La Agencia Española de Protección de Datos ha cumplido treinta años de existencia, en unos momentos en los que el intenso desarrollo tecnológico que se está produciendo, pone de máximo relieve la necesidad de proteger adecuadamente los datos personales. Y muy en particular, los datos de los menores de edad.
A esta necesidad, la Agencia está respondiendo con una serie de medidas y propuestas, que se unen a su habitual actividad de elaboración de guías y directrices, además de la de asesoramiento y, por supuesto, de inspección y sanción, que también le son propias.
Una actividad que tiene particular mérito, si se tiene en cuenta, por un lado, el gran incremento de reclamaciones que se le hacen llegar, y de las que debe ocuparse con una plantilla altamente diligente, pero no sobrada de recursos. Y, por otra parte, dada la situación de interinidad en la que vive desde 2020, cuando caducó el mandato de su directora, Mar España Martí. Una situación de la que el enconado debate político no ha sido capaz de sacarla.
Coincidiendo con ese aniversario y con la celebración del Día Internacional de la Protección de Datos el próximo día 28, hemos tenido ocasión de hablar nuevamente con Mar España para repasar la actividad general de la Agencia durante este tiempo y sus planes de futuro.
El hecho de que sea la tercera ocasión en la que, a lo largo de los últimos años, la Directora de la AEPD haya tenido la deferencia de atender a Diario LA LEY, pone de nuevamente de manifiesto su interés por hacer llegar a los profesionales de la privacidad y del mundo jurídico en general la importancia de las políticas de protección de datos personales y la disposición de la Agencia por atender a las necesidades que se derivan de la misma.
Diario LA LEY: 30 años de la Agencia ¿cómo ha cambiado la percepción de la importancia de la privacidad en estos años?
Mar España: Ha cambiado radicalmente, porque se ha producido una transformación social sin precedentes, derivada en gran medida de la tecnología. Hemos pasado de una sociedad analógica a una digital, a la que se han incorporado, además, nuevos avances como la Inteligencia artificial (IA) o la identidad digital.
Las reclamaciones que se nos plantean ante la Agencia también son consecuencia de esos grandes cambios tecnológicos. La forma y la escala a que se pueden tratar los datos personales no tiene precedentes, y eso conlleva que las reclamaciones son cada vez más complejas. Pero también creo que la ciudadanía es cada vez más consciente de la importancia de proteger sus datos personales y de que aquellos que los tratan los protejan de forma adecuada.
DLL: ¿Contamos con herramientas normativas adecuadas para hacer frente a esa transformación?
M.E.: Creo que sí. El Reglamento General de Protección de Datos (LA LEY 6637/2016) es un marco adecuado siempre que se esté produciendo un tratamiento de datos. Y aunque es cierto que, por vía de la futura regulación de tecnologías como la IA, podríamos ver un plus regulatorio, el RGPD seguirá constituyendo la base de la protección de datos de las personas.
DLL: Como ha mencionado, estamos en puertas de la publicación del Reglamento europeo de IA ¿qué impacto cree que este puede suponer para la Agencia, dada la importancia de los datos utilizados para el entrenamiento de los sistemas de IA?
M.E.: Aunque este Reglamento no va a regular el tratamiento de datos, que sigue correspondiendo al RGPD, los datos van a tener una importancia fundamental en el entrenamiento y validación de los sistemas de IA.
Tenemos muy claro que, a la vista del avance tecnológico, los retos son cada vez mayores. Por parte de la Agencia ya hemos publicado diversos documentos al respecto, como la Guía de Requisitos para auditorías de tratamientos de datos personales que incluyan Inteligencia Artificial, la Guía para adaptar al RGPD los productos y servicios que utilicen Inteligencia Artificial, las Recomendaciones para usuarios en la utilización de chatbots con inteligencia artificial o el Mapa de referencia para tratamientos que incluyen inteligencia artificial. Además, desde hace dos años celebramos un Espacio de Estudios sobre IA con representantes de todos los sectores interesados y colaboramos con el EDPS en el desarrollo de notas técnicas sobre IA.
"Creo que se puede decir que la Agencia está muy involucrada en que el desarrollo de la IA se haga con pleno respeto a la protección de datos personales"
Por todo ello, creo que se puede decir que la Agencia está muy involucrada en que el desarrollo de la IA se haga con pleno respeto a la protección de datos personales.
En ese sentido, va a ser fundamental la colaboración entre la Secretaría de Estado de Inteligencia Artificial y la AEPD. Una colaboración que ya se ha puesto en marcha para reforzar los mecanismos de cooperación.
DLL: ¿Tienen previsto participar en el sandbox regulatorio de IA puesto en marcha por la SEDIA?
M.E.: Así es. La SEDIA nos ha propuesto establecer unos criterios mínimos al respecto, para lo que está prevista una próxima reunión con la nueva directora de este organismo.
La Agencia ya tiene experiencia por su participación en otros sandbox regulatorios puestos en marcha en el ámbito europeo, como el financiero o el de blockchain, y ahora se trata de aprovechar las lecciones aprendidas en esos entornos. Por ejemplo, sabemos que es esencial que en la convocatoria se incluya el requisito de la evaluación de impacto sobre los datos personales que deben tener hechas las entidades antes de concurrir a dicha convocatoria pues, de lo contrario, si esa evaluación se hace a posteriori, los datos pueden venir, por ejemplo, con sesgos.
DLL: Uno de los aspectos que más ha llamado la atención en la actividad de la Agencia durante los últimos meses ha sido su atención a la seguridad de los menores en internet y en redes sociales ¿Cuáles son, en su opinión, los aspectos más preocupantes del acceso por los menores a estas plataformas?
M.E.: El principal, en mi opinión, es que los menores están teniendo un acceso a las tecnologías demasiado temprano y carente de control en cuanto al tiempo de uso, el contenido, el lugar desde el que se utilizan e incluso al horario lo que está provocando unos problemas que se reflejan en distintos ámbitos de su salud y que, además, afectan a su neurodesarrollo, al aprendizaje y a la convivencia familiar y escolar.
De hecho, las tecnologías consumidas tempranamente y sin control afectan al desarrollo neuronal de los menores y plantean una problemática que va más allá del de la simple adicción. Pueden llegar a afectar a la salud mental integral de los menores, provocando tanto un descenso del rendimiento escolar como un aumento de los índices de depresión, de ansiedad, y, en el peor de los casos, un incremento en el número de suicidios, entre otras cosas por la hiperestimulación que provocan y la imposibilidad de satisfacer esas necesidades.
Y eso por no hablar de otros problemas como la práctica del perfilado de menores o de la monetización de sus datos, o del uso que esos mismos menores hagan de esos datos para posibles fines ilícitos, como la falsificación de imágenes sexuales, que tienen consecuencias directas.
Es decir, se trata de aspectos que van más allá de un problema de educación, que suponen una implicación directa en el desarrollo de la persona cuyo cerebro, como sabemos hoy, no alcanza su madurez hasta los 25 años.
Por eso desde la Agencia hemos puesto en marcha iniciativas como el Canal Prioritario, para la retirada de contenidos sexuales o violentos publicados en internet sin consentimiento del interesado, la Guía “Más que un móvil - La guía que no viene con el móvil”, publicada en colaboración con Unicef; apoyado iniciativas como el Plan Digital Familiar de la Asociación Española de Pediatría, o impulsado grupos de trabajo interdisciplinares para prevenir la adicción a las tecnologías, actuando coordinadamente con distintos actores, como los ocho Ministerios implicados, la Fiscalía General del Estado, la CNMC, la FNMT, y los Consejos Generales de médicos, psicólogos y pedagogos. Y, desde luego, nuestro apoyo a la propuesta de Pacto de Estado para proteger a los menores de edad en Internet y las redes sociales, una iniciativa promovida por la Asociación Europea para la Transición Digital que cuenta con el apoyo institucional de la AEPD, y a la ley integral para la protección de la infancia y la adolescencia, que esperamos se apruebe durante esta legislatura.
DLL: ¿Cuál es la postura de la Agencia en relación con las propuestas de limitar o prohibir el uso de móviles en las escuelas, que propugnan algunas Comunidades Autónomas?
M.E.: Nuestra postura está basada en la evidencia científica. La limitación del uso del móvil en las escuelas, puesta en práctica en varias comunidades, demostró una disminución del ciberacoso, mientras que el rendimiento escolar y la atención aumentaron significativamente.
Ello no quiere decir que haya que eliminar el uso de la tecnología, sino hacer presentes y advertir de los riesgos que esta plantea. Por eso estamos trabajando para que el Plan Digital Familiar, al que me he referido anteriormente, sea conocido por todas las familias.
"Hoy los niños “comen” de las pantallas, se puede decir que igual que existe una bulimia alimenticia, hay una bulimia digital"
Hoy los niños “comen” de las pantallas, se puede decir que igual que existe una bulimia alimenticia, hay una bulimia digital. Por eso este es el momento de hacer una reflexión profunda de la mano de la ciencia precisamente para tomar medidas en el ámbito educativo y sanitario tanto en prevención como en tratamiento.
DLL: Los datos de salud están cobrando cada vez mayor importancia ¿qué impacto cree que tendrá el futuro espacio europeo de datos sanitarios?
M.E.: A este respecto estamos trabajando con el Ministerio de Sanidad para ofrecer criterios y recomendaciones claras, por ejemplo, cuando afecta al consentimiento de los ciudadanos, y también en el ámbito europeo, a través del Comité Europeo de Protección de Datos.
DLL: ¿Podría sintetizarnos los criterios de la Agencia en relación con el de datos biométricos para el control laboral?
M.E.: Nuestro criterio a este respecto es el mismo que mantiene el Comité Europeo de Protección de Datos. Con carácter general, para poder implementar los datos el tratamiento del registro de jornada, si no se utilizan datos biométricos no es necesario el consentimiento del trabajador porque hay una base legal suficiente en la normativa laboral. Pero si se van a utilizar datos biométricos -como por ejemplo la huella- ya estaríamos hablando de un tratamiento de categorías especiales de datos y aquí es necesario que exista alguna circunstancia que levante la prohibición del tratamiento de los supuestos del artículo 9 del RGPD (LA LEY 6637/2016). Es decir, que si ese tratamiento es necesario para cumplir obligaciones en el ámbito del derecho laboral es necesario una norma específica con rango de ley que lo autorice. Ahora mismo el Estatuto de los Trabajadores (LA LEY 16117/2015) no autoriza expresamente este tratamiento y como ha señalado el Tribunal Constitucional en otros casos, la ley tiene que establecer los límites y las garantías del tratamiento
Por otra parte, hay que recordar que caben alternativas menos invasivas si son igual de válidas y conformes con los principios de necesidad, proporcionalidad y minimización del tratamiento.
DLL: ¿Cómo valora el hecho de que 2023 ha sido el segundo año por número de resoluciones sancionadoras (397), mientras que la cuantía de las sanciones no ha alcanzado los 10 millones de euros, frente a los más de 20 alcanzados en 2019, 2021 y 2022-?
M.E.: Los datos de que disponemos muestran que, en 2022, se presentaron ante la Agencia 15.128 reclamaciones, lo que supone un aumento de un 9% respecto a 2021 y un 47% respecto a 2020. Esta cifra asciende a las 15.822 incluyendo los casos transfronterizos procedentes de otras autoridades de control europeas y los casos en los que la Agencia actúa por iniciativa propia. Y por las cifras que ya vamos conociendo de 2023, vemos que en 2023, el aumento ha sido de un 43% respecto al año anterior.
En este sentido debe tenerse en cuenta que la reciente modificación de la LOPDGDD (LA LEY 19303/2018) de 2023 ha ampliado los plazos para la tramitación de las sanciones y que ya se está aplicando la Guía de multas elaborada por el Comité Europeo. De ahí que en este momento tengamos un alto número de procedimientos sancionadores, por un importe cercano a los 18 millones de euros. Hay que tener en cuenta, también, que la Agencia española es la segunda autoridad europea que mayor número de sanciones impone en Europa, si bien su importe nunca es tan elevado como en otros países.
DLL: Recientemente el Tribunal de Cuentas ha hecho público un informe de fiscalización en el que considera no cumplidas sus recomendaciones anteriores relativas a la necesidad de que la AEPD no se financiase con cargo a las multas que recaudaba ¿qué opinión le merece esta decisión?
M.E.: Mi opinión coincide plenamente con la de la Intervención Delegada, que ha señalado que el remanente de tesorería se mantiene en la Agencia para garantizar su plena independencia. Este argumento concuerda precisamente con el artículo 40 de nuestro estatuto, que establece que el resultado positivo de los ingresos se destinará por la Agencia a dotar las reservas que garanticen nuestra independencia.
DLL: Por último, en 2024 se van a cumplir cinco años de desempeño de su puesto en funciones, pues su mandato expiró en 2019 ¿Cree que ello pone en cuestión el compromiso del Gobierno con el papel de la Agencia?
M.E.: Al contrario, debo decir que me siento plenamente respaldada. Unas recientes manifestaciones del presidente del Gobierno en este sentido han venido a avalar la función de la Agencia en su estrategia de protección a los menores. Por tanto, siento el respaldo del Gobierno para seguir realizando esta tarea en la que estamos inmersos hasta que llegue el momento del relevo.
Por ahora, puede decirle que me siento encantada de poder seguir apoyando proyectos como el del Pacto de Estado y la Ley integral de protección de la infancia y de la adolescencia que, si llegan a buen término, creo que se convertirán en un referente, al menos a nivel europeo. Por ello, creo que me encuentro en uno de los años más interesantes de toda mi carrera profesional y muy agradecida por haber podido poner en marcha estas iniciativas.
Estamos en unos momentos en los que creo que, como sociedad, debemos hacer una reflexión sobre la relación de nuestros menores con la tecnología. En este sentido, creo que si la industria comienza a verificar la edad de los usuarios, se podrán evitar muchos males.