Mar España Martí, directora desde 2015 de la Agencia Española de Protección de Datos (AEPD) que hace las veces de Secretaría Técnica de la Red Iberoamericana de Protección de Datos (RIPD), lidera una difícil tarea: lograr que la seguridad de los datos de la ciudadanía y de nuestros datos en la red no se vulneren. La máxima responsable del organismo aboga, en particular, por la protección de los más vulnerables: los menores y reconoce en este cuestionario, que «más del un 70% de las solicitudes para retirar contenido publicados sin consentimiento en redes son de violencia digital contra mujeres y niñas, que incluyen la publicación en Internet de vídeos sexuales para controlar, humillar y extorsionar». Para su protección, y para atajar problemas que son comunes, la experta pone en valor el trabajo en red, encaminado a buscar soluciones comunes que involucren a los diferentes actores y partes interesadas en un enfoque multidisciplinar y multilateral.
¿Es la ciudadanía consciente del modo en que expone su privacidad y se arriesga a que se haga un uso fraudulento de sus datos?¿Sabe de la importancia de protegerla? ¿Conoce sus derechos (y sus obligaciones)?
Uno de los indicadores del grado de conocimiento que poseen los ciudadanos acerca de sus derechos es el número creciente de reclamaciones planteadas ante la Agencia en los últimos años: 21.590 en 2023, un 43% más que en 2022 y un 55% más que en 2021.
La Agencia tiene entre sus objetivos prioritarios fomentar una cultura de protección de datos tanto entre quienes manejan datos personales como entre la ciudanía. Son aquellos que tratan datos personales los obligados al cumplimiento de la normativa. La Agencia ofrece a las organizaciones guías y herramientas prácticas para ayudarlas a cumplir. No podemos obviar el componente de deslumbramiento que tienen las nuevas tecnologías emergentes, que provoca que la ciudadanía no perciba los riesgos hasta que se han materializado. Por eso es importante concienciar. Nos preocupa especialmente la infancia y juventud que, aunque son nativos digitales, al ser personas en proceso de maduración y formación, no siempre son conscientes de que lo que hacen online puede llegar a tener consecuencias graves en el mundo offline.
¿Cuál es el principal riesgo y qué podemos hacer? ¿Se puede atenuar?
Hay una preocupación creciente y compartida sobre los riesgos que afronta la infancia y la adolescencia en los entornos digitales al utilizar servicios diseñados para adultos o que, como las redes sociales, incorporan patrones adictivos en etapas en las que el cerebro aún no está maduro. Ello afecta, según los estudios médicos, a su neurodesarrollo y socialización, a la vez que contribuye a potenciar posibles problemas de salud mental, como la ansiedad y la depresión, y facilita el acoso escolar y la violencia sexual. Los dispositivos móviles se han convertido también en una puerta a contenidos pornográficos, lo que genera una banalización de las relaciones sexuales, sexualización precoz y exposición a contenidos inapropiados.
Para atenuarlo, desde 2015 ofrecemos un servicio telefónico y de ayuda sobre protección de datos y menores tanto para familias como para profesores y centros docentes. En paralelo, participamos en acciones de concienciación y hemos ejercido la potestad sancionadora, por ejemplo, contra páginas pornográficas que no verificaban adecuadamente la edad de los usuarios. Formamos parte de un Comité de expertos multidisciplinar que está realizando un análisis de la situación actual y que va a proponer diversas soluciones para poner freno a este problema, de forma que todos los implicados asuman su responsabilidad ante esta población vulnerable.
A través del Canal prioritario que lanzamos en 2019, se puede solicitar la retirada urgente de contenidos sexuales o violentos publicados en internet sin el consentimiento de las personas que aparecen en ellos. Puede ser que una persona se grabe un vídeo sexual con consentimiento, o envíe una foto, pero eso no le da derecho al receptor a publicarla en páginas web o a redifundirla a terceros. Más de un 70% de las solicitudes son de violencia digital contra mujeres y niñas, que incluyen la publicación en Internet de contenidos de este tipo para controlar, humillar, extorsionar o amedrentar a las mujeres. Hasta ahora todas las solicitudes de retirada de contenidos que la Agencia ha remitido a las páginas web que albergan estos contenidos han sido acatadas y el contenido eliminado. Por otro lado, además de requerir de forma urgente la eliminación de esos contenidos publicados sin permiso, la Agencia también puede imponer una sanción a la persona que publicó ese contenido, y eso es algo que ya se está haciendo.
La tecnología suele asociarse a modernidad y a avances, pero no puede desarrollarse sin tener en cuenta los derechos de las personas
¿Cómo está de educada la ciudadanía en general?
Una base de conocimiento en materia de privacidad y seguridad es vital hoy en día. No obstante, la evolución tecnológica es tan rápida que no siempre resulta sencillo. Además, las actividades que se realizan en el mundo online no están limitados por fronteras, lo que aumenta potencialmente los riesgos. Es importante seguir invirtiendo en programas de capacitación de la ciudadanía en términos de protección de datos y seguridad. La carrera es constante y, a medida que afloran nuevas tecnologías, aparecen nuevas vulnerabilidades. Lo estamos viendo ahora con la Inteligencia Artificial: hoy en día es relativamente fácil generar una voz con las características de una voz conocida a la que suplanta, siendo indistinguibles una de otra, y lo mismo es aplicable a imágenes e incluso a vídeos, que podrían utilizarse para cometer fraudes, acosos o chantajes. Hace muy poco tiempo atrás esto no era posible porque requería una potencia de computación muy elevada, mientras que ahora estas «ultrasuplantaciones» pueden llevarse a cabo con un teléfono móvil. La legislación y la supervisión deben actualizarse para luchar contra este uso indebido de la inteligencia artificial.
¿Cómo favorece a la protección de la ciudadanía en ese sentido el trabajo en red?
Debido a la naturaleza transfronteriza de los servicios digitales, nos enfrentamos, cada vez más, a problemas globales que exigen soluciones globales. Y, para ello, nada mejor que trabajar en red. Compartir los problemas que son comunes y buscar soluciones entre todos es un punto de partida imprescindible, involucrando a los diferentes actores y partes interesadas en un enfoque multidisciplinar y multilateral.
¿Cómo describiría el proceso de cooperación efectiva entre las Autoridades Iberoamericanas de Protección de Datos, cuál es su incidencia y en qué se traduce este proceso en la vida cotidiana de las personas?
En el Encuentro que organizamos el año pasado en Guatemala, donde celebramos el XX aniversario de creación de la Red Iberoamericana de Protección de Datos, decidimos modificar los estatutos de la Red de cara a «profesionalizarla», facilitando la cooperación entre sus autoridades y creando cuatro grupos de trabajo sobre desafíos globales que necesitan de soluciones globales: WorldCoin, ChatGPT, Violencia y Salud Digital, y Neuroderechos.
Esperamos que de ahí salgan soluciones que reduzcan los riesgos que estos desafíos suponen para los derechos y libertades de las personas. De momento, algunas autoridades ya hemos adoptado, en algunos casos, medidas cautelares para detener determinados tratamientos de datos que entendemos afectan negativamente a los ciudadanos.
La Red ha empezado a crear grupos de trabajo de cara a buscar soluciones comunes a problemas globales, en aras de una mayor estandarización
En relación con la pregunta anterior, ¿cómo es la cooperación entre países? ¿Se le ocurre algún ejemplo concreto de esa colaboración
En el marco de la Red Iberoamericana de protección de datos (RIPD) destaca la creación de los mencionados grupos de trabajo: WorldCoin, ChatGPT, Neuroderechos y Violencia y Salud Digital, por ejemplo. Este último, focalizado en colectivos vulnerables como pueden ser mujeres y fundamentalmente menores.
La idea es desarrollar documentación y herramientas que ayuden a la protección de estos colectivos frente a los abusos cometidos en internet. Desde la Agencia Española se está contribuyendo a este grupo de trabajo con el Canal Prioritario de la AEPD. También estamos contribuyendo con la Estrategia de «Menores, salud digital y privacidad» que recoge la colaboración con organismos nacionales e internacionales con medidas agrupadas en bloques como la colaboración regulatoria, el refuerzo para garantizar los derechos de la infancia y la adolescencia, el ejercicio de las potestades de investigación y sanción, la educación, y la salud y el bienestar digital.
¿De qué forma se pueden trasladar al ámbito iberoamericano los esfuerzos que realiza la Agencia Española de Protección de Datos sobre la protección de menores en los entornos digitales?
Desde la AEPD, como Secretaría Permanente de esta Red, nuestra labor es apoyar a la región en todo lo referente a la protección de datos personales y analizar cómo implementar aquellas herramientas que le puedan ser de utilidad, fundamentalmente en la protección de colectivos vulnerables. La AEPD ha propuesto, por ejemplo, diez principios efectivos que debe cumplir cualquier sistema de verificación de edad para proteger a los menores del acceso a contenidos inadecuados a la vez que se garantiza el anonimato de los adultos. Se está trabajando conjuntamente para implementar estas herramientas de protección de los menores en Iberoamérica. La documentación asociada a este sistema está a disposición de los miembros de la Red y están siendo compartidos no sólo en el grupo de trabajo, sino en cualquier intercambio de buenas prácticas que se realiza en el marco de la RIPD.
Desde 2017 con la aprobación de los Estándares de Protección de Datos Personales para los Estados Iberoamericanos se ha fortalecido la influencia de la RIPD en los nuevos procesos regulatorios en la región, ¿cuáles son los pasos a seguir para consolidar a las Autoridades de Protección de Datos Iberoamérica?
Un reto general que tienen prácticamente la totalidad de las autoridades de protección de datos es la falta de recursos, tanto financieros como humanos. A ello se añade, en algunos casos, la falta de independencia. Este es el caso, por ejemplo, de autoridades que se constituyen como direcciones generales dentro de un Ministerio del que dependen orgánicamente.
Avanzar en estos asuntos requiere de compromiso político al más alto nivel que, por un lado, otorgue a las autoridades una independencia orgánica real y por otro, les dote de recursos suficientes para poder llevar a cabo sus funciones en defensa del derecho fundamental a la protección de datos personales. Ese compromiso político de alto nivel podría ser reflejado mediante la ratificación de los estándares de la Red por parte de los presidentes de Gobierno y primeros ministros de la región iberoamericana.
¿A qué obstáculos o resistencias se enfrentaron en la elaboración de dichos estándares?
No hubo obstáculos o resistencias para la elaboración de dichos estándares: todas las autoridades coinciden en cuanto a qué quieren ser o cómo les gustaría funcionar. Cuestión distinta es la realidad de cada una de ellas en cuanto a independencia y recursos disponibles.
La AEPD ha propuesto diez principios efectivos que debe cumplir cualquier sistema de verificación de edad para proteger a los menores del acceso a contenidos inadecuados
¿Dificulta la distinta normativa en los países y su aplicación su trabajo? ¿Cómo se puede paliar?
Vivimos en un mundo globalizado donde para las empresas no hay fronteras y están establecidas en un país, desde el cual ofrecen servicios digitales a ciudadanos que residen en otros países. En este contexto, hoy no tienen sentido normativas que no tengan en cuenta esta extraterritorialidad.
La redacción actual de los estándares de la Red recoge, en su párrafo 22, esta circunstancia. No obstante, todavía hay países en la región cuyas normativas vigentes no pueden ser aplicadas a empresas que prestan servicios desde terceros países, haciéndose imprescindible su actualización.
Con qué otro tipo de guías o recomendaciones, además de esos estándares iberoamericanos de protección de datos, trabajan desde la Red para tratar de homogeneizar u homologar los marcos normativos regionales en materia de protección de datos.
Los Estándares de la Red, además de promover la protección de datos en la región, buscan fomentar la libre circulación de los datos personales, ya que ello contribuye a un mayor desarrollo económico en la región. Ese deseado desarrollo económico se favorece también con la armonización de los marcos regulatorios y de sus criterios interpretativos. En este sentido, la Red tiene una importante misión en el hecho de buscar esa armonización y, para ello, aparte de los Estándares de la Red, elabora guías y directrices que se encuentran publicadas en su página web.
Además, la Red también ha empezado a crear grupos de trabajo, de cara a buscar soluciones comunes a problemas globales, en aras también de una mayor estandarización. En la actualidad se está trabajando para explorar colaboraciones y acciones conjuntas entre Autoridades de la región, estableciendo ejes temáticos y calendario de actuaciones.
¿Qué beneficios proporciona?
Entre las responsabilidades de la RIPD está la de reforzar las alianzas de la Red con organismos públicos que desarrollan sus funciones en estrecha conexión con ella y, en el ámbito privado.
El hecho de armonizar y alinear las legislaciones en materia de protección de datos es algo que se viene solicitando tanto por parte de las autoridades nacionales de protección de datos como por parte de las empresas para conseguir unas legislaciones coherentes de forma que se fomenten los flujos transfronterizos de datos.
Ello no sólo conseguiría un fomento de la economía y de implantación de empresas en la región, sino dar respuesta al interés de la ciudadanía, ya que el hecho de tener marcos normativos armonizados se refleja en mayor seguridad jurídica para usuarios y empresas.
Las personas en proceso de maduración y formación, infancia y juventud, no siempre son conscientes de que lo que hacen online puede llegar a tener consecuencias graves en el mundo offline
¿Cuáles son los aportes que podría hacer la RIPD de cara a los trabajos de implementación de la Carta Iberoamericana de Principios y Derechos en los Entornos Digitales?
La RIPD forma parte del Registro de Redes de la SEGIB y, como tal, hay una continua colaboración en diversos ámbitos, entre ellos en la Carta Iberoamericana de Principios y Derechos en los Entornos Digitales (CIPDED). En este marco de colaboración, varios miembros de la Agencia Española y yo misma hemos participado en seminarios y webinarios online relacionados con diferentes temáticas relativas a la implementación de la CIPDED.
Además, se está trabajando conjuntamente en la actualización de los Estándares iberoamericanos de Protección de Datos a través de la realización de un estudio que apunte directrices para el diseño e implementación de políticas públicas en materia de protección de datos en los países iberoamericanos aprovechando estos estándares y alineándolos con los desafíos actuales. Como objetivos particulares, también hay que destacar el análisis de los desafíos derivados de las neurotecnologías, la inteligencia artificial, y el internet de las cosas en materia de protección de datos o en torno a la protección de la Salud Digital, especialmente en colectivos vulnerables como la infancia o la adolescencia. A estos objetivos hay que añadir analizar las características a tener en cuenta en el momento de diseñar o crear Autoridades Nacionales de Protección de los países iberoamericanos.
En los tres casos, se formularán propuestas específicas (directrices, estándares, recomendaciones….) para ayudar al diseño de políticas públicas en los países iberoamericanos.
¿Cuáles son los retos de la región sobre la Protección de Datos con el avance, por ejemplo, de los neuroderechos?
El desarrollo respetuoso y compatible con los derechos fundamentales de la neurotecnología y la Inteligencia Artificial son retos importantes que preocupan a la Agencia y que tendrían que preocuparnos a todos como sociedad. La evolución tecnológica suele asociarse a modernidad y a avances que mejoran nuestra vida, pero la tecnología no puede desarrollarse sin tener en cuenta los derechos de las personas, ya que entonces se corre el riesgo de construir una sociedad distópica que pierde su humanidad. La neurotecnología puede generar un gran impacto en nuestra sociedad, con consecuencias que plantean desafíos importantes que requieren de una reflexión ética, social y legal. La Agencia defiende que los datos neurológicos o neurodatos, cuando están asociados a personas identificadas o identificables, son datos personales según el Reglamento General de Protección de Datos (RGPD) y, por tanto, en ese sentido están protegidos.
Los neurodatos y los datos genéticos son categorías especiales de datos; tienen en común que exponen aspectos únicos y personales, ya que el cerebro es identificador tan único como una huella dactilar o un genoma. Además, ambos tipos de datos ofrecen la posibilidad de predecir o inferir información adicional de las personas. Si a esto le sumamos la Inteligencia Artificial, asistimos a cómo se está avanzando en decodificar la actividad cerebral, pudiendo llegar a revelar información que puede ser incluso desconocida para la propia persona y usarse para fines predictivos o de perfilado, entre otros.
En la Agencia hemos publicado varios documentos sobre estos temas, financiado proyectos de investigación, impulsado la ‘Declaración sobre neurodatos’ de la Red Iberoamericana de Protección de Datos y colaboramos con la Oficina del Comisionado de Información, la autoridad de protección de datos en Reino Unido. También apoyamos los cinco neuroderechos identificados por la fundación Neurorights Foundation, de la Universidad de Columbia, Nueva York: la identidad personal, el libre albedrío, la privacidad mental, el acceso equitativo y la protección contra los sesgos.
