"La AEPD no tiene ninguna intención ni interés en sancionar a la economía nacional"

Audio de la entrevista

 

Mario Moreno/ Imagen: Juan Márquez

La Agencia Española de Protección de Datos es el organismo público encargado de velar por la protección y el cumplimiento de leyes marco como el Reglamento General de Protección de Datos (GDPR, de sus siglas inglesas) europeo y la Ley Orgánica de Protección de Datos (LOPD). También de velar por los derechos digitales de la ciudadanía. Con motivo del quinto aniversario -el próximo mes de mayo- de la entrada en vigor de GDPR, que vino a cambiar para siempre la aproximación a la privacidad del Viejo Continente, hablamos con Mar España, directora de la Agencia desde 2015. Ella es licenciada en Derecho, tiene un máster en Protección Internacional de Derechos Humanos y ha trabajado en organismos como el Defensor del Pueblo y el Instituto de la Mujer. Dentro de su actividad, explica, durante este ejercicio ha puesto el foco en la protección de los menores en Internet y de su uso responsable de las nuevas tecnologías.

 

¿Qué valoración hace de estos cinco años desde que entrara en vigor GDPR?

Como casi todo en la vida, el Reglamento tiene luces y sombras. Para nosotros, haber podido acompañar a su correcta aplicación era como llegar al ‘Efecto 2000’. Supuso muchísimo esfuerzo previo, y hemos puesto a disposición, tanto por parte de los ciudadanos como de los responsables que tratan los datos de las personas en nuestro país, más de 100 guías y herramientas para poder facilitar su cumplimiento. Ha habido aspectos muy positivos; cada vez los ciudadanos están más concienciados de la importancia del tratamiento de los datos. Detrás de un dato hay siempre una persona, y a veces la difusión de algo tan sensible como la información de carácter sexual puede suponer el suicidio de alguien. Es decir, no solo hablamos de la protección de datos en anexos de contratos, que también, sino de proteger a las personas en su núcleo más esencial y vulnerable, como lo es la libertad ideológica, sexual o en la lucha contra el ciberacoso. Por otra parte, el aspecto más mejorable puede ser el del mecanismo de ‘ventanilla única’.

 

Dentro del ámbito corporativo, las denominadas GAFAM (Google, Amazon, Facebook, Apple y Microsoft) son las que más multan acumulan, por lo menos en su cuantía, año tras año, a pesar de que la normativa contemple sanciones hasta de un 4% de su facturación anual en el país de reporte. ¿Es esta cantidad realmente restrictiva para determinado tipo de prácticas y compañías?

Es algo muy complejo que hay que abordar desde varios puntos de vista. En este caso, hablamos de las principales empresas de Internet, que tienen el establecimiento principal en Irlanda o Luxemburgo. Con lo cual, la AEPD puede ser autoridad interesada pero nunca principal. En estos años hemos impuesto el 38% de las sanciones de toda la Unión Europea (UE), aunque el importe de las mismas no llega al 3,33%. Este es un mensaje importante. En el ámbito del mecanismo de cooperación, es cierto que tenemos que ser críticos con estas compañías y hacer examen de conciencia porque el mecanismo está funcionando de manera muy lenta y no con el impacto que todos desearíamos. Por eso, hubo una reunión en el Comité Europeo de Protección de Datos donde estamos identificando casos estratégicos, y aunque la responsabilidad principal es de Irlanda, el futuro lo construimos entre todos. Este aspecto tiene que mejorar en los próximos años.

 

¿Es aquí donde entra en juego el principio de ventanilla única que, según ha comentado, es la sombra de GDPR? ¿Habría que modificarlo?

Yo creo que no hace falta modificar ese mecanismo desde el punto de vista normativo. Es más un problema de aplicación.

 

Como decía antes, las empresas que operan en España, y de las que la Agencia es la autoridad, son las más multadas de toda Europa en cuanto a número.

Sí, pero repito, no en cuanto a volumen económico. Por eso quiero poner en valor el mecanismo de la mediación. En la Ley Orgánica de Protección de Datos (LOPD) de 2018 establecemos también un mecanismo muy pionero, que no existe en otras legislaciones europeas, para que cuando recibimos una reclamación la podamos enviar a la empresa para que la pueda solucionar con el cliente o empleado afectado de una manera rápida, eficaz y amistosa. Estamos teniendo una efectividad del 80%. Este mensaje es importante: la Agencia no tiene ninguna prioridad ni interés en sancionar a la economía nacional. La multa llega cuando se han agotado la prevención, la aplicación de la privacidad desde el diseño y la mediación a través del responsable. Solo si esos mecanismos no han funcionado es cuando sancionamos. Y, con carácter general, a los autónomos y las pymes, si la infracción no es muy grave, solo las apercibimos, dejando de lado la sanción. Es decir, cuando hablamos del importe de las multas lo hacemos a sectores como el financiero o al de telecomunicaciones. Es decir, a empresas con recursos humanos y materiales suficientes como para adoptar medidas desde el diseño y por defecto.

 

 

"Más del 90% de las brechas que se notifican a la Agencia no implican procedimiento sancionador"

 

 

Pero, ¿por qué estas grandes empresas concurren muchas veces en repetidas infracciones?

Tratan datos de millones de clientes, y es normal que algo se pueda escapar. Por ejemplo, en los procesos para el duplicado de tarjetas SIM había que mejorar para evitar estafas a ciudadanos, y lo han hecho a posteriori.

 

En los últimos dos años, y gracias a ese aumento de la concienciación en la ciudadanía, ha aumentado el 45% de reclamaciones a la AEPD.

En efecto, hay mucha más concienciación. Pero tenemos que llegar a todo el mundo. Que se conozca, por ejemplo, el canal prioritario. Es una herramienta, la única que existe en el mundo en autoridades nacionales de protección de datos, que está permitiendo la retirada de contenidos sexuales o especialmente sensibles de Internet en un máximo de 72 horas.

 

Durante 2022 entraron en vigor la DSA y la DMA, dos normativas comunitarias que suponen un intento para controlar el poder y la actividad de estas GAFAM. También, de proteger los datos generados por los ciudadanos europeos.  ¿De qué manera pueden modificar GDPR?

De un modo indirecto, están legislando en paralelo. El único problema es que algunas de estas normas establecen autoridades de supervisión o procedimientos sancionadores que en algunas ocasiones pueden solapar el procedimiento del propio GDPR. La filosofía de estas normas es muy legítima, como lo es garantizar un espacio digital europeo y favorecer la competitividad de las economías nacionales de los países miembro. Y así lo apoyamos desde el Comité Europeo de Protección de Datos. Tenemos la fortuna de vivir en el continente más garantista con ese respeto esencial a la intimidad de las personas. En un país desarrollado es el derecho fundamental que nos jugamos desde que nos levantamos hasta que nos acostamos, y va mucho más allá del consentimiento. Por otra parte hemos visto algunas deficiencias, como que hay conceptos que se utilizan en estas normas digitales que no encajan con figuras como el usuario y el responsable de datos de GDPR, o en cuanto a la gobernanza y los límites.  

 

Comenta que Europa es el continente más garantista con la protección de datos. Sin embargo, no es capaz de exportar su filosofía a otros bloques geopolíticos.

Bueno, en algunos continentes como América Latina sí que estamos siendo ejemplo. Hemos conseguido que muchas de sus geografías sigan el modelo europeo, a pesar de las presiones norteamericanas..

 

GDPR también obliga a implementar la figura del delegado de protección de datos (DPO, de sus siglas inglesas) en las administraciones públicas. ¿Cómo va su implantación en la empresa privada?

La mayoría de las grandes empresas de los diferentes sectores estratégicos cuenta con DPO. Tenemos ya más de 100.000 personas que realizan estas funciones inscritas en el  registro de la Agencia, y más del 90% son privadas. Aunque, seguramente, no estén todos los que tienen que estar.

 

¿Cómo ha cambiado esta figura la cultura de la protección de datos de las compañías? ¿Qué nivel debe tener dentro de la cúpula directiva?

Es como el asesor financiero. Una empresa se juega multas tremendas si es mal asesorada por un gestor fiscal, tanto a nivel corporativo como a título personal. El nombramiento del DPO no blinda a una compañía, dependerá de su capacidad, cualificación, formación y experiencia. Hay delegados inscritos que asesoran a 10.000 entidades, lo cual no es positivo. Recomiendo que, cuando una empresa vaya a nombrar esta figura, utilice el Esquema de Certificación que puso en marcha la Agencia, donde se acredita un mínimo de experiencia o formación. Y en cualquier caso hay que haber pasado un examen.

 

"Tenemos que concienciar de que no se puede dar un móvil a un hijo por primera vez sin ningún tipo de pautas teóricas y sin ningún acompañamiento práctico. Se trata de la generación que nació en Internet y podemos llegar a ver los efectos en la salud mental demasiado tarde"

 

 

¿Hay una brecha entre la oferta y la demanda de DPO? ¿La formación de estos perfiles va un poco por detrás de lo que exige la actualidad?

La oferta de formación, tanto pública como privada, es suficiente. Pero es cierto que siempre vamos por detrás. Por ejemplo, en el ámbito de la transparencia. Hasta que el sector público empezó a engrasar ese músculo en cada Comunidad Autónoma pasaron unos años. Ahora se están nombrando DPO, pero es imposible que una sola persona tenga los conocimientos jurídicos y tecnológicos para establecer medidas de seguridad. Poco a poco, los equipos irán aumentando. Espero que no sea por brechas de seguridad, que es lo que ayuda a concienciar de que el número de personal es insuficiente.

 

Hablando de brechas de seguridad, ¿la obligatoriedad de comunicarlas a la Agencia ha democratizado y concienciado a las empresas de que un ciberataque lo puede tener cualquiera?

El miedo a tener brechas y a comunicarlas existe. Pero todos los expertos de seguridad hablan no ya de evitar un ciberataque, sino de cuándo va a suceder. Por eso es imprescindible establecer políticas desde el diseño y por defecto y tener engrasado ese protocolo de reacción cuando ocurra. Más del 90% de las brechas que se notifican a la Agencia no implican procedimiento sancionador. Nosotros las analizamos y, en muchos casos, decimos que comuniquen el impacto a los afectados para que establezcan medidas.

 

En el actual ramillete de nuevas tecnologías, España quiere ser punta de lanza en su uso ético. El Gobierno ha elaborado una Carta de Derechos Digitales en la que habla de valores como la inclusión, igualdad o cohesión territorial. ¿Qué opina al respecto de este tipo de iniciativas?

Se está haciendo mucho, sobre todo en el ámbito de la aplicación de la inteligencia artificial (IA) en nuestro país. Por primera vez tenemos un plan nacional, y desde la AEPD ayudamos y asesoramos a la Secretaría de Inteligencia Artificial. Aunque, me atrevería a decir que está fenomenal hablar de derechos digitales, pero en una democracia, al lado de un derecho hay una obligación. Y, al mismo tiempo que una persona pública habla de un derecho digital deberíamos transmitir inmediatamente que detrás, y sobre todo en Internet, hay una responsabilidad penal. Que puedes acabar en la cárcel por reenviar información personal de alguien sin su consentimiento, por el acceso a una historia clínica o pero el reenvío de un vídeo sexual con tu expareja, por ejemplo. Puedes tener que indemnizar por derecho al honor. Los padres son responsables solidarios de las multas de los menores y se puede tener responsabilidades en los ámbitos educativo y laboral. Los derechos digitales están muy bien, pero no hay que olvidar las obligaciones. En Internet siempre hay una IP que acaba dejando huella.

 

 

"Detrás de todo derecho digital hay una responsabilidad penal"

 

 

¿Cómo ayuda la AEPD a la protección de los datos en Internet, y a la navegación segura,  de un rango de la ciudadanía más vulnerable en las redes como pueden ser los jóvenes y menores de edad?

Este es uno de nuestros grandes retos y preocupaciones, también mío personal, durante este año. Por ejemplo, las herramientas de control parental son todavía muy escasas, solo una de cada cinco familias las utilizan.  La edad media para tener un teléfono es de 11 años, y de acceso a la pornografía de ocho. Tenemos que concienciar de que no se puede dar un móvil a un hijo por primera vez sin ningún tipo de pautas teóricas y sin ningún acompañamiento práctico. Es algo que no pasa cuando con 18 años se les da las llaves de un coche, ya que han tenido que pasar un examen teórico y uno. Para conducir por Internet, las familias están dando un cheque en blanco, que es el smartphone, sin ninguna pauta. Los niños son nativos digitales, pero no están preparados para protegerte del sexting o de una persona adulta que se hace pasar por un compañero de clase. Tenemos que hacer un acompañamiento desde las familias. Estamos trabajando con el Consejo General de Psicólogos y Médicos para que den pautas del uso por edades. No se puede dar un móvil a un hijo y dejar que duerma con él en la habitación sin haber establecido un contrato previo, unas normas de uso. También hemos sacado, junto con Unicef, La guía que no viene con el móvil, porque no se trata de comprar uno, regalarlo y olvidarse. Además, no hay que olvidar que el 90% de las víctimas de información sexual son las mujeres. Hay que cuidar a una edad muy clave en la que se desarrolla la personalidad. Esta guía cuenta con 10 consejos básicos, desde la firma del contrato con las normas de uso, o el establecimiento de herramientas de control parental. Estamos perdiendo la educación de nuestros hijos en un momento clave de su desarrollo cerebral. Pasan una media de siete horas al día de ocio digital; y los suicidios han aumentado un 25%, de los que la mitad deriva del uso de las tecnologías. Es la generación que nació en Internet y podemos ver los efectos en la salud mental demasiado tarde. Hay que decir basta y conseguir que en las políticas públicas se trabaje de una manera mucho más responsables para centros docentes y familias.

 

Desde 2015 es la directora de la AEPD. ¿Qué valoración personal hace de este camino, sobre todo tras la entrada de GDPR?

Están siendo unos años realmente intensos. Los primeros cuatro fueron para poner en marcha un plan estratégico y aprobar un marco de responsabilidad social. Como organismo regulador tenemos unas funciones muy importantes, pero otras igual de importantes en beneficio de la sociedad. Además, hemos trabajado más de dos años en la elaboración del Proyecto de Ley, con un apoyo parlamentario de más del 96%. La segunda etapa ha sido de acompañamiento de responsables públicos y privados para su adaptación a GDPR, que suponía un cambio radical del modelo. Nunca en la historia de la AEPD habíamos tenido esta hiperactividad. Con esto, hemos recibido más de 18 premios, a nivel nacional e internacional, que reconocen nuestra labor. Casi todo lo hemos hecho a coste cero y con un equipo maravilloso. Lo que nos queda es un reto fundamental: conseguir el equilibrio entre libertad y seguridad con todos los espacios de datos e iniciativas de IA en España y Europa. También, cuidar la salud de la población, sobre todo la infantil y juvenil. Ahora mismo no hay un plan nacional de salud mental para estas edades y tenemos que conseguir que las políticas públicas establezcan planes desde el inicio para todos los colegios y para que las familias cuenten con recursos en la adolescencia. Nos jugamos el futuro de la salud mental y emocional de nuestros jóvenes. Lo más importante que tiene una sociedad son las personas, y ahora mismo estamos en un momento de mucha vulnerabilidad. El ciberacoso aumenta; también los suicidios y las violaciones en manada. Ya se graba el delito en tiempo real y se vuelca en la red. ¿Cómo se va a reparar a una víctima que está siendo sometida a esa humillación? Queda mucho trabajo por hacer.