Lorenzo Cotino: “Sería muy útil contar con un registro de algoritmos públicos para evitar ilegalidades con la IA”

Lorenzo Cotino (Valencia, 1972) asumió el pasado 26 de febrero la presidencia de la agencia Española de Protección de Datos (AEPD), cargo que ejercerá hasta el año 2030. Su llegada marca el fin de casi un lustro de interinidad, un periodo dilatado por la falta de acuerdo político para encontrar relevo a Mar España. Catedrático de Derecho Constitucional en la Universidad de Valencia, Cotino es una voz respetada en los ámbitos de la privacidad, la protección de datos y la transparencia. Su mandato comienza en un momento decisivo, justo cuando irrumpen nuevas regulaciones sobre inteligencia artificial (IA), desafiando los márgenes tradicionales de la protección de datos y abriendo un horizonte de responsabilidades para la autoridad de control.

En esta conversación con CincoDías, una de las primeras entrevistas que concede, Lorenzo Cotino traza las primeras líneas del camino que quiere seguir al frente de la agencia: la letra, es decir, el cumplimiento normativo, cala mejor con el jarabe de la pedagogía que con multas ejemplarizantes. Como primer paso, anuncia la elaboración de un plan estratégico, ya en fase de gestación, que considera imprescindible ante el nuevo horizonte que dibujan las innovaciones tecnológicas.

En el plano personal, admite con franqueza que, aunque procura mantener una “higiene razonable” en materia de privacidad, no siempre logra evitar cierta relajación —una debilidad compartida, dice, con el común de los mortales—. Lo que sí no perdona en sus círculos habituales es la mentira disfrazada de noticia. Las fake news, denuncia, rara vez son inocuas: “detrás de ellas, casi siempre, hay un colectivo vulnerable que termina siendo dañado”.

Pregunta. ¿Qué le motivó a asumir esta responsabilidad en la AEPD?

Respuesta. Hay pocos puestos más interesantes para un profesor de mi perfil. Llevo más de 30 años en la universidad dedicándome a estudiar estos temas y pasar a ocupar esta responsabilidad era una oportunidad única, sobre todo porque se trata de una autoridad independiente.

P. El proceso de elección estuvo marcado por la renuncia del que iba a ser su número dos, Antonio Troncoso. ¿Cómo vivió esta situación?

R. Fue una situación tensa. Lo cierto es que desde que me presenté en julio del año pasado continué con mi actividad en todo momento y esto fue como una cura frente a la tensión de un proceso que era complicado.

P. ¿Qué objetivos se ha marcado como urgentes? ¿Qué línea quiere imprimir a su mandato?

R. Lo más urgente para mí y para Francisco Pérez, adjunto a la agencia, era ponernos al día lo antes posible porque si no es una frivolidad tomar decisiones, y hemos tenido que tomarlas desde el primer momento. Dicho esto, el primer paso es el compromiso de hacer un plan estratégico. Esta agencia ha estado muy bien dirigida durante casi diez años, pero también necesitaba una proyección a futuro que no se ha podido impulsar por el alargamiento no natural del mandato de mi antecesora. En este plan nos fijamos muchas metas con ilusión. Estamos muy contentos porque desde la propia casa se están sugiriendo muchísimas posibles mejoras. Entre los objetivos, no previsto de inicio, pero al que nos hemos visto casi obligados, está el de aplicar mecanismos de robotización y de inteligencia artificial para el propio funcionamiento de la agencia. Ya se están detectando posibles usos y estamos dando los primeros pasos. Si lo hacemos nosotros y con seguridad, podemos ser un ejemplo para otras Administraciones de España. Ya estamos trabajando en una guía de cómo utilizar la IA en el sector público.

Vamos a solicitar financiación y dotación de recursos en todas las instancias que sean oportunas

P. Precisamente, la AEPD asumirá nuevas competencias en vigilancia de sistemas de IA según el reciente anteproyecto de ley ¿Cuentan con recursos suficientes?

R. La agencia está preparada siempre. Tengamos los recursos que tengamos, vamos a asumir las responsabilidades que las leyes nos atribuyan, que son muchas. Sí o sí lo vamos a hacer con mucha ilusión. Pero la ilusión no siempre basta y necesitamos dotarnos de recursos porque, además, tenemos carencias estructurales. La tramitación de 20.000 reclamaciones anuales lastra muchas veces las posibilidades de actuación. Entonces, obviamente, vamos a solicitar financiación y dotación de recursos en todas las instancias que sean oportunas.

P. Bajo la futura norma, ¿han detectado algún caso de solapamiento con la Agencia Española de Supervisión de Inteligencia Artificial (Aesia)?

R. La Aesia es la autoridad principal en esta materia, pero no hay que olvidar que la AEPD es la encargada en la supervisión del tratamiento de datos personales con inteligencia artificial, además de otras funciones que se nos encomienda, como la vigilancia de sistemas biométricos. Es cierto que, a veces, no va a ser fácil distinguir y vislumbrar la posible superposición que pueda haber en procedimientos. Por esto, ya estamos coordinándonos y siguiendo de cerca la evolución del anteproyecto. El riesgo de sancionar dos veces un mismo hecho y motivo existe, pero, en teoría, el principio non bis in idem [no dos veces por lo mismo] lo prohíbe. Creemos que el anteproyecto debería mejorar en este aspecto. Desde la agencia proponemos que haya mecanismos de comunicación. Además, va a haber decenas de autoridades competentes en materia de IA, y esto puede pasar en muchos otros países de la Unión Europea.

El riesgo de sancionar dos veces el mismo hecho por la Aesia y la AEPD existe. Hay que establecer un sistema de comunicación

P. ¿Cómo se puede garantizar que la privacidad no se diluya entre algoritmos opacos, decisiones automáticas y centros de datos ubicados en el extranjero?

R. Estamos ante una revolución digital que se está llevando a cabo desde hace más de 30 años y la sensación en esta casa es la que, probablemente, tenga cualquier autoridad de protección de datos. Como el personaje de Alicia en el país de las maravillas si no seguimos corriendo, nos quedamos atrás. Puede parecer muy difícil poner puertas al campo, pero sí que las ponemos con la fuerza del derecho y la actuación coordinada de las autoridades de la UE, el espacio donde más se garantiza la privacidad en el mundo.

P. La UE ha dicho que no hará ninguna concesión sobre sus normas digitales en la negociación comercial con EE UU ¿Cree que las grandes tecnológicas pueden sentirse impunes en esta situación?

R. No creo que sea así. Ya sea en Estados Unidos, ya sea en Europa, las sanciones son elevadísimas. Aunque tengan derecho a recurrir a los tribunales y estos procedimientos sean muy largos, no creo que tengan la sensación de impunidad. Estoy convencido de que son las primeras interesadas en no tener problemas con la normativa europea.

Estoy convencido que las grandes tecnológicas son las primeras interesadas en no tener problemas con la normativa europea

P. Hace unos días, un grupo de juristas y asociaciones criticaron que el anteproyecto de la ley sobre IA no incluya sanciones pecuniarias para la Administraciones infractoras. ¿Es partidario de multar al sector público?

R. Creo que es muy sano que la sociedad civil reaccione a normas de este tipo, pero me parece que no están enfocándose en lo más relevante. En toda la UE, son una minoría los países que establecen sanciones a las Administraciones; será por algún motivo. Dicho esto, subrayaría que en lo que hay que fijarse no es tanto en la posibilidad de sanción como en que no cometan infracciones. Y en esto la ley podría ser más eficaz. Por ejemplo, sería muy útil tener un registro de los algoritmos públicos para evitar que las Administraciones cometan ilegalidades con IA. Hoy por hoy es casi ridículo cómo tenemos que hacer las autoridades para enterarnos de que hay sistemas de inteligencia artificial públicos; es casi imposible detectarlos. Sería una herramienta preventiva muy útil para paralizar cualquier sistema que pueda generar riesgos.

P. Ya existen gafas, cascos o diademas electrónicas que decodifican pensamientos. Los expertos urgen un nuevo marco legal para regular este nicho de negocio incipiente. Mientras tanto, ¿se consideran datos personales a los efectos del reglamento de protección de datos? ¿Cómo puede actuar la AEPD para evitar un uso indebido de los mismos?

R. La neurotecnología ya no es un es un tema del futuro, sino del presente. A diferencia de lo que ocurrió con la aparición de Internet o las redes sociales, en el caso de los neurodatos, la respuesta parece que incluso se está anticipando al problema. Tenemos la Declaración de derechos digitales donde se reconocen los neuroderechos, la Carta española y ha habido algún reconocimiento mundial. Se destaca el caso de Chile. La misma agencia promovió en la Red Iberoamericana de Protección de Datos una declaración el año pasado con temas bastante concretos sobre neurodatos. Es decir, que hacia dónde se ha de ir, los derechos en juego (ya se habla de privacidad mental), está relativamente claro. Estamos en una situación que creo honestamente que no hace falta más declaraciones de derechos sobre neurodatos, lo que hace falta es alguna regulación concreta que en algunos casos pasará por prohibiciones, pero eso depende del legislador.

P. La AEPD no es líder en la cuantía de las sanciones dentro de la UE. ¿Cambiará la línea bajo las directrices del Comité Europeo de Protección de Datos?

R. España destaca por ser el país en que se tramitan más reclamaciones que acaban en sanciones. Ahí triplicamos a Italia, que es el segundo país en este ranking. Esto se debe a que nuestro sistema nos obliga a instruir procedimientos allí donde hay reclamaciones. Las multas, en cambio, no superan los 35 millones al año, muy por debajo de países como Irlanda, donde se ubican grandes tecnológicas. El comité lanzó una guía de multas hace dos años y sin duda su aplicación implica una curva ascendente. En todo caso, no creo que el mensaje a lanzar sea el de que somos los primeros de la clase en ser los más duros en las sanciones. No creo que sea la mejor forma de transmitir el cumplimiento de la normativa.

P. España en un país de pymes, a las que les resulta difícil gestionar todas las normativas de cumplimiento. Ahora se añade la legislación sobre IA. ¿Recomiendan que tengan una responsable de IA diferenciado del responsable de protección de datos?

R. No me atrevería a dar consejos de manera generalizada a tantos millones de pymes porque a la mayoría probablemente el tema de inteligencia artificial le quede más lejano. El reglamento de inteligencia artificial es, sobre todo un reglamento para, entre comillas, fabricantes. Los desarrolladores de inteligencia artificial sí que tienen que establecer todo un sistema de cumplimiento normativo, también de protección de datos. Las pymes se ven más afectadas por el cumplimiento de esta última, pero esto no es nada nuevo. Uno de los elementos del plan estratégico es intentar acompañar al cumplimiento. Sabemos que no es fácil pero, al menos, ponemos todas las herramientas posibles y vamos a mejorarlas para que, sobre todo, las pequeñas y medianas empresas puedan cumplirlo. Las últimas encuentas dicen que estas herramientas están siendo muy utilizadas y en general bastante bien valoradas.

P. ¿Cree que la sociedad protege ahora más su privacidad? ¿Los jóvenes se han relajado?

R. Aparentemente hay concienciación, así lo dicen las estadísticas, pero al mismo tiempo somos muy despreocupados en Internet porque no acabamos de captar realmente los peligros que hay detrás de cualquier herramienta digital. No solo los menores. Nos gusta atribuir a los menores cierta irresponsabilidad, pero todos tenemos una parte de irreflexión.

P. ¿Cómo vive la privacidad en el día a día? ¿Tiene hábitos personales de protección digital?

R. Creo que tengo una higiene razonable en el ámbito de la privacidad. No me instalo cualquier aplicación así como así, reseteo de vez en cuando las contraseñas… pero, como cualquier persona, alguna vez me relajo. En lo que soy especialmente sensible es que en mis círculos habituales nunca he tolerado la redifusión de noticias falsas porque, normalmente, detrás hay un colectivo vulnerable que queda perjudicado.