Hasta el 11 de mayo, la AEPD admitirá alegaciones al borrador de su Plan Estratégico 2025-2030, ya en la web del regulador

Tal y como comentó su nuevo presidente Lorenzo Cotino en su comparecencia de idoneidad en el Congreso de los Diputados, la AEPD ha abierto una consulta pública sobre el Borrador de su Plan Estratégico 2025‒2030, un documento cuya versión definitiva fijará las líneas de actuación prioritarias de la Agencia para los próximos cinco años.

El hecho de someter este texto a un proceso participativo de escucha activa supone una apuesta firme para enriquecer el texto con las aportaciones de la ciudadanía, los profesionales de la privacidad, los sectores público y privado, y asociaciones, fundaciones y tercer sector. La consulta pública se abrió el pasado 10 de abril y se cerrará el 11 de mayo, ambos inclusive.

El texto, que ya se encuentra en la web del regulador, está estructurado en ocho principios rectores y seis ejes de actuación, que a su vez recogen distintas acciones para alcanzar los objetivos fijados:

1. Supervisión inteligente, apoyada en la tecnología y en la gestión eficiente. Se persigue una mayor capacidad de anticipación para identificar y prevenir riesgos relacionados con la protección de datos, priorizando las acciones de mayor impacto.
2. Innovación tecnológica, un claro compromiso con la innovación responsable. Entre las iniciativas destaca el Laboratorio de Privacidad y Tecnología, en estrecha colaboración con centros y universidades de referencia y otras autoridades europeas.
3. Cooperación e influencia estratégica, con refuerzo de alianzas y cooperación a nivel nacional e internacional e integrando la protección de datos en sectores clave.
4. Facilitar el cumplimiento normativo, con una atención especial a las pymes y potenciando el papel de los profesionales de la privacidad.
5. Transformación digital y excelencia, para optimizar la organización y dotarla de más recursos para prestar mejores servicios.
6. Una Agencia abierta y cercana, con medidas como nuevas herramientas y canales de atención, la colaboración con sectores profesionales y la escucha activa para anticipar riesgos emergentes.

Un proceso abierto y participativo

La Agencia ha habilitado un formulario en su web donde las partes interesadas podrán realizar sus aportaciones para cada uno de los ejes. Las contribuciones son independientes, de forma que cada participante pueda comentar solo el eje estratégico que más le afecte o le parezca más relevante o varios de ellos de forma simultánea. Asimismo, se ha incluido un apartado adicional para añadir comentarios que no se ajusten a los ejes propuestos.

Eduard Blasi cree que es importante que la AEPD utilice herramientas de IA para ser más eficiente. (Imagen: Cesión propia)

Según explicaba el nuevo presidente de la AEPD en un encuentro reciente con los medios informativos, «el objetivo de este proceso colaborativo es garantizar que el Plan Estratégico 2025‒2030 dé respuesta a los desafíos crecientes en materia de privacidad y protección de datos, promoviendo un enfoque inclusivo y transparente en su formulación». Ello permitirá adaptar el funcionamiento de la Agencia a los nuevos retos, especialmente en el ámbito digital, así como detectar necesidades e identificar áreas de mejora en la planificación de sus futuras actividades.

Al final de lo que se trata, según aclaraba Francisco Pérez Bes, adjunto a presidencia, es que “una vez finalizado el periodo de consulta pública, la Agencia analizará todas las aportaciones recibidas. Se espera que la versión definitiva del Plan Estratégico 2025‒2030 se publique en el mes de julio, sirviendo de guía fundamental para las acciones y proyectos de los próximos años”.

Un plan abierto a la sociedad

Para Eduard Blasi, vicepresidente tercero de APEP y abogado digital en Data Guardians “una de las cosas que llama la atención es la cercanía con la tecnología y en particular con la IA. Creo que es uno de los pilares de la propia AEPD, como han indicado los nuevos presidente y adjunto, Lorenzo Cotino y Paco Pérez Bes, en algunas de sus manifestaciones públicas. Otro punto importante es la cercanía de la entidad con profesionales de la privacidad, organizaciones, universidades. Este plan estratégico pretende promover relaciones con stakeholders del sector de la privacidad”.

De hecho, este experto reconoce que la propia AEPD se ha reunido con algunas asociaciones de profesionales, entre ellas APEP y además ha invitado a una reunión presencial a varios profesionales que se dedican a estudiar varios aspectos de la privacidad, e incluso divulgadores de la privacidad a finales de este mes. A su juicio, «es una buena noticia porque cualquier regulador no puede estar de espaldas a su entorno económico social más inmediato a la hora de plantear las normas que regulan la actividad económica y la propia gestión de la privacidad.

Sobre el uso de la AEPD de IA para gestionar denuncias o labores internas, no me parece mal desde un punto de vista tecnológico, ya que se aprovecha la tecnología para ganar eficiencia. El punto importante a saber será qué tecnología se utiliza, si se adoptan las medidas y salvaguardas adecuadas y si hay intervención humana que esperemos así sea. Al final, la IA ha venido para quedarse y vamos a ver cómo se emplea en todos los ámbitos. Lo estamos viendo en el uso de la justicia, en un piloto lanzado a Cataluña para ayudar a jueces a agilizar procesos judiciales y poco a poco veremos cómo el uso de la IA se extenderá a todos los sectores».

El apoyo de los DPO es clave

Por su parte, Carlos Saiz, vicepresidente de ISMS Forum y director del Data Privacy Institute, (DPI) explica que la comunidad de DPO, que está integrada en el DPI, va a hacer llegar un documento a la AEPD con propuestas para enriquecer ese Plan Estratégico: “Este Plan está muy bien estructurado. Tiene muy buenas ideas y la valoración es positiva. De todas ellas, llama la atención que la AEPD se lance al uso de la IA para realizar labores de supervisión o automatizar sus procesos, creo que es valiente y positivo. Habrá que fiscalizar el uso de la IA para evitar ciertos abusos en cualquier entorno”.

Carlos Saiz reconoce que es una buena noticia que la AEPD abra el Plan Estratégico a los expertos en privacidad. (Imagen: ISMS Forum)

Desde su punto de vista, “esta iniciativa puede ser la punta de lanza para que otras instituciones sigan el camino. Hay que darse cuenta de que es una entidad con miles de reclamaciones que ha tenido la AEPD en estos diez años de trabajo de la anterior directora, Mar España. Sin embargo, la institución tiene los mismos medios humanos y personales, lo que es un problema. Es fundamental que las autoridades empiecen a plasmar sus procesos con el uso de la IA. Es muy positivo que aparezca su Plan Estratégico”.

Nuestro interlocutor también destaca que “en el eje 2, lo que llaman como laboratorio de privacidad y tecnología. Creo que es fundamental que una autoridad de control tenga un grupo o una comisión que esté para estudiar el impacto de las nuevas y emergentes tecnologías que vienen. Es bueno que haya investigación y actualización de criterios. Que se publiquen contenidos sobre IA, sistemas biométricos, sobre espacios de datos y tecnologías cuánticas que van a cambiar muchas cosas en la industria”.

En su opinión, “contar con ese grupo de investigación y estudios en estos temas dentro de una autoridad de control es francamente necesario y positivo. Por la parte que nos toca como asociación profesional, nos parece interesante su apertura a seguir estrechando lazos con los profesionales de privacidad y delegados de protección de datos. Es algo que se pone en el Plan estratégico y muestra el reconocimiento de la AEPD a nuestro colectivo que quiere conocer nuestros criterios y preocupaciones en nuestro trabajo diario”.

La escucha activa y la co-creación son imprescindibles

Por su parte, Belén Arribas, presidenta de ENATIC y abogada especializada en Derecho Digital, protección de datos e IA, hace una valoración a priori muy positiva del Plan Estratégico, sin perjuicio de que tanto dentro de la Junta Directiva de ENATIC como desde su membrecía, analizarán con más detalle el documento y, con toda probabilidad, harán propuestas de mejora dentro del proceso participativo que se abre ahora.

Arribas entiende que estamos ante un momento transcendental de la Agencia, tanto por el comienzo de un nuevo mandato con la nueva Presidencia y Adjuntía, como porque ello ocurre en un momento de grandes cambios políticos y de turbulencias geopolíticas.

“La irrupción de la IA y – como veremos este año- su despliegue en los distintos sectores y administraciones públicas, junto con las nuevas atribuciones que la Agencia va a tener en esta materia, hacen de este un momento ideal para contar con los stakeholders, expertos, asociaciones y entidades de la sociedad civil que tienen la protección de datos y la IA entre sus principales materias de actividad y de estudio, como ENATIC”, comenta.

Belén Arribas cree que la participación público-privada y la co-creación, en todos los ámbitos de actividad, es indispensable para poder crear entre todos políticas para un futuro más inclusivo y transparente. (Imagen: ENATIC)

“Nosotros celebramos, en particular, la apertura y el inicio de este proceso participativo, característico, por otra parte, de la Sociedad 5.0 en la que estamos entrando. La participación público-privada y la co-creación, en todos los ámbitos de actividad, es indispensable para poder crear entre todos y desde todas las visiones –que pueden ser distintas, pero seguro que complementarias- políticas para un futuro más inclusivo y transparente”, advierte.

En la ronda de reuniones que está manteniendo la AEPD con asociaciones y expertos y expertas –muestra viva de esta escucha activa hacia la sociedad-, también ENATIC se reunirá con la AEPD en breves fechas.

“Nos ha parecido brillante también la iniciativa de adoptar ya IA para la automatización y eficientación de los procesos internos y no tenemos ninguna duda de que se llevará a cabo con las oportunas garantías. Por otro lado y no menos importante, saludamos también, en particular, al eje de la innovación tecnológica con un claro compromiso con la innovación responsable, incluyendo la creación de un  Laboratorio de Privacidad y Tecnología, en estrecha colaboración con centros, academias y otros actores europeos”.