más que un escenario más donde se van a dar otras circunstancias. Si hubiera algún problema con este marco los podríamos atajar, si vemos que falta algo, ahí lo regulamos de forma concreta”.

Otra de las cuestiones de esta entrevista tuvo que ver cuando Velásquez le dijo que tenemos posturas diferentes, la visión europea es distinta de la americana, sobre la regulación de IA. El problema que se planea es que este Reglamento de IA es extraterritorial, eso supone que las empresas norteamericanas que entren en el mercado europeo tendrán que cumplirlo. Para Winn “sería necesario crear una especie de tratado regulatorio entre Europa y EEUU para evitar conflictos en su aplicación legal”.

La importancia de la certificación

En otra mesa se presentó el Esquema de Certificación de Servicios Prestados por un Encargado de Tratamiento de Datos de Carácter Personal, de ISMS Forum, una iniciativa que pretende fomentar la mejora de la gestión de riesgo de terceros y favorecer los deberes de diligencia debida en materia de privacidad. Intervinieron Wasim Escribano, responsable de certificación de ISMS Forum tiene abiertas junto a Nikola Kovacic, de Ecix Grupo y EdisoHernández que explicaron el objeto y la metodología del esquema.

Estos expertos presentaron el Esquema SPET, un nuevo esquema de certificación en el que están trabajando con el objetivo de garantizar una mayor confianza de los servicios para el ámbito de la privacidad con respecto de las relaciones con terceros. También comentaron que puede seré de gran ayuda para aligerar los trámites de homologaciones de proveedores.

Según comentaron en su mesa redonda, esta certificación aporta valor tanto a responsables como a encargados, demostrando a los clientes el cumplimiento de estándares de protección de datos y generando mayor confianza en sus servicios. “La creación de una certificación para evaluar a terceros brinda una ventaja competitiva a los Encargados de Tratamientos y garantías a los responsables”, subrayaron.

En el segundo itinerario, de buenas prácticas, con la bienvenida de Yolanda González, DPO de Moeve, que dio la bienvenida a los asistentes recibió a Leonardo Cervera-Navas, secretario general del Supervisor Europeo de Protección de Datos, organismo de control del tratamiento de datos personales en el ámbito de las instituciones europeas.

Leonardo habló del papel del Supervisor, a través de una competencia como supervisor del mercado en IA, desde enero de 2024 con el apoyo de una red de corresponsales nacionales en toda la UE, así como y de los movimientos existentes a nivel de inversiones entre Europa, China y EEUU.

Sobre este tema el ponente comentó que “crear esta red es fundamental, porque la gobernanza en el entorno regulatorio es casi todo. Hay tantos ángulos en aplicación de la ley que poder comunicar y repartir responsabilidades y clarificar conceptos es casi tan importante como la propia aplicación de la ley. España es un país avanzado con un regulador propio de IA, AESIA y un sandbox o entorno desregulado de los primeros. Habrá que ver que recorrido tiene esta iniciativa en el corto y medio plazo. En el sandbox la interacción con la AEPD también va a ser importante”.

“En este contexto pese a informes como el de Mario Draghi que reclama menos regulación para ser más competitivos, Europa no debe renunciar a su modelo de IA que viene reflejado en el Reglamento de IA de modelo confiable que respeta los derechos fundamentales de la persona. Y es que este modelo que plantea Europa tiene futuro. En este sentido hemos conocido que el reglamento de Eprivacy y la directiva sobre productos de IA van a tener un parón, en este entorno de cierta desregulación”, apuntó Leonardo Navas.

Sanciones de la AEPD y Europa

En este itinerario Francisco Pérez Bes, socio de Ecix Group, hizo un detallado análisis de las tendencias sancionadoras en España y Europa. En otras mesas redondas se abordaron cuestiones como las responsabilidades ante un incidente generado en un entorno de IA.

También se debatió sobre IA y Derechos Fundamentales, el desarrollo de una FRIA, las responsabilidades ante un incidente generado en un entorno IA, y la anonimización del interés legítimo y responsabilidad en los sistemas de IA desde el dictamen 28/2024, entre otros asuntos.

Pérez Bes presentó los datos y conclusiones recogidas en el informe de tendencias sancionadoras en materia de protección de datos correspondiente al año 2024. Este informe, elaborado conjuntamente entre Ecix y el ISMS Forum, muestra cuál es la realidad actual de la actividad sancionadora de las autoridades de control europeas, y la agencia española en particular.

En este sentido, los datos analizados muestran cómo la AEPD es la autoridad que más sanciones impone en número, aunque, en cuanto a importe, desciende varias posiciones en comparación con otras autoridades de nuestro entorno europeo.

Destacó la reducción de resoluciones de este año 2024, situándose en datos del año 2023, lo que -a juicio de este experto- puede suponer una muestra de equilibrio en cuanto a la cantidad de sanciones, que puede llevarnos a prever que para 2025 la actividad sancionadora de la Agencia pueda estar en una franja de en torno a unas 250-280 resoluciones sancionadoras.

En cambio, esa tendencia no se refleja en el importe de las multas, que siguen creciendo en porcentajes altos, dato que parece derivarse de la tendencia de imponer sanciones cada vez más altas, que nos lleva a una media de 30 millones por año.

Por otra parte, resaltó los artículos más sancionados en nuestro país han sido el 25 del RGPD, regulador de la obligación de aplicar el principio de la privacidad desde el diseño, y el 32 de esa misma norma, relativo a la gestión de brechas de seguridad, reflejando el cada vez mayor peso de los ciberataques en las organizaciones.

Global Gold Sponsor

ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Biocatch
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic-1421681117927
entrust-1421665994898
EverBridge
extrahop
fortinet1584959160
fujitsu
group-ib-142x531696331301
hashicorp
hcl-1421692878218
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
Innovery
insside-142x531694532390
Integrity360
Izertis
KPMG
leet-security
mandiant1712242876
METODOS Y TECNOLOGIA DE SISTEMAS Y PROCESOS, S.L.
microsoft1421636982759
mimecast
netskope1421542790367
nextvision-1421678725138
okta-142x531690371671
Omada
onetrust
Onum
OpenText
paloalto1421664436588
ping-identity
primix-142x531690198289
qualys-subir1520939472
proofpointsubir1491214442
recorderfuture1421636531854
red-sift-142-21668078952
riskrecon-1421646309412
netwitness
Rubrik
S2GRUPO-AZUL_400
Sailpoint
samsung-subir14912155251502970957
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelonelogo-nuevo1712129729
sia1613034479
Sonatype
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
Tier8
transmitsecurity
TRC
trellix-1421650963625
trustworks
varonis1421555406337
veracode-1421677058859
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscalerlogo1421569595297

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.