Lorenzo Cotino, presidente de la AEPD: “Estamos abiertos a revisar nuestros criterios sobre los sistemas biométricos”

Como viene siendo habitual cada año, el Curso de Verano de la Agencia Española de Protección de Datos (AEPD) en la Universidad Internacional Menéndez Pelayo de Santander concitó a los ponentes del momento con temas de gran actualidad. Más de 200 matriculados han visto cómo se abordaban cuestiones clave, como el Reglamento del IA, la computación cuántica y otros asuntos de interés que provocaron que durante tres días la asistencia fuera máxima.

Circunstancias de este tipo dejan claro que el Derecho tecnológico, en general, y la protección de datos, en particular, han alcanzado su mayoría de edad e interesan no solo a los expertos sino también a empresas de toda índole, sujetas a ese cumplimiento y ciudadanos que ven en la AEPD la institución para defender su privacidad ante terceros en un entorno tan invasivo como el actual.

En el 2024 las reclamaciones se acercaron a las 19.000 recibidas por el regulado. Así, pese al descenso del 13% en las reclamaciones presentadas respecto a 2023, el número sigue siendo un 25% superior a las recibidas durante el año 2022 y un 36% superior a las recibidas durante el año 2021. Estos datos preocupan tanto al nuevo presidente de la AEPD desde hace cuatro meses, el catedrático de Derecho Constitucional Lorenzo Cotino, como su adjunto, el abogado experto en Derecho TIC, Francisco Pérez Bes, por la carga de trabajo que supone de estudio y resolución de las mismas.

En estos últimos días se ha valorado mucho el papel del regulador al hacer público una nota informativa reclamando un uso más restrictivo por parte de las empresas que piden el DNI a terceros. En la nota se insiste que no está permitido pedir una copia de ese documento por los riesgos que puede generar sobre el uso de los datos y posibles problemas de suplantación de identidad. Como ya explicó E&J en otro reportaje, la AEPD ha empezado a sancionar este tipo de prácticas con distintas multas.

Em este escenario parecía obligado mantener esta conversación a fondo con el nuevo presidente de la AEPD. Un profesional, que ya desde su toma de posesión en el Ministerio de Justicia prometió trabajo, diálogo con los operadores del sector y seguir tutelando los derechos de los ciudadanos. Cotino ya anunciado que la AEPD recuperará la jornada anual que organizaba el regulador con el sector a fin de resolver dudas y actualizar conocimientos. La idea es que tenga otro formato y sea más interactiva que la que se celebraba.

Fruto de dicho diálogo se aprobó un Plan Estratégico de la AEPD. El Plan se estructura en siete grandes ejes con 45 objetivos estratégicos, y tiene como objetivo consolidar a la AEPD como una autoridad abierta, eficaz y con capacidad de anticipación ante los desafíos del entorno digital. Desde el regulador se insiste en la reclamación histórica de más medios materiales y recursos humanos para resolver estos asuntos con las agilidad. Se anuncia el uso de la IA para reforzar su actividad  de supervisión de los tratamientos de datos.

Economist & Jurist ha podido entrevistar al presidente de la Agencia Española de Protección de Datos. La entrevista se desarrolla por videoconferencia durante cerca de una hora y Cotino no rehúye ninguna pregunta. A su juicio, considera posible una relación sin solapamientos entre la AEPD y AESIA, con la ayuda del legislador y se muestra satisfecho que este regulador que preside es el que según algunos estudios genera más confianza en la ciudadanía.

El presidente de la AEPD mantuvo una extensa conversación online con ‘Economist and Jurist’ para abordar la problemática de un sector como es de la privacidad, en pleno cambio por la llegada de la IA. (Imagen: AEPD)

Una institución referente para la sociedad

“Creo que una entidad como la AEPD en la que acabo de aterrizar se ha ganado a pulso este reconocimiento tanto a nivel nacional como internacional. Nosotros acabamos de llegar con la intención de seguir trabajando en esa línea de proteger el derecho fundamental a la protección de datos. Para eso es importante que tengamos un incremento de personal notable. Las reclamaciones crecen y ahora tutelaremos tratamientos de la IA”, apunta.

Sobre cómo va a gestionar la AEPD esa nueva realidad que es la llegada de una tecnología como es la IA y un Reglamento de tanta complejidad como es el RIA, el entrevistado destaca que “el Derecho tecnológico y a la protección de datos es cada vez más complicado. Nos llegan casos complicados que requieren mucho estudio por nuestros profesionales. La llegada de la IA es clave para la humanidad; los cambios son vertiginosos”.

En ese contexto anuncia que “vamos a incorporar tecnología de IA para ser más eficientes. Creemos que con estas herramientas podremos dar aún un mejor servicio. Al mismo tiempo, es la salida necesaria ante la falta de recursos que tenemos. En tercer lugar, como propio regulador, es nuestro momento porque hay otras autoridades que van a supervisar la IA, como la AESIA; lo que hace la IA es esencialmente tratar datos personales. Ahí tenemos que dar respuesta”.

Cotino vuelve a insistir, como ya lo ha hecho en otras manifestaciones públicas, en el papel de la AEPD para la gestión de los tratamientos de datos relacionados con la IA: “Como autoridad independiente de protección de datos, ahí van nuestras competencias en materia de IA. Toda administración que trate datos personales de IA, el propio sector público o el privado tratan datos con IA en muchos campos. Eso es competencia nuestra. Ahora hay que estudiar a fondo cómo abordarla y en el Comité Europeo de Protección de Datos (CEPD) debemos ponernos de acuerdo en temas esenciales, sobre esta cuestión”.

La irrupción de la IA ha abierto de nuevo el debate del uso de los datos biométricos. Para este jurista “estamos hablando de datos especialmente protegidos, pero no es lo mismo que lo utilicemos en nuestro móvil que con otros desarrollos. Es importante que la autenticación se haga bien para mitigar su impacto. En ese sentido es bueno actualizar la perspectiva del uso de estos datos biométricos. Habrá que hacerlo con una evaluación de impacto previo  para demostrar que su afectación a derechos de terceros está controlada”.

Sobre este asunto revela que “la AEPD está revisando algunos de sus criterios respecto a los sistemas biométricos, pero en modo alguno a que haya una barra libre de uso. Hay que hacer las cosas bien, con buenas tecnologías de autenticación pueden llegar a ser posibles en algunos contextos. Ahí sí que puede haber una revisión. Lo tenemos en estudio. Aprovecho para subrayar que nosotros no somos legisladores, lo que hacemos es interpretar la normativa. En sistemas biométricos el primero que debe actuar es el legislador. Ahora que hay una nueva legislación laboral, podría regularse su uso en este entorno”.

Un elemento que el presidente de la AEPD llama la atención es el propio Reglamento de la IA, ya conocido como RIA. “Según el anteproyecto que se está tramitando en nuestro país establece como autoridad principal la AESIA, mientras que nosotros tendremos la competencia de autoridad de vigilancia del mercado especialmente de sistemas biométricos en el ámbito de la seguridad pública”, señala Cotino. “Ahí crearemos nuevas unidades de trabajo para poder cubrir esa función que es algo especialmente sensible y que ha generado notable polémica”.

El reciente curso de la UIMP de Santander con más de 200 inscritos, donde acudió Ignasi Belda, director de la AESIA, en la pantalla, ha demostrado el interés de profesionales y empresas por la privacidad. (Imagen: AEPD)

La relación con la AESIA

Al hablar de la AESIA que dirige Ignasi Belda —otro de los ponentes que ha estado en este último curso de verano de la AEPD—, Lorenzo Cotino cree que el reparto de papeles se ha hecho de forma razonable “ya nos hemos reunido con él y su equipo en varias ocasiones. Hay una buena relación personal que trasciende al ámbito profesional. Estoy convencido que este anteproyecto del que hablamos va a pulir mejor la relación de la AESIA con el resto de autoridades de control, como el Consejo General del Poder Judicial (CGPJ), la Junta Electoral y otras autoridades del ámbito industrial, junto con nosotros”.

Respecto a esta cuestión, confiesa que le preocupa “que no es impensable que en el futuro a una empresa pueda verse inmersa en dos procedimientos dirigidos hacia ella por temas de IA. En este caso, la AEPD podría ser por temas de protección de datos y el de la AESIA porque ese sistema en el ámbito laboral o en cualquier contexto no haya cumplido el RIA. Hay que darse cuenta que ese software va a tratar datos también. Habrá que ver qué grado de solapamiento hay. El anteproyecto de ordenar ese procedimiento para evitar el non bis in ídem principio legal que prohíbe que una persona o entidad en este caso sea juzgada o sancionada dos veces por el mismo hecho”.

La AEPD acaba de dar luz verde a su Plan Estratégico para el quinquenio 2025 a 2030. Un plan que se abrió a la participación de los operadores del sector, con más de 450 aportaciones donde Cotino y Pérez Bes aprovecharon también para mantener más de 40 reuniones con con las principales asociaciones del sector público como privado para conocer de primera mano cuáles son sus principales demandas. “Esta escucha activa ha sido muy interesante. Este es un sector profesional muy capacitado como lo demuestra las aportaciones que nos han hecho llegar”, confiesa Cotino.

Lorenzo Cotino, presidente, y Francisco Pérez Bes, adjunto a presidencia, con la directora saliente Mar España. Los tres constituyen un tándem bastante homogéneo y que por lo que hemos comprobado se entienden bastante bien. (Imagen: AEPD)

En su opinión, “este Plan Estratégico es para cinco años, pero los cambios que se producen con la irrupción de la IA son casi continuos. Es posible que en dos años tengamos que revisarlo y actualizarlo. Nosotros en el Plan hablamos de Supervisión Inteligente, como uno de sus seis ejes. Tenemos que ver cómo gestionar las más de 20.000 reclamaciones que nos llegan anualmente. Pese a la carga de trabajo debemos tener vocación de adelantarnos a lo que se avecina en el futuro a corto y medio plazo”.

En ese escenario, el presidente de la AEPD reconoce que “estamos inmersos en un plan para incorporar la IA a nuestros procesos y forma de trabajar. Además de supervisar el RGPD y el RIA también nos competen otros cuatro Reglamentos de la UE que nos atribuyen competencias; Reglamento de Datos, de Gobernanza de Datos; Reglamento de Datos de Salud, porque son muy complejos. Ahí queremos anticiparnos pese a que no somos la autoridad principal tendremos un papel importante en ellos”.

Simplificación del paquete digital

Cotino recuerda la relación jurídica existente entre la AEPD y la Digital Services Act (DSA), que se va a trasponer a nuestro país en breve con una autoridad principal que será la CNMC que preside Cani Fernández. “En el Plan Estratégico queremos dejar claro cuál va a ser nuestro lugar como regulador en este paquete normativo digital que es complejo y amplio. Nosotros seguiremos publicando guías orientativas, como las que ya se conocen para ayudar al cumplimiento a distintos sectores empresariales. Ahora estamos con la planificación de las próximas guías que haremos público”.

En estos últimos meses distintas voces han pedido la simplificación de normas como son el propio Reglamento General de Protección de Datos (RGPD) y el recién llegado RIA. Cotino se muestra partidario de que el RGPD pueda aligerar su carga normativa para que las pymes puedan lograr un mejor cumplimiento. Otro debate abierto “en nuestro Plan Estratégico lo comentamos. Estamos aquí para facilitar la innovación, pero una innovación responsable desde un punto de vista práctico. Somos conscientes que a las empresas les cuesta el cumplimiento normativo de la protección de datos. No es especialmente fácil”.

Desde su punto de vista “las tesis europeas de cumplimiento deben son un referente a nivel mundial y deben seguir siéndolo en materia de protección de datos, pero sí que es cierto que no es sencillo. Hay que estar abierto a una mayor simplificación que desde hace dos años la UE lo ha cogido como un concepto aplicable al marco legal. Sobre protección de datos hay que acertar con lo que se vaya a hacer. No parece lógico que desde algunos círculos se pida que se suprima el Registro de Tratamientos que están obligado las empresas a tener, solo sea para empresas de más de 750 trabajadores”.

A su juicio “el problema lo tenemos en un país como el nuestro con un tejido empresarial muy pequeño, en su 95% compuesto por pymes y micropymes. Hay otras propuestas que serían más útiles para las empresas. De hecho, el CEPD europeo del que formamos parte se reunió hace dos semanas para abordar este tema haciendo pública una declaración sobre este asunto de la simplificación administrativa del RGPD. Nosotros en el Plan Estratégico compartimos ese cambio y es bueno ir hacia esa simplificación normativa”.

Cotino y Pérez Bes ya se han reunido con los responsables de las Agencias de Protección de Datos de Cataluña, Andalucía y País Vasco. (Imagen: AEPD)

Responsables de privacidad y AEPD

Desde esta perspectiva, uno de los elementos claves de la AEPD es mantener relaciones fluidas con los principales operadores del sector y de forma especial con los profesionales de privacidad, tanto DPO, públicos o privados, responsables de seguridad de la información, o expertos en la materia tanto a nivel universitario, por citar algunos aspectos, “en septiembre empezaremos a trabajar con entidades como APEP, ISMS Forum o ENATIC, entre otras muchas. Entre otras cuestiones queremos que nos digan qué guías necesitan a corto y medio plazo para hacer su trabajo en las organizaciones de cumplimiento”.

Lorenzo Cotino pone en valor el trabajo de estos profesionales “queremos fortalecer su papel en el seno de su entidad. Es una labor que desempeñan importante y que requiere de mucho estudio y dedicación continuada y de una relación fluida con nuestra entidad como regulador. Su trabajo como hombres orquesta en su respectiva compañía u organización es encomiable. Nuestros trabajos con ellos se van a centrar en definir mejor el Estatuto del DPO con relación a otras figuras afines. Ahí nosotros tenemos bastante doctrina y podemos actualizarla”.

El principal dirigente de la AEPD también fija la relación con las autoridades catalana, vasca y andaluza de protección de datos, tanto para desarrollar criterios sobre el uso de la IA Generativa en las administraciones públicas como en esa relación con los DPO del sector público, que en comparación con los del sector privado siguen siendo escasos. “Queremos crear redes de colaboración con los DPO del sector público e intensificar la relación con el colectivo con el canal del DPO que mantiene un trafico de consultas bastante notable y que tengan un espacio en el laboratorio de privacidad que estamos configurando”.

Respecto a dicho laboratorio explica que “va a tener un papel importante porque supone incorporar de forma más actividad a las universidades y centros de investigación a la privacidad en nuestro país. Está claro que estas instituciones tendrán que contar con su DPO o responsable de seguridad de la información para la gestión de sus tratamientos de datos, relaciones con terceros y con la propia AEPD. El papel de estos profesionales es clave para que el mundo académico e investigador conozca sus obligaciones de cumplimiento”.

Lorenzo Cotino en el ICAM explicando a los abogados digitales cuál es su propuesta de gestión de la AEPD para los próximos cinco años. (Imagen: ICAM)