El presidente de la Agencia Española de Protección de Datos, que recientemente ha aclarado que hoteles y hospedajes no están autorizados a solicitar una copia del DNI o pasaporte a sus clientes, destaca la tensión entre la normativa europea y las estrategias de países como China.

¿Cuál es la máxima preocupación actual en protección de datos?

El tratamiento de datos está en todo tipo de actividad humana y es muy difícil seleccionar cuáles son los más sensibles. Está al cabo de la calle la posibilidad de utilizar sistemas de proctoring en las universidades para controlar si los alumnos copian. El uso de sistemas biométricos para controlar el acceso a centros de trabajo, instalaciones o campos de fútbol preocupa mucho; o el empleo de inteligencia artificial por el sector público para dar o no subvenciones y controlar a la población en ámbitos como los impuestos. Donde miremos, hay tratamiento de datos personales. Es de interés en Europa el tema de las grandes plataformas tratadoras masivas de datos y hasta qué punto pueden utilizar inteligencia artificial, que multiplica esas capacidades.

¿Qué datos interesan más?

Es muy candente que los datos de salud de cualquier persona que va a recibir un tratamiento en un hospital se puedan utilizar también para la investigación porque son muy valiosos. En ese caso tiene mucho interés público que se puedan utilizar los datos de salud con garantías para que se pueda investigar y mejorar el avance en la lucha contra muchísimas enfermedades. La Unión Europea está peleando mucho para que se puedan utilizar ese tipo de datos pero, insisto, con garantías.

Lorenzco Cotino participó en unas jornadas en Alicante / Jose Navarro

Inteligencia artificial

La regulación europea en IA, ¿es compatible con los avances tecnológicos y los avances chinos?

Vivimos en una zona, la Unión Europea, que entre otras muchas cosas, es la que tiene más democracias y más derechos del mundo, y también nos destacamos en la protección de derechos, en particular en la privacidad y protección de datos. Eso está muy bien aunque hay zonas del mundo donde esto no preocupa. Allí donde la protección de datos o la privacidad no preocupa, puede parecer que es muy fácil hacer negocios o que las empresas hagan todo lo que les dé la gana y ciertamente, cuando no hay regulación, suele ser más fácil actuar.

¿Qué ocurre en esos casos?

Desde hace dos o tres años estamos en una fase histórica en la que se está poniendo en duda la democracia en algunas partes del mundo y parece que ya no vende tanto el decir que estás en una zona del mundo que protege los derechos. Hay presiones a la Unión Europea para que no se preocupe por nuestra privacidad y nuestros datos. Podría pensarse que es más fácil hacer las cosas cuando no hay derechos pero tampoco es verdad. Porque hay zonas del mundo donde, como no hay regulación, tampoco saben a qué atenerse. Cuando no hay seguridad jurídica, tampoco es fácil hacer negocios. Se está generalizando el mensaje de que es difícil hacer negocios en la Unión Europea, pero yo diría que al menos tenemos reglas en esto o en inteligencia artificial. China no es un país donde la prioridad sea proteger los derechos de los ciudadanos y no es el modelo a seguir. Sí que es cierto que es líder mundial en inteligencia artificial y posiblemente pues tenga desarrollos en los que no va a tener limitaciones para proteger los derechos o la democracia.

Agencia ATLAS

¿Cómo se casa la protección de datos con la IA?

Vivir de espaldas a la inteligencia artificial es engañarse al solitario. No es viable pensar en prohibiciones generalizadas ni en paradas ni en frenos de inteligencia artificial. Lo que sí que podemos desear es que vaya por unos canales, por unos cauces y eso sí que lo podemos hacer a través de leyes y de agencias. Nosotros solo somos una de ellas. Está también la Agencia Española de Supervisión de la Inteligencia Artificial. La apuesta de la UE es un sí a la inteligencia artificial pero con unos cauces. Con el reglamento ya no se trata de ética, sino de una normativa que deja claro que hay algunas inteligencias artificiales prohibidas y otras de alto riesgo y en esas es en las que hay que poner especial atención. Como Agencia de Protección de Datos, lo que esencialmente nos interesa es cuando los datos personales se tratan con inteligencia artificial. Todo tratamiento de datos personales con inteligencia artificial es nuestra competencia. Queremos acompañar y que las empresas y las administraciones puedan utilizarlo y que sepan cómo tienen que cumplir.

ChatGPT

¿Hay control con lo que hace ChatGPT con nuestros datos?

ChatGPT es una más de lo que se llama inteligencia artificial generativa. Hay muchísimas más pero ha sido la que ha hecho que prácticamente casi toda la humanidad sepamos qué es la inteligencia artificial. Como mínimo habría cinco o seis del mismo nivel de importancia: DeepSeek en China, Mistral en Francia, Gemini en la de Google, Grock....Son varios sistemas de IA generativa, que es solo una familia de las inteligencias artificiales, pero es la que los ciudadanos de a pie usamos, porque las tenemos o gratuitas o muy baratas y nos ayudan a nuestro trabajo. Hay que sensibilizar a empresas y administraciones de que si las usan, que es algo bueno en general, hay que respetar la protección de datos. No se pueden subir datos personales a estos sistemas, ni información propia de la empresa, porque es como ponerla en común con una plataforma. En eso queremos dar pautas para que las pequeñas empresas y las organizaciones sepan cuándo y cómo pueden utilizarla con garantías. E insisto en que no solo por la protección de datos, que es nuestra obligación, sino que una empresa no puede dejar en abierto el núcleo de su información.

¿Constan denuncias sobre el uso de datos o imágenes por hackers rusos?

El hacking y los ataques que generan brechas de seguridad, son cientos, si no miles, diarios y muy graves en España, tanto al sector público como al sector privado. Esos ataques la mayoría nos importan a la Agencia Española porque ponen brechas de seguridad de datos personales. Sobre su origen, eso ya son especulaciones que son muy difíciles de saber. Solo en general se habla de que muchos casos vienen de países como el que ha señalado pero el origen suele ser muy difícil de identificar. Es muy importante transmitir que afortunadamente la sociedad dormimos muy tranquilos porque ni intuimos los miles de ataques diarios. Las empresas y las administraciones ponen muchísimo dinero y muchísimo empeño en evitarlos pero es una batalla muy complicada y no siempre es suficiente. La normativa obliga a que quien recibe un ataque que ha generado una brecha de seguridad importante lo tiene que comunicar. Y se comunican muchas. Es una obligación difícil porque has sufrido un ataque y tienes que comunicarlo a la autoridad que encima te puede sancionar. Se sanciona solo cuando no se habían puesto los medios suficientes o razonables.

"Por tener cualquier app o beneficio, estamos dando muchísimos datos con nuestro consentimiento" Sobre si hay compañías que comercializan nuestros datos indiscriminadamente, Lorenzo Cotino apunta que es muy raro que haya empresas que actúen fuera de la legalidad. Así, aprovecha para llamar la atención de la ciudadanía, «que sin mirar absolutamente nada, por tener cualquier app o por cualquier beneficio, estamos dando muchísimos datos con nuestro consentimiento. De modo que hay muchas empresas que su negocio es ese. Obtienen los datos gracias a apps por pequeñas ventajas, etcétera. En ese tipo de casos lo hacen dentro de la legalidad. A veces no velamos, no tenemos concienciación de que estamos dando nuestros datos en muchísimos sitios». En cuanto a los grandes bancos de datos, señala que quien los roba va a cantidad, y que las empresas de agua o luz, así como el sector público, son los que manejan millones de datos. Otros van a nichos específicos valiosos. «Hablamos de políticos o de empresas específicas que tienen un tipo de clientes especiales, ahí pueden hacer mucho daño a algún colectivo específico»

Otra imagen de Lorenzo Cotino / Jose Navarro

Políticos

¿Tan fácil es filtrar datos de políticos?

Hace más de un mes se filtraron muchos datos personales de ministros. Esto ha pasado en España y otros países. El fenómeno del hacking es muy antiguo. Hay hackers que tienen finalidades críticas, otros que se llaman éticos, es decir, que revelan datos y cometen delitos para reivindicar que a lo mejor se están haciendo mal algunas cosas. Cuando hay una revelación de datos de personalidades políticas, no hay duda alguna de que es algo ilegal, contrario al código penal. Y esas conductas hay que perseguirlas, hay que penalizarlas, si se descubre el origen. En general no hay ningún hacking positivo porque no es nada pedagógico el transmitir algo positivo de quien abre sistemas de seguridad para revelar datos personales de nadie.

¿Qué cumplimiento se observa en las administraciones públicas?

Las administraciones públicas en España se cuentan por miles, manejan los datos de 48 millones de personas y no todo se hace bien. Las administraciones más pequeñas tienen menos medios y menos conocimiento pero incluso las más grandes en ocasiones hacen algunas cosas mal. La normativa obliga a las administraciones y al sector privado por igual a tomar toda una serie de garantías preventivas. En el caso de las administraciones tienen que estar registrados los tratamientos de datos que hacen. Tienen que hacer estudios de impacto y analizar los peligros de esos tratamientos de datos. Están todas obligadas a contar con delegados de protección de datos pero muchas veces los tienen para cubrir el expediente o no les hacen todo el caso que deberían hacerles. Tienen una figura para que cumplan la ley, pero no siempre en una posición para que ese alcalde o ese concejal les haga caso. Queremos fortalecer mucho ese papel que tienen los delegados de protección de datos de las administraciones. Ellos saben y se les tiene que hacer caso.

El debate sobre multar con dinero a las administraciones En España no hay tradición de sanciones económicas al sector público por incumplir la protección de datos. Lo que se hace es declarar infracciones pero no se pone multa, lo que genera debate. Lorenzo Cotino considera que sería muy difícil explicar una sanción de varios millones a un ayuntamiento y explicar a los vecinos de la población afectada a lo mejor no tiene una piscina o una biblioteca por una sanción de protección de datos. Sin embargo, hay países en los que se pone multa económica, por lo que entiende que «falta un incentivo más fuerte para cumplir. Pero en principio lo que nos hemos de preocupar en la Agencia es que no lleguen a incumplir y para eso hay mecanismos preventivos y que se les haga más caso a los delegados de protección de datos». En cuanto al sector privado, sus errores les pueden costar un impacto económico, por lo que tienen un aliciente especial para no violar la ley. España es un país de pymes y son muchas las normas que han de acatar, entre ellas la de protección de datos, además «difícil de cumplir. No siempre es fácil pero ese es el coste que tiene cumplir derechos en Europa», señala. «En la Agencia damos toda la información adecuada a las pymes para que sepan cómo cumplir, incluso con guías específicas y herramientas pensadas para ellas para que sepan cómo cumplir si no tienen un profesional de protección de datos. A veces falta una concienciación de que esto es algo importante, que estamos hablando de un derecho fundamental».

Una imagen más del presidente de la Agencia Española de Protección de Datos / Jose Navarro