Empresas y expertos en privacidad se preparan para afrontar los retos derivados de la IA y de su Reglamento

Esta semana el acontecimiento más destacado en materia de privacidad e IA fue el ‘XI Congreso Internacional de Privacidad’, organizado por la Asociación Profesional Española de Privacidad (APEP) que tuvo lugar en A Coruña con una asistencia cercana a los 250 profesionales.

A lo largo de dos días de trabajo, en sus mesas redondas se abordaron los desafíos regulatorios que plantea la inteligencia artificial (IA) y el nuevo paquete normativo digital europeo, en un momento de transformación sin precedentes para el sector.

En opinión de Marcos Judel, presidente de APEP, este XI Congreso Internacional de APEP ha subrayado la consolidación de este colectivo. Con casi 1.400 miembros, APEP ha demostrado que el compromiso, el trabajo colectivo y la visión profesional de la privacidad como disciplina jurídica, técnica y ética nos han consolidado como referente nacional en protección de datos. “En estos años nos hemos profesionalizado, contribuido al desarrollo normativo, formando expertos y defendiendo los intereses de quienes nos dedicamos a esta apasionante materia desde una posición de mesura, rigor y alejada de egos y personalismos”, señala Judel.

Este experto subraya las intervenciones de expertos como Miguel Valle del Olmo, miembro de la Representación Permanente de España ante la UE; Leonardo Cervera, secretario general EDPS European Data Protection Supervisor; Leandro Núñez, socio de Audens; Alison Howard, assistant general counsel de Microsoft; José Luis Piñar; Ofelia Tejerina; Mar España; Jesús Rubí; Javier Sempere; Teresa Schüller; y Fernando Suárez, quienes han puesto de manifiesto que los retos de los expertos en privacidad crecen en la interacción de la IA y la protección de datos.

A juicio del presidente de APEP, “si algo quedó claro durante estas jornadas es que la privacidad y la inteligencia artificial, los nuevos marcos regulatorios europeos, el riesgo algorítmico o la gobernanza del dato no son ya temas de nicho: son el terreno donde se va a definir el equilibrio entre innovación y derechos. En este contexto, los profesionales de la privacidad y los delegados y delegadas de protección de datos debemos seguir liderando el asesoramiento y el desarrollo tecnológico y ético entorno a la IA, y evitar que otros capitalicen lo que con tanto esfuerzo hemos logrado para estar en la posición profesional en la que nos encontramos”.

Judel, que en la próxima asamblea de APEP cederá su cargo al presidente que sea elegido, señala que “uno de los momentos más relevantes —y sin duda más emocionantes— del Congreso ha sido el anuncio de la integración de APEP en el Consejo Consultivo de la Agencia Española de Protección de Datos (AEPD), tras haber sido reconocida por el Ministerio de la Presidencia, Justicia y Relaciones con las Cortes como la asociación más representativa del sector, iniciativa respaldada por Lorenzo Cotino, presidente de la AEPD, a quien quiero agradecer sinceramente su compromiso y cercanía con APEP”.

La Agencia Española de Protección de Datos y la IA

En la próxima Asamblea General que tendrá lugar el próximo mes de julo se elegirá al nuevo presidente de APEP. Según ha podido confirmar este medio, Noemi Brito, socia en el área Mercantil y responsable del área de Propiedad Intelectual y Nuevas Tecnologías de KPMG Abogados, lidera una candidatura; y la otra candidatura está liderada por Miguel Recio, DPO de CMS Albiñana & Suarez de Lezo y actual vicepresidente actual de APEP.

Otro de los temas se votará es el cambio de nombre de APEP para convertirse en la Asociación Profesional Española de Privacidad e Inteligencia Artificial (APEP · IA). Y es que el papel de los profesionales de la privacidad va a ser clave en la implementación ética y responsable de la IA.

Desde el plano institucional, la Agencia Española de Protección de Datos, representada por su presidente, Lorenzo Cotino, que intervino desde Colombia de manera online, defendió que “la innovación debe estar enfocada a la mejora de los derechos fundamentales”.

Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos, intervino desde Colombia para analizar los retos del regulador ante la IA. (Imagen: APEP)

Sobre el Plan Estratégico Cotino recordó que en el trámite de audiencia se habían recogido 450 aportaciones, entre ellas “algunas relacionadas con la IA y otras con los profesionales de la privacidad y su dignificación profesional. En su opinión la innovación volcada a la protección de los derechos fundamentales es clave y constitucional”.

Lorenzo Cotino no evitó poner el dedo en los conflictos que pueden surgir entre la AEPD y la AESIA. El Reglamento General de Protección de Datos (RGPD) y el Reglamento de Inteligencia Artificial (RIA) contienen materias que pueden solaparse, ello plantea un delicado encaje. Hay que evitar posibles “dobles sanciones” o “dobles inspecciones”, pues como remarcó Cotino, el tratamiento de datos con inteligencia artificial “es competencia de la AEPD. Al mismo tiempo anunció la creación, “en colaboración con las agencias regionales de protección de datos, una Guía de uso de la IA para las administraciones públicas”. También anunció que la AEPD utilizará la IA en su actividad diaria como regulador.

Adaptación al RIA

En su turno de palabra, José Leandro Núñez, socio de Audens y secretario general de ENATIC, destacó que “los profesionales de la privacidad llevan tiempo tratando temas relacionados con la IA desde la perspectiva de la protección de datos. Una norma como es el RGPD orientado al riesgo y el Reglamento de IA (RIA) también lo está. Donde más problemática genera este nuevo Reglamento es en el tratamiento de datos personales. Desde esa perspectiva tiene lógica que estos profesionales de la privacidad se encarguen del RIA y que a su vez APEP evoluciona hacia otros escenarios. Es todo bastante lógico”.

La intervención de este jurista fue en una ponencia moderada por Miguel Recio, vicepresidente de APEP, sobre “el difícil encaje práctico entre RGPD y RIA”.  Para este experto la normativa de protección de datos a nivel europeo se ha quedado un poco antigua al tratar la IA. Es necesaria una actualización.

“Por lo que comentó en el turno de preguntas a mi ponencia Leonardo Cervera, secretario general EDPS European Data Protection Supervisor, las autoridades europeas ya están trabajando en dicha actualización porque son conscientes del problema”, señaló José Leandro Núñez, “es el caso del tema de la biometría que se basaba en una opinión del 2013 y la han utilizado en el 2023 para prohibir la biometría en España”.

Leandro Núñez cree que las autoridades europeas deben simplificar la normativa de IA para las pymes.(Imagen: APEP)

Desde su punto de vista “la interpretación que han hecho las autoridades europeas del RIA es muy restrictivo, eso hace que la implementación de las herramientas de IA sea más complicada porque estas normativas lo impiden. Habría que replantearse que esas interpretaciones son adecuadas en ese contexto. La IA lo va a cambiar todo, la irrupción de la IA Generativa es un paso decisivo en este sentido. Con el nuevo RIA, si eres una pyme y tienes un buzón de Gmail para recibir esos datos y tiene un filtro de spam y hacer que una persona no participe en ese proceso, puedes tener un problema porque estas afectando a sus derechos fundamentales”.

A su juicio “sorprende que no haya una distinción de responsabilidades entre una empresa multinacional y una pyme en materia de cumplimiento normativo. No pueden ser las mismas para una ETT que gestiona miles de currículos como un autónomo que busca un profesional. Estas cuestiones deben simplificarse. Creo que este tipo de temas preocupan a mucha empresas, aprovechamos que algunas autoridades estaban allí para hacerles mención de estos y otros temas. Creo que hemos generado debate y vamos a ver si logramos sacar algo útil. Al mismo tiempo esperamos la coordinación entre autoridades que nos dará seguridad jurídica a todas las partes”.

Brechas de seguridad y gobernanza

La segunda jornada puso el foco en la operativa del profesional de la privacidad ante los sistemas de IA. De la mano de Jesús Rubí, of counsel en Écija, y Marcos Judel, presidente de APEP, se ofrecieron claves sobre la gestión de brechas de seguridad conforme al RGPD.

Rubí explicó con claridad el proceso que sigue la AEPD una vez se recibe una notificación de brecha: cómo se tramita internamente, cómo se evalúa la información recibida y qué criterios se aplican para decidir si se inicia una actuación posterior o no.

Por su parte, Judel expuso la creciente preocupación del sector a la hora de valorar si comunicar o no una brecha, especialmente en situaciones límite o dudosas. Una decisión que tiene implicaciones legales, reputacionales y técnicas, y que requiere de criterios claros y una cultura de responsabilidad, no solo de temor a la sanción.

Jesús Rubí y Marcos Judel hablando de la gestión de las brechas de seguridad. (Imagen: APEP)

Otro de los ponentes, José Luis Piñar, catedrático de Derecho Administrativo en la Universidad San Pablo CEU de Madrid, exdirector de la AEPD y of counsel de CMS Albiñana & Suárez de Lezo, intervino en otra mesa redonda con expertos europeos para analizar la gobernanza del dato y competitividad en la UE; una mesa que estuvo moderada por Cecilia Álvarez, vocal de APEP.

A su juicio “este Congreso ha cumplido los objetivos previstos. APEP se ha consolidado como la asociación más representativa de los expertos en privacidad del país, lo que demuestra el trabajo bien hecho que realizaron. De hecho, forma parte del Consejo Consultivo de la AEPD”.

Para este jurista, resulta indudable el impacto de la IA en la protección de datos: “El propio Lorenzo Catino, presidente de la AEPD ha comentado la iniciativa de crear un grupo de trabajo para crear entre todas las agencias de protección de daos del país una guía de uso de la IA para el sector público. Todas estas iniciativas son bienvenidas porque ahí están los problemas y las oportunidades relacionadas con la IA. En este contexto se observa con interés como los planteamientos de la AEPD se alinean con los del colectivo de expertos en privacidad gestionados desde APEP. Hay que darse cuenta en esos momentos IA y protección de datos van de la mano”.

Sobre su mesa redonda, José Luis Piñar señala “que todos hemos coincidido en crear un marco jurídico claro a nivel europeo. Si la UE quiere ser un modelo a seguir a nivel mundial tenemos con ese marco legal que evite las incertidumbres. Hay que ver la forma de evitar los solapamientos entre distintas normas y la cantidad de normas que existen como es el RIA, el RGPD, DMA y DSA para plataformas digitales, Ley de Gobernanza del Dato”. Este experto considera que “es el momento de una mayor simplificación porque hay que evitar cualquier confrontación entre innovación y regulación. En mi caso insistí en que Europa no puede renunciar a su apuesta por los derechos fundamentales, pero la regulación debe ser más clara”.

En este debate sobre gobernanza, Piñar hizo referencia al Informe Draghi: “Está basado en la competitividad. Este informe es muy interesante y hay que leerlo con calma. Su autoría es de un profesional que fue exgobernador del Banco Central europeo con lo cual no podemos olvidar esa perspectiva. De hecho, me gustaría tener un informe sobre competitividad y derechos fundamentales realizado por expertos como el expresidente del Grupo Europeo de Autoridades de Protección de Datos, Stéfano Rodota, para ver realmente cuál sería su opinión. La gobernanza del dato es necesaria, pero con un marco jurídico claro que no genere incertidumbres y evite solapamiento. Es fundamental que quede claro el papel del RGPD”.

José Luis Piñar, junto a Cecilia Álvarez, Paul Jordan y el Doctor Sachizo Scheuing, debatiendo sobre la regulación y gobernanza de la IA. (Imagen: APEP)