Visita a la Agencia Española de Protección de Datos

Una de las principales preocupaciones que conlleva la creciente digitalización de la sociedad es la custodia y control de los datos personales. En España, el principal organismo que se encarga de esto es la Agencia Española de Protección de Datos (AEPD), en cuya sede los Líderes se reunieron con Lorenzo Cotino, presidente de la institución, Francisco Pérez, adjunto a la presidencia, y Joaquín Pérez, director de la división de Relaciones Internacionales.

La Agencia Española de Protección de Datos (AEPD) es el organismo público encargado de velar por el cumplimiento de la normativa de protección de datos en España. Se trata de una autoridad administrativa independiente, que se relaciona con el Gobierno a través del Ministerio de la Presidencia, Justicia y Relaciones con las Cortes. Participa activamente en el Comité Europeo de Protección de Datos, que coordina la protección de datos en la Unión Europea.

Entre sus principales funciones, la AEPD se encarga de controlar la aplicación del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). También promueve la sensibilización del público sobre los riesgos y derechos en relación con el tratamiento de datos personales, asesora a instituciones y organismos sobre medidas legislativas, investiga denuncias de ciudadanos sobre vulneraciones de protección de datos y coopera con otras autoridades de control a nivel nacional y europeo.

La reunión de los Líderes con los directivos de la AEPD trató principalmente sobre la Inteligencia Artificial y cómo el auge de esta nueva tecnología afecta a la protección de datos. “Nuestro punto de mayor preocupación”, señaló Dalia Suárez, “además de cómo mejorar la gobernanza, es dejar un plan listo, una hoja de ruta, sobre la IA. La tecnología es muy invasiva, muy rápida en su avance tecnológico y en cómo se introduce en la vida de las personas. La IA es necesaria e importante, porque nos puede ayudar en la vida pública, pero no estamos hablando del tema en relación a cómo se debe hacer un modelo de gobernanza que respete los derechos fundamentales de las personas”.

A este respecto, Lorenzo Cotino señaló que la AEPD trabaja actualmente “en un plan de incorporación de la IA a las necesidades, usos y bienes de la AEPD. Lo hacemos con una doble finalidad: tenemos limitación de recursos y queremos aumentar la productividad. Pero sobre todo queremos hacer este proceso para poder exhibirlo, porque queremos no solo empezar a utilizar la IA, sino mostrarlo como guía de buenas prácticas, cómo incorporar la Inteligencia Artificial respetando la privacidad, que es algo que no siempre se cumple”.

Los directivos de la AEPD explicaron que a finales de 2020 el Gobierno español publicó la Estrategia Nacional de Inteligencia Artificial (ENIA) con el objetivo de impulsar el desarrollo y uso de la IA en el país. “Es un buen documento, una buena hoja de ruta. España no fue de los primeros países del mundo en hacerlo, pero así tuvimos referentes muy buenos para elaborar una buena estrategia”. 

Una característica que tiene España a la hora de desarrollar esta estrategia es su compleja organización. Gobierno, Comunidades Autónomas, Diputaciones y Ayuntamientos realizan muchas veces sus propios proyectos. “Sin perjuicio de los planes a nivel estatal, hay experiencias muy interesantes a nivel autonómico. Tenemos también las figuras de las Diputaciones, que son muy activas en este ámbito”. Y, por encima de todas ellas se encuentra la regulación europea. “La abundancia de normas es un tema que no está resuelto” en este sentido.

El caso de Perú es distinto, pero según señaló Dalia Suárez “es un mito decir que la IA no está regulada. No hay leyes que hablen de esta tecnología. Tampoco las había sobre la nube o las redes sociales. Pero el comodín es la normativa de protección de datos, que se aplica a todos estos casos, porque normalmente procesan datos personales. Algunas autoridades, como la Autoridad de Protección de Datos, sin tener una regulación sobre IA, ya era competentes sobre estas materias. El problema es que en esos casos se deja mucho a la interpretación, que puede ser extensiva o restrictiva”.

“La indeterminación genera dudas”, señaló Lorenzo Cotino. “Normalmente, por la experiencia de los últimos veinte años, la primera regulación que se ha utilizado cuando no existía una normativa específica ha sido la de protección de datos. Y de ahí se ha derivado la normativa para aspectos que antes no existían”.

Por lo que respecta a la regulación en Perú, Eduardo Luna señaló que cuentan con el apoyo de la UE, la UNESCO e incluso un convenio con el gobierno coreano. Para los expertos de la AEPD “ahora la UE es el modelo de referencia, pero en ocasiones trasplantar ese modelo a otros ámbitos no es buena idea. Reino Unido también es una buena referencia: al salirse de la UE no tiene un modelo de regulación de la IA como nosotros, es un híbrido con ideas interesantes”.

Esos documentos, junto con los análisis de la economista Mariana Mazzucato, pueden ser ideas válidas para Perú. “En Perú, una política nacional puede sectorizarse, desarrollar un tipo de empresas y tecnologías más sectoriales. Intentaría buscar algunas líneas para no hacer políticas que tengan una gran dependencia de las plataformas tecnológicas, como ha pasado en Reino Unido”.

Eduardo Luna también quiso saber cómo se gestiona en Europa el debate interno acerca de la idea de la sobre regulación, que puede condicionar el desarrollo tecnológico. “En América se ha comprado este discurso de que unas normas muy intensivas van a limitar el desarrollo tecnológico. ¿Cómo han vivido estos intentos de frenar una regulación?", preguntó.

En este sentido, la respuesta es que la regulación es necesaria. “La no regulación lleva a la inseguridad jurídica, y la inseguridad jurídica es enemiga de las inversiones. Es necesario que haya unas reglas de juego”. Pese a todo, es cierto que la normativa se interpreta muchas veces como un freno a la innovación. “En España, a nivel estatal, la normativa deja algunas lagunas para poder hacer algunos tratamientos de datos. Dentro del margen que tienen al desarrollar la normativa, hay que encontrar opciones que faciliten el desarrollo de la IA”.

Por lo que respecta a la protección de datos personales, la opinión de la AEPD es tajante: “la concienciación es lo más importante. Desde el año 1992 tenemos normativa de protección de datos, y con tantos años algo va calando. Hay mucha formación, hay que luchar con los medios que se tengan. La concienciación es lo más importante y luego, obviamente, está la parte de infracciones o sanciones. En España ha funcionado razonablemente bien la normativa del sistema nacional de seguridad. Tenemos una buena práctica desde 2011 con el Esquema Nacional de Seguridad. Lo que es propiamente ciberseguridad y cumplimiento de unas normas mínimas, que luego se aplica a la protección de datos, ha tenido un éxito razonable y un cumplimiento bastante bueno. Esa buena práctica se puede exportar”.

Participantes en la reunión:

▪️ Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos

▪️ Francisco Pérez, adjunto a la Presidencia

▪️ Joaquín Pérez, director de la división de Relaciones Internacionales

Resumen Ejecutivo en PDF