Durante su toma de posesión, usted hizo referencia a los desafíos a la privacidad que plantea en la actualidad la digitalización, especialmente la inteligencia artificial. ¿Cuáles son, concretamente, los principales retos a los que se refería?
La inteligencia artificial se está utilizando para todo. Antes era algo más selectivo, pero ahora su uso se ha generalizado y cualquier persona la emplea tanto cotidiana como profesionalmente. Se está recurriendo a ella en las empresas para contratar, para evaluar a trabajadores, etcétera. Pero el usuario, e incluso las autoridades, no siempre tenemos claro cuál es realmente el tratamiento profundo que se está haciendo de los datos. De manera formal o informal, dentro de las empresas y las administraciones públicas se está empleando muchas veces la inteligencia artificial de forma irreflexiva; porque no se es consciente de que, incluso en ocasiones, se proporciona a esta tecnología información confidencial. Y dentro de esto último, hay datos personales que se están subiendo a la inteligencia artificial sin que ello sea una política de empresa.
En la AEPD hemos empezado a seleccionar todos los posibles usos que hacemos internamente de la inteligencia artificial. Yo creo que hay que usar esta tecnología sí o sí, pero tenemos que dar ejemplo de cómo hay que hacerlo; es decir, cumpliendo todos los requisitos y requerimientos de seguridad, ciberseguridad y, sobre todo, protección de datos.
«Hay que utilizar la IA sí o sí, pero siempre cumpliendo todos los requisitos de ciberseguridad y protección de datos»
La AEPD aprueba en breve su Plan Estratégico 2025-2030, a través del cual tratará de dar respuesta a los nuevos retos en materia de protección de datos y privacidad. ¿Cuáles serán las grandes líneas maestras que guíen a la Agencia durante el próximo lustro?
Lo primero que hemos hecho es escuchar a todo el mundo mediante entrevistas con profesionales de todos los sectores regulados, asociaciones, sociedad civil… Uno de los ejes del plan estratégico es el internacional, mediante el cual intentaremos influir en la Unión Europea; porque es ahí donde se toman muchas de las decisiones más importantes sobre protección de datos, en el Comité Europeo de Protección de Datos. Somos un agente muy importante, pero vamos a tener que hacer una política en este terreno para que no nos vengan las decisiones tomadas, sino que seamos parte de esa toma de decisiones. También está Iberoamérica, con la que existe un vínculo muy fuerte desde hace más de 25 años y donde igualmente tenemos la suerte de poder influir mucho en protección de datos.
Por otro lado, el núcleo duro del plan estratégico son las tecnologías disruptivas, como la inteligencia artificial. Todo tratamiento de datos relacionado con esta tecnología es competencia nuestra. Siempre lo ha sido, no solo porque aparezca así en el Reglamento de Inteligencia Artificial, sino también en el Reglamento de Gobernanza de Datos, el Reglamento del Espacio Europeo de Datos Sanitarios, el Reglamento de Ciberseguridad, etc. En la mayoría de estas normas europeas tenemos competencias añadidas a las que ya conocemos.
Otro eje son los menores, un ámbito en el que se han hecho muchas cosas con un efecto muy importante. Esta línea no se va a abandonar, ni mucho menos, pero también tenemos que fijarnos en otros colectivos, como son los mayores o los discapacitados, por ejemplo. Por eso hablamos del concepto de “colectivos de vulnerabilidad digital”. Hay organizaciones competentes en temas relacionados con los menores, pero en lo que se refiere a la protección de datos, vamos a estar muy atentos en este ámbito.
Por otro lado, vemos que existen temas transversales donde hay varias autoridades competentes, por lo que tenemos que entendernos entre nosotras. Eso nos obliga a hacer bastantes cosas en este plan estratégico. Por ejemplo, en el ámbito de la Salud ya estamos en contacto con todos los actores para aplicar el Reglamento del Espacio Europeo de Datos Sanitarios, que se publicó hace unos meses, y estamos en una fase embrionaria del modelo. Tenemos que estar presentes para que se puedan utilizar los datos de salud para investigar y que esa interoperabilidad de datos que se va a producir en toda Europa se haga bien.
Otro de los aspectos que figuran en el plan estratégico es la necesidad de actualizar la colaboración con la Entidad Nacional de Acreditación (ENAC) y los sectores profesionales de privacidad para impulsar esquemas de certificación y acreditación en materia de protección de datos. ¿En qué sentidos cree que es necesario impulsar nuevos esquemas para la protección de datos?
En este tema tenemos dos líneas con ENAC. Una, abierta desde hace unos años, es el Esquema de Certificación de Profesionales de Privacidad, liderado por esta casa. En este caso, tenemos que ver qué podemos hacer para que haya más personas que sigan este mecanismo de certificación, porque, a día de hoy, el número de profesionales que tienen las correspondientes certificaciones o que siguen el esquema es escaso. Aunque ha funcionado bien, se puede mejorar.
Por otro lado, hay una segunda línea de certificación en privacidad que también tenemos que ver. En España, nos hemos quedado casi los últimos de toda Europa en establecer un mecanismo de certificación de privacidad, que es una herramienta que en el mercado puede ser especialmente útil. Tenemos que ver qué opciones más efectivas existen.
Estos dos aspectos se refieren estrictamente a la certificación, pero también tenemos que estimular los códigos de conducta. En algunos sectores, esta fórmula ha funcionado bien y mitiga el número de reclamaciones. A través de un buen código, las empresas mantienen un estándar adecuado de protección de datos. Es una muestra de que, aunque no sea una certificación, la autorregulación puede ser útil en este caso. Y seguro que hay más ámbitos donde aplicarlo, como establecer mecanismos de autorregulación respecto a la inteligencia artificial.
«Tenemos que estimular los códigos de conducta en las empresas, para que mantengan un estándar adecuado de protección de datos»
La AEPD recibe una ingente cantidad de reclamaciones cada año, un volumen que parece inasumible. ¿Está previsto un aumento de la capacidad de la Agencia para poder abordar esa abundancia de reclamaciones y, a la vez, supervisar el cumplimiento de la normativa de privacidad y protección de datos?
Lo que está previsto es que será difícil que descienda el número de reclamaciones. De hecho, la AEPD triplica a la segunda autoridad de los 27 Estados de la Unión Europea en número de resoluciones sancionadoras, que es Italia. Aquí estamos muy constreñidos por nuestro sistema legal, porque el RGPD [Reglamento General de Protección de Datos] es para todos en Europa, pero otras normas como la ley orgánica son solo para España; y los demás países, en general, tienen una flexibilidad muy grande para no tener que abordar tantísimas reclamaciones. Obviamente, todo aquel que presenta una reclamación tiene todo su derecho a hacerlo, pero algo nos está fallando y nos está limitando bastante en este sentido. Además, las reclamaciones son cada vez más complicadas, porque hay una profesionalización brutal en el derecho sobre esta cuestión. Esto es bueno para todos, pero a la vez el escenario se vuelve más complejo.
Nuestra intención sería centrar el tiro en lo realmente importante; es decir, tener más principio de oportunidad para poder seleccionar los temas relevantes. En ese sentido, de poco sirve poner 500 resoluciones de consumo porque no somos una autoridad de protección de consumidores, para eso existen otras entidades. Por ejemplo, los temas de videovigilancia nos absorben una cantidad brutal de recursos, y aunque entiendo perfectamente que haya reclamaciones porque está en juego la privacidad, nos limita a la hora de poner el foco de atención donde realmente está la médula de muchos problemas.
Dicho esto, hemos solicitado poder crecer, y eso viene de lejos. Somos una autoridad independiente y nuestra suficiencia de medios tiene que estar garantizada, pero realmente estamos muy limitados. No obstante, ante esa falta de medios, vamos a ser mucho más productivos utilizando inteligencia artificial, pues sí o sí tenemos que acudir a estos mecanismos, al margen de que queramos crecer en recursos.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres leer la entrevista completa?
