Paul-Olivier Gibert (presidente de Afcdp): "La invalidación del escudo de privacidad plantea problemas muy grandes"

LMI. La Universidad AFCDP ha vuelto a la modalidad presencial, ¿es una buena noticia?

Paul-Olivier Gilbert. Esta es, de hecho, la primera edición física de la universidad Afcdp desde el inicio de la crisis sanitaria. Estamos muy contentos porque nos permite recuperar una calidad de intercambio de la que hemos estado algo privados durante los últimos 18 meses. Y fue un gran éxito con cerca de 800 personas que asistieron al evento en la Maison de la Chimie.

¿Cuál es el balance de 2021 de la asociación?

El balance aún no está completamente elaborado ya que lo estamos preparando para nuestra asamblea general que tendrá lugar en junio. Pero en general, 2021 fue un año de fuerte actividad, desarrollada en gran medida en medios digitales, ya sea a través de Agora, nuestra red social, pero también mediante el uso de técnicas de eventos de video. Y en particular el hecho de que hicimos la universidad 2021 de forma completamente desmaterializada lo que permitió mantener la actividad de esta manera. En general, Afcdp es al menos una reunión por semana en Francia con muchos eventos que van desde unas pocas docenas hasta varios cientos de personas con la Universidad.

¿Este paréntesis de 2 años de Covid ha afectado los proyectos de DPO?

Esto impactó en los proyectos de DPO, pero sobre todo fue una crisis que tuvo dimensiones extremadamente fuertes en términos de datos personales. En primer lugar, mediante el uso del teletrabajo que generó datos personales, este es un punto significativo. Y luego la 2ª cosa es el hecho de que la digitalización de nuestra vida se ha reforzado fuertemente durante este período y que esto se ha traducido en el uso de datos personales. Entonces eso es mucho trabajo apurado, con elementos disruptivos y condiciones de trabajo que no eran las mismas. Así que han sido dos años muy activos para los miembros de Afcdp.

Casi 4 años después de la entrada en vigor del RGPD, ¿cuál es su valoración en cuanto a madurez?

Son temas ciertamente complicados, que tienen impactos bastante fuertes en el funcionamiento de las organizaciones y que ejercen presión sobre las organizaciones y en particular sobre la persona que está a cargo de asistir a la dirección en el cumplimiento de las obligaciones relacionadas con el RGPD, el DPO. Lo que vemos es una búsqueda de soluciones pragmáticas para hacer frente a este nuevo entorno regulatorio con la invalidación del Privacy Shield, que plantea problemas reales y muy profundos.

También están surgiendo muchas normativas DSA, DMA, DLA... Vienen muchas...

Este es un tema real que la Afcdp ha abordado. Hemos asignado recursos para trabajar en estas nuevas regulaciones que se están implementando. Lo que podemos ver es que, obviamente, los temas relacionados con la articulación entre estos nuevos textos y el RGPD, no es algo que parece en esta etapa haber sido bien pensado, bien pensado. Y esto es algo que traerá temas complejos para las organizaciones. Este es un tema sobre el que nos gustaría que la Afcdp pudiera aportar elementos de reflexión pero también elementos de respuesta y análisis para sus miembros.

En 2021 se pagaron 1.100 millones de euros en multas bajo el RGPD en Europa, 130.000 notificaciones. ¿Qué opinas de estos números?

Son cantidades para poner en perspectiva y las sanciones no son necesariamente las mismas dependiendo de las autoridades. En segundo lugar, a escala de la Unión Europea, no es necesariamente una cantidad que parezca enorme, dado que existe un uso extremadamente amplio de datos personales en el funcionamiento de la economía y la sociedad. Esta es una posición que quizás parece un poco intermedia. Lo que sería interesante sería comparar las sanciones bajo el RGPD con las sanciones del tipo de la ley de competencia u otras de este tipo. Habrá que ver cómo evoluciona esto con el tiempo.

En Francia ha habido muchas multas: ¿están en consonancia con los riesgos y las consecuencias de las violaciones de datos personales?

Me parece que estas son las cantidades que están en línea y que no son descabelladas en relación con los problemas planteados por estas organizaciones y los datos que manejan. Estas parecen ser sanciones proporcionadas.

En cuanto a la denegación de cookies, ¿es más necesario constreñir que sensibilizar a las empresas?

Hay que ver el modelo de negocio que hay detrás. De hecho, todavía tenemos muchas actividades que funcionaron en el tipo libre versus datos, y con modelos de dos caras tal como fueron analizados por Jean Tirole. Todas las discusiones sobre las cookies se relacionan con estos modelos económicos: ¿podemos tener servicios gratuitos con una sesión implícita de datos personales a cambio? Esta es la pregunta que nos podemos hacer, sabiendo que tenemos que ver qué se financia. Estamos en un período en el que las cosas se empujan con consecuencias que están lejos de ser insignificantes.

También está la explotación masiva de datos personales por parte de los GAFAM que está sancionado: ¿crees que están suficientemente empoderados?

En cuanto a los GAFAM, tenemos un problema muy específico porque tenemos empresas que han estado en el centro de la innovación tecnológica en los últimos 20-30 años, que han establecido posiciones de monopolio internacional y global.

¿Hasta dónde puede llegar esto? Facebook dice que quiere retirarse de Europa...

Para Facebook e Instagram me parece que todavía hay cierta unidad de decisión con respecto a ellos. Sí, pero en este caso potencia la cuota de facturación que corresponde a su actividad en Europa.

¿Piensas hoy que el soberano digital es hoy uno de compromisos? ¿Hemos llorado la verdadera soberanía 2.0, la de Cloudwatt y Numergy que habrían triunfado?

Entonces, ¿construimos Cloudwatt y Numergy en ese momento para que realmente tuvieran la capacidad de tener éxito? Es una buena pregunta...

112 M€ cada uno de todos modos...

Sí, pero ¿qué queda? Este es el primer tema. El segundo tema de la soberanía es una cuestión que no es tan simple como eso. Ser soberano, ¿significa producir todas sus herramientas y estar totalmente en situación de autarquía? ¿Dónde está una situación de interdependencia más inteligente y más construida?

Europa, ¿debe Francia decidirse a hacerlo?

La Afcdp no necesariamente tiene un punto de vista institucional al respecto. Su vocación es reunir a los profesionales para que puedan ejercer mejor su profesión. Ahí está un principio de realidad que hace que si queremos dotar a una multinacional de un sistema de ofimática que permita un nivel de seguridad, de colaboración a todos los actores, no hay muchas soluciones utilizables. Es lo mismo para herramientas de video como Zoom.

2022 es año de elecciones presidenciales, ¿cuál es su balance de este quinquenio en materia de protección de datos personales y garantía de derechos?

Sobre el ejercicio de un mandato político en Francia, un mandato de cinco años no es necesariamente la escala adecuada para medir los problemas a los que se enfrentan las OPD que, sobre todo, han vivido un período en los últimos 5 años, marcado por la preparación y luego por la entrada en vigor del RGPD. Nuestras noticias en los últimos 5 años fueron más así. Luego, efectivamente, hay interacciones con la normativa, pero el hecho significativo de los últimos 5 años ha sido la entrada en vigor del RGPD.

Y para la Afcdp en 2022, ¿qué esperar?

2022 y los años siguientes será para la asociación la constitución de una nueva junta directiva. Y vivir y preparar la gestión de datos personales en una era post-Covid normal.