Cotino (AEPD): "El apagón nos ha enseñado que podemos despertar en una pesadilla"

El apagón del lunes no solo dejó a la Península Ibérica sin conexión. Dejó al descubierto la fragilidad de nuestras infraestructuras digitales. Para Lorenzo Cotino, catedrático de Derecho y recién nombrado presidente de la Agencia Española de Protección de Datos (AEPD), fue un “buen momento para comprobar si las cosas están bien hechas”. En esta entrevista con El Confidencial, Cotino, a la que acudió en autobús desde Valencia por el riesgo de que los trenes no operaran con normalidad 24 horas después del blackout, defiende una protección de datos exigente pero compatible con el progreso tecnológico, admite que la AEPD ya está al borde del desbordamiento y pone el foco en la inteligencia artificial. “Hay que saber dónde y cómo se está usando, sobre todo en la administración pública”. Tampoco rehúye ninguno de los temas que han marcado su proceso de nombramiento: ni la carta de renuncia que envió el que iba a ser su adjunto, Antonio Troncoso, ni las informaciones sobre unos supuestos pagos de Google antes de presidir la institución. “La información publicada era incorrecta”.

PREGUNTA. A raíz del apagón del pasado lunes, ¿qué responsabilidades tienen las empresas en caso de pérdida o exposición de datos personales debido a fallos eléctricos como el que se vivió?

RESPUESTA. Cuando hablamos de responsabilidades, eso hay que analizarlo caso por caso. Cuando hay una brecha de seguridad, si ha habido falta de diligencia y no se han tomado las medidas oportunas, pues ahí sí. Esas brechas, primero, se tienen que comunicar, y solo algunas pueden llegar a iniciar un procedimiento de investigación. El punto de partida es si se han cumplido o no medidas diligentes de seguridad. Cuando hay un fallo eléctrico, puede haber situaciones que no eran previsibles, pero otras sí. Por ejemplo, ya lo vimos en la dana, hubo empresas que tenían bien sus medidas de protección y no perdieron su información, que es su valor esencial. Quienes no lo tenían en regla, tuvieron incidencias. No se puede garantizar el 100%, pero es un buen momento para comprobar que las cosas están bien hechas.

P.¿Están suficientemente protegidas las infraestructuras críticas españolas en cuanto a privacidad de datos?

R. En general, sí. Hay mucha normativa que regula la seguridad de las infraestructuras críticas, más allá de la protección de datos. A nivel europeo se exigen muchas medidas. Además, en España hay proyectos importantes desde hace años para cumplir con esas exigencias. Lo que sí es cierto es que siempre puede haber algún problema de seguridad, y eso hay que verlo caso por caso.

P. ¿Está la AEPD preparada para gestionar crisis masivas de datos?

R. Una situación crítica como la que se ha dado es excepcional. La Agencia está preparada para que, cuando haya una brecha de seguridad, se comunique, se evalúe y, en función del caso, se hagan recomendaciones o se inicie un procedimiento. A veces no se inicia nada porque la empresa ha cumplido con su deber. Otras veces, se ponen al descubierto descuidos de seguridad. Hay un marco regulatorio claro para actuar.

P. ¿Qué opina de la asignación de nuevas competencias a la AEPD en IA bajo el nuevo reglamento?

R. Nuestra competencia siempre ha sido el tratamiento de datos personales. Si se usan sistemas de inteligencia artificial con datos personales, eso es competencia nuestra, siempre lo ha sido y lo será. Además, con la nueva normativa —el reglamento de IA, el de servicios digitales, el de plataformas, el de espacios de datos— se nos atribuyen nuevas competencias, también sobre sistemas de IA, especialmente en tecnologías biométricas, reconocimiento facial y en el ámbito de la seguridad. Ahí los derechos fundamentales están muy impactados. Estamos planificando cómo dar respuesta con los medios que tenemos.

P. ¿Ha pedido formalmente ser el principal organismo supervisor de IA en España?

R. No. Ese tablero de juego ya estaba definido. Hace años se dotó presupuestariamente a una agencia —la AESIA— incluso antes de que existiera. No ha sido una sorpresa. España decidió que la autoridad principal en IA fuera esa, y hay 27 países con 27 modelos distintos. Nosotros estamos donde nos corresponde, especialmente en sistemas de identificación y reconocimiento facial. Nos vamos a tener que entender sí o sí.

P. ¿Ve riesgo de solapamientos con la AESIA? ¿Cómo evitar problemas?

R. El riesgo siempre está, porque podemos coincidir en la vigilancia de una misma entidad o administración. Nuestra competencia es el tratamiento de datos con IA, y ahí puede haber concurrencia. Esto puede pasar en cualquier país de la UE. Tendremos que colaborar y aplicar criterios jurídicos claros. El derecho impide que se persigan los mismos hechos con la misma finalidad por dos autoridades distintas. Por eso, es fundamental coordinarnos.

P. ¿Qué papel quiere para la AEPD en el Comité Europeo de Inteligencia Artificial?

R. Ese comité no replica el modelo del Comité Europeo de Protección de Datos. No está formado solo por autoridades independientes, sino también por gobiernos y otros organismos públicos. Por tanto, nuestra participación, igual que la de la AESIA, será más colateral. No es un foro exclusivo de autoridades como en protección de datos.

P. ¿Qué piensa sobre la propuesta del Gobierno de simplificar el RGPD?

R. Estamos expectantes, porque no sabemos de qué se trata. Hoy por hoy no hay ninguna información concreta. Hay un titular muy grande, pero lo único que conocemos es una pequeña reforma sin apenas entidad. A veces el titular no refleja el contenido real.

P. ¿Qué grado de control tiene la propia AEPD, es decir, quién vigila al vigilante?

R. Somos una autoridad independiente, pero actuamos como administración pública y nuestras actuaciones pueden ser fiscalizadas por los tribunales. Además, en la UE tenemos mecanismos de coordinación. Por ejemplo, en los casos transfronterizos, hay actuaciones conjuntas entre autoridades. De hecho, la mayor sanción de la UE la impuso una autoridad que inicialmente no quería sancionar, pero fue forzada a hacerlo por el resto.

P. ¿La AEPD debería actuar de forma más proactiva e iniciar inspecciones sistemáticas?

R. Nos gustaría. Estamos lanzando un nuevo plan estratégico —no se hacía uno desde hace diez años— y queremos cambiar inercias. Nuestro deseo es centrarnos en lo más relevante, en lo que implica más riesgos. Pero tenemos más de 22.000 reclamaciones al año, y eso nos obliga a actuar en casos que no siempre son los más importantes. Queremos levantar la vista y actuar en ámbitos como la IA, los espacios de datos o el ámbito sanitario.

P. ¿Debe el régimen sancionador de IA incluir a las Administraciones públicas?

R. Eso debe decidirlo el legislador. Nosotros estamos para cumplir la ley. Me parece bien que se reclame desde la sociedad civil. Pero quizá se ha puesto un foco excesivo en ese punto, cuando hay otros aspectos más relevantes. Lo importante es que las administraciones no cometan infracciones. Hoy nos cuesta muchísimo saber si están usando IA. Por eso defendemos un registro público de algoritmos: es el primer paso para saber si se cumple la ley.

P. ¿Cree suficiente el registro de algoritmos para evitar abusos de IA en el sector público?

R. El registro permite al menos que salga a flote el uso de algoritmos. Hoy estamos rodeados de decisiones tomadas por algoritmos y, si no hay visibilidad, el ciudadano no puede alertar ni reclamar. Y nosotros tampoco podemos actuar. El registro permite controlar desde el diseño. Parar un proyecto al final es un desastre. En cambio, intervenir al principio permite reconducirlo. La Comunidad Valenciana ya tiene una ley de hace tres años que obliga a ello.

P. ¿Qué medidas quiere impulsar para reforzar la transparencia de la AEPD?

R. Vamos a mejorar la transparencia activa. Por ejemplo, iremos más allá de la ley en la publicación de la agenda institucional. Algunas comunidades autónomas ya lo hacen. También vamos a mejorar la web, que tiene muchísima información pero puede ser más accesible. Vamos a focalizarnos en la información útil para ciudadanía y profesionales, y a mejorar las herramientas automatizadas. Estamos haciendo entrevistas para saber qué información necesitan.

P. Tras el ajetreado proceso de nombramiento que vivió como presidente de la institución, ¿solicitará que se publiquen los datos de su proceso de selección? ¿Qué opinión tiene sobre la carta de renuncia de su antecesor?

R. Mi currículum está en mi web, exhaustivamente se pueden conocer mis méritos. En el proceso así lo entendieron, como un mérito, tanto en el Congreso como en la entrevista con los evaluadores. No hay nada que esconder. El informe de valoración no lo tengo, y por protección de datos no puede publicarse sin una norma que lo permita. Yo estaría encantado de tenerlo y de que se publicara, incluso que lo filtraran a un periodista. En cuanto a la carta de renuncia, él subrayaba la excelencia de mi currículum. El propio Troncoso me acaba de escribir otra carta reafirmando que no tiene nada contra mí, sino que lamenta no haber sido más valorado. Estas cosas son comprensibles en el ámbito universitario.

P. Hace unos días se publicó en un medio de comunicación nacional una información que interpretaba como "sombras" el pago de unos proyectos vinculados a Google ¿Está dispuesto a hacer pública su declaración sobre estas colaboraciones?

R. Todo lo relativo a ese proyecto figuraba en el currículum que presenté y lo mencioné, además, como mérito. Dirigí un proyecto con más de 70 personas y 13 subproyectos. Poco hay que esconder cuando alguien alega eso como un mérito. Fue canalizado a través de la Universidad de Valencia, como corresponde a un profesor funcionario. El contrato fue rescindido antes de asumir el cargo, como cualquier otro en aras de mi responsabilidad como alto cargo. La información publicada era incorrecta. Si el periodista hubiera contrastado, habría quedado todo claro.

P. ¿Qué pilares tendrá el nuevo plan estratégico para la AEPD?

R. Está en consulta pública y hemos recibido más de 250 aportaciones. Tiene siete ejes. Uno fundamental es introducir nuevas tecnologías e inteligencia artificial en la Agencia. Queremos una administración más abierta y cercana a los profesionales. Antes de lanzar guías, escucharemos a quienes deben aplicarlas. También acompañaremos especialmente a las pymes y mejoraremos nuestras herramientas, que ya se usan masivamente. Cumplir la normativa no es fácil, y queremos facilitarlo.

P. ¿En qué áreas será prioritaria la implantación de IA en la AEPD?

R. Hemos pedido a todas las unidades que identifiquen procesos que podrían automatizarse. Los estamos evaluando desde dos perspectivas: si es técnicamente viable y si se puede hacer cumpliendo la normativa. Luego priorizaremos según urgencia y recursos. Queremos que esta experiencia sirva de referencia a otras administraciones.

P. ¿Cómo equilibrará el uso de IA interna con la protección de derechos?

R. Queremos que todo sea visible y cumpla las normativas. En muchas entidades se usa IA sin control, incluso a espaldas de la organización. Aquí queremos que los usos se hagan bajo control, con tecnología gestionada por la propia Agencia, cumpliendo las medidas de seguridad y protección de datos.

P. ¿Hay resistencias internas a estos cambios?

R. Sinceramente, no. Al principio pensé en no situarlo como prioridad, pero ha sido muy bien recibido. Cada unidad nos ha propuesto casos de uso. Me ha animado mucho y va a ser uno de los primeros proyectos en materializarse.

P. ¿Han solicitado ya refuerzos presupuestarios? ¿Qué respuesta han obtenido?

R. Sí. Necesitamos más recursos por las nuevas funciones. Y, en paralelo, vamos a introducir inteligencia artificial para mejorar productividad y calidad. Queremos ser ejemplo para otras administraciones, mostrando cómo se puede usar la IA cumpliendo con la normativa. Pero eso no quita que necesitemos recursos. La IA no va a hacer nuestro trabajo por nosotros.

P. ¿Corre riesgo la AEPD de quedar desbordada sin más recursos?

R. En cierta medida, ya lo estamos. Tenemos más de 22.000 reclamaciones al año. No hay nada parecido en ninguna autoridad de protección de datos de la UE.

P. ¿Cree que la presión europea acabará cambiando el comportamiento de las grandes plataformas tecnológicas?

R. Estoy convencido de que ya lo está haciendo. Las plataformas saben desde hace años que tienen que cumplir. Hacen grandes esfuerzos, aunque también reciben sanciones que les recuerdan que aún queda camino. La presión europea es real.

P. ¿Cómo defiende el modelo europeo de protección de datos frente a las críticas de freno a la innovación?

R. La innovación y los derechos son como Jano, con dos caras. Todos queremos mejorar nuestra vida, la salud, la eficiencia... pero también hay riesgos. Fuera de la UE solo se mira la innovación y el negocio. Aquí también protegemos a las personas. Hay que evitar el bloqueo, pero sin renunciar a los derechos.

P. ¿Será necesario un nuevo marco normativo con la llegada de tecnologías como la computación cuántica?

R. La UE ya está reforzando la normativa de seguridad, también por la amenaza que suponen la IA y la computación cuántica. El apagón nos tiene que concienciar de que un día nos podemos despertar en una pesadilla si no actuamos a tiempo.

P. A nivel personal, ¿qué le preocupa más, quedarse corto protegiendo derechos o frenar la innovación por exceso de celo?

R. Llevo más de 30 años convencido de que el derecho permite conciliar ambos. Cuando algo se bloquea por protección de datos, suele ser porque no se ha hecho el esfuerzo de conciliación. En muchas empresas, cuando un técnico no da opciones que cumplan la normativa, es que no conoce bien la materia. Se puede innovar y cumplir la ley.