-¿Cuál ha sido su impresión del estado de la protección de datos en España tras este primer año como presidente de la AEPD?

– Aunque llevo muchos años trabajando e investigando sobre la protección de datos, no es lo mismo observarlo desde fuera que gestionarlo en primera persona desde una institución con una multiplicidad de competencias y tareas. La protección de datos afecta transversalmente a toda la actividad económica, administrativa y social, lo que genera un enorme respeto al ver su omnipresencia y las dificultades para lograr un cumplimiento óptimo de la norma.

“LA PROTECCIÓN DE DATOS AFECTA TRANSVERSALMENTE A TODA LA ACTIVIDAD ECONÓMICA, ADMINISTRATIVA Y SOCIAL”

Llevamos casi diez años del Reglamento General de Protección de Datos (RGPD) y más de treinta años de Agencia, pero las tecnologías disruptivas plantean retos crecientes. ​ Para ello, estamos reestructurando procesos administrativos y procedimientos de gestión, lo que requiere un notable compromiso, en una Administración pública donde los cambios son complejos y nunca llegan solos.

-¿Ha supuesto un choque pasar del mundo académico a la AEPD?

– En el ámbito académico nunca me he quedado en una torre de marfil, sino que he dirigido múltiples proyectos y equipos de investigación, pero liderar una institución de tanto prestigio, con 250 personas de alta cualificación trabajando en ella y múltiples frentes, sin duda ha sido un cambio significativo. Creo que he aprendido más en materia de protección de datos este año que en toda mi vida anterior, al tener que enfrentarme a resolver problemas reales con informes en tiempo récord, lo que exige un esfuerzo intelectual intenso. Quiero reconocer el excelente trabajo de mi antecesora –Mar España– y su equipo, aunque, como es lógico, los tiempos cambian y hay que evolucionar con ellos.

-¿En qué consiste el Plan Estratégico 2025-2030 de la AEPED y qué supone para la Agencia?

– Es una hoja de ruta elaborada tras un aprendizaje veloz de la organización, escuchando a más de 40 entidades públicas, privadas y de sociedad civil, y recabando 500 contribuciones de expertos, sintetizadas en una decena de páginas. Aunque el cambio tecnológico de la IA hace temerario planificar a cinco años, lo adecuaremos progresivamente. Ya estamos evaluando más de veinte casos de uso  interno de IA y hemos lanzado la primera política de Inteligencia Artificial del sector público español, con una llamada a todo el mundo para aprovecharla, explotando sus oportunidades y controlando sus riesgos. Otra línea clave es asegurar el cumplimiento del Reglamento General de Protección de Datos (RGPD) en tratamientos de datos por IA, siempre bajo la lupa de las políticas comunitarias en la materia—fuimos los primeros en posicionarnos por escrito en el Comité Europeo sobre la reforma Ómnibus del RGPD—, extendiendo nuestra influencia a Iberoamérica. Vamos a profundizar en políticas de apertura a toda la sociedad -en los últimos meses hemos participado en más de 90 reuniones y 60 conferencias por mi parte-, y queremos optimizar también nuestra organización para garantizar el mejor cumplimiento.

“EN ENERO TENDREMOS UN REGISTRO QUE CREARÁ UNA RED VALIDADA DE GRUPOS MULTIDISCIPLINARES EN PRIVACIDAD, IA Y PROTECCIÓN DE DATOS”

-¿Puede definir el Laboratorio de Privacidad que ha venido anunciando desde que llegó a la APED? ¿Cuáles son sus objetivos?

– Es una herramienta que está contenida en el Plan Estratégico y que ya hemos inaugurado, conceptuada como un paraguas para transferir conocimiento de la investigación universitaria a la AEPD, aprovechando proyectos subvencionados cuyo conocimiento, a menudo, no llega a las instituciones.

Hemos lanzado un blog con expertos, una revista académica internacional, líneas de colaboración pública para formación, congresos y asesoramiento específico que pueda ser útil para tomar criterios y decisiones a nivel nacional o de cara al Comité Europeo. En enero se hará un llamamiento público para que todos los grupos de investigadores en privacidad puedan registrarse para crear una red validada de grupos multidisciplinares en privacidad, IA y protección de datos. Esto enriquece la investigación y nos da palancas de conocimiento precisas, además de garantizar la utilidad común de los recursos públicos y privados que se destinan a la investigación.

En definitiva, queremos crear una red pública de expertos en privacidad, inteligencia artificial y protección de datos, donde investigadores de distintas disciplinas (derecho, economía, tecnología, etc.) puedan inscribirse y conocerse entre sí. Esta red facilitará la colaboración, enriquecerá la investigación y servirá como herramienta para identificar especialistas en áreas concretas.

-¿Qué valor específico tienen las certificaciones en el ecosistema de protección de datos?

– En estos momentos todo el mundo quiere certificar su actividad o su conocimiento, lo que indudablemente genera más seguridad. La Agencia Española de Protección de Datos prepara un esquema propio de certificación en materia de privacidad, siguiendo el ejemplo de países como Luxemburgo y las iniciativas europeas más consolidadas en certificación como es el caso de la ciberseguridad. Aunque España se ha incorporado más tarde a este proceso, esa demora le permite aprender de los modelos más eficaces ya implantados. En este caso, llegar más tarde va a suponer llegar mejor. El nuevo marco busca reforzar la confianza y el reconocimiento mutuo entre países, además de simplificar el mercado de certificaciones. Este sistema también respalda la formación y profesionalización en privacidad, un ámbito que ya cuenta con miles de especialistas acreditados en los últimos años.

“QUEREMOS CREAR UNA RED PÚBLICA DE EXPERTOS EN PRIVACIDAD, INTELIGENCIA ARTIFICIAL Y PROTECCIÓN DE DATOS”

-¿Qué práctica recomienda para que los ciudadanos hagan valer su derecho a reclamar vulnerabilidades de privacidad?

– Las reclamaciones son una herramienta de tremendo valor para quienes hayan considerado su privacidad vulnerada. En la AEPD recibimos un número casi inasumible de reclamaciones, con un crecimiento del 50% este año, lo que ocupa gran parte de nuestra actividad y nuestros recursos. Hemos detectado el uso de Inteligencia Artificial Generativa en muchas de las reclamaciones que nos llegan, lo que, no siendo pernicioso, sí impacta en el volumen de asuntos que debemos atender.

Para una gestión más eficiente, priorizamos las reclamaciones de mayor impacto en los derechos fundamentales o las que consideramos que tienen interés general. Para evitar que la situación pueda colapsar el sistema también vamos a emplear la IA, por supuesto con todas las cautelas. Hemos diseñado un plan para el uso de esta herramienta, siempre con supervisión humana y garantizando no automatizar decisiones.​

-¿Qué controles se deben implementar en sistemas de decisión automatizada para evitar una transferencia incontrolada de datos personales?

– Cada vez hay más sistemas automatizados —muchos con IA que añaden riesgos por autonomía, impredecibilidad o sesgos—, por lo que hay que extremar las evaluaciones de riesgo y medidas. La reforma del RGPD normaliza su existencia, por otra parte, absolutamente inevitable. Por ejemplo, hoy entre el quince y el veinte por ciento de las empresas españolas afirman usan IA para filtrar currículos y eso supone que hay que exigir garantías sobre modelos de alimentación del sistema, evitando que haya datos que migren a otras jurisdicciones más laxas que las europeas. Creo que debemos garantizar el total cumplimiento del RGPD para que empresas y usuarios gobiernen el uso de los datos conforme a la Ley.

“DESDE HACE MÁS DE DOS DÉCADAS, EL NOTARIADO TUVO MUY CLARO QUE SU FUNCIÓN, VALIOSÍSIMA PARA LA SEGURIDAD JURÍDICA, DEBÍA DIGITALIZARSE, Y ASÍ LO HA HECHO”

-¿Cómo valora la transformación digital de las notarías españolas?

– Desde hace más de dos décadas, el Notariado tuvo muy claro que su función, valiosísima para la seguridad jurídica, debía digitalizarse, y así lo ha hecho ejemplarmente invirtiendo recursos ingentes en sistemas, infraestructuras, firma electrónica, sellos, índices electrónicos, sistemas anti blanqueo o un Archivo Digital Integrado, con éxitos continuos que pocas organizaciones igualan. He tenido la oportunidad de reunirme con el Consejo General del Notariado (CGN) y he constatado su total compromiso de colaboración con la AEPD para facilitar el cumplimiento normativo en la digitalización.