Datos, datos y más datos. Aunque no los vemos, circulan continuamente a nuestro alrededor. La explosión digital, derivada del aumento del uso de los smartphones junto a la transformación de todo tipo de industrias, ha provocado que cada día se manden en todo el mundo 241,4 millones de correos electrónicos, se realicen casi 2,5 millones de búsquedas en Google, se envíen cerca de 19 millones de mensajes de texto y se contabilizan 10,4 millones de minutos de uso de Instagram. Y esto es solo una muestra.

En cada una de esas interacciones se comparte información que permite a empresas y organizaciones diseñar servicios públicos y privados que mejoren la vida de las personas, y que ayudan a resolver problemas de forma más eficaz. Sin embargo, esos datos han de recopilarse y manejarse con cuidado dentro de un marco regulatorio que en los últimos años ha ido adaptándose a marchas forzadas a los avances tecnológicos.

“El mayor punto de inflexión tuvo lugar en 2018 con la entrada en vigor del Reglamento General de Protección de Datos (RGPD). Se produjo un importante salto cualitativo sobre todo porque la ciudadanía empezó a darse de que tenía unos derechos sobre el control de su intimidad y empezó a reclamarlos”, apunta el presidente de la Asociación de Profesional Española de Privacidad (APEP), Marcos Judel, durante una entrevista con DISRUPTORES – EL ESPAÑOL.

[El RGPD se acerca al lustro: una norma alabada por defender la privacidad y criticada por dañar las pymes]

El encuentro tiene lugar cuando esta organización está punto de cumplir 15 años en activo. La APEP nació en 2009 fruto del interés y preocupación de un grupo de profesionales –“la mayoría abogados, pero también ingenieros”, aclara su actual presidente y miembro fundador– por cuestiones relacionadas con las nuevas tecnologías y la privacidad. “Detectamos unos riesgos, pero también una oportunidad de negocio para un sector profesional”.

Cuenta como anécdota de aquellos inicios cómo les escuchaban con escepticismo cuando explicaban en las empresas las implicaciones que traería el uso de la computación en la nube para el tratamiento de los datos. “Creían que eran ‘cosas’ de grandes compañías, como IBM o Microsoft. Y todavía estaban por llegar el blockchain o la inteligencia artificial”, relata. En aquel momento eran 50 asociados, ahora son más de 2.300.

“Tsumani normativo”

En estos años, los cambios legislativos en Europa han sido numerosos. Se ha producido lo que Judel denomina un “tsumani normativo” en materia de protección de datos y ciberseguridad, con la aprobación de la Ley de Mercados Digitales (Digital Market Act, DMA), la Ley de Servicios Digitales (Digital Service Act, DSA), la Ley de Ciberresiliencia, la Ley de Cibersolidaridad o el Reglamento Europeo de Inteligencia Artificial (la llamada AI Act). Algo que considera que “plantea complejidades y desafíos adicionales para las empresas en este campo”.

Una regulación que el presidente de la APEP llega a calificar de “salvaje” durante la entrevista con este medio. Y se explica: “Tiene que haber regulación para evitar riesgos y salvaguardar la privacidad de las personas, pero aquí [en Europa] la protección de datos es un derecho fundamental. No hay cámaras que nos vigilen continuamente como si se tratara de un Gran Hermano o estuviéramos en China”.

"En Europa la protección de datos es un derecho fundamental"

En este sentido, defiende la necesidad de proteger los derechos y libertades de los ciudadanos sin frenar el crecimiento empresarial. “El RGPD es la norma más dura del mundo en protección de datos, pero también es lo suficientemente flexible para permitir los desarrollos tecnológicos”. Como ejemplo, menciona cómo durante la pandemia de covid-19 se diseñaron aplicaciones de control acordes con el reglamento, demostrando así esa adaptación.

"Los profesionales de la privacidad no podemos ser un obstáculo para ese desarrollo. Tenemos que ayudar a que las cosas salgan adelante", subraya. Algo que requiere, según sus palabras, una especialización y una formación continua. En la Agencia Española de Protección de Datos (AEPD) conceden una certificación tras superar un examen, en la de la APEP tiene más peso la experiencia profesional. “Son dos estrategias diferentes, pero no significa que no vayamos de la mano”, aclara el presidente de esta última.

Privacidad a dos velocidades

Ese “tsumani normativo” comenzó con la aprobación del RGPD. Desde entonces, la AEPD tiene unas facultades de sanción mucho más elevadas. “Antes la mayor era de 600.000 euros y ahora es de 20 millones o el 4% del volumen de facturación de una empresa”, explica. Lo que ha ayudado a que compañías de cualquier tamaño sean más conscientes de lo que se traen entre manos cuando manejan datos, aunque, según Judel, todavía les sigue faltando formación.

Como ejemplo pone una empresa en la que están haciendo marketing digital a través de internet con inteligencia artificial, con unas bases de datos con un alto nivel de perfilado. “Creían que cumplían con los requerimientos de protección de datos, pero la firma que les dio el certificado tenía varias denuncias por fraude”, advierte.

"Invertir en la privacidad y la protección de datos es un valor añadido para la empresa, no una especie de impuesto revolucionario"

En este sentido, señala que existen dos velocidades en el cumplimiento de la norma. Por un lado, aquellos que han entendido que la privacidad y la protección de datos son un valor añadido para la empresa. “Invierten en que sus procesos respeten la privacidad de las personas, protegiéndolas, generando una mayor confianza en su marca y reduciendo riesgos de sanción y de reputación”. Y está la otra velocidad: “Las empresas que entienden esto como un gasto e, incluso, como una especie de impuesto revolucionario, y que están más expuestas a sanciones y riegos más altos”, asegura.

Aun así, este abogado subraya que España es un referente en Europa en la protección de datos, resaltando el papel de la AEPD como una de las agencias más activas. No solo ahora, sino también antes de la aprobación del RGPD, cuando existía un reglamento de “medidas de seguridad [en referencia a la Ley Orgánica de Protección de Datos], inexistente en el resto de países de nuestro entorno, que nos permitió estar más preparados ante la nueva normativa europea”.

La IA, el nuevo reto

Es inevitable que durante la conversación se mencione el tema del momento: la inteligencia artificial. “Llevo trabajando con esta tecnología desde hace 10 años, pero sólo con empresas. Es ahora cuando ha llegado ‘de sopetón’ a los ciudadanos”, apunta Judel. Lo compara con la velocidad a la que se implantó el cloud computing, a la que se refería al comienzo de la entrevista: “Su aterrizaje fue poco a poco, pero la IA ha pasado muy rápido a formar parte de la esfera personal”. Y sus implicaciones no son baladís.

El presidente de la APEP hace referencia a los casos de los que se han hecho eco los medios sobre el uso que están haciendo los menores de esta tecnología para crear imágenes falsas donde aparecen sus compañeras sin ropa. “En apenas dos años todo esto se ha acelerado y no hay que olvidar que la privacidad es una cuestión transversal”, recalca. 

"La falta de protección puede ser utilizada para colectar y usar datos de formas impensables y preocupantes"

Al igual que ocurre con las imágenes, también pone sobre la mesa el uso de la voz como “dato personal”. Empresas que hacen traducción simultánea utilizando inteligencia artificial o que ofrecen un servicio de atención al cliente de conversaciones con un chatbot han de establecer todos los aspectos relacionados con la protección de datos. 

Entre los desafíos y riesgos que rodean a esta tecnología, Judel señala cómo esa falta de protección puede ser utilizada para recolectar y usar información con fines comerciales de formas “impensables y preocupantes”, como ofrecer seguros de salud basándose en las visitas de una persona al hospital.

Así mismo, menciona el uso de la IA en procesos de selección de personal en los que “algoritmos automatizados toman decisiones sin supervisión humana y pueden influir en quien es contratado”. Un debate con consideraciones éticas que no ha hecho más que empezar y en el que la protección y los derechos de los ciudadanos han de ser la prioridad.