A lo largo de este año, la privacidad ha sido protagonista del desarrollo tecnológico en nuestro país. Las empresas, apoyadas por sus expertos en protección de datos, por los delegados de protección de datos y por sus asesores externos, intentan hacer negocio respetando los derechos fundamentales de terceros, en un equilibrio que no siempre es sencillo.

En este complejo escenario, la Agencia Española de Protección de Datos (AEPD) cumplía sus primeros treinta años como regulador en materia de protección de datos. Una entidad que ya gestiona más de 20.000 reclamaciones anuales y que impone sanciones importantes siguiendo el espíritu del Reglamento General de Protección de Datos (RGPD). Ahora, habrá que ver cómo se coordina con la Agencia Nacional de Supervisión de la Inteligencia Artificial (AESIA), que entrará en funcionamiento en los próximos meses en nuestro país, junto con el sandbox regulatorio de IA.

Este año 2023 ha sido bastante exigente para las empresas y organizaciones en materia de privacidad, donde han repuntado las brechas de seguridad; lo que ha provocado que las empresas aúnen equipos tecnológicos, jurídicos y de ciberseguridad para responder a esos retos. De hecho, el coste de la ciberinseguridad supone unos 110.000 millones de euros, cerca del 8% según un estudio reciente del ISMS Forum.

Uso de la biometría cuestionada

José Leandro Núñez, abogado experto en privacidad, socio de Audens y miembro de la Junta Directiva de ENATIC, ha destacado como temas relevantes en este 2023 el conflicto de Meta con el Comité Europeo de Protección de Datos. Así, ha señalado que “todas las denuncias que recibe esta plataforma por su sistema de pago por datos no implican que esté cumpliendo con las sentencias del Tribunal de Justicia de la Unión Europea (TJUE), sino que hay que verlo caso por caso para ver si es una alternativa razonable y real”.

En este sentido, este jurista ha recordado que el citado Comité emitió una resolución señalando a esta plataforma que no podía tratar datos “en base a la ejecución de un contrato o al interés legítimo, pues hacer perfiles a los usuarios necesita de su consentimiento; pero además le dijo que todo este entramado que han montado como alternativa al consentimiento, puede suponer un incumplimiento de la normativa de protección de datos”.

Al mismo tiempo, ha enfatizado que —tras esta resolución— la autoridad irlandesa prohibió tratar los datos personales para hacer perfiles basados en el comportamiento en base al contrato o al interés legitimo. «Ahora está prohibido, pero al mismo tiempo la norma no dice que esto es lo que hay que hacer. Hay que ver si lo que se ha hecho es proporcionado o no. Es un asunto relevante extrapolable a cualquier otra gran compañía», ha señalado al respecto.

Otra cuestión que ha destacado este experto tiene que ve con la circular que la AEPD sacó sobre las llamadas telefónicas no deseadas que se siguen recibiendo en muchos domicilios para hacer publicidad, destacando que “se ha hecho un esfuerzo normativo para frenarlo, pero los resultados de momento no acompañan. La percepción del consumidor es que no se cumple la norma, aunque realmente no sabemos quién nos llama. No se ha puesto coto a este problema”.

También ha hablado de los problemas de la biometría, señalando que “no es un criterio nuevo. Las autoridades europeas ya habían advertido del problema de la biometría en años sucesivos. Hay que recordar que el RGPD lo convirtió en datos especialmente protegidos por los riesgos que se pueden derivar de su uso y el riesgo de que un tercero se haga pasar por el titular. El cambio de criterio de la AEPD ha dejado a muchos con el pie cambiado”.

Desde su punto de vista, “el impacto en un sector que ya había hecho inversiones en esta tecnología es importante. Esa postura de la AEPD se aparta de la doctrina del Supremo. Con el RGPD pensábamos que no cabía la identificación biométrica a la hora de fichar a nivel laboral, pero la AEPD dijo que sí, diferenciando entre autenticar e identificar; si bien ahora el cambio de postura señala que ambos elementos son parte de un mismo concepto, lo que da lugar a que sea muy complicado utilizar este tecnología en las empresas”.

A la espera del texto definitivo del Reglamento de Inteligencia Artificial, que dependerá de las últimas negociaciones de los trílogos, en abril de 2024, «durante este año habrá que tener en cuenta la trasposición de la Directiva NIS2. Por el momento, su proyecto de ley está paralizado, al igual que la aplicación del reglamento Dora a nivel financiero y el Esquema Nacional de Seguridad, que se aplicará en su última versión en el 2024 a todos los prestadores que trabajan para el sector público», ha aclarado Núñez.

Según él, el objetivo de la Directiva NIS2 —basado en infraestructuras críticas y empresas muy importantes— “trata de que determinadas empresas con peso importante en la economía, a nivel eléctrico o telecomunicaciones, tengan un mínimo común de estándares de ciberseguridad en toda Europa. En teoría, en octubre debería estar implementada la normativa española que implemente la NIS2”.

Finalmente, ha subrayado que «estamos hablando de un paquete normativo que afecta a la ciberseguridad y a la privacidad de todas las empresas y organizaciones a nivel general ante la dinámica de brechas de seguridad y secuestro de datos. Al final, la ciberseguridad y la protección de datos deben trabajar de forma conjunta. Tanto Dora como NIS2 son normas muy enfocadas a la continuidad del negocio, en el sentido de que, si hay un ataque, se pueda recuperar plenamente, y mientras tanto, las empresas tengan la capacidad de seguir proporcionando ese servicio».

Se avecinan grandes cambios normativos

Para Marcos Mª Judel, presidente de la Asociación Profesional Española de la Privacidad (APEP) y socio de Audens, «en materia de privacidad cerramos un año 2023 como antesala para grandes cambios normativos que van a suponer un gran esfuerzo para los profesionales y delegados de protección de datos para los años venideros, así como para las empresas y administraciones».

“En 2023, desde la APEP hemos destacado la importancia de la formación y capacitación ante el tsunami normativo en la materia que se avecina desde Europa —desde el Reglamento de Inteligencia Artificial, el DSA, el DMA, el ePrivacy, DORA, o el NIS2— que van a afectar al asesoramiento de los profesionales para con las entidades a las que prestan servicios, tanto de forma interna como externa”, ha indicado.

Además, según él «2023 nos deja hitos destacados que han supuesto tanto un impulso, como un revulsivo a la labor de los profesionales de la privacidad y la protección de datos, entre ellos la Circular 1/2023 sobre la aplicación del artículo 66.1.b) de la Ley 11/2022, de 28 de junio, sobre telecomunicaciones, en el que se establecían normas y requisitos claros para la actividad del telemarketing, los cuales supusieron importantes labores de adecuación en el sector”.

“La controversia entorno al plan de Meta de establecer un sistema de pago por los datos para poder realizar publicidad comportamental basada en el perfilado de los usuarios con bases de legitimación distintas al consentimiento, en contra de los criterios del Comité Europeo de Protección de Datos, también supuso importantes actualizaciones de estado sobre criterios en muchas empresas del marketing online”, ha declarado.

Judel también ha destacado que «el cambio de criterio de la AEPD en cuanto a los sistemas de identificación biométrica en el ámbito laboral para los sistemas de fichaje, al retractarse sobre la diferenciación entre identificación y autenticación, elementos que permiten estos tratamientos sin problema».

Respecto a este cambio, ha señalado que «ha generado dificultades tanto a fabricantes como a empresas e instituciones que utilizaban sistemas de huella dactilar para el fichaje, así como a profesionales que elaboraron evaluaciones de impacto basándose en los criterios anteriores de la AEPD que aparentemente permitían estos tratamientos de manera más flexible y que ahora se han visto obligados a adaptarse a esta nueva situación de manera poco flexible».

El presidente de APEP ha destacado que «cerramos el año con la sanción económica más alta de la AEPD hasta la fecha: seis millones cien mil euros a Endesa por diversos hechos relacionados con una brecha de seguridad sufrida y no gestionada adecuadamente, lo que también subraya la importancia de establecer protocolos organizativos y de gestión frente a brechas, además de impulsar la ciberseguridad».

Mirando hacia el futuro, ha considerado que «la formación, capacitación y actualización de conocimientos de los profesionales de la privacidad y delegados de protección de datos serán clave para su futuro profesional. Entramos cada vez más en un ámbito más concreto y específico que requiere mayor especialización, y esto, en un mundo cada vez más competitivo donde las empresas e instituciones necesitan profesionales capaces de ofrecer soluciones y seguridad jurídica».

Los internautas cambian de estrategia

Desde la Asociación de Internautas, su presidenta Ofelia Tejerina ultima cambios en la Junta Directiva, tal y como anticipó en la entrevista que concedió a este medio tras la celebración del veinticinco aniversario de su asociación.

Sobre los hitos de este 2023, ha subrayado la iniciativa de la AEPD sobre la protección de la infancia e identificación online de menores, actualmente en proceso de gestación, como nos indicó su directora Mar España hace unos días: «Es un reto que estaba pendiente y ahora se acomete de forma práctica y real. Habrá que ver si es útil, pero el paso que se ha dado es clave en estos últimos quince años».

Otra cuestión que está sobre la mesa y que preocupa a muchos internautas es la identificación biométrica de los ciudadanos. «Nuestra asociación siempre ha estado en contra de su uso. Lo manifestamos en 2009 cuando la Agencia catalana emitió un informe, dando por bueno el acceso de los funcionarios con la huella dactilar; nosotros nos opusimos a ello. Cuando se aprobó el RGPD y hablo de que estos datos biométricos eran de carácter sensible, vimos que había una lógica en ello».

En la actualidad, Tejerina considera que «lo peor de la biometría es si en los juzgados los que tienen que tomar decisiones diferencian entre autenticar un usuario, porque tengo huella dactilar y la clave, y la persona física en sí. Si no hay suficientes medidas de seguridad, no se puede dar por bueno. Si fallan las medidas de seguridad, es posible que la persona física no esté detrás de esta autentificación digital porque es fácil de crakear«.

Para esta experta, «el cambio de criterio de la AEPD en estos temas es lógico y hay que aplaudirle. Si hablamos de que la IA clona la voz de cualquiera, hay que ser consciente de que el resto de identificación biométrica se puede clonar. Debemos ser prudentes y evitar que cualquiera utilice esos datos biométricos se pase por nosotros».

De cara a este año, Tejerina ha señalado: «Hay por delante el reto de la privacidad con la IA, pero, por lo menos desde mi punto de vista, esto debe estar enmarcado dentro de lo que se entiende por ciberseguridad y, en concreto, con la Estrategia Nacional de Ciberseguridad».

A su juicio, «hay dos tipos de información, hay la información confidencial que no tiene datos personales y no afecta a la privacidad, y hablar de datos que sí afecta. En ambos casos, hay que volcarse en lo relacionado con la intimidad y la privacidad, pero la ciberseguridad y establecer medidas es esencial para minimizar los riesgos».

Junto a ello, ha recordado que llegan nuevas normativas como Dora a nivel de reglamento financiero, como Nis2, como nueva directiva de ciberseguridad. «Al mismo tiempo, hay que sumar el Eidas, como identificador digital. Estas tres cuestiones tienen el mismo eje de estándares técnicos de ciberseguridad, comportamiento y regulación de la responsabilidad de las empresas y organizaciones públicas».

En este contexto, ha enfatizado que la directiva NIS2 nos trajo la figura del CISO en su momento, experto en ciberseguridad que coexiste desde 2018 con el DPO que impulsa el RGPD. Además, no descartamos que se cree la figura del responsable de IA que marquen el futuro en los próximos cinco años».

En este consejo, el mensaje que lanza Ofelia Tejerina a los internautas es de precaución ante el envío de correos o mensajes no deseados y también sobre el uso de datos personales en redes sociales y otros escenarios. «El spam que hemos conocido hace quince años sigue vigente y coexiste de forma peligrosa con la clonación de datos. Ahora resulta sencillo con la IA la clonación de voces de seres humanos».

En este contexto, ha destacado el Real Decreto Ley aprobado sobre la Ley de eficiencia digital donde se prioriza los juicios telemáticos sobre los presenciales. «Tendría que ser la opción, no la generalidad, además hay que buscar la manera para que los funcionarios vayan a los cursos de formación y aprendan estas nuevas tecnologías que llegan».

Desde su punto de vista, la aparición de nuevos reguladores «debe ayudar a los ciudadanos a que entiendan el cambio digital que se avecina, que es de calado, tiene aspectos positivos importantes pero también cierta problemática en cuanto a los derechos fundamentales. Se trata de que la tecnología y los ciudadanos estén alineados para que la protección sea real».

Fuente