Mar España llegó a la dirección de la Agencia Española de Protección de Datos (AEPD) en julio de 2015. Esto quiere decir que la experta no solo ha tenido que abordar el desafío que supuso la entrada en vigor del Reglamento General de Protección de Datos (RGPD) en la Unión Europea en mayo de 2018, sino también todos los pormenores previos y posteriores.

El RGPD cumplió 5 años en vigor el pasado mes de mayo, y el balance que saca España al frente de la AEPD desde entonces es positivo. "Ha sido una verdadera locura de trabajo, parece mentira lo rápido que pasa el tiempo", reconoce. "Por supuesto, siempre quedan cosas por hacer, pero el balance es positivo".

España entiende que ese balance es positivo porque se ha dado "un salto" en términos de concienciación sobre la "importancia de la privacidad", "tanto por parte de los ciudadanos como por parte de las organizaciones, tanto en el sector público como en el privado".

"No solo por el miedo a las multas, sino porque ya saben que si antes de empezar a invertir millones de euros en el diseño de un algoritmo aplican el mantra del RGPD, que es el de la privacidad por defecto y en el diseño, podrán blindar la seguridad de mucha gente", apunta. 

Mar España, directora de la AEPD, sobre la carga de trabajo del organismo: "Algo tendrá que hacer el nuevo Gobierno que salga del 23J, hay riesgos de colapso"

"Y cuando hablamos de proteger un dato no hablamos de una cuestión aséptica: hablamos de proteger a personas en esferas tan importantes como la ideología o la sexualidad".

En ese sentido, la directora de la AEPD cree que el RGPD ha sido "transformador", aunque sí reconoce puntos a mejorar y que confía en que lo harán. El mes pasado, el Comité Europeo de Protección de Datos, el organismo comunitario que aúna a todos los organismos de control nacionales de la Unión, anunció el cambio de presidencia.

Anu Talus, la directora de la agencia de protección de datos finlandesa, asumió entonces el gobierno de esa institución sucediendo a Andrea Jelinek, de la que Mar España solo tiene buenas palabras. "Tengo mucha confianza en que la nueva presidenta finlandesa continuará esa saga de rigor, profesionalidad y seriedad que ha demostrado Andrea en estos años".

"Se han identificado casos estratégicos" con este RGPD, porque "seguramente donde puede darse un impulso es en el funcionamiento del mecanismo de ventanilla única". El mecanismo de ventanilla única es un principio rector de este reglamento que contempla que las autoridades nacionales son las encargadas de abordar las investigaciones de empresas afincadas en su territorio.

El desafío del cuello de botella en el mecanismo de ventanilla única

Lo que sucede en la Unión Europea es que las grandes tecnológicas concentran la sede social y fiscal de sus filiales continentales en países como Irlanda, provocando que la Comisión de Protección de Datos de ese país, organismo análogo a la AEPD de España, tengan que enfrentarse a un sinfín de casos. Organismos de derechos civiles han denunciado que se ha originado un "cuello de botella".

"Todo se mejora aprendiendo y desde los errores". España asegura entender y tener su respeto por "el desafío tan importante" que ha supuesto la aplicación del RGPD para la autoridad irlandesa. Al mismo tiempo, abunda en que muchas de las decisiones que se adoptan con estas grandes multinacionales tecnológicas acaban siendo, en realidad, colectivas.

"La reciente sanción a Meta de más de 1.200 millones de euros", recuerda España, nació de las objeciones de 3 autoridades nacionales —entre ellas, la española— después de que Irlanda propusiese una resolución sin multa económica. 

"La presidenta anterior del Comité Europeo de Protección de Datos, Andrea Jelinek, nos reunió a todos los comisionados en Austria y decidimos por común acuerdo y unanimidad identificar los casos estratégicos para poder actuar de manera coordinada y prioritaria, y eso está empezando a dar sus frutos", apostilla la directora de la Agencia Española de Protección de Datos.

Otro ejemplo concreto es el requerimiento que Garante, la autoridad italiana de protección de datos, remitió a OpenAI, la compañía detrás del popular ChatGPT. En consecuencia de aquel requerimiento de información, OpenAI bloqueó el acceso a ChatGPT en Italia durante unas semanas. Los medios aseguraron entonces que Italia había bloqueado el chatbot, una aseveración matizable.

Habla la experta que denunció al Mobile World Congress, multado con 200.000 euros: "No entendía para qué quería una compañía mi pasaporte"

La propia AEPD propuso en un plenario del Comité Europeo de Protección de Datos abordar esas pesquisas sobre ChatGPT de forma coordinada. En palabras de España, "es bueno que las tecnológicas sientan esa coherencia y esa presión global. Que no vaya una autoridad de protección de datos por delante, que vayamos todas".

Por eso, España confía en que en los próximos 5 años se verán "resultados mucho más coordinados de los que se han visto en los 5 primeros de RGPD". "En los próximos 5 años veremos resultados mucho más agradecidos que en esta primera etapa".

A nivel comunitario, la agencia española ha demostrado músculo. Es la autoridad nacional que más sanciones ha propuesto. "Las resoluciones de la AEPD son el 40% del volumen total", corrobora España. "Eso no implica que representen el 40% del importe total de las multas. Si comparamos el importe con las que han puesto nuestros colegas europeos estamos entre el 2% y el 3%".

Nuevamente, esta variación se explica con el hecho de que las grandes tecnológicas se concentran en otros países como Irlanda, y muchas de las sanciones que estipula el RGPD son en función del volumen de facturación de las compañías que puedan haber vulnerado el reglamento. 

Pero, ¿por qué España eleva más resoluciones? La respuesta podría estar en el derecho nacional, que obliga a la AEPD a estudiar el 100% de las reclamaciones que recibe. "Otras autoridades nacionales, por la información que tengo, tienen más capacidad de discriminar".

"Se ha superado el límite de lo humanamente sano para la salud mental del equipo"

Con todo, y más allá de las resoluciones —que es una de las labores más visibles de la AEPD—, el organismo ya está "muy por encima del esfuerzo humano que se podría haber hecho". La propia directora de la AEPD abundó en la primera entrega de esta entrevista que el organismo corre el riesgo de colapsar de no recibir más recursos.

"En estos 8 años se han publicado más de 100 guías y herramientas a coste cero. Se puede dar de sí hasta donde se llega. Mi obligación es decir que se ha superado el límite de lo humanamente sano para la salud mental del equipo que trabaja en la AEPD".

De esta forma, Mar España defiende la gestión de la AEPD con estos 5 primeros años de Reglamento de Protección de Datos. Sin él, el mundo digital "seguramente sería mucho más invasivo, no habría ni límites ni garantías". "La AEPD protege a las personas en su individualidad, lo más esencial de nosotros es nuestra identidad ideológica, sexual o religiosa. Nuestras comunicaciones íntimas".

El escenario más optimista deja a EEUU y a la Unión Europea sin acuerdo para transferir datos hasta verano: qué puedes hacer para no vulnerar la ley

"Nunca hasta ahora en la historia de la humanidad habíamos estado tan conectados pero al mismo tiempo tan vulnerables e influenciables. Es esencial que existan organismos como este". Aunque España cree que no todo puede recaer en el peso de la AEPD y agencias análogas. "Deberían existir pactos de Estado en materia de protección a las personas en el mundo digital".

La directora de la AEPD pone énfasis en la protección de la infancia o de la salud mental. "Debería empezar a trabajarse sobre temas que ya superan un poco en competencias a la AEPD, como salud digital y sus efectos en la salud mental". "La tecnología es maravillosa, gracias al mundo digital conseguimos no sentir soledad durante el confinamiento que fue tan duro", reconoce.

"Pero hay que abordar de una manera integral todos sus efectos", continúa.

Un organismo todavía pendiente de renovación

España llegó a la dirección de la AEPD en 2015 y su mandato se ha venido prorrogando, primero, por el adelanto y luego la repetición electoral de 2019. Después, por los desencuentros entre los candidatos a ocupar la nueva presidencia del organismo, cuyos nuevos estatutos ya publicó el BOE hace unos años.

Ante ello, la todavía directora de la AEPD asevera que no le corresponde juzgar y que por supuesto acataron la sentencia del Tribunal Supremo que declaró la nulidad del procedimiento. "La AEPD mantuvo una actitud imparcial, neutra y discreta" ante el debate que se generó en los medios.

Pero sí cree que "es bueno" que las instituciones se renueven. "Desde el minuto uno me puse a disposición. Mi mandato era de 4 años y pedí que no hubiera transitoria para que no se ampliara a 5. Por circunstancias lamentablemente ajenas a mi voluntad se ha acabado ampliando a 8, pero creo que la independencia de la AEPD está fuera de toda duda".

"Lo que sí puedo transmitir es un mensaje alto y claro. La AEPD sigue funcionando a pleno rendimiento, pero confiando en que su renovación se pueda producir en un plazo de tiempo relativamente corto".