Rafael Soler: “La funció d’un delegat de protecció de dades està en constant evolució”

Rafael Soler és consultor de protecció de dades i màrqueting digital a través de Bindset, una empresa que va fundar després de fer el postgrau de Protecció de Dades de la Universitat Oberta de Catalunya (UOC), on també va conèixer un dels seus actuals socis. Té formació en dret, direcció d’empreses, economia i informàtica, i és professor del màster de Màrqueting digital de la UOC i de Dret a la Universitat de València. En aquesta entrevista parlem de la seva experiència com a alumne de la UOC, sobre la manca de consciència social pel que fa a la importància de la seguretat i protecció de les dades, i sobre l’evolució de la figura del delegat de protecció de dades (DPD), que és molt més que un “tècnic especialitzat”.

Quan vas començar el postgrau de Protecció de Dades des de la UOC ja tenies una llarga trajectòria professional. Quines motivacions et porten a fer el postgrau?

Ordenar els meus coneixements sobre la protecció de dades. Tenia coneixements d’informàtica, de dret, de protecció de dades… No obstant això, no havia rebut formació específica en aquest camp més enllà d’algun curs d’adaptació al Reglament General de Protecció de Dades (RGPD). D’altra banda, després de la pandèmia de COVID-19 es van oferir ajuts dirigits a subvencionar despeses de formació. Després de buscar quins eren els programes de postgrau que s’estaven oferint en aquest àmbit, l’oferta de la UOC era la que millor s’ajustava a les meves necessitats. Era dels més competitius pel que fa a la relació qualitat/preu. A més, abordava els aspectes fonamentals de la protecció de dades i oferia una especialització en comerç electrònic, una àrea que combinava perfectament amb la meva activitat professional. També va influir bastant la metodologia de treball que facilita la UOC i que coneixia per la meva activitat docent. No vaig trobar cap altra universitat que tingués un sistema tan flexible. Simplement, havia de complir els terminis de lliurament de les proves, però podia organitzar-me la feina com volia.

Què destacaries del programa del postgrau? Ha satisfet les teves expectatives?

En termes globals, el postgrau va superar de llarg les meves expectatives. El que més em va sorprendre van ser els companys. En tractar-se d’una universitat en línia, donem per fet que tot s’ha de fer individualment. No obstant això, si et bellugues una mica pots conèixer un munt de gent amb perfils d’allò més variat. Per posar-ne un exemple, un dels meus socis actuals és un company del postgrau de protecció de dades. Ens vam conèixer en una de les activitats en grup que havíem de fer per complir els requisits de certificació del DPD. Ell tenia un perfil més tècnic, i jo, més jurídic. A més, compartíem l’interès pel rugbi i la gestió de dades, de manera que després del curs vam mantenir el contacte i hem acabat sent socis.

Pel que fa a coneixements, el programa em va semblar equilibrat. En alguns aspectes m’hauria agradat que s’aprofundís una mica més en algunes matèries, però és possible que això fos degut al fet que ja coneixia part de les matèries.

Quina ha estat la teva experiència com a alumne de la UOC?

En general, molt bona. Al principi em va costar una mica adaptar-me perquè, tot i que intento formar-me constantment, no és el mateix afrontar un curs de 40 hores que un postgrau. No obstant això, de seguida vaig poder agafar el ritme sense problemes. La plataforma és còmoda i, quan controles l’estructura, és facilíssim moure-s’hi. A més, el fet de tenir accés a tots els materials actualitzats dels estudis que has cursat em sembla genial. Així, quan tinc un dubte, hi accedeixo directament… Sempre sé que des del campus tinc el material disponible per consultar-lo.

Destacaria també el nivell del professorat, són professionals de primer nivell vinculats amb la professió i les agències de protecció de dades establertes a Espanya. A dir veritat, vaig quedar impressionat pels seus coneixements en la matèria: el Sergio Carrasco, l’Eduard Blasi… I sobre tot la Joana Marí, perquè va ser la primera vegada que ens van fer una tutoria en línia per resoldre dubtes. Em va impressionar tant que el següent semestre vam implementar-ho en l’assignatura que imparteixo en el màster.

Tens experiència com a formador i professor universitari. Quina és la teva opinió sobre la metodologia d’ensenyament de la UOC?

Doncs que no està en els primers llocs del rànquing de Xangai o del Times Higher Education World University Ranking per casualitat. És una formació centrada en l’estudiant en sentit ampli, no només en aquell que ha acabat el batxillerat i està seguint el seu camí formatiu. La metodologia que utilitza funciona molt bé per a l’aprenentatge en persones adultes amb una mica d’experiència professional, perquè es distancia del model de classe magistral tradicional. Per als que cerquem un complement a la nostra formació, és molt gratificant.

Planteja un model dinàmic, centrat en casos pràctics i fets reals, la qual cosa en facilita als alumnes el fet de posar la nostra experiència professional en relació amb la matèria que treballem. En tot cas, els mòduls formatius es desenvolupen amb una estructura destinada a ajudar en l’elaboració de les proves, amb la qual cosa és bastant còmode seguir-los per afrontar els reptes de les assignatures.

A més, cada aula té un consultor especialitzat, encarregat de resoldre els dubtes i acompanyar-nos en l’elaboració dels treballs. Tot això en una plataforma orientada a l’usuari, còmoda i fàcil d’usar. Finalment, proposa una educació asíncrona que facilita molt l’organització del treball de l’estudiant, ja que et dona llibertat total per organitzar el teu horari amb l’única limitació dels terminis de lliurament.

I després estan els tutors, que ajuden en aquells aspectes generals que necessita l’estudiant. Especialment en la matrícula, on t’assessoren sobre les assignatures que has de triar en funció de les nostres necessitats. És un model molt estudiat que potencia l’excel·lència acadèmica de l’alumne.

El Delegat de Protecció de Dades apareix en el Reglament General de Protecció de Dades (RGPD). Quina és la seva funció? Creus que encara es necessària a les empreses i administracions públiques?

Al meu entendre, la funció del delegat de protecció de dades és una mica la d’un “germà gran” en matèria de protecció de dades. No vull dir que sigui responsable de les actuacions de les organitzacions que assessora. La seva funció és acompanyar aquestes organitzacions, ajudar-les a gestionar els seus sistemes d’informació pel que fa a les dades de caràcter personal. Indicar-les com adaptar els seus processos i orientar-les en el compliment de la llei. T’ajuda a fer les coses correctament i a créixer en la responsabilitat de tractar les dades de caràcter personal que tens al teu càrrec.

Els delegats ja no només son necessaris, sinó que, en molts casos, són obligatoris. Un dels problemes amb què més m’he trobat, com a consultor, és el nomenament de delegats per complir amb la formalitat, on es trien persones sense els coneixements o formació necessaris. El pitjor de tot és que, sovint, les empreses no tenen cap altra opció, ja que tenir contractat un DPD extern suposa un cost que no poden assumir. En aquest cas sempre els recomano que, almenys, inverteixin en formació per al delegat.

Creus que el rol professional del DPD hauria d’evolucionar o redefinir-se?

No és que ho cregui, la funció del DPD està en constant evolució. Amb la publicació del RGPD a Espanya, hem passat d’un model formalista, en el qual només calia inscriure els fitxers en el registre corresponent, a un model de “responsabilitat proactiva”. Aquest model se centra en la manera com es fan les coses: tant se val com diguis que les fas, cal ser capaç de demostrar-ho. En aquest sentit, els DPD hem d’adaptar-nos a l’evolució de les tecnologies i dels processos i procediments que utilitzen les organitzacions i la normativa. Actualment hi ha molt de renou pel canvi d’interpretació per part del Comitè Europeu de Protecció de Dades (EDPB, per les sigles en anglès de European Data Protection Board) i l’Agència Espanyola de Protecció de Dades (AEPD) sobre l’ús de dades biomètriques per al registre laboral.

Conèixer aquests canvis legals, les amenaces que poden afectar les empreses, els seus mètodes de treball, etc., és l’única manera de poder ajudar a adaptar els sistemes per protegir-les. Per això, a Bindset defensem la didàctica com a eina en la tasca del DPD. No és només un tècnic especialitzat en protecció de dades. Hauria de ser com un mestre en la gestió de la informació de caràcter personal, ja que, cada vegada més, les organitzacions depenen de les seves estructures d’informació, i aquestes, al seu torn, de les persones que les gestionen. Aquí és on el DPD pot aportar un valor afegit.

Quina recomanació faries a les persones que es plantegen realitzar una formació en protecció de dades i que, més concretament, volen preparar-se per a l’examen de Delegat de Protecció de Dades?

Que no s’ho pensin dues vegades. En aquesta formació es tracten aspectes aplicables a les dades no només personals, sinó fonamentals per a la continuïtat del negoci. Les matèries sobre gestió d’informació, valoració de riscos, seguretat de la informació, avaluació d’impacte, auditoria de sistemes d’informació… són transversals a altres processos de les organitzacions. El delegat es forma específicament en processos on intervenen dades de caire personal, però això no significa que aquest coneixement no pugui ser aplicat a altres processos de l’empresa.

A més, és una formació molt interessant per completar el perfil professional, tant dels informàtics (pels coneixements legals que aporta) com per als juristes (pels coneixements tècnics que facilita).

Creus que la societat està prou conscienciada sobre la importància de la seguretat i la protecció de les dades?

Per desgràcia, no. Precisament per això vam decidir crear una empresa de protecció de dades. Perquè el missatge que ens repetien cada vegada que parlàvem de protecció de dades era que no era un element important del negoci, o bé que era un invent per treure diners a les empreses.

Quins són els teus plans professionals a curt i llarg termini?

Ara mateix, l’empresa són tots els meus plans. El nom de l’empresa, Bindset, resumeix la nostra filosofia: “Crouch, bind, set” són les instruccions que els àrbitres de rugbi donen als jugadors per guiar-los en l’entrada de la melé. És una manera de protegir-los i evitar lesions, i, en aquest sentit, Bindset tracta de proporcionar un assessorament similar, però en matèria de protecció de dades: guiar l’organització com a responsable/encarregat de les dades, i, alhora, protegir-la de possibles sancions. Amb una perspectiva didàctica i centrada en l’usuari.

A curt termini hem desenvolupat un canal de denúncies molt senzill, tant per a qui ha de comunicar una infracció, com per a qui ha de gestionar la comunicació. Gràcies als coneixements de màrqueting digital, centrem els nostres productes en maximitzar l’experiència d’usuari. En aquest sentit, dissenyem serveis que siguin fàcils d’utilitzar, de claus a la mà, que solucionin problemes sense generar-ne de nous. Per exemple, amb aquest producte lliurem al responsable del canal documentació sobre totes aquelles tasques que ha de complir per tenir un sistema ajustat a la normativa, especialment en la part de protecció de dades que la normativa esmenta explícitament. També tenim serveis de compliance, per exemple, un webservice que, de manera automatitzada, comprova la validesa d’una signatura dins d’un document PDF abans d’arxivar-lo o enviar-lo a un client. És una manera de garantir que tota la nostra informació compleix uns estàndards de qualitat mínims.

Tot el nostre projecte se centra en educar en protecció de dades, de caràcter personal i altres, i de reivindicar aquesta part de les organitzacions, la de la gestió de les dades. A mitjà termini volem desenvolupar la part de formació, de manera que els nostres clients puguin proporcionar als seus col·laboradors eines amb les quals afrontar els canvis tecnològics i les amenaces de ciberseguretat que cada vegada són més habituals.