Mar España, directora general de la Agencia de Protección de Datos
Mar España, directora general de la Agencia de Protección de Datos - ERNESTO AGUDO

Mar España, directora general de AEPD«Si reenvías imágenes comprometidas de tu ex pareja sin su consentimiento estás cometiendo un delito»

La responsable de los datos de los españoles hace balance de la protección de los datos de los usuarios y la nueva entrada del reglamento europeo el próximo 25 de mayo y subraya la importancia de la educación para realizar buenas prácticas en internet

MADRIDActualizado:

A partir del 25 de mayo van a cambiar muchos las cosas en materia de protección de datos. ¿Qué impacto cree que se va a producir?

El impacto va a ser importante porque va a afectar tanto a los nuevos derechos que van a tener los ciudadanos como a las nuevas obligaciones que van a tener, y sobre todo el cambio de mentalidad que ello supone, para las empresas y administraciones públicas al pasar de un enfoque reactivo a uno basado en la responsabilidad proactiva centrada en el análisis del riesgo, por un lado, y por otro en la flexibilidad.

¿Las nuevas exigencias son suficientes para adaptarse a la privacidad de los usuarios?

Sí, porque precisamente un eje clave es el análisis de riesgos vinculado a la flexibilidad y al modelo de negocio que cada empresa esté aplicando. De manera que cada análisis de riesgo y evaluación de impacto se tiene que adaptar con las consecuentes medidas técnicas organizativas y de seguridad a esa empresa en concreto. Es mucho más ajustado que el sistema actual que escalonaba unas medidas de seguridad en función de que el riesgo fuera básico, medio o alto.

¿Va a estar la Agencia con el látigo con las empresas a partir de entonces?

Está haciendo una labor importante en temas de prevención y sensibilización. Lo que estamos apostando es por ayudar a las pymes. Yo entiendo que una pequeña empresa que tenga tratamiento de datos básico no tendría por qué suponerle una carga estructural ni económica para adaptarse a la normativa. Para las grandes empresas en sectores tan estratégicos como Turismo, Banca, Telecomunicaciones, Energía llevamos meses reuniéndonos en talleres prácticos e internos trabajando para poderles resolver las dudas que tengan. Estamos apoyando formación, sensibilización, pero lógicamente si a partir del 25 de mayo hay una infracción de la normativa tenemos que actuar con todas las consecuencias como hemos hecho siempre.

¿Han hecho sus deberes las empresas?

Estamos haciendo una encuesta con los principales organismos (CEOE o CEPYME) para poder ver el grado de conocimiento del reglamento. Más de la mitad de las empresas sí conocen ya el cambio de normativa. Esperemos que no lo dejen para el último momento siguiendo el espíritu español.

«Las Administraciones Públicas tienen que dar ejemplo y cumplir la normativa»

Recientemente, Mark Zuckerberg, fundador de Facebook, valoraba positivamente el marco regulador europeo en materia de protección de datos. Sin embargo, ya ha empezado a mover ficha para que su adaptación sea algo menor a la prometida. ¿Cree que las empresas tecnológicas van a cumplir?

No voy a entrar a valorar si Facebook va adaptarse en espíritu o en la forma. Lo que sí puedo decir es que va a tener que cumplir con la normativa. Me alegra oír las declaraciones formales de que ponía en valor el reglamento, pero decir lo siento no es suficiente. Lo que tienen que hacer en la compañía es hacer un análisis del riesgo de sus aplicaciones, que él mismo reconoció en declaraciones públicas, donde pueden estar sucediendo situaciones tan graves como lo que ha pasado con Cambridge Analytica y adaptar todas las medidas para que esto no se vuelva a producir.

¿En qué situación se encuentra la investigación sobre las más de 136.000 personas afectadas en España por la filtración de datos de Facebook?

Estamos trabajando con los datos oficiales que han ido suministrando Facebook a todos los organismos reguladores y por cuarenta y cuatro españoles que se bajaron la aplicación ha afectado a estos 137.000 usuarios, pero en los siete meses anteriores desde la Agencia hemos sido muy activos en supervisar toda su política de privacidad de la compañía y habíamos resuelto tres expedientes sancionadores, unos de ellos, de 1,2 millones de euros que ha sido la mayor multa de la historia por la política de privacidad, otro de 600.000 euros por el intercambio de datos con WhatsApp. Hemos sido la única autoridad de la Unión Europea que les ha multado por esta infracción. De los expedientes que están en fase de investigación, lógicamente no puedo decir nada, pero sí que en el mismo día en que nos enteramos de que afectaba a usuarios españoles iniciamos las investigaciones y estamos en colaboración con la autoridad británica que es quien está liderando la investigación.

¿Teme que al final las empresas tecnológicas se salten las leyes con alguna triquiñuela?

Dentro de los sectores estratégicos estamos trabajando con las empresas de telecomunicaciones de nuestro país y sí percibo una buena voluntad y actitud proactiva en adaptarse a reglamento, así como cumplir con la privacidad porque algunas de esas empresas saben que aportar un plus en el tratamiento de datos le va a colocar en un factor de competitividad por delante de las demás.

«No todo vale en internet y no se puede difundir o denigrar a una persona en cualquier red social»

¿Al usuario le trae sin cuidado la privacidad y los datos?

No es esa la percepción que tengo. El 80% de los españoles cada vez se muestran más preocupados por su privacidad en internet. Dos de cada tres reciben una «fake news» a lo largo del día y, evidentemente, es preocupante que estos cuarenta y cuatro españoles que dieron su consentimiento a una aplicación que supuestamente iba a usarse para fines científicos al final haya sido la base para un perfilado y intentar de interferir en un proceso electoral en un sistema democrático. Eso sí ha despertado bastantes conciencias al igual que las revelaciones de Snowden de lo los datos que estaban haciendo el gobierno norteamericano.

En el día a día, ¿va cambiar la mentalidad de los usuarios?

Sí, por una razón bien sencilla: ahora mismo muchos de los tratamientos se estaban dando en nuestro país en base al consentimiento tácito. No sabemos a ciencia cierta, en muchos casos, qué datos están tratando de nosotros, qué compañías, a quién se los han cedido y para qué. Eso no va a ser legal porque a partir del 25 de mayo tendrán que tener nuestro consentimiento explícito y explicarnos para qué, durante cuánto tiempo, con qué finalidad y sobre qué base legal han obtenido nuestros datos seguramente nos llevemos más de una sorpresa.

Entre las muchas obligaciones de las empresas está la designación de un Delegado de Protección de Datos (DPO) o, al menos, contratarlo externo. ¿Teme que se produzca una burbuja de los delegados y se den ciertas prácticas para engañar a las empresas?

Para dar seguridad al mercado y dentro de la neutralidad que debe tener la Agencia, y más en un momento en el que están proliferando tantas consultorías, pusimos en marcha el esquema de certificación de delegados de protección de datos. Pero sí quiero alertar de determinadas consultoras que se autodenominan «a coste cero» que sí están estafando porque utilizan fondos de la formación tripartita. Y en base a la firma de que al empresario le han hecho un curso finalizado por esta fundación les dan una especie de certificado que cumplen con protección de datos, pero eso no les va a cubrir para nada y, además, están estafando fondos públicos.

¿Le preocupa la aplicación de la ley en los pueblos?

De todas las denuncias, el 8% tienen que ver con las administraciones públicas y, de ellas, la mitad suele ser de pequeños municipios. Es posible que no todos los municipios ahora mismo lo conozcan.

¿Va a predicar con el ejemplo la Administración?

Yo espero que sí. Tienen que dar ejemplo y cumplir, porque sería un poco incongruente que se estuvieran exigiendo esas obligaciones al sector privado y las administraciones públicas no se hubieran puesto al día.

Pero el reglamento contempla un apercibimiento y no una sanción económica a las administraciones en caso de infracción.

El RGPD preveía era la posibilidad que los Estados miembros pudieran imponer sanciones económicas a las entidades públicas. En el proyecto de Ley el Ministerio de Justicia no lo incluyó, y además lo apoyas desde la Agencia, que no tenía sentido cobrar una sanción que sale del dinero público de los ciudadanos para volver otra vez al Tesoro público. Era algo incongruente porque esa sanción se iba a recaudar con impuestos y, al final, a quien estamos perjudicando es a los ciudadanos y es lo que queremos evitar. Pero si hemos contemplado que más daño que el económico es la reputación. Se prevé que cuando haya una sanción a un organismo público se publique en la página web.

«Más que controles parentales es importante prevenir»

Entre algunas cláusulas que se establece el reglamento se encuentra la notificación de un ciberataque en un plazo de 72 horas. ¿Cree que esto se va a cumplir? ¿Cómo se va a verificar que esto se ha producido?

La obligación es de la empresaria de notificar al incidente. Al final de esas cosas acaban de enterarse uno siempre. En caso de infracción se actuará con toda la contundencia.

¿Por qué usted no tiene ninguna red social?

Sí tengo WhatsApp, pero lo importante no es lo que yo tenga, sino que los usuarios de las redes sociales, que son tremendamente útiles para nuestras relaciones personales, se lo configuren con la mayor responsabilidad y la mayor privacidad posible.

¿Cree que somos culpables los usuarios de la filtración de datos de Facebook y los problemas que surgen a raíz de eso?

Más que de culpa hablaría de responsabilidad. Y si no salimos de casa o del coche sin cerrar con llave lo que no podemos hacer es tener un comportamiento diferente en nuestra vida en internet. Por eso, recomendamos no conectarse por ejemplo a redes WiFi abiertas, restablecer las contraseñas y una serie de consejos muy básicos para que seamos nosotros quienes vayamos cerrando las posibles debilidades en nuestra huella digital.

«Se puede cometer incluso un delito con un uso irresponsable de internet. Si reenvías imágenes comprometidas de tu ex pareja sin su consentimiento estás cometiendo un delito de «sexting» o le espías el móvil»

¿Acaso somos más conscientes? ¿En qué delitos se puede incurrir?

Por los datos que manejamos la mayoría de los españoles está preocupado por la privacidad y me consta la preocupación que tienen las familias precisamente por el uso responsable de sus hijos que, quizás, son mucho más alegres y han nacido con una identidad digital construida en el día a día en las redes sociales. Por esta razón, estamos instando a las Comunidades Autónomas a que regulen el uso responsable de internet. Se puede cometer incluso un delito con un uso irresponsable de internet. Por ejemplo, si reenvías imágenes comprometidas de tu ex pareja sin su consentimiento estás cometiendo un delito de «sexting» o le espías el móvil.

¿Cómo se puede evitar estas prácticas?

Debería empezarse desde cero. Y desde los colegios. Es inasumible que ahora mismo haya muchas Comunidades Autónomas que no tenga regulado curricular y responsable de internet. Se enseña seguridad vial pero todavía los chavales y adolescentes no reciben ningún tipo de sesión. Ya es el momento que en este tema den un paso adelante.

¿Y los padres?

Sobre todo lo que tenemos que hacer es dar ejemplo y no quedarse tranquilos porque muchos padres utilizan herramientas de control parental pero luego le regalan un móvil con once años, y ahí ya no hay control parental que valga. Más que los controles es importante prevenir.

«Los mayores responsables de la privacidad somos nosotros»

¿Está la Agencia colapsada? ¿Están teniendo dificultades para resolver en plazo las cosas que le están planteando los ciudadanos?

Ha provocado hiperactividad, pero no estamos colapsados. Si nos quedamos en las 180 personas que somos no llegamos. Estamos desarrollando una labor muy activa con los cuerpos de seguridad del Estado. Lo que no sé es lo que va a pasar cuando empiece a haber mucha más concienciación, se hagan más consultas. Estamos resolviendo en plazo, pero haciendo un sobre esfuerzo y lo que es evidente es que necesitamos más medios y los retos que prevemos con la nueva normativa.

¿Cree que los usuarios son más conscientes de los riesgos de ciertas prácticas?

Con todo lo que hemos visto recientemente, alarmantes en algunos casos, como Cambridge Analytica o la difusión de identidades de víctimas como la de «La Manada» en medios, redes sociales, foros y blogs es necesario que hagamos una reflexión, incluidos los medios de comunicación, porque no todo vale en internet. Es importante que hagamos un uso responsable de nuestra identidad. Internet tiene ventajas magníficas pero todo debería hacerse desde el respeto y desde el rigor.

¿En qué situación se encuentra la investigación acerca de la difusión de datos personales de la víctima de «La Manada»?

Iniciamos investigaciones de oficio cuando constatamos que se estaban difundiendo esos datos. Mandamos también una notificación al Consejo Superior del Poder Judicial por la filtración que había habido en base al CSV -Código Seguro de Verificación- que se publicitó con la sentencia y estamos trabajando de manera coordinada para minimizar el impacto. Nos hemos dirigido ya tanto a los autores de esa difusión como a los responsables de las páginas para cortar esa difusión, y me consta que ya lo han retirado.

Con el nuevo marco legal, ¿hay base legal para bloquear una web como Forocoches?

Con la legislación actual ya se permitía la inmovilización de ficheros y con la normativa futura también. Son temas tremendamente serios que habrá que ir viéndolos caso por caso. Estamos en la fase previa de investigación.

¿Por qué cree que hay personas que actúan así en internet?

Hace falta mucha concienciación y mucho trabajo en temas de igualdad. Las cosas empiezan en la escuela. Cuando un chaval empieza a controlar los WhatsApp o el móvil de la pareja eso si no se corta o educa desde la familia y colegios va desarrollando un tipo de valores de «todo vale». Es importante que se pueda formalizar un protocolo para que en el menor tiempo posible no se siga produciendo una victimización permanente con una exposición pública porque, además, hace imposible que esa víctima pueda restablecer su vida y la degradación a la que fue sometida.

¿No existe la privacidad en internet?

Los mayores responsables somos nosotros con la huella digital que vamos dejando en redes sociales. No es el primer caso, pero actuamos con toda la contundencia y en 24 horas se han retirado esas imágenes o datos personales. El único problema es que cuando es ya salta a las redes sociales es mucho más difícil de parar. El daño que se hace a esa persona es irreparable porque continuamente se le está recordando y ha salido de su esfera privada y del dolor a todos los niveles porque está impidiendo que las víctimas puedan normalizar su vida.

«Si no salimos de casa sin cerrar con llave no podemos tener un comportamiento similar en internet»

¿La difusión de datos de datos personales de una víctima es ilegal?

Completamente ilegal.

¿También si lo hace un medio de comunicación?

Ahí ya tendríamos que valorar porque en esos casos la jurisprudencia del Tribunal Supremo ha validado que al primar entre derecho a la intimidad y la libertad de expresión prima este último entiendo que aquí deberían ser los propios medios de comunicación los que se autorregulen y como un ejercicio de responsabilidad social y de ejemplo sean los primeros en cortar este tipo de prácticas.

¿Es posible regular el anonimato de internet?

Hay iniciativas parlamentarias en ese sentido, pero es un tema tremendamente complejo porque internet ha democratizado nuestra sociedad, pero eso no es compatible con que todo vale en internet y se pueda difundir o denigrar a una persona en cualquier red social. Y para eso están las direcciones IP desde donde se pueden producir esas infracciones que habilitan a la inspección de la Agencia a realizar las investigaciones correspondientes.

¿De quién cree que parte culpable de que los datos personales de las sentencias puedan consultarse por cualquier persona?

No puedo hablar de casos que acaban de aparecer en medios de comunicación porque tenemos que tener toda la información para podernos pronunciar.

Eso no quiere decir que haya barra libre de datos sensibles, ¿no?

No, no, lógicamente. El CSV solo puede hacer la persona que está interesada.