Juan Otegi, Responsable del Área de Consultoría en Protección e Datos

"Los ciberataques se han incrementado por siete en solamente dos años"

Juan Otegi es Responsable del Área de Consultoría en Protección de Datos de ITS y Compliance Legal. La ciberseguridad es su razón de ser. Junto a la Diputación Foral, organizó el congreso Gipuzkoaindustry SEC 2018, celebrado en Donostia.

“El consentimiento válido para el tratamiento de los datos personales
tiene que ser un acto libre, específico, inequívoco y previamente informado”

J.I. Viedma. ¿Cómo explicaría los servicios que realizan en ITS-Security?

Juan Otegi. ITS es una empresa especializada en la ciberseguridad. El mercado demanda soluciones tecnológicas y una constante innovación para mitigar los riesgos crecientes que provienen de la interconexión generalizada de equipos y servicios a Internet. Quizás no somos conscientes de que las infraestructuras críticas -por ejemplo, centrales nucleares o potabilizadoras de agua- están conectadas a Internet y, por tanto, están expuestas a ataques de ‘hackers’. Los datos oficiales dicen que estos ataques se han incrementado por siete en solo dos años. Estos ataques pueden des-abastecer de energía a poblaciones enteras, paralizar hospitales, aeropuertos y, en definitiva, provocar grandes daños. ITS también ofrece servicios de consultoría informática y jurídica en la adecuación a distintas normativas, como la normativa de protección de datos personales.

J.I.V. En palabras para todos, ¿qué es la Ley de Protección de Datos?

J.O. Las distintas normativas de protección de datos personales -no olvidemos que en 1992 ya teníamos la LORTAD- tienen como principal objetivo proteger la privacidad de los ciudadanos, especialmente frente a las nuevas tecnologías. Hoy en día estamos completamente “fichados”. Nuestros gustos, preferencias, aficiones, movimientos, son constantemente monitorizados por inteligencias artificiales que pueden influir y predecir nuestro comportamiento. La combinación de “Big Data” -cada día se generan 2.500 millones de datos-, con el incremento exponencial de la capacidad de computación ha abierto nuevas posibilidades que desbordan la imaginación. Estas herramientas pueden utilizarse para prevenir enfermedades o para influenciar en resultados electorales -pensemos en el reciente caso de Facebook y Cambridge Analytica-. Todo depende de la finalidad a la que se destinen…

J.I.V. ¿Cómo nacen estas normativas?

J.O. Podemos decir que las normativas de protección de datos personales nacen fundamentalmente en Europa, para otorgar al ciudadano cierta capacidad de decisión sobre el tratamiento de sus datos personales, y así proteger su libertad y dignidad en el más amplio sentido de la palabra. Los hechos demuestran que estamos intentando ponerle puertas al campo, pero creo que es una normativa necesaria porque al menos contribuye a que exista un debate ciudadano y una concienciación de las implicaciones sociales y políticas que tiene la explotación del “Big Data”.

J.I.V. ¿Qué tipo de empresas están obligadas a aplicar el Reglamento General de Protección de Datos (RGPD)?

J.O. Es muy difícil que una empresa no utilice datos personales en su actividad profesional. Por ejemplo, los datos de contacto de sus clientes, los datos incluidos en la nómina de sus trabajadores, video vigilancia, etc. No obstante, el RGPD ha introducido novedades destacables. El volumen de datos tratados por las empresas es un condicionante importante a la hora de abordar el cumplimiento de la norma, por tanto, las empresas del sector del marketing en Internet tendrán que realizar bien los deberes. Y las empresas e instituciones que traten datos especialmente protegidos, como datos de salud, afiliación sindical o datos biométricos, también deberán esforzarse en adecuar su actividad al RGPD.

J.I.V. ¿Le sirven las “casillas premarcadas”?

J.O. Una de las principales novedades del RGPD es la derogación del consentimiento tácito como elemento legitimador para el tratamiento de datos personales. Técnicas como el envío de cartas con un plazo para que el destinatario se oponga al tratamiento de sus datos personales, interpretándose que de no hacerlo existe una autorización, o la utilización de casillas premarcadas, han quedado proscritas de las normativas de protección de datos. El consentimiento válido para el tratamiento de los datos personales tiene que ser un acto libre, específico, inequívoco y previamente informado.

J.I.V. Como socio del RAC Vasco Navarro, ¿cómo valora los servicios que ofrece el Club?

J.O. Destacaría especialmente su labor de in-formación, concienciación y colaboración técnica con instituciones públicas y privadas, en aspectos fundamentales para los automovilistas -seguridad vial, movilidad, consejos técnicos, aspectos legales, etc.- que muchas veces, por costumbre o falta de atención, olvidamos.

Abogado en ejercicio de las TIC desde el año 2000, participó con el Departamento Internacional de la Agencia Española de Protección de Datos en tareas de Derecho Comparado (2001). Socio fundador del despacho Otagi Protección de Datos Personales (2002). Director del departamento de Ecosulting en la empresa de seguridad ITS(2008). Acreditado como legal expert en el proyecto de sello de privacidad europeo Europrise (2009).