–¿Por qué cree que el equipo de gobierno lo ha seleccionado para este cargo?
–La Universitat de València tiene muchos especialistas en materia de protección de datos y en materia de nuevas tecnologías, yo soy uno más entre los compañeros. Es verdad que tengo ya una tradición, porque dirijo la revista Aranzadi de Derecho y Nuevas Tecnologías desde hace más de veinte años y, además, soy el director del Máster en Mediación, Arbitraje y Gestión de Conflictos en Derecho Privado. De hecho, la principal novedad que aporta la Universitat de València en materia de protección de datos es que es la primera en implantar un servicio de resolución amistosa de controversias para cualquier conflicto que pueda surgir dentro de la Universitat o entre terceras personas y la Universitat. Lo cual está previsto en la futura ley orgánica, pero todavía no está aprobado. Nosotros pensamos que es una idea muy útil y, por lo tanto, tengo ese perfil de mediador y de componedor que es el que se le quiere dar a la protección de datos.

–¿Componedor?
–Soy de los que piensan que vale más un mal acuerdo que un buen pleito, un buen litigio. Creo, además, que una sociedad es mucho más avanzada cuando menos pleitos o litigios tiene. Y que tenemos que fomentar una cultura de la mediación y de la solución amistosa de controversias. Solo deberíamos acudir a la justicia y a los agentes sancionadores como un recurso final, una vez agotadas las vías previas. Y creo que la Universitat tiene que ser pionera en esta nueva cultura de la mediación, ofreciendo ya esas vías alternativas previas que, por supuesto, no impiden a cualquier ciudadano acceder a la Agencia Española de Protección de Datos y a cualquier otra autoridad de control, pero invita al hecho que busquemos una solución amistosa antes de acudir a estos organismos porque un acuerdo previo seguro que es más satisfactorio para ambas partes que afrontar un ámbito sancionador.

–Para evitar llegar a pleitos y litigios, ¿cuáles son las medidas básicas que tiene que adoptar la Universitat?
–Nosotros lo primero que hacemos es informar en cada uno de nuestros documentos y en las páginas web de la existencia de este servicio. Lo primero es informar y ofrecerlo, y hacerlo de manera seria y responsable. Tenemos que ser muy respetuosos en el cumplimiento de los derechos fundamentales. Recibiremos personas que han podido sentirse molestas en el tratamiento de sus datos personales y que nos pueden aportar una visión que nosotros no conocemos, que asumiremos como propia, y que nos puede ayudar a implementar o a mejorar nuestra política de protección de datos.
De hecho, el segundo ofrecimiento que hacemos es que cualquier persona que tenga una idea para mejorar nuestra protección de datos o que detecte alguna laguna o alguna brecha en nuestra protección de datos, ya sea en un espacio de la red o en algún servicio, que nos lo comente también. Tenemos la dirección lopd@uv.es que sirve para todas estas cosas. En primer lugar, para ejecutar los derechos de protección de datos, tanto los que ya existían, los llamados derechos ARCO, es decir, acceso, rectificación, cancelación y oposición, como los nombres que incorpora el reglamento, que son portabilidad, limitación de accesos, etc. El segundo cometido de este correo es recibir sugerencias para mejorar, y el tercero ofrecer este servicio de resolución amistosa.

–¿Están recibiendo ya peticiones en este correo?
–Estamos recibiendo muchas peticiones del derecho al olvido y estamos tramitándolas a la mayor brevedad y de la manera que mejor sabemos. Pero es verdad que el servicio está ahora un poco colapsado. También es verdad que tendremos que redimensionarlo con esta nueva realidad, porque es un servicio que tiene poco personal y que es probable que tenga mucho trabajo.

–¿Quién forma su equipo?
–Afortunadamente, la Universitat de València ha contado tradicionalmente con personas que han ejercido un cargo idéntico al que yo estoy ejerciendo, y esto es una tranquilidad para mí, como actual delegado de DPO, saber que hay gente que desde hace tiempo está implicada en la protección de datos personales. Nos sentimos reforzados tanto desde el Servicio de Informática como desde nuestros expertos en Burjassot en la aplicación de medidas de informática y del esquema nacional de seguridad. Allí está Fonse Doménech, la persona responsable de la implantación del esquema nacional de seguridad, que a mí me ofrece mucha tranquilidad. Tengo a cargo mío un equipo de profesionales con mucha experiencia y muy formados, y ahora veremos también si necesitamos plantilla o un apoyo mayor, porque es verdad que el RGPD ha tenido un efecto beneficioso, lo que hace que tomemos conciencia que realmente esta normativa existe y es seria, ¡pero también nos ha saturado la cuenta!

–¿Cuál es el volumen de personas a las cuales la Universitat tiene que proteger sus derechos?
–Desconozco el dato, es un dato que el mismo DPO desconoce con exactitud, pero tenemos que sumar unos treinta mil estudiantes, más toda una plantilla de PAS y de profesorado muy amplia, porque somos una de las universidades mayores en volumen tanto en centros como en servicios, más la realidad de nuestras fundaciones, que son la Fundación General, Adeit, la Fundación Parque Científico y la de Lluís Alcanyís, que también forman parte del servicio que tengo que prestar. Las fundaciones tienen sus necesidades, sus particularidades y comparten, en este caso, un mismo delegado.

–¿Y cuál es el número de peticiones de olvido que han recibido desde que se aplica el RGPD?
–Queremos mantenerlo con cierta confidencialidad, también para no fomentar la petición masiva. Aun así, sí que quiero informar que cuando recibimos una petición, analizamos su viabilidad, puesto que muchas veces el derecho del olvido no es un derecho absoluto, tiene también sus límites y a veces hay informaciones que no se pueden quitar. Tenemos que analizar si es posible hacerlo o no.

–¿Cuáles son los retos a conseguir para dentro de un año?
–Yo quedaría satisfecho si conseguimos implementar todo lo que el reglamento dice que se tiene que implementar, que es bastante, porque es un cambio de modelo. Tal vez lo que no hemos llegado a comprender todavía, pero iremos visualizando, es que estamos en un cambio de modelo, donde es verdad que falta otro instrumento normativo muy importante, que es la futura Ley Orgánica de Protección de Datos que se está tramitando actualmente en el Congreso de los Diputados [sonríe con ironía] con toda esta incertidumbre política que hay..., pero que por supuesto vendrá a completar muchos de los aspectos que necesitan determinación o concreción por parte del Estado Español respecto al Reglamento Europeo de Protección de Datos. Insisto, cuando el año que viene tengamos totalmente normalizada la situación, con los registros de actividades de cada uno de nuestros ficheros, uno de los imperativos, y con las medidas de seguridad acordes a cada uno de los ficheros, y con todos los documentos debidamente formalizados, y realicemos nuestra primera auditoría interna, tanto en el ámbito jurídico como informático, y comprobemos que tenemos un nivel elevado de protección en estos dos campos, estaré muy satisfecho.

–Tendrá que formar a los implicados...
–Quiero hacer sesiones de formación con los diferentes implicados en los distintos campos y fundaciones con la mayor prontitud, en esta segunda quincena de junio. Ahora tengo que mirar mi agenda, ya que no tenía previsto ser DPO, y la agenda de la Universitat.

–¿Y en caso de llegar a un conflicto?
–Son muchos los que muestran interés por nuestro modelo de resolución amistosa de controversias en materia de protección de datos. Estoy seguro que será un avance que exportaremos, que nos podemos permitir que se pueda utilizar por terceros. Creo que, en este sentido, somos pioneros y que vamos en la buena dirección. Aunar resolución amistosa de controversias con protección de datos desde el punto de vista jurídico son dos líneas de investigación modernas donde la Universitat de València se tiene que posicionar, donde tiene que ser un referente a nivel nacional y europeo.

–¿Cuáles son las áreas más críticas por la sensibilidad de sus datos?
–Creo que son aquellas en las cuales se utilizan datos especialmente protegidos desde el punto de vista de la normativa, que son básicamente las de la salud y las que tienen que ver con la ideología o la creencia. La Universitat de València tiene este perfil, cuida mucho las investigaciones sociales, y en este ámbito el incumplimiento de la protección de los llamados datos sensibles sería un pequeño contratiempo para la institución. Es función mía que se tome conciencia en cada instituto de investigación y departamento en cuanto a las medidas de seguridad de los ficheros. Ahora tendremos un registro de actividades para cada fichero con unas medidas de seguridad para cada uno de ellos. Y las medidas de seguridad no solo son informáticas, tenemos ficheros en papel que merecen la misma protección y, por lo tanto, la confidencialidad, la custodia de los datos y el acceso limitado y ponderado a los mismos forman parte de los principios de la normativa de protección de datos.

–¿Cuál es su valoración personal del RGPD: un exceso o una normativa justa?
–Mi opinión personal es que se incorpora una cultura de prevención nueva que tiene un componente angloamericano importante, porque se tiene que trabajar desde el inicio. Los ficheros son diseñados teniendo en cuenta el impacto que tendrán en materia de protección de datos. Por lo tanto, el derecho se sitúa antes de la tecnología y cualquier tecnología tiene que tener en cuenta ese impacto en los derechos fundamentales, prever que en un momento dado cualquier ciudadano puede ejercer el derecho de portabilidad, el derecho al olvido y los tradicionales derechos ARCO, y esto tiene que estar en su diseño. La de ahora es una cultura más preventiva que nos obliga a tenerlo todo mejor documentado que antes, donde primaba una cultura más reactiva y sancionadora. Ahora es verdad que las sanciones son mucho más elevadas, pero lo son para que el cumplimiento preventivo también sea mayor.