Expertos en privacidad creen que el nuevo plan estratégico de la AEPD debe abordar el ‘tsunami’ normativo y la irrupción de la IA

“Ese es el mandato que tenéis, garantizar el buen funcionamiento de esta Agencia, ir a la vanguardia en la defensa de los derechos, de la intimidad, del interés público frente a cualquier otra consideración; y de que la Agencia Española tenga influencia, tenga mando en las decisiones que tomen en Europa”, fueron las palabras de Félix Bolaños, ministro de Presidencia, Justicia y Relaciones con las Cortes en la toma de posesión de Lorenzo Cotino, nuevo presidente de la Agencia Española de Protección de Datos (AEPD), y Francisco Pérez Bes, adjunto director, con la asistencia de la plana mayor de la industria tecnológica.

En su intervención, Cotino destacó que la AEPD ha estado “muy bien pilotada” en los últimos 10 años por Mar España, presente en el acto, y que su personal ya les ha transmitido “no solo el máximo nivel de profesionalidad y de dedicación”, también “muchísima ilusión”. Ante las “crecientes obligaciones” de la institución, “a las que se suman muchísimos más retos por el tsunami digital”, el nuevo presidente de la Agencia considera que hay que “dar respuesta ya mismo, desde ya mismo, con un plan estratégico”.

Por su parte, Pérez Bes, resaltó que “van a trabajar para que la Agencia siga siendo cercana y accesible para el ciudadano, también transparente, ágil e innovadora, y siempre abierta a la cooperación con otros organismos e instituciones nacionales, europeas, autonómicas e internacionales para la defensa de los derechos y libertades de la ciudadanía, especialmente los de los más vulnerables y de nuestro Estado de Derecho”.

Lorenzo Cotino habló en su toma de posesión de tener «más músculo» para que la AEPD afronte sus retos. (Imagen: AEPD)

Urgen más recursos

Expertos en privacidad consultados por Economist & Jurist señalan la necesidad de que el nuevo plan estratégico de la AEPD sea “lo más pegado al suelo posible”. Así, Carlos Saiz, vicepresidente de ISMS Forum, subrayaba que “sin duda, considero que la Agencia Española de Protección de Datos es un elemento esencial para el fomento de la privacidad y el respeto del derecho a la protección de datos. Históricamente nuestro organismo ha tenido un gran protagonismo en el escenario europeo y considero que debe seguir siendo así debido al gran conocimiento y nivel de madurez que existe en nuestro país en esta materia”.

Para este jurista “son muchos los retos a los que se debe hacer frente en ese plan estratégico, algo que marca su Estatuto Profesional y que se conocerá en los próximos 6 meses. Para eso necesitará más recursos para afrontar esos retos: la atención ciudadana y el incremento de reclamaciones; el desarrollo de guías y buenas prácticas; certificaciones; el acercamiento a empresas y la comunidad profesional; los menores; los aspectos internacionales, tanto europeos como extracomunitarias; la red iberoamericana; la homogeneización de multas en Europa, etc.”.

Para este experto, director del Data Privacy Institute, una de las mayores comunidades de expertos en delegados de protección de datos (DPO), “desde la llegada de Donald Trump de nuevo a la Casa Blanca parece que se ha abierto de nuevo este debate entre innovación y privacidad. No obstante, creo que este es un debate antiguo y un falso dilema que existe hace muchos años, pero quizá sea el momento de verlo de otra manera y con un enfoque diferente porque necesitamos progresar hacia un mundo donde innovación, ética y cumplimiento vayan de la mano”.

En su opinión, “la irrupción de la inteligencia artificial supone muchos retos, no solo para las entidades y empresas que implantan estas tecnologías en sus procesos productivos, sino también en cómo las autoridades de control van a hacer frente a este fenómeno para evitar abusos y hacer cumplir la normativa. La coordinación entre la AESIA y la AEPD va a ser fundamental, seguro que habrá muchas dificultades que superar debido al diferente nivel de madurez y el histórico de cada uno de estos organismos, pero desde la comunidad profesional esperamos que haya buen entendimiento y logren criterios homogéneos que faciliten la aplicación normativa”.

Francisco Pérez Bes, nuevo adjunto a la AEPD, es consciente del momento que se vive en materia de privacidad: “Tenemos que estar más cerca del ciudadano”. (Imagen: Digitales)

Frenar el tsunami digital

Para Belén Arribas, presidenta de ENATIC, entidad que acaba de celebrar su XI Congreso en el que tuvo una intervención el nuevo adjunto de la AEPD, Francisco Pérez Bes, “es lícito que el ministro Bolaños considere que la AEPD sea un referente en materia de privacidad en nuestro país. Es un comentario lícito, el de que una agencia tan importante como lo es AEPD, por el ingente trabajo llevado a cabo hasta ahora, aspire a influir en las políticas y decisiones que se adopten en la Unión Europea”.

A su juicio, “Cotino ha destacado las crecientes obligaciones y retos para la AEPD derivadas del ‘tsunami digital’ que incluye tecnologías como la computación cuántica, los espacios digitales, los espacios de salud y, notablemente, la inteligencia artificial”.

“En ese sentido el futuro plan estratégico de la AEPD debería abordar, en primer lugar, cómo adaptar e interpretar una norma —el Reglamento General de Protección de Datos— que ya tiene unos años a todos estas nuevas tecnologías, que impactarán en la privacidad de los particulares y en las posibilidades de cumplimiento por parte de los obligados”, destaca esta jurista.

Desde su punto de vista “hablar de buscar el equilibrio entre privacidad e innovación es el mismo debate entre regulación versus innovación. A mi modo de ver, existe una percepción extendida de que la regulación y la innovación son fuerzas opuestas. Según esta línea, mientras la innovación requiere libertad y flexibilidad para desarrollarse, la regulación se asocia con rigidez y restricciones. Sin embargo, esta visión simplista no siempre es correcta”.

Para Arribas, “a veces se trata de una falsa dicotomía. En muchos casos, una regulación bien diseñada puede impulsar la innovación en lugar de frenarla, proporcionando estabilidad, confianza en el mercado y un marco jurídico claro que se traduce en seguridad para el desarrollo tecnológico. Por ejemplo, mediante el diseño y la implementación de incentivos”. Desde su perspectiva, “en ocasiones, por el contrario, estas resistencias a regulaciones más estrictas alegando que perjudican la innovación en realidad responden más a intereses comerciales que a barreras reales para innovar”.

Al mismo tiempo cree que “lo mismo pasa con la privacidad, que a la par que un derecho —recordemos que se trata del derecho fundamental a la protección de datos— conlleva el cumplimiento de obligaciones regulatorias, en particular, las derivadas del Reglamento General de Protección de Datos”.

En su opinión “la coordinación de la AEPD con la AESIA debería realizarse de la mejor manera posible en beneficio del administrado (personas físicas o empresas) y justo ahora que arranca la AESIA en su labor y que comienza también una nueva etapa con liderazgo renovado en la AEPD, entiendo que puede ser el momento apropiado para ello”.

Expectación importante en la AEPD, que habilitó el segundo panel y pantallas para seguir el acto. (Imagen: Digitales)

Contar con un supervisor fuerte

Para Marcos Judel, presidente de Asociación Profesional Española de Privacidad (APEP), “la posición de España en Europa es clave, y contar con una supervisión fuerte y estable en materia de privacidad es esencial para garantizar la unidad y coherencia en la aplicación del marco normativo. Es positivo que se reconozca el papel fundamental de la AEPD en este contexto, ya que su influencia a nivel europeo puede contribuir a reforzar la protección de derechos y libertades, al mismo tiempo que se favorece un entorno regulador que impulse la innovación y el desarrollo económico en Europa”.

A su juicio, “el equilibrio entre regulación y competitividad es un reto, y contar con una autoridad activa y con peso en las decisiones europeas puede ayudar a encontrar soluciones adecuadas y sostenibles para todos los actores involucrados”.

En cuanto a los retos del plan estratégico que Lorenzo Cotino va a elaborar con Pérez Bes, este experto consultado resalta que hay aspectos que hay que tener en cuenta como “la irrupción de la IA va requerir inteligencia humana y previsión para evitar injerencias en los derechos y libertades de las personas. La AEPD deberá desempeñar un papel clave en este ámbito, asegurando que las empresas adopten la cultura de la privacidad como un valor añadido y no solo como una obligación legal”.

Al mismo tiempo considera que “uno de los grandes desafíos será el fortalecimiento del rol de los Delegados de Protección de Datos (DPD), facilitando su labor y dotándolos de herramientas y criterios claros para garantizar el cumplimiento normativo tanto en materia de RGPD como en el nuevo marco regulador de la inteligencia artificial”.

“Además, la AEPD deberá seguir consolidando su papel como organismo de referencia en la supervisión de tratamientos de datos, promoviendo una regulación eficaz y adaptada a los nuevos desafíos tecnológicos”, comenta Judel.

Sobre el equilibrio entre privacidad e innovación, este experto indica que “este equilibrio es fundamental para que Europa no solo sea un referente en regulación, sino también un actor clave en el desarrollo tecnológico. No podemos permitirnos un modelo donde el exceso de carga regulatoria frene la innovación, pero tampoco uno en el que se descuiden los derechos fundamentales. La regulación debe ser clara y efectiva, garantizando que los esfuerzos de cumplimiento sean proporcionales y no una barrera al desarrollo tecnológico en Europa”.

El presidente de APEP recuerda que será necesaria la coordinación entre AESIA y la AEPD a este respecto. Es importante que las empresas y entidades no se enfrenten a incertidumbre sobre qué obligaciones deben cumplir o a qué organismo deben dirigirse. “El Reglamento de Inteligencia Artificial establece que los tratamientos de datos personales realizados mediante sistemas de IA serán competencia de la AEPD. Los Delegados de Protección de Datos tendrán una carga de trabajo aún mayor, con la necesidad de inventariar y analizar los sistemas de alto riesgo, además de realizar evaluaciones de impacto en derechos fundamentales”.

Expertos en privacidad consultados por ‘E&J’ señalan que «el equilibrio entre regulación y competitividad es un reto, y contar con una autoridad activa y con peso en las decisiones europeas puede ayudar a encontrar soluciones adecuadas y sostenibles para todos los actores involucrados». (Imagen: AEPD)

Buscar alianzas sólidas

Por su parte, Ofelia Tejerina, presidenta de la Asociación de Internautas, cree que si se quiere que la AEPD sea elemento decisorio a nivel nacional y referente en el plano internacional, hay que dotarle de recursos, sobre todo personales: “Tenemos que posicionarnos donde nos corresponde, nadie duda de la calidad técnica de nuestro regulador, uno de los mejores de Europa. Hay que darles a nuestros expertos esos recursos para que hagan el trabajo que se espera de ellos. El momento que se avecina en privacidad es de gran importancia y tenemos que ser uno de los operadores destacados”.

Cotino también ha hablado de un “plan estratégico para definir los hitos de la AEPD, según dice el Estatuto del regulador. Este plan debe afianzar la relación con otras entidades como son CCN-CERT, INCIBE, las propias agencias de IA como es el caso a nivel nacional de AESIA, así como con el Observatorio de Derechos Digitales que Red.es acaba de crear. Se trata de identificar los elementos claves del mercado digital y crear relaciones sólidas de colaboración continuo con ellos”.

En dicho plan estratégico “también deben diseñar un mapa mental con los temas claves a abordar, uno de ellos es la irrupción de la IA, tanto a nivel de marco normativo como en cuanto al desarrollo de su tecnología. Es importante que diseccionen esa herramienta por funcionalidades y a partir de ahí ver qué es lo que afecta a la privacidad. También es importante que cuenten más con la sociedad civil en cuestiones claves de protección de datos”, añade Tejerina.

En esa toma de posesión se ha vuelto a hablar de la búsqueda del equilibrio entre la innovación y la protección de datos. De hecho, el propio ministro Bolaños avanzaba que está muy avanzando el proyecto de ley para la defensa de los menores en entorno digital. En esta línea, Tejerina ha destacado que “es importante que las medidas que se aprueben puedan ponerse en marcha. Deben ser prácticas, realistas y deben tener recursos para implementarse. En ningún caso su puesta en marcha debe vulnerar otros derechos fundamentales, tanto de los propios menores como de los ciudadanos”.

Sobre esta cuestión, la presidenta de la Asociación de Internautas insiste en la necesidad de la educación de los adolescentes en la gestión de sus perfiles digitales. “Es importante que conozca bien esa protección para evitar cualquier problema que pueda tener en su interacción con terceros. Las redes sociales permiten diferente medidas para proteger a los adolescentes que se muevan en redes sociales. Al mismo tiempo no podemos olvidar que los menores son ejemplo de lo que ven en casa o en los colegios en materia de educación digital”.