En esta edición participaron expertos de la Secretaría de Estado de Digitalización e Inteligencia Artificial, Consejería de Digitalización de la Comunidad de Madrid, Telefónica, Banco Santander, Iberdrola, Mahou, Carrefour, IKEA, Idealista, CNMC, Publicis y Huawei, entre otros.
Un marco legal fragmentado: el reto de la superposición normativa
El Presidente de la AEPD, en el marco de su ponencia “Los nuevos riesgos para la protección de datos por la inteligencia artificial y la respuesta de la AEPD”, describió el panorama regulatorio actual como un “mosaico normativo”, en el que confluyen el Reglamento Europeo de Inteligencia Artificial, el propio Reglamento General de Protección de Datos, la Ley de Servicios Digitales, las normativas sobre ciberseguridad, propiedad intelectual y otras disposiciones que inciden directamente sobre los derechos fundamentales.
“La IA no impacta solo en la privacidad, afecta sobre todos los derechos fundamentales”, afirmó Cotino, apelando a una lectura amplia del fenómeno regulador y a una cooperación interinstitucional.
En este contexto, el presidente de la AEPD anunció la inminente elaboración de un plan estratégico de la Agencia, a cinco años, que será sometido a consulta pública. El objetivo es construir una hoja de ruta participativa que tenga en cuenta tanto a los operadores jurídicos como a la sociedad civil, entre otros.
El RGPD como eje, pero no como límite
El Presidente advirtió sobre la visión reduccionista que limita el cumplimiento normativo al artículo 22 del RGPD en relación con la IA, recordando que el tratamiento de datos en sistemas de IA debe observar la totalidad del RGPD, incluyendo principios como licitud, minimización, exactitud o transparencia.
En este marco resaltó que “la IA presenta muchas potenciales ventajas para el futuro, pero deben darse las garantías de la privacidad y la protección de datos. No es fácil el cumplimiento normativo en todas las fases de implementación de un sistema de IA que trate datos personales y se van a hacer todos los esfuerzos posibles para dar mayor claridad tanto a la ciudadanía a los proveedores e implementadores de sistemas IA, en tanto que sean responsables, corresponsables, encargados o en su caso subencargados de tratamientos de datos”.
Así, deben recordarse las obligaciones cuando los sistemas generan datos inferidos en relación con los propios principios generales establecidos en el RGPD. No puede obviarse el cumplimiento integral de la normativa en materia de protección de datos ni las exigencias relativas a transferencias internacionales, los análisis de riesgos y evaluaciones de impacto o al ejercicio de derechos, entre otras cuestiones, apunto Lorenzo Cotino en su intervención.
Cotino planteó una detallada exposición sobre los desafíos regulatorios derivados del uso de sistemas de IA que implican tratamiento de datos personales, señalando que “el 95% de las prácticas prohibidas y sistemas de alto riesgo regulados por el Reglamento de IA afectan a tratamientos de datos personales”.
Asimismo, aclaró que, si bien los desarrolladores de sistemas de IA tienen sus propias obligaciones, la responsabilidad principal en materia de protección de datos recae en la entidad que implanta y opera estos sistemas, en tanto que responsable del tratamiento, no pudiendo obviarse las obligaciones del resto de entidades en lo relacionado al encargo del tratamiento o las relaciones de los corresponsables del tratamiento.
En cuanto a los retos que se plantean para la institución, Lorenzo Cotino puso de relieve que, “la AEPD va a asumir nuevas atribuciones respecto del Reglamento de IA con relación a sistemas IA que procesen datos biométricos. Ello es un nuevo reto que se va a insertar en una revisión general de la posición respecto de estos datos en consonancia con la UE y diversas visiones en los distintos países”.
Lorenzo Cotino cerró su intervención con una visión clara, “la IA tiene un enorme potencial, pero es imprescindible que se desarrollen garantías normativas sólidas. La AEPD reforzará su papel de guía y supervisión en este ámbito”, con un liderazgo sólido en este nuevo ecosistema normativo, promoviendo el diálogo entre autoridades, sectores y ciudadanía para lograr un entorno digital ético, innovador y respetuoso con los derechos fundamentales”.
El DPO: asesor, supervisor y socio estratégico
Durante el encuentro, se celebró también una mesa redonda con profesionales del sector público y privado sobre el papel del Delegado de Protección de Datos (DPO) en la nueva era digital. Todos coincidieron en que la figura del DPO debe asumir un perfil más estratégico, transversal, sin perder su función supervisora, consolidándose como actor clave en la gobernanza tecnológica.
En este marco, Daniel López Carballo, Presidente del Capítulo de Madrid de la IAPP y Socio del Área de Privacidad y Protección de Datos de ECIJA, puso de manifiesto la creciente aprobación de normativas en el ámbito nacional y europeo (sistemas de información, gobernanza, IA, ciberseguridad), en las que “el Delegado de Protección de Datos juega un papel relevante, tanto en la propia definición del modelo de cumplimiento, como en la relación del resto de áreas”.
Miriam Oñoro, Directora de Asesoría Jurídica en Tecnología, Digital y Datos en el Banco de Santander, indicaba que estamos ante un momento en el que las empresas tienen una mayor conciencia en materia de privacidad, donde la irrupción de nuevas normativas y el impacto de las nuevas tecnologías han puesto de relieve la relevancia del dato como valor empresarial. Así dentro de la estrategia empresarial debe esta la explotación de los datos, desde el cumplimiento normativo y el respeto de los derechos de las personas.
Para Oñoro, esta reflexión implica la necesidad de abordar los nuevos retos de una manera trasversal, desde la colaboración de las diferentes áreas involucradas, donde, desde sus respectivas líneas organizativas, las asesorías jurídicas y DPOs juegan un rol de gran relevancia.
En relación con el rol que deben jugar los DPOs, para Antonio Muñoz Marcos, Global DPO de Telefónica, “el DPO en las organizaciones ha ido consolidando el desarrollo de su función en las organizaciones y debe promover su presencia como función asesora a la vez que supervisora. En la capacidad de aunar ambas facetas se encuentra el “arte” en la gestión de la privacidad en las organizaciones.El DPO debe participar no solo en la gobernanza de la privacidad sino en una reflexión más amplia que alcance el impacto de la tecnología y el fomento de una tecnología responsable”.
Todos los ponentes coincidieron en la trasversalidad protección de datos en sus diferentes entidades, una cuestión que implica necesariamente la necesidad de escucha por parte de los DPOs, de su integración dentro de los procesos de negocio, con una visión proactiva que garantice el cumplimiento normativo. Así resaltaron la evolución de la percepción de esta figura dentro de las empresas, como alguien a quien acudir antes del problema y la capacidad de adaparse a las necesidades e interlocutores.
Los cambios normativos implican necesariamente el entendimiento de que “la privacidad no debe verse como un freno, sino como un acelerador del negocio”, apunta Álvaro Puras, Delegeado de Protección de Datos de Fever, para quien “el papel del DPO va más allá del cumplimiento normativo: debemos actuar como un puente entre compliance y negocio, traduciendo requisitos regulatorios complejos en planes de acción claros y viables a través de soluciones creativas para el cumplimiento. Se trata de encontrar el “cómo”, no de decir “no”. Para ello, es esencial remangarse, conocer a fondo el negocio y las operaciones, y trabajar codo con codo con otros equipos para integrar la privacidad en la estrategia empresarial de forma efectiva y sin fricciones."
Por su parte, Juan José Pérez Rodríguez, Delegado de Protección de Datos de la CNMC, aportó una perspectiva pública sobre el perfil profesional que debe tener, “la figura del DPO, y muy especialmente en las administraciones publicas, tiene con frecuencia un origen diverso: desde personas que provienen del mundo más técnico y cercano a la seguridad de la información y al propio dato, hasta el mundo de la auditoría y el control interno, sin olvidar, por supuesto, el ámbito legal. Esto puede resumirse diciendo que “cualquiera puede cocinar”. Lo que no significa que cualquiera sirva para este trabajo, sino que un buen DPO puede venir de cualquier parte”.
Durante el encuentro se plantearon los retos que deben abordarse en el ámbito de la protección de datos en los próximos tiempos. Cuestiones como la interacción de las diferentes normativas, la gestión de brechas de seguridad o la diligencia debida con terceros, entendida como la necesidad de llevar procesos de homologación, no sólo en el momento de la contratación, sino durante la propia relación contractual y posteriormente tras la finalización (obligaciones como la destrucción o devolución de los datos). En este sentido, entendimiento como cadena de valor y la necesidad de establecer responsabilidades, con capacidad de garantizar el correcto cumplimiento normativo en los tratamientos de datos.
Una cuestión que, pese a su complejidad y trabajo a realizar, para Daniel López Carballo, “vemos reflejadas en las diferentes normas que conocemos en el ámbito europeo y nacional. La relación con los terceros en el ámbito de la ciberseguridad en DORA o en aspectos relacionados con el ámbito de la sostenibilidad, entre otros” añadiendo que “estas obligaciones no pueden quedarse en el merco cumplimiento del artículo 28 del RGPD, sino en el diseño de un modelo de cumplimiento proactivo y garantista, integrado en las propias políticas corporativas y el modelo de gobierno”.
El ámbito internacional también ocupo parte de los comentarios de los diferentes ponentes, en relación con los procesos que deben afrontar para regularizar las transferencias internacionales de datos. En este sentido, Antonio Muñoz compartí las lecciones aprendidas y beneficios que para Telefónica había tenido la adopción de BCRs. Aspecto que compartía Miriam Oñoro, dentro del proceso que está abordando Banco Santander, en relación con el conocimiento y trazabilidad de los diferentes tratamientos de datos que se realizan, atendiendo a la propia estructura del Grupo y países en los que opera.
Un liderazgo renovado en tiempos complejos
La ponencia de Cotino y el debate con expertos evidenciaron que la inteligencia artificial plantea desafíos sin precedentes para el marco de derechos fundamentales. Con el RGPD como columna vertebral, pero rodeado de nuevas regulaciones como el RIA o la DSA, el reto es lograr un equilibrio entre innovación y protección, entre desarrollo tecnológico y derechos humanos, desde el cumplimiento y la generación de valor para las propias personas.
Momentos en los que el Delegado de Protección de Datos debe seguir avanzando dentro de las empresas y administraciones, en colaboración con los departamentos legales, seguridad, entre otros, en un entorno donde la diligencia debida y la responsabilidad proactiva juegan un papel fundamental, tanto en el ámbito regulatorio como empresarial.
Un aspecto que fue abordado durante todas las ponencias del Encuentro, en las que los diferentes ponentes pusieron de manifiesto la relevancia de la normativa en materia de protección en los procesos llevados a cabo en el ámbito de la digitalización, la aplicación de tecnologías en el entorno empresarial o la aplicación de normas complejas como la DSA y DMA.
