1
00:00:00,000 --> 00:00:07,860
Y a continuación paso a presentaros a Leonardo Cervera Navas, que es director de la Oficina del Supervisor Europeo de Protección de Datos.

2
00:00:09,460 --> 00:00:12,759
Leonardo, bienvenido a nuestra Masterclass.

3
00:00:14,320 --> 00:00:15,359
¿Me oyes?

4
00:00:16,019 --> 00:00:17,219
Sí, sí. Hola, buenas tardes.

5
00:00:17,239 --> 00:00:19,660
Hola, buenas tardes Leonardo, buenas tardes.

6
00:00:20,559 --> 00:00:28,879
Pues como os decía, él es el director de la Oficina del Supervisor Europeo y es la autoridad de protección de datos de la Unión Europea.

7
00:00:28,879 --> 00:00:47,759
Entonces, bueno, sin más, Leonardo, doy paso a tu ponencia sobre transferencias internacionales de datos fuera de la Unión Europea y en especial referencia a la situación con Estados Unidos. Así que nada, Leonardo, bienvenido y te dejamos en pantalla completa.

8
00:00:47,759 --> 00:00:50,579
Bueno, pues muchas gracias

9
00:00:50,579 --> 00:00:52,479
confirmar

10
00:00:52,479 --> 00:00:54,039
¿se me oye bien? ¿sí?

11
00:00:54,799 --> 00:00:55,759
Sí, perfectamente

12
00:00:55,759 --> 00:00:58,380
Bueno, pues voy a intentar compartir una

13
00:00:58,380 --> 00:01:00,179
presentación PowerPoint

14
00:01:00,179 --> 00:01:02,460
a ver si soy capaz

15
00:01:02,460 --> 00:01:05,379
a ver

16
00:01:05,379 --> 00:01:09,439
no, eso no es

17
00:01:09,439 --> 00:01:11,219
¿se está viendo en pantalla? ¿sí?

18
00:01:18,280 --> 00:01:19,640
Sí, sí, se ve bien, ok

19
00:01:19,640 --> 00:01:21,280
ok

20
00:01:21,280 --> 00:01:24,430
ok

21
00:01:24,430 --> 00:01:27,129
no lo sé, vamos a ver

22
00:01:27,129 --> 00:02:00,739
Ahí está bien. Vamos a ver si la puedo poner un poquito más grande. ¿Se ve el PowerPoint o se ven mis notas? ¿Qué es lo que se ve? Vamos a ir para atrás. Es que lo tengo puesto, yo creo.

23
00:02:00,739 --> 00:02:32,669
A ver, ok, bueno, ok, de acuerdo, bueno, pues en primer lugar, pues mi agradecimiento por la invitación a esta masterclass y bueno, un mensaje de unidad y solidaridad en esos momentos tan duros que estamos viviendo de pandemia,

24
00:02:32,669 --> 00:02:36,710
tanto en España como en el resto de la Unión Europea

25
00:02:36,710 --> 00:02:37,889
y en el mundo entero

26
00:02:37,889 --> 00:02:43,789
hay muchas personas que están sufriendo

27
00:02:43,789 --> 00:02:45,389
como consecuencia de esta pandemia

28
00:02:45,389 --> 00:02:50,530
y desde aquí un mensaje de apoyo y de solidaridad

29
00:02:50,530 --> 00:02:53,949
lo mejor que podemos hacer en estas circunstancias tan duras

30
00:02:53,949 --> 00:02:58,150
es estar unidos y ayudarnos los unos a los otros

31
00:02:58,150 --> 00:03:01,370
así que yo pongo de mi parte con estas palabras

32
00:03:01,370 --> 00:03:16,509
También quería hacer una breve referencia a Julián y a Mar España, a los que agradezco mucho la labor de difusión que hacen desde la Agencia Española de Protección de Datos

33
00:03:16,509 --> 00:03:28,569
y a los que animo a seguir ahí en la trinchera de la protección de datos, a pesar de los escasos medios con los que cuentan.

34
00:03:28,569 --> 00:03:49,689
Esto que han estado contando del canal prioritario y que he estado escuchando con mucha atención es una quijotada auténticamente, pero es un ejemplo clarísimo de lo que es el compromiso de una administración pública para hacer algo impactante y que mejore la sociedad.

35
00:03:49,689 --> 00:04:12,310
Así que verdaderamente me quito el sombrero con esta iniciativa del canal prioritario. Y aunque sus resultados no sean tan amplios como estoy seguro que a ellos les gustaría, en vez de tener 300 denuncias quizás les gustaría tener 3.000 o 30.000, porque así podrían estar ayudando a más personas, pues por algo hay que empezar.

36
00:04:12,310 --> 00:04:20,269
y ellos han sido muy valientes de hacer esto y posiblemente en el futuro esto tendrá muchísimo más utilidad

37
00:04:20,269 --> 00:04:24,149
y por lo tanto ya se ha puesto la primera piedra, que eso es lo más importante.

38
00:04:25,110 --> 00:04:31,930
Bueno, voy a intentar pasar a ver la primera pantalla.

39
00:04:33,629 --> 00:04:34,449
Vamos a ver así.

40
00:04:35,470 --> 00:04:41,449
Bueno, pues brevemente voy a decir unas palabras de presentación sobre mi empleador.

41
00:04:41,449 --> 00:04:47,490
que ya que me ha dado la oportunidad de dedicar mi tiempo a esta masterclass

42
00:04:47,490 --> 00:04:53,250
pues es de justicia que les presente un poco al Supervisor Europeo de Protección de Datos

43
00:04:53,250 --> 00:04:57,689
que es la Autoridad de Protección de Datos de las instituciones europeas.

44
00:04:58,629 --> 00:05:03,589
Por desgracia todavía no somos la Autoridad de Protección de Datos de la Unión Europea

45
00:05:03,589 --> 00:05:07,389
porque la Unión Europea no ha llegado a un nivel de integración tal

46
00:05:07,389 --> 00:05:11,889
como para permitir una autoridad de protección de datos europea.

47
00:05:12,730 --> 00:05:17,689
Lo que somos por el momento es la autoridad de protección de datos de las instituciones europeas,

48
00:05:18,370 --> 00:05:21,750
en Bruselas, Luxemburgo y Estrasburgo,

49
00:05:22,290 --> 00:05:29,430
y tenemos vocación de algún día crear esta autoridad europea de protección de datos

50
00:05:29,430 --> 00:05:34,009
que trabaje conjuntamente con las autoridades nacionales de protección de datos.

51
00:05:34,009 --> 00:06:00,449
A día de hoy, nuestro ámbito de aplicación es mucho más pequeño. Eso no quiere decir que el supervisor europeo tenga una labor pequeña, porque somos la autoridad de supervisión de las instituciones, lo que significa que supervisamos la protección de datos para la Comisión Europea o el Parlamento Europeo o para agencias tan importantes como pueda ser Eurojust o Europol, el FBI europeo.

52
00:06:00,449 --> 00:06:06,990
Pues se pueden imaginar que supervisar el tratamiento de datos por parte de Europol no es una tarea sencilla.

53
00:06:07,709 --> 00:06:11,329
También somos el asesor del legislador comunitario.

54
00:06:11,970 --> 00:06:16,370
Cada vez que hay una propuesta legislativa que tiene un impacto en materia de protección de datos,

55
00:06:16,970 --> 00:06:20,129
es obligatorio consultar al supervisor europeo.

56
00:06:20,129 --> 00:06:24,670
Nuestras opiniones no son de obligado cumplimiento, pero sí son de obligada solicitud.

57
00:06:24,670 --> 00:06:48,970
Y normalmente lo que el supervisor europeo recomienda se suele tomar en cuenta durante el proceso legislativo, sobre todo por parte del Parlamento Europeo, que suele ser la institución de la Unión que más escucha o que mejor escucha la opinión del supervisor europeo.

58
00:06:48,970 --> 00:07:07,310
Y también desde la entrada en vigor del Reglamento General de Protección de Datos, el GDPR, pues el supervisor provee la secretaría del nuevo organismo de la Unión que se ha creado con el GDPR, denominado el Comité Europeo de Protección de Datos, el IDPB.

59
00:07:07,310 --> 00:07:26,990
Y bueno, pues digamos que el EDPB es como un Estado sin ejército. Ellos existen, son independientes, pero los recursos, el personal, las oficinas, el dinero, lo proporciona el supervisor europeo.

60
00:07:26,990 --> 00:07:46,670
Aunque, por supuesto, siempre respetando la independencia del comité. Pero bueno, eso es un trabajo también duro porque a día de hoy, con esta crisis que tenemos, conseguir los recursos necesarios para que este comité pueda hacer su trabajo en 24 lenguas oficiales no es fácil.

61
00:07:46,670 --> 00:08:10,889
Y en general, nuestra labor es también de fomentar la cooperación entre los Estados miembros en materia de protección de datos y servir un poco de moral compass, de brújula moral en el mundo sobre la importancia de la protección de datos para el respeto de la dignidad del individuo y la democracia.

62
00:08:10,889 --> 00:08:32,750
Bueno, pues antes de pasar al tema concreto de las transferencias de datos personales con particular atención a los Estados Unidos, creo que es preciso hacer una especie de reflexión general, un vuelo a ojo de águila, ¿no?

63
00:08:32,750 --> 00:08:39,830
para ver por qué esto de la protección de datos se ha convertido en una cuestión tan relevante.

64
00:08:40,710 --> 00:08:48,350
Y porque si no, pues lógicamente no se acaba de entender muy bien toda esta discusión

65
00:08:48,350 --> 00:08:52,190
sobre el tema de las transferencias internacionales en general,

66
00:08:52,669 --> 00:08:56,250
todo este ruido mediático sobre la protección de datos.

67
00:08:56,250 --> 00:09:12,710
Lo primero que hay que decir es que el mundo a día de hoy se encuentra no solo en medio de una pandemia, sino también en los albores de una revolución industrial, la cuarta revolución industrial.

68
00:09:13,649 --> 00:09:30,590
Las revoluciones industriales son fenómenos que ocurren en la humanidad y que provocan cambios enormes en la sociedad, en la economía, en la forma de vivir, en las concepciones, en la religión.

69
00:09:31,529 --> 00:09:41,330
Si pensamos en las anteriores revoluciones industriales que ha vivido la humanidad, pues se puede ver claramente el impacto que esto ha tenido en la sociedad.

70
00:09:41,330 --> 00:10:00,330
Si piensan, por ejemplo, en la primera revolución industrial que tuvo su origen en el Reino Unido, pues ahí tienen la situación terrible de las industrias, de la masificación, de las condiciones inhumanas, de los trabajadores, el empleo infantil.

71
00:10:00,330 --> 00:10:22,769
Bueno, todas estas cosas que escritores como Charles Dickens denunciaron en su momento y que dieron lugar a una serie de fenómenos políticos como el socialismo y el comunismo que no fueron más que una reacción a esta avalancha tecnológica que vino con la primera revolución industrial.

72
00:10:22,769 --> 00:10:34,909
Y es solamente por poner en contexto de lo que estamos hablando. En aquel caso, pues la revolución vino de la mano de la utilización del carbón y de la máquina de vapor y de los ferrocarriles.

73
00:10:35,590 --> 00:10:41,990
Bueno, pues en esta cuarta revolución industrial donde estamos no se trata de las máquinas de vapor.

74
00:10:41,990 --> 00:10:51,470
Ahora lo que estamos hablando es de la computación cuántica que va a multiplicar por muchos miles

75
00:10:51,470 --> 00:10:56,350
la capacidad de computación que tienen nuestros ordenadores de hoy en día.

76
00:10:57,009 --> 00:11:03,950
Y claro, esta capacidad de computación va a permitir que se traten muchísimos más datos

77
00:11:03,950 --> 00:11:25,750
Y que se trate de muchísimos más datos va a permitir que las máquinas, los robots, sean cada vez más autónomos. Autónomos que no inteligentes, porque todavía falta bastante para poder hablar de un robot netamente inteligente.

78
00:11:25,750 --> 00:11:47,710
Pero el nivel de autonomía de las máquinas a día de hoy ya es bastante respetable y desde luego cuando contemos con la computación cuántica y otras tecnologías de la información que ahora mismo están saliendo, como el 5G, pues el nivel de autonomía se va a aproximar bastante al de la inteligencia.

79
00:11:47,710 --> 00:12:12,830
Y esto va a cambiar el mundo y lo va a cambiar el mundo de manera palpable y de hecho ya lo estamos viendo. Los pioneros de esta cuarta revolución industrial son estas empresas de internet que han conseguido reemplazar a los empleados físicos, a las personas, por computadoras que hacen muy bien su trabajo.

80
00:12:12,830 --> 00:12:30,009
Si uno piensa, si piensan ustedes en un buscador de internet, cada vez que cualquiera de ustedes pone en el buscador de internet qué película ponen en mi ciudad, pues no hay ninguna persona al otro lado de la pantalla que esté respondiendo.

81
00:12:30,009 --> 00:12:55,850
Es una máquina que está respondiendo, pero está respondiendo con una rapidez y un conocimiento posiblemente superior al de cualquier persona, con lo cual estas empresas de Internet han conseguido reemplazar personas por robots y por eso son las empresas que tienen más beneficios, porque lógicamente los robots ni se ponen enfermos ni van a la huelga.

82
00:12:55,850 --> 00:13:01,850
Y por tanto, pues esto es un gran progreso desde el punto de vista del beneficio empresarial.

83
00:13:02,950 --> 00:13:18,629
Esto de la protección de datos empezó en los albores de la tercera revolución industrial, que fue la que empezó en los años 80 con la irrupción y la popularización de las computadoras en el ámbito doméstico.

84
00:13:18,629 --> 00:13:43,149
Fue entonces cuando los políticos y los legisladores se dieron cuenta de que había que hacer algo, de que había que crear una nueva rama del derecho que protegiera la intimidad de las personas que se veían amenazadas por estas máquinas que eran capaces de procesar toda esta información de una manera muy inocua.

85
00:13:43,149 --> 00:14:12,549
Y ahora cuando se vuelve la vista atrás y se piensa en estas máquinas de los años 80, pues realmente su capacidad de computación era pequeña y su posible invasión en la intimidad de las personas era mínima, pero ya se vio el peligro y de ahí que se empezara a legislar en materia de protección de datos y de ahí que se aprobara la directiva 9546 sobre libre circulación de los datos en la Unión Europea y protección de datos.

86
00:14:13,149 --> 00:14:30,110
Que vio ya los albores del Internet, pero realmente, porque se aprobó en el año 95, pero realmente no fue capaz de asimilar perfectamente el impacto del Internet desde el punto de vista de la protección de datos.

87
00:14:30,110 --> 00:14:53,309
Esto es algo que ha tenido que hacer 15 o 20 años más tarde el GDPR. El GDPR sí que actualiza ya esta directiva y lo hace contemporáneo a los fenómenos que conocemos hoy en día de Internet, de redes sociales, de la nube, etc.

88
00:14:53,309 --> 00:15:09,830
Pero igualmente el GDPR se está probando en los albores de esta cuarta revolución industrial y por tanto no es capaz de prever o de regular lo que viene con esta cuarta revolución industrial, que ahora mismo solamente estamos vislumbrando.

89
00:15:09,830 --> 00:15:26,210
Y pues eso, seguramente dentro de 10, 15 o 20 años será preciso reformar el GDPR y crear el GDPR 2.0 para poder abarcar el impacto de esta cuarta revolución industrial.

90
00:15:26,210 --> 00:15:51,190
Además, en estos últimos años que hemos vivido, la protección de datos ha ganado muchísima importancia mediática. Cuando yo empecé con esto de la protección de datos en el año 99, pues tenía que ir explicándole a todo el mundo, a mi familia, a amistades, conocidos, que era esto de la protección de datos.

91
00:15:51,190 --> 00:16:06,330
Y a veces explicarlo varias veces porque no se entendía. Y hoy, cuando le digo a cualquiera que trabaja en protección de datos, supervisor europeo de protección de datos, pues incluso el frutero me dice, ah, sí, sí, eso es lo del GDPR, ¿no?

92
00:16:06,330 --> 00:16:23,830
Y yo no me lo puedo creer, el nivel de popularidad que todo esto conlleva, pero se debe a que ha habido varios fenómenos mediáticos que han hecho que la población en general y la clase política y la clase económica se hayan hecho conscientes de la existencia de un serio problema.

93
00:16:23,830 --> 00:16:35,889
El primer fenómeno mediático que me gusta referir son las revelaciones de este señor Snowden, que aparece en pantalla en el año 2013.

94
00:16:35,889 --> 00:16:52,870
Este señor trabajaba para los espías, el servicio de inteligencia de Estados Unidos. Se salió y nos contó al mundo, que quedamos todos boquiabiertos, pues que los servicios de inteligencia de los Estados Unidos estaban espiándolo absolutamente todo.

95
00:16:53,830 --> 00:17:08,990
Estaban leyendo nuestros correos, estaban pinchando los cables de internet, tenían puertas traseras para entrar en todos los sistemas e incluso acuerdos con las grandes tecnológicas para acceder fácilmente a la información.

96
00:17:09,710 --> 00:17:19,990
Claro, esto hizo que hubiera un gran despertar a nivel mundial sobre el gran riesgo que la tecnología supone para la privacidad de las personas.

97
00:17:19,990 --> 00:17:49,150
Luego, posteriormente, en el año 2018, se produjo el famoso escándalo de Cambridge Analytica, en el que se puso de manifiesto cómo una empresa relativamente pequeña y tampoco con una tecnología tan revolucionaria había sido capaz de vender sus servicios a los partidarios del Brexit y los partidarios de la campaña del señor Trump.

98
00:17:49,990 --> 00:17:57,490
y habían sido capaces de manipular efectivamente el resultado de las elecciones

99
00:17:57,490 --> 00:18:06,630
sobre la base de tener acceso a los perfiles de millones de usuarios en Facebook.

100
00:18:07,329 --> 00:18:10,589
Nunca se ha podido probar, ni creo que se podrá probar nunca,

101
00:18:10,589 --> 00:18:18,789
si esta manipulación realizada por Cambridge Analytica realmente influyó en el resultado.

102
00:18:18,789 --> 00:18:40,049
Es decir, no se sabe hasta qué punto esta manipulación fue efectiva, pero lo que sí se sabe es que hubo esa manipulación y que sí influyó en el resultado. Influyó, seguro. Lo que no se podrá nunca saber es si llegó hasta el punto de hacer ganar a los partidarios del Brexit o al señor Trump o no.

103
00:18:40,049 --> 00:18:58,369
Pero, en cualquier caso, ya se vio el terrible potencial que esto tenía y hizo despertar a la clase política sobre el problema tan grave que supone un mal uso de las tecnologías, hasta el punto de que se puede llegar a hackear nuestro sistema democrático.

104
00:18:58,369 --> 00:19:18,809
Bueno, en realidad esto del GDPR no es más que la punta del iceberg de un problema muchísimo más amplio que es dilucidar cuál debe ser la relación entre la humanidad o los seres humanos y la tecnología.

105
00:19:18,809 --> 00:19:41,410
¿Por qué, o en otras palabras, cuál es el uso legítimo o moral que pueden hacer los poderes públicos y privados de la tecnología en relación a las personas? Va más allá solo del concepto tradicional de la intimidad o de la privacidad y es mucho más amplio.

106
00:19:41,410 --> 00:19:55,609
Durante mucho tiempo los especialistas en protección de datos hemos tenido un debate sobre si debía imponerse el modelo europeo de protección de datos o el modelo americano, estadounidense de protección de datos.

107
00:19:55,609 --> 00:20:21,269
Conforme avanzan los años nos damos cuenta que el debate es mucho más profundo, es entre el modelo democrático de sociedad y el modelo totalitario de sociedad, hasta qué punto los poderes públicos pueden utilizar la tecnología para controlar o para manipular o para someter a los ciudadanos.

108
00:20:21,269 --> 00:20:42,930
Esto ya es algo que George Orwell describió muy gráficamente en su novela 1984, escrita en 1948, en un momento en el que este escritor, que en realidad se llamaba Blair Smith, estaba muriendo.

109
00:20:42,930 --> 00:20:59,490
Y venía de una vida muy intensa, con todo tipo de experiencias, y una experiencia muy amarga en la guerra civil española, donde se dio cuenta del grave peligro que tenían los totalitarismos y el estalinismo en particular.

110
00:20:59,490 --> 00:21:27,450
Y bueno, pues los moribundos nunca mienten y George Orwell Moribundo nos dejó para el futuro este relato escalofriante de 1984 que puede hacerse realidad a día de hoy porque verdaderamente si un poder totalitario se asienta en la tecnología para controlar a las personas y a la sociedad, pues se puede hacer una realidad.

111
00:21:27,450 --> 00:21:43,089
Y bueno, más que nada porque estudios recientes en neurología nos permiten ya vislumbrar un momento no muy lejano en el tiempo en que podremos leer los pensamientos.

112
00:21:43,849 --> 00:21:47,470
Y si se pueden leer los pensamientos, seguramente se podrán manipular los pensamientos.

113
00:21:47,470 --> 00:22:10,009
Y esto que decía del mundo de George Orwell, donde realmente no se trataba solo de que las personas siguieran al partido, sino de que las personas pensaran como quería el partido, pues podía hacerse una realidad si el día de mañana los poderes públicos tienen acceso a nuestros pensamientos.

114
00:22:10,009 --> 00:22:39,009
Pero bueno, no vamos a ponernos tremendistas. En Europa, afortunadamente, estamos muy lejos de todo eso y en Europa, en la Unión Europea, pues tenemos una constitución que se llama la Carta Europea de Derechos Fundamentales, que por estas cosas del destino no se llama constitución europea, pero es a todos los efectos una constitución europea, donde están nuestros derechos plenamente garantizados.

115
00:22:40,009 --> 00:22:49,809
Y tenemos un artículo 1 que es pivotal, que es clave, que es el artículo que dice que la dignidad del individuo es inviolable.

116
00:22:49,809 --> 00:23:03,470
Y sobre este principio de la dignidad del individuo se asienta toda la construcción jurídico-social sobre la que se asienta nuestra sociedad, se asienta el sistema europeo de derechos.

117
00:23:03,470 --> 00:23:13,049
y los europeos estamos muy convencidos de que este es el modelo a seguir y, desde luego, no el modelo autoritario.

118
00:23:13,049 --> 00:23:24,049
Y por eso la manera en la que se está desarrollando la tecnología plantea dudas y plantea preocupaciones para todos nosotros

119
00:23:24,049 --> 00:23:48,670
Porque el sistema actual del Internet, que se basa en una recolección masiva e indiscriminada de los datos personales de los ciudadanos, que se pierden de manera descontrolada a la red y sobre los cuales se pierde el control y no se sabe en manos de quién van a terminar, pues es un sistema que francamente no es sostenible.

120
00:23:48,670 --> 00:24:11,430
Hay que hacer grandes cambios para garantizar la sostenibilidad del sistema. A mí me gusta poner el ejemplo medioambiental. Esto es como hace 30 o 40 años, donde se enviaba toda esta polución sin control a los mares, al aire, al agua, y nadie hacía nada al respecto.

121
00:24:11,430 --> 00:24:36,829
Hoy en día estamos mucho más concienciados y nos damos cuenta de que hay que hacer algo al respecto, porque con la protección de datos está pasando lo mismo. Nos estamos dando cuenta de que este sistema del Internet de absoluto descontrol no es sostenible y que hay que cambiar el sistema, pero lógicamente todas estas cosas no se pueden hacer de un día para otro, como es lógico, hay que tener paciencia e ir dando pasos en la buena dirección.

122
00:24:36,829 --> 00:24:48,569
Y ahí, bueno, antes de pasar a este tema de las transferencias internacionales, para que se comprenda bien, pues quería hablarles un poco de la situación en los Estados Unidos de América.

123
00:24:50,009 --> 00:25:01,210
¿Por qué los Estados Unidos de América son un problema, entre comillas, para el modelo europeo de protección de datos?

124
00:25:01,210 --> 00:25:20,289
Bueno, pues la explicación es porque el sistema legal de los Estados Unidos de América, que es un sistema robustamente democrático y basado en un sistema de protección de los derechos civiles y de libertades indiscutiblemente bueno,

125
00:25:20,289 --> 00:25:28,869
y en muchos casos superior al modelo europeo, en lo que se refiere a la cuestión de la privacidad y la protección de datos,

126
00:25:29,430 --> 00:25:34,509
tiene el problema de que la protección de datos no está considerada como un derecho fundamental,

127
00:25:34,750 --> 00:25:41,089
no aparece recogida en la Constitución de los Estados Unidos, lo cual, su carta de naturaleza es diferente,

128
00:25:41,269 --> 00:25:48,509
es más débil a la que tenemos en la Unión Europea, donde sí tenemos a la protección de datos en la Carta Europea de Derechos Fundamentales,

129
00:25:48,509 --> 00:26:11,289
Y en la mayoría de las constituciones europeas como un derecho humano, un derecho fundamental del individuo. Claro, esto hace que en Estados Unidos un enfoque horizontal y tan amplio como pueda ser el nuestro, pues no encaje bien con su sistema constitucional y su sistema legal.

130
00:26:12,069 --> 00:26:22,869
Igualmente, los Estados Unidos tienen una economía muy bollante que se apoya en la desregulación y en el desarrollo de las nuevas tecnologías.

131
00:26:22,869 --> 00:26:35,869
No en vano, ellos han sido los que han liderado la tercera revolución industrial desde Silicon Valley, desde los míticos garajes de Silicon Valley, Bill Gates y compañía.

132
00:26:35,869 --> 00:26:54,970
Y claro, para ellos esta normativa de protección de datos se asimila mucho a lo que ellos consideran red tape, burocracia, que dificulta los startups y los desarrollos tecnológicos que son tan importantes para su tejido industrial y tecnológico.

133
00:26:54,970 --> 00:27:16,569
Por lo tanto, siempre han sido muy reacios a adoptar ese tipo de regulación. Además, son una sociedad que quedó muy traumatizada después del 11 de septiembre, cuando de manera totalmente sorpresiva unos terroristas tiraron las Torres Gemelas provocando miles de muertos.

134
00:27:16,569 --> 00:27:26,289
y desde entonces han desarrollado una serie de normativas que dan una gran capacidad,

135
00:27:26,950 --> 00:27:33,509
grandes poderes a las agencias de inteligencia, lógicamente para evitar que cosas como esa vuelvan a ocurrir.

136
00:27:34,430 --> 00:27:40,289
Y además lo hacen de una manera que es la manera estadounidense de hacer esto,

137
00:27:40,390 --> 00:27:45,089
es decir, que dan una serie de derechos a sus nacionales, a los americanos y a los demás,

138
00:27:45,089 --> 00:27:50,630
a los que se nos considera aliens, extranjeros, no nos beneficiamos de estos derechos.

139
00:27:50,750 --> 00:27:55,369
Y eso es un problema, porque para nosotros los europeos la protección de datos es un derecho fundamental,

140
00:27:55,369 --> 00:28:03,490
es decir, que no entiende de fronteras, es inerte al individuo y por tanto no nos gusta esto de que los estadounidenses

141
00:28:03,490 --> 00:28:06,910
no nos den derechos por ser aliens.

142
00:28:07,630 --> 00:28:14,789
Y bueno, pues eso, desde que la directiva del año 95 se creó, se adoptó con este concepto de las transferencias internacionales de datos,

143
00:28:15,089 --> 00:28:33,509
el problema, el conflicto con los Estados Unidos ya estaba servido y en esto llevamos ya 20 o 30 años, yo no lo sé. Yo desde luego llevo con esto toda mi carrera profesional y es un tema que ahora está tomando particular importancia por las razones que veremos a continuación.

144
00:28:34,430 --> 00:28:42,990
Lo siguiente que quería comentarles es cómo es el régimen del GDPR en materia de transferencia de datos personales.

145
00:28:43,069 --> 00:28:47,930
Me imagino que muchas de las personas que nos estarán oyendo ya lo conocen.

146
00:28:48,829 --> 00:28:53,849
Pero bueno, por si hay alguna persona aquí relativamente nueva a la cuestión de la protección de datos,

147
00:28:54,529 --> 00:28:56,309
pues lo voy a presentar muy brevemente.

148
00:28:58,710 --> 00:29:02,470
La normativa de protección de datos, como muy bien ha explicado Julián Prieto,

149
00:29:02,470 --> 00:29:22,509
Es una normativa que tiene por finalidad dar el poder al individuo, el poder de decisión sobre qué ámbitos de su personalidad, de su vida, como ser humano, quiere hacer públicos con el resto de la sociedad.

150
00:29:22,509 --> 00:29:43,869
Es un concepto anclado en el concepto occidental de los derechos del individuo, el individuo como centro del sistema jurídico nuestro. Y bueno, pues el individuo puede decidir, gracias a la normativa de protección de datos, hasta aquí quiero que se vea, esto me lo guarda para mí.

151
00:29:43,869 --> 00:30:04,829
Pero claro, el problema con esto es que en un ámbito tecnológico como el que nos movemos, los datos personales tienen que circular y lógicamente tienen que circular entre distintos operadores y entre distintos países.

152
00:30:04,829 --> 00:30:22,970
Entonces, la normativa de protección de datos parte sobre la base del principio de la libre circulación de los datos personales. La normativa no es solamente sobre la protección de los datos, pero también permitir que los datos circulen entre los distintos operadores y los distintos países.

153
00:30:23,549 --> 00:30:49,410
Claro, los datos, mientras están en la Unión Europea, pues todos nuestros países de la Unión Europea tienen unas leyes de protección de datos robustas, pues pueden circular con libertad, pero cuando los datos salen de la Unión Europea, pues lógicamente hay que buscar una manera de que esos datos, la protección de esos datos, se vaya también con ellos.

154
00:30:49,410 --> 00:31:15,230
Y eso es lo verdaderamente complicado. El mecanismo de transferencia de la GDPR y anteriormente de la directiva funciona sobre la base de unas decisiones de adecuación de la Comisión Europea. Es decir, la Comisión Europea analiza la situación en terceros países y dice qué países son adecuados para que los datos circulen con libertad.

155
00:31:15,230 --> 00:31:44,250
Bueno, pues ahí ha habido históricamente algunos países cercanos a nosotros, como puede ser Andorra o Guernsey, o países del ámbito iberoamericano como puede ser Argentina o Canadá o recientemente Japón, pero ha habido países que no han movido su legislación en la dirección adecuada y por tanto no han recibido una decisión de adecuación.

156
00:31:45,230 --> 00:31:50,450
Y en esos casos, que desgraciadamente todavía son la enorme mayoría de los países del mundo,

157
00:31:50,450 --> 00:32:04,329
para que los datos puedan viajar, pues solamente se puede hacer sobre la base de o bien la existencia de unas excepciones que permiten esta transferencia

158
00:32:04,329 --> 00:32:12,089
o bien sobre la base de unas herramientas legales que, digamos, garantizan que los datos se van con la debida protección.

159
00:32:12,089 --> 00:32:30,769
Las excepciones son largas, son técnicas, no es el momento de extendernos sobre ellas, pero básicamente se pueden resumir en tres. Cuando el interesado da su consentimiento, es consciente de que los datos van a salir de la Unión Europea y da su consentimiento.

160
00:32:30,769 --> 00:32:47,049
Cuando la transferencia es necesaria para la realización de un contrato, se compra algo en internet, pues lógicamente si el vendedor está afuera, pues lógicamente tiene que saber tu dirección para poder mandarte el pedido.

161
00:32:47,049 --> 00:33:13,190
pues esto es una transferencia necesaria para el cumplimiento del contrato y luego en determinados casos donde la transferencia responde a un interés público o vital, ahora con el caso de la pandemia se ha dicho claramente por las autoridades de protección de datos que todo lo que sea preciso para luchar contra el virus está cubierto por la excepción de la transferencia por interés público.

162
00:33:13,190 --> 00:33:42,650
Y luego hay una serie de herramientas, son muy técnicas, no podemos extendernos mucho sobre ellas, que son las que utilizan gobiernos y empresas para transferir los datos fuera de la Unión Europea. Ahí están los acuerdos entre administraciones, las cláusulas contractuales, las normas corporativas vinculantes, las famosas VCRs y ahora en el GDPR se habla también de los códigos de conducta o mecanismos de certificación.

163
00:33:43,190 --> 00:33:55,630
Estas herramientas están allí, se usan mucho y muy bien por muchos operadores y gracias a esto se consigue que los datos salgan de la Unión Europea.

164
00:33:55,849 --> 00:34:12,239
¿Qué es lo que ha pasado con Estados Unidos? Como ya expliqué anteriormente, hemos tenido el problema de que Estados Unidos ha seguido una aproximación diferente en materia de legislación, en materia de protección de datos.

165
00:34:12,239 --> 00:34:26,519
Ellos legislan sobre protección de datos y tienen bastantes leyes sobre protección de datos, pero no de manera horizontal, sino de una manera sectorial. Y sobre todo ellos van sobre la base de necesidades concretas.

166
00:34:26,519 --> 00:34:49,840
Entonces pues hubo un momento dado en donde hubo un escándalo en Estados Unidos sobre una biblioteca que había compartido datos sobre los libros que leían los lectores de la biblioteca, entonces pues se pasó una ley para proteger la protección de datos en el ámbito bibliotecario, que es bastante buena.

167
00:34:49,840 --> 00:34:52,019
pasó lo mismo con los videoclubs

168
00:34:52,019 --> 00:34:53,760
y se hizo lo mismo con los videoclubs

169
00:34:53,760 --> 00:34:56,019
ha habido mucha preocupación

170
00:34:56,019 --> 00:34:57,760
en materia sanitaria, pues se aprobó

171
00:34:57,760 --> 00:34:59,599
una ley de protección de datos

172
00:34:59,599 --> 00:35:01,559
para los hospitales

173
00:35:01,559 --> 00:35:03,659
que es bastante buena, no tan buena

174
00:35:03,659 --> 00:35:05,860
como la nuestra, pero bastante buena

175
00:35:05,860 --> 00:35:07,000
y muy detallada

176
00:35:07,000 --> 00:35:09,539
en definitiva, ellos

177
00:35:09,539 --> 00:35:11,679
tienen una protección de datos pero no

178
00:35:11,679 --> 00:35:13,460
a un nivel tan

179
00:35:13,460 --> 00:35:16,000
alto, digámoslo así, como el nuestro

180
00:35:16,000 --> 00:35:17,880
claro, cuando entró en vigor

181
00:35:17,880 --> 00:35:22,659
a la directiva, pues había mucha preocupación de que no sería posible continuar con el

182
00:35:22,659 --> 00:35:28,960
comercio porque Estados Unidos no iba a recibir una decisión de adecuación y entonces se

183
00:35:28,960 --> 00:35:34,079
firmó un acuerdo internacional entre la Unión Europea y, en aquel momento, la Comunidad

184
00:35:34,079 --> 00:35:39,619
Europea y Estados Unidos, que es lo que se llamó el Acuerdo de Puerto Seguro, el Acuerdo

185
00:35:39,619 --> 00:35:47,000
Safe Harbor. Yo tuve el honor y el privilegio de participar en las negociaciones de este

186
00:35:47,000 --> 00:35:53,260
acuerdo cuando trabajaba para la Comisión Europea y la verdad que fue, se hizo un trabajo

187
00:35:53,260 --> 00:35:59,940
muy serio, muy riguroso con la administración Clinton en aquella época y ahí sacamos ese

188
00:35:59,940 --> 00:36:05,940
Safe Harbor y bueno, pues la cosa más o menos se arregló por ahí.

189
00:36:06,139 --> 00:36:11,019
¿Pero qué es lo que pasó después? Pues lo que pasó después es que se cayeron las

190
00:36:11,019 --> 00:36:25,460
Y se sucedieron todos estos cambios legislativos que ya he comentado y estas agencias de inteligencia estadounidenses empezaron a tener acceso a los datos personales de los europeos.

191
00:36:25,460 --> 00:36:43,639
Un estudiante austriaco, un tal Schrems, señor Schrems, que era usuario de Facebook, denunció que a resultas de las revelaciones del señor Snowden, ya se ha comentado,

192
00:36:43,639 --> 00:36:51,159
estaba claro que los datos que Facebook estaba recopilando sobre él y que estaba transfiriendo a los Estados Unidos

193
00:36:51,159 --> 00:36:56,659
pues estaban terminando el conocimiento de las agencias de inteligencia estadounidense

194
00:36:56,659 --> 00:37:03,440
y que eso no cumplía con el nivel de protección requerido por nuestra legislación europea.

195
00:37:03,440 --> 00:37:09,360
Bueno, la autoridad irlandesa de protección de datos cuando recibió esta queja

196
00:37:09,360 --> 00:37:17,659
dijo que comprendía la reclamación de este señor,

197
00:37:17,820 --> 00:37:22,039
pero como la Comisión Europea había dicho que el acuerdo Safe Harbor

198
00:37:22,039 --> 00:37:26,639
era un nivel de protección adecuado, ellos no podían actuar al respecto.

199
00:37:27,239 --> 00:37:29,940
El señor Shrems dijo que no, que no lo veía así,

200
00:37:30,119 --> 00:37:34,320
que la autoridad irlandesa debía de parar las transferencias.

201
00:37:34,820 --> 00:37:36,940
El asunto terminó en el Tribunal Supremo Irlandés

202
00:37:36,940 --> 00:37:41,219
y en el Tribunal de Justicia de la Unión Europea, y el Tribunal de Justicia de la Unión Europea,

203
00:37:41,280 --> 00:37:47,519
en el año 2015, la sentencia Schrems I, declaró nulo de pleno derecho el Safe Harbor

204
00:37:47,519 --> 00:37:51,940
por las razones comentadas por el señor Schrems.

205
00:37:53,079 --> 00:38:00,300
Esto fue un duro golpe para la relación transatlántica y hubo que reaccionar muy rápidamente

206
00:38:00,300 --> 00:38:04,960
y se aprobó otro nuevo acuerdo que se llamó el acuerdo Privacy Shield,

207
00:38:04,960 --> 00:38:07,360
digamos Safe Harbor punto 2

208
00:38:07,360 --> 00:38:09,599
en el que los americanos

209
00:38:09,599 --> 00:38:11,400
mejoraron algunas cosas

210
00:38:11,400 --> 00:38:13,059
actualizaron algunas cosas

211
00:38:13,059 --> 00:38:15,179
pero el problema de base

212
00:38:15,179 --> 00:38:17,480
que había llevado a la sentencia Shrems 1

213
00:38:17,480 --> 00:38:18,800
que era el tema del

214
00:38:18,800 --> 00:38:21,280
acceso a los datos por parte de la agencia

215
00:38:21,280 --> 00:38:22,880
de inteligencia nunca

216
00:38:22,880 --> 00:38:25,619
se abordó

217
00:38:25,619 --> 00:38:26,579
realmente

218
00:38:26,579 --> 00:38:29,440
con lo cual el señor Shrems volvió

219
00:38:29,440 --> 00:38:31,420
a recurrir

220
00:38:31,420 --> 00:38:33,599
a denunciar el asunto frente a la autoridad

221
00:38:33,599 --> 00:38:58,920
Y en este caso dijo que Facebook estaba amparándose para realizar las transferencias en las cláusulas contractuales tipo, una de las herramientas que ya comentamos antes, y que esas cláusulas contractuales tipo también eran nulas de pleno derecho porque las agencias de inteligencia estadounidenses seguían teniendo acceso a la información.

222
00:38:58,920 --> 00:39:18,900
Bueno, pues el Tribunal de Justicia de la Unión Europea, la sentencia Schrems II de julio de este año, ha dicho que no, que las cláusulas contractuales no son nulas de pleno derecho, pero que el Privacy Shield, como fuera ya el Safe Harbor, sí es nulo de pleno derecho.

223
00:39:18,900 --> 00:39:44,599
Y ha dicho que efectivamente las cláusulas contractuales tipo no garantizan el que las agencias de inteligencia estadounidenses puedan tener acceso a los datos en determinados casos y que consecuentemente habrá que adoptar medidas suplementarias además de esas cláusulas contractuales.

224
00:39:44,599 --> 00:40:04,179
Bueno, pues esta sentencia nos ha tenido muy, muy ocupados a todos los profesionales de la protección de datos a nivel europeo y esta semana hemos logrado aprobar una recomendación, la recomendación 1-2020 en el ámbito del Comité Europeo de Protección de Datos,

225
00:40:04,179 --> 00:40:16,119
en el que hablamos de lo que son estas medidas suplementarias que la sentencia del Tribunal de Justicia menciona de manera general.

226
00:40:16,119 --> 00:40:31,440
Voy a decir unas pocas palabras sobre esta recomendación 1.2020, que para los auténticos profesionales de la privacidad que estarán escuchando estas palabras mías,

227
00:40:31,440 --> 00:40:45,579
pues es un documento muy importante, porque es verdaderamente un documento que arroja mucha luz sobre cómo navegar en este mar turbulento de las transferencias internacionales desde las sentencias Frames 2.

228
00:40:45,579 --> 00:41:06,340
Es un trabajo durísimo, arduo, hace bastante tiempo que no hay fines de semana para muchos de nosotros, pero bueno, hemos conseguido llegar a un acuerdo sobre un documento que enfatiza el principio de responsabilidad proactiva de los responsables del tratamiento.

229
00:41:07,159 --> 00:41:22,840
Deja muy claro que no corresponde a las autoridades de protección de datos decir cuándo la transferencia puede tener lugar o no. Esa es una decisión que corresponde primordialmente a los responsables de tratamiento, a los exportadores.

230
00:41:22,840 --> 00:41:39,579
Son los exportadores los que tienen la obligación de hacer los deberes, analizar la transferencia y decidir si la transferencia a los Estados Unidos o a cualquier otro país del mundo, por analogía, puede tener lugar o no.

231
00:41:39,579 --> 00:42:01,559
Y el documento es muy interesante porque contiene una serie de medidas y ejemplos prácticos de medidas suplementarias que pueden permitir la transferencia, pero también deja claro y pone ejemplos prácticos de casos en los que no se considera que existen medidas suplementarias que puedan permitir la transferencia.

232
00:42:01,559 --> 00:42:07,960
y por lo tanto las transferencias tienen que parar y con lo cual que no haya ningún género de duda

233
00:42:07,960 --> 00:42:14,900
que hay casos donde las transferencias tienen que parar y si los responsables del tratamiento no paran la transferencia

234
00:42:14,900 --> 00:42:20,500
se arriesgan a ser severamente sancionados por las autoridades de control.

235
00:42:21,179 --> 00:42:27,719
Bueno, pues este documento recomienda un proceso de análisis basado en cuatro pasos.

236
00:42:27,719 --> 00:42:41,199
El primer paso es el catálogo de las transferencias internacionales. Las empresas tienen que tener un mapa claro y un conocimiento preciso de cuáles son las transferencias internacionales que se están haciendo a los Estados Unidos.

237
00:42:41,840 --> 00:42:53,079
El segundo paso es revisar cuáles son las herramientas o, en su caso, excepciones que se están utilizando para llevar a cabo estas transferencias internacionales, caso a caso.

238
00:42:53,079 --> 00:43:18,239
Y el tercer paso es analizar cuál es la situación en el país tercero. En lo que se refiere al posible acceso de las agencias de inteligencia a los datos personales, hay otra recomendación del Comité Europeo de Protección de Datos sobre Garantías Europeas Esenciales que se acaba de actualizar por parte del Comité,

239
00:43:18,239 --> 00:43:24,019
que lo que hace es pasar revista a las sentencias del Tribunal de Justicia en esta materia.

240
00:43:24,019 --> 00:43:32,260
Y luego ya, habiendo hecho todo este trabajo de mapeo, revisión de las herramientas, análisis de la situación del país tercero,

241
00:43:33,219 --> 00:43:40,019
identificar posibles salvaguardias adicionales que son de tres tipos, organizacionales, técnicas y contractuales.

242
00:43:40,019 --> 00:43:56,019
Las organizacionales se asimilan a lo que se trata de hacer en las BIND y COPRO, de tener mecanismos internos que facilitan la gestión de la transferencia y una mayor accountability.

243
00:43:56,019 --> 00:44:11,579
Las medidas técnicas son la posible encriptación, pseudoanonimización, la división de los paquetes de datos en diferentes destinatarios. Son cuestiones muy técnicas que no podemos extendernos aquí.

244
00:44:11,579 --> 00:44:36,159
Y luego medidas contractuales, es decir, poner una serie de obligaciones contractuales entre el importador y el exportador y el importador, el responsable del tratamiento y el processor, donde, por ejemplo, el importador se compromete a pelear en los tribunales cuando hay una solicitud de acceso y de informar al exportador.

245
00:44:36,159 --> 00:44:49,519
En fin, una serie de salvaguardias adicionales que pueden ayudar a llegar a la conclusión de que las transferencias internacionales pueden tener lugar, pueden seguir sucediendo.

246
00:44:49,519 --> 00:45:01,719
Nosotros, desde el Supervisor Europeo, hemos leído con mucha atención la sentencia Schrems II y hemos actuado de oficio.

247
00:45:02,380 --> 00:45:10,519
Hemos enviado una carta a todas las instituciones de la Unión Europea, a todas las agencias, informándoles sobre la existencia de esta sentencia

248
00:45:10,519 --> 00:45:30,860
y pidiéndoles que hagan el proceso referido de catálogo, revisión y que nos digan cuál es el resultado de su análisis y cuáles son las transferencias que en su opinión deben de suspenderse o terminarse.

249
00:45:30,860 --> 00:45:42,820
En eso estamos, es un trabajo titánico, enorme, pero las sentencias están ahí para ser cumplidas y el Tribunal de Justicia ha dicho claramente lo que hay que hacer y ahora nuestra responsabilidad es hacerlo cumplir.

250
00:45:42,940 --> 00:45:56,820
Con eso llegamos ya a la fase de las conclusiones, que podríamos estar hablando durante horas o días sobre este tema, pero yo me quedo con varios mensajes básicos.

251
00:45:56,820 --> 00:46:25,460
El primero es que en la Unión Europea los derechos fundamentales no son decorativos. Los derechos fundamentales son una realidad cotidiana y efectiva. Y de ahí tenemos el ejemplo de este estudiante austriaco, el señor Schremm, que ha conseguido invalidar dos acuerdos internacionales simplemente con una queja ante una autoridad de protección de datos.

252
00:46:25,460 --> 00:46:53,880
Es decir, que los derechos fundamentales en la Unión Europea sirven y se cumplen. De ahí la polémica creada recientemente, que está ahora en la prensa, sobre la decisión que ha tomado la Comisión Europea, muy aceptada por cierto, de condicionar la existencia de ayudas a los países miembros con un análisis sobre el cumplimiento del Estado de Derecho.

253
00:46:53,880 --> 00:47:10,420
Y el lamentable anuncio de Hungría y Polonia de vetar la aprobación de estas ayudas porque no están de acuerdo con que la Comisión Europea proceda al análisis de estos derechos.

254
00:47:10,420 --> 00:47:30,559
Pero esto es una cuestión innegociable. La garantía del Estado de Derecho no puede estar sujeto a vaivenes políticos. Los derechos fundamentales están ahí para ser respetados y el que no los respete no puede formar parte de este club.

255
00:47:30,559 --> 00:47:44,800
Y lo mismo se aplica a eso para Hungría, que para Polonia, que para Francia, que para España. Y esto es una cuestión que sentencias como Shrems 2 ponen claramente de manifiesto.

256
00:47:44,800 --> 00:47:59,440
El segundo mensaje es que hay un antes y un después de esta sentencia Shrems 2, porque desde esta segunda sentencia está muy claro cuáles son las responsabilidades de cada cual.

257
00:47:59,440 --> 00:48:06,639
y la Comisión Europea sabe que no puede aprobar decisiones de adecuación

258
00:48:06,639 --> 00:48:11,320
por razones comerciales, es decir, que los derechos fundamentales

259
00:48:11,320 --> 00:48:12,679
están ahí para ser respetados.

260
00:48:13,239 --> 00:48:17,000
Las autoridades de protección de datos saben que tienen que intervenir

261
00:48:17,000 --> 00:48:21,099
si son conscientes de la existencia de transferencias legales

262
00:48:21,099 --> 00:48:27,840
y las empresas y las administraciones públicas saben que tienen que hacer

263
00:48:27,840 --> 00:48:33,559
los deberes y analizar las transferencias internacionales que están haciendo y, en

264
00:48:33,559 --> 00:48:40,119
su caso, tomar medidas y cuando las medidas no sean suficientes, suspender la transferencia

265
00:48:40,119 --> 00:48:43,599
para no poner en riesgo la privacidad de los ciudadanos europeos.

266
00:48:45,260 --> 00:48:54,199
Lógicamente, el problema de base de toda esta polémica es que Estados Unidos no se

267
00:48:54,199 --> 00:49:02,119
unido a este club de familias, perdón, de naciones, cada vez más numeroso, más de 100 estados del mundo,

268
00:49:02,539 --> 00:49:08,619
ya cuentan con normativa de protección de datos a nivel federal, digámoslo así, a nivel estatal, ¿no?

269
00:49:08,619 --> 00:49:16,840
Y bueno, pues ya creo que va siendo hora de que los Estados Unidos se unan a este club de países democráticos.

270
00:49:17,039 --> 00:49:24,039
Creemos en la protección de las personas y eso, pues la verdad que solucionaría la mayor parte del problema.

271
00:49:24,199 --> 00:49:34,980
No es algo que se pueda hacer de la noche a la mañana, pero se tiene que hacer. Y como dicen los americanos, es high time para esto.

272
00:49:35,780 --> 00:49:48,400
Y todo eso está motivando también un debate muy interesante sobre el concepto de soberanía digital y sobre si los datos deberían de permanecer en Europa o si pueden seguir yendo fuera de la Unión Europea.

273
00:49:48,400 --> 00:50:03,760
Nosotros desde el supervisor no queremos tomar partido en esta cuestión. Nosotros no estamos aquí para decir si los datos tienen que estar en Europa o en el extranjero. Nosotros estamos para aquí para que los datos estén protegidos.

274
00:50:03,760 --> 00:50:21,639
Y da igual si los datos están protegidos, nos da igual si están en Burgos o en Helsinki o en Londres o en Minnesota, pero lo importante es que los datos estén protegidos. Y si no lo están, pues lógicamente habrá que hacer algo para que esos datos se protejan.

275
00:50:21,639 --> 00:50:35,960
Y si eso significa que algunos datos se tienen que quedar en Europa, pues se tendrán que quedar. Pero no es el objetivo de nuestra actuación, no es que los datos se queden en Europa. Nuestro objetivo es que los datos estén siempre bien protegidos.

276
00:50:35,960 --> 00:50:51,960
Y en general, todo este tema de la cuarta revolución industrial y la protección de datos está generando un debate sobre cuál debe ser la posición, la estrategia de la Unión Europea en materia de competitividad.

277
00:50:51,960 --> 00:51:17,059
Porque se dice, bueno, los europeos con todas estas normativas de protección de datos, pues van a acabar poniendo un freno a la innovación y van a acabar destruyendo la competitividad de las empresas europeas, porque en otras regiones del planeta son más dinámicos y van a poder innovar más que los europeos.

278
00:51:17,059 --> 00:51:42,000
Y yo a esto suelo decir que cuando se va a entrar en un combate, en una batalla como puede ser la competitividad, hay que pensar lo que pasó en Waterloo, en la batalla de Waterloo, que está por cierto muy cerca de Bruselas y que se puede visitar muy fácilmente cuando se viene a Bruselas.

279
00:51:42,000 --> 00:52:01,900
¿Qué pasó allí en Cuatro Lopos? Lo que pasó en esa batalla es que había un bando que era el más poderoso, que era el bando francés, Napoleón tenía el mejor ejército, el más entrenado, el más poderoso, y el talento militar de Napoleón nadie lo puede poner en duda.

280
00:52:01,900 --> 00:52:23,199
Y sin embargo perdió, perdió la batalla. ¿Por qué? Pues porque el general inglés tuvo el talento de aliarse inteligentemente con el general alemán, Blücher, estuvieron juntos, acudieron uno al otro a ayudarse durante la batalla, no fueron por su lado.

281
00:52:23,199 --> 00:52:29,260
y lo más importante fue que el general inglés eligió el campo de batalla,

282
00:52:29,699 --> 00:52:35,199
él puso las tropas donde quería y acabó con su elección del campo de batalla,

283
00:52:35,360 --> 00:52:39,340
acabó ganando a Napoleón.

284
00:52:39,659 --> 00:52:40,960
Pues Europa tiene que hacer lo mismo.

285
00:52:40,960 --> 00:52:51,460
En esta batalla no vamos a poder ganar si competimos en el campo de batalla del oponente.

286
00:52:51,460 --> 00:53:10,219
Es decir, el campo de batalla tiene que ser el que nosotros elijamos. No podemos competir con el campo de batalla del oponente donde lo que se trata es de reducir costes o de reducir privacidad o de reducir derechos porque en eso nunca vamos a ganar. En ese campo de batalla ya hemos perdido la batalla.

287
00:53:10,219 --> 00:53:30,239
Lo que tenemos que hacer es hacer la batalla en nuestro campo, en el campo de los derechos fundamentales, la protección de los ciudadanos, la protección de los consumidores, la garantía y la seguridad de las personas que son el centro de atención de nuestro sistema jurídico y moral.

288
00:53:30,239 --> 00:53:50,579
Es decir, no hay ninguna razón que justifique que la dignidad de un ser humano se ponga en peligro. Y si elegimos ese campo de batalla, yo creo que ahí, como Wellington, ganamos. Si nos vamos a otros campos de batalla, yo creo que ahí perdemos.

289
00:53:50,579 --> 00:54:08,199
Por eso yo creo que esto de la protección de datos se ha convertido en una cuestión tan importante y tan geoestratégica y tiene tanto interés y por eso este tema de las transferencias internacionales está en boga ahora mismo y despierta tanto interés.

290
00:54:08,199 --> 00:54:21,440
Y con esto, y con mi disculpa si me he extendido demasiado, pues les agradezco mucho su atención y quedo a su disposición si hubiera alguna pregunta de la audiencia. Muchas gracias.

291
00:54:22,059 --> 00:54:32,880
Muchas gracias, Leonardo. Pues mírate, si quieres te formulo varias preguntas que están haciendo los asistentes, ¿vale? Entre ellas, ¿cuándo crees que los Estados Unidos aprobarán su ley de protección de datos?

292
00:54:32,880 --> 00:54:53,829
Pues yo creo que vamos a esperar que se produzca el traslado de competencias de la administración estadounidense y habrá que darles algo de tiempo porque tienen que formar sus equipos, familiarizarse con los dos cielos.

293
00:54:53,829 --> 00:54:58,250
o sea que no creo que realistamente esto sea una cosa para el mes de febrero,

294
00:54:58,909 --> 00:55:03,530
pero yo pienso que el próximo año habrá importantes novedades,

295
00:55:03,670 --> 00:55:08,289
posiblemente para finales del 2021 los americanos moverán fichas.

296
00:55:08,289 --> 00:55:13,329
¿Y el hecho de que haya habido un cambio de presidente puede afectar de alguna forma?

297
00:55:13,989 --> 00:55:19,110
Bueno, sí, confiamos que sí, este tipo de cuestiones son cuestiones de Estado,

298
00:55:19,329 --> 00:55:23,630
como he explicado en mi exposición, las razones son de Estado,

299
00:55:23,630 --> 00:55:47,409
Es decir, los Estados Unidos tienen un sistema legal y una estrategia industrial determinada que no cambia con los vaivenes políticos. Pero, lógicamente, la administración demócrata siempre es más proclive a una relación transatlántica más fluida y tiene más simpatía y empatía por los planteamientos de los europeos en materia de derechos fundamentales.

300
00:55:47,409 --> 00:55:55,650
Con lo cual, debería ser una buena noticia. Pero no hay que tirar las campanas al vuelo porque es un tema muy complicado.

301
00:55:56,650 --> 00:56:07,429
Muy bien. Ante el intervencionismo de Estados Unidos sobre los datos privados, ¿el Comité Europeo puede pronunciarse sobre esto y puede pedir responsabilidades al competente del gobierno de Estados Unidos?

302
00:56:08,150 --> 00:56:30,630
Bueno, las competencias del Comité Europeo de Protección de Datos son las que son, las que marca el GDPR. La pregunta es, digamos, qué puede hacer la Unión Europea, la Comisión Europea o el Servicio de Acción Exterior en materia de diplomacia.

303
00:56:30,630 --> 00:56:40,710
Pero el Comité Europeo lo único que puede hacer es emitir las opiniones y dictar las resoluciones y lo están haciendo, no pueden ir al ámbito de la diplomacia.

304
00:56:41,710 --> 00:56:48,829
Muy bien, y con respecto a China, ¿se están previendo mecanismos, acuerdos respecto a transferencia de datos?

305
00:56:48,829 --> 00:57:02,349
Me imagino que esta pregunta, bueno, no sé si estará encaminada con el tema de todo lo que suponen las nuevas aplicaciones, las APPs, sobre que en principio en China no existe esa misma protección que en el resto de Europa.

306
00:57:02,349 --> 00:57:26,769
Los chinos, curiosamente, están ahora, tienen un borrador de ley de protección de datos en consulta pública, es decir, que ellos están poniéndose al día. Ese borrador yo no lo he estudiado, lógicamente. No tengo tiempo para eso, pero por lo que he visto en las redes sociales, parece ser que incorpora muchas cosas del GDPR.

307
00:57:26,769 --> 00:57:45,670
Es decir, que ellos se están aproximando al modelo europeo, pero lógicamente el problema fundamental que tenemos con el modelo chino es que no son una democracia, lógicamente. Entonces, pues, el acceso que las autoridades chinas puedan tener a los datos de los ciudadanos europeos es muy preocupante.

308
00:57:45,670 --> 00:58:05,110
Pero bueno, eso es una cuestión que habrá que dilucidar también a nivel diplomático y a nosotros lo que nos compete es que si los datos se van a China o se van a Singapur o allí donde se vayan, se protejan. Nosotros no entramos en política, ese no es nuestro trabajo.

309
00:58:05,110 --> 00:58:22,670
Muy bien. Y con el nivel de protección que existe en la Unión Europea, ¿serían viables las transparencias internacionales con las suficientes garantías? Y luego la otra pregunta es, ¿espera que se extienda esta normativa y se convierta en un estándar de funcionamiento o de guía a seguir?

310
00:58:22,670 --> 00:58:32,289
Bueno, una de las cosas que más se critica a la Unión Europea es la falta de liderazgo

311
00:58:32,289 --> 00:58:38,050
Muchas veces, pues la verdad es que la Unión Europea va siempre un poco por detrás, un poco retrasada

312
00:58:38,050 --> 00:58:43,789
Con eso de la pandemia, por ejemplo, pues se ha criticado, se ha criticado legítimamente, yo creo

313
00:58:44,250 --> 00:58:50,469
Que la Unión Europea no ha estado a la altura de las circunstancias para coordinar la lucha contra la pandemia

314
00:58:50,469 --> 00:58:55,730
La verdad es que no lo ha hecho porque carecía de las competencias debidas.

315
00:58:55,949 --> 00:58:59,969
En materia de salud, los Estados miembros nunca le han dado a la Unión Europea competencias

316
00:58:59,969 --> 00:59:04,369
y es imposible actuar donde no se tienen competencias, donde no se tienen herramientas.

317
00:59:04,449 --> 00:59:09,829
Pero es verdad que la Unión Europea aquí no ha tenido el liderazgo que se pedía.

318
00:59:09,829 --> 00:59:14,289
En materia de protección de datos, afortunadamente la Unión Europea es líder.

319
00:59:15,070 --> 00:59:18,650
Tenemos un reglamento europeo de protección de datos, lo cual es fantástico.

320
00:59:18,650 --> 00:59:30,989
Y de hecho, este GDPR se puede considerar una especie de estándar de facto a nivel internacional, global. Y eso es así y tenemos que sentirnos muy orgullosos.

321
00:59:30,989 --> 00:59:55,809
Y por eso, con este tema de las referencias internacionales, tenemos que ser firmes, porque si estamos defendiendo este modelo con tanto vigor y con tanto orgullo, pues hay que llevarlo a la realidad. Y no se puede estar hablando de protección de datos y GDPR y luego que los datos estén marchando de la Unión Europea y no se protejan de manera pasiva.

322
00:59:55,809 --> 01:00:07,030
Muy bien. Y la última pregunta, para no irnos mucho más de tiempo, es ¿cuándo van a estar publicadas las recomendaciones con las garantías adicionales sobre las cláusulas contractuales tipo?

323
01:00:07,030 --> 01:00:25,969
Sí, tengo entendido que va a ser pronto porque se van a someter a consulta pública. Entonces no están todavía en el website del EDPB, del Comité Europeo, pero es cuestión de horas o de días, o sea que pronto estarán disponibles.

324
01:00:25,969 --> 01:00:30,050
pero yo he trabajado en ellas y puedo adelantar

325
01:00:30,050 --> 01:00:33,070
de que es un documento verdaderamente histórico

326
01:00:33,070 --> 01:00:36,150
que va a ayudar mucho a los operadores

327
01:00:36,150 --> 01:00:39,070
dentro de las circunstancias en las que estamos

328
01:00:39,070 --> 01:00:42,150
el problema no somos nosotros los europeos

329
01:00:42,150 --> 01:00:44,969
o las empresas europeas, el problema es que en Estados Unidos

330
01:00:44,969 --> 01:00:48,150
hay ese problema y ese problema nosotros no lo vamos a poder solucionar

331
01:00:48,150 --> 01:00:50,630
nunca, solo los americanos lo van a poder hacer

332
01:00:50,630 --> 01:00:53,989
pero las autoridades europeas de protección de datos

333
01:00:53,989 --> 01:01:12,150
Han hecho un gran esfuerzo para ayudar a los operadores y espero que esto ayude. Y bueno, pues muchas gracias por la atención y muchas gracias por la invitación y por la oportunidad de poder dirigirme a tantísimas personas que espero que hayan podido aprender algo por esta charla.

334
01:01:12,150 --> 01:01:17,650
Seguro que sí. Muchísimas gracias, Leonardo, por participar en esta masterclass. Muchísimas gracias, muy amable.

335
01:01:17,989 --> 01:01:18,349
Hasta otra.

336
01:01:18,429 --> 01:01:34,550
Pues hasta otra. Recuerdo, por favor, a los asistentes que vamos a dar un descanso de 15 minutos, son menos 10. Si os parece bien, para aprovechar esos 15 minutos reales, hay 5, nos volvemos a conectar y continuamos con la presentación de don Javier Cao Avellaneda, que es consultor en ciberseguridad.

337
01:01:34,550 --> 01:01:37,010
entonces bueno, os esperamos en 15 minutos

338
01:01:37,010 --> 01:01:38,610
y por favor vais a recibir de nuevo

339
01:01:38,610 --> 01:01:41,110
una encuesta

340
01:01:41,110 --> 01:01:42,989
igual que la anterior

341
01:01:42,989 --> 01:01:44,550
pues para valorar un poco la opinión

342
01:01:44,550 --> 01:01:47,150
sobre el contenido de este masterclass

343
01:01:47,150 --> 01:01:49,389
muchas gracias, nos vemos en 15 minutos