Europa lleva años inmiscuida en debates regulatorios tecnológicos, consciente de que se ha quedado atrás en la pugna por la innovación que lideran potencias como EEUU o China. El delicado equilibrio está en juego, y Bruselas ha conseguido que con múltiples normas que las grandes empresas empiecen a tomarse en serio cómo se debe operar en el mercado del Viejo Continente.

Ha costado lo suyo, eso sí. El Reglamento General de Protección de Datos (RGPD) entró en plena aplicación hace exactamente seis años, y algunos debates continúan vivos. El último lo ha forzado Meta aprovechando una sentencia del Tribunal de Justicia de la Unión Europea (TJUE) del año pasado, que habilitó su modelo paga o traga para seguir extrayendo datos de sus usuarios.

El RGPD no es la única herramienta con la que se han dotado las instituciones comunitarias y los Veintisiete para poner orden en el mercado tecnológico regional. 

En febrero y marzo también entraron en aplicación el Reglamento de Servicios Digitales y el Reglamento de Mercados Digitales. Invocándolos, Bruselas ya ha iniciado media docena de procedimientos contra firmas como Google, Meta, Apple, TikTok, X...

En 2026 será el turno del Reglamento de la IA. Mientras la norma supera los últimos flecos de su tramitación legislativa, es de esperar que la ley entre en vigor transcurridos unos días desde que se publique en el Diario Oficial de la Unión Europea. Sin embargo, para ver a la ley funcionar a pleno rendimiento habrá que esperar dos años, al menos hasta 2026.

Con este contexto, el abogado especialista en derecho digital, Borja Adsuara, compartió sus impresiones —y preocupaciones— con respecto al régimen sancionador de tanto el RGPD como del Reglamento de IA. Su opinión es perfectamente resumible en una locución latina de Juvenal. Quis custodiet ipsos custodes? ¿Quién vigila a los vigilantes?

La pesadilla de Meta continúa: qué opciones tienen Facebook o Instagram ante el último mazazo europeo sobre protección de datos

Ese es el título que tuvo la charla que el propio Adsuara dio en la RootedCON de este año, a la que pudo asistir Business Insider España. Con el RGPD en la mano se han impuesto en toda la Unión Europea multas multimillonarias. Algunas ya históricas. Por ejemplo, la que recibió Meta a mediados del año pasado: 1.200 millones de euros.

Sin embargo, cuando la infractora del RGPD no es una empresa privada, sino que es una Administración Pública, no se impone ninguna multa. La Agencia Española de Protección de Datos (AEPD) cursa el procedimiento y apercibe a la institución en concreto.

Se pudo ver en 2022, cuando la Guardia Civil se llegó a negar el procedimiento por el que se notificaba la suspensión de las licencias de armas de algunos de sus agentes cuando estos eran expedientados. El procedimiento implicaba la difusión ilícita de datos personales de los agentes. Ese mismo año, la AEPD también expedientó a varios ayuntamientos.

Antes esos procedimientos concluían con un apercibimiento. "Pero un apercibimiento es lo que te dicen antes de que te vayan a multar: en estos casos no van a multar". Ahora los procedimientos terminan con resoluciones. 

En España llevan sucediéndose leyes en materia de protección de datos desde hace más de 30 años, no ha habido que esperar a que Europa alumbrara el RGPD para ver textos que regularan cómo operadores tanto públicos como privados debían abordar la privacidad y seguridad del dato de clientes y ciudadanos.

En 1992 nació la ley de regulación del tratamiento automatizado de datos personales, la LORTA. En el 99 fue sucedida por una incipiente ley de protección de datos. En 2018, tras la entrada en vigor del RGPD, apareció en España la ley de protección de datos personales y garantía de derechos digitales, la vigente.

En todos estos años, Adsuara no ha conocido "ni un solo expediente disciplinario a un funcionario o a una autoridad pública por haber hecho un mal tratamiento de datos", enfatizó el abogado en la charla.

"¿Cuánto se está invirtiendo para preservar los datos de los ciudadanos? Si una empresa no toma las medidas adecuadas en materia de ciberseguridad se la carga. ¿Tiene la Administración Pública algún incentivo para hacerlo? Lo primero que hará el cargo político será preguntar qué pasa si no cumple", reprochó el experto, quien considera que así "se desincentiva la inversión en ciberseguridad".

De hecho, Borja Adsuara lo tiene muy claro. "Si yo fuera el abogado de un funcionario a quien quisieran sancionar por haber hecho mal las cosas, lo que diría es que no le han dado formación".

"Había un argumento hábil, el de que las multas, si se impusieran a las Administraciones, las pagaríamos entre todos. Pero es una falacia: la pagaría el organismo con su presupuesto y tendría que explicar por qué ha podido ejecutar menos del que le correspondía".

Así las cosas, Adsuara se preguntaba cómo el Estado puede exigir "más a la más pequeña de las pymes: que cumpla el RGPD o si no se le caerá el pelo, mientras que si lo incumple la Administración... nada". "Lo bueno de las multas es que te sacan los colores y te sacan también los papeles".

La incógnita: cómo se desarrollará el Reglamento de la IA en España

En la Unión Europea hay un organismo llamado Supervisor Europeo de Protección de Datos (EDPS, en sus siglas en inglés) que funciona como la AEPD de las instituciones comunitarias. Si algún organismo público europeo incumple el RGPD, el EDPS tiene la potestad de sancionar. Le pasó al Parlamento Europeo en 2022, al que le sacaron los colores por vulnerar el RGPD.

Pero a las instituciones comunitarias no se le aplica en sí el RGPD, sino un reglamento hermano que se interpreta de manera similar y que data de 2018. En ese reglamento se faculta al EDPS con la capacidad de sancionar con multas de hasta 250.000 o 500.000 euros al año, en función de la gravedad de la infracción.

Para el resto de casos, aplica el RGPD que deja en manos de los Estados miembros la posibilidad de establecer "las normas en materias de otras posibles sanciones aplicables".

De momento no se conoce si la Unión desarrollará otro reglamento paralelo a la hora de aplicar el Reglamento de la Inteligencia Artificial. Lo único que está claro es que en ese mismo reglamento, de inminente aprobación definitiva, faculta al EDPS a imponer "multas administrativas a las instituciones, agencias y organismos de la Unión".

Sin embargo, el texto definitivo del Reglamento de Inteligencia Artificial también dispone lo siguiente: "Cada Estado miembro establecerá normas que determinen si es posible, y en qué medida, imponer multas administrativas a autoridades y organismos públicos establecidos en dicho Estado miembro". Todo vuelve a estar en el tejado de España.

Adsuara se aferra a que en el mismo Reglamento de IA se faculta al EDPS a imponer sanciones a instituciones europeas, con lo que el desarrollo legislativo que se lleve a cabo en España podría dejar esa puerta abierta. "Lo lógico es que en España la AEPD también pudiera multar a las Administraciones Públicas".

"Luego diremos que en Europa respetamos los derechos fundamentales y que nos diferenciamos de China por el buen uso que hacemos de la inteligencia artificial. La Comisión insiste en que quiere una IA en la que se pueda confiar y que esté centrada en el ser humano", enfatizaba Adsuara en su intervención.

En los últimos años hay un titular recurrente en la prensa española. "Hacienda ya utiliza la IA para detectar fraudes". La propia Agencia Tributaria reivindicó hace años la implementación de herramientas tecnológicas para perseguir a posibles defraudadores, precisamente cuando estalló la polémica por la mudanza de varios influencers al Principado de Andorra.

"¿Quién va a estar en contra...?", se preguntaba el abogado, "¿... De utilizar Big Data e IA para intentar detectar fraudes?".

Pero algunos negocios ya están recibiendo cartas. "Hemos detectado que está tributando por debajo de la media de su zona geográfica y de su sector, le invitamos a regularizar su situación con una complementaria o se le hará una inspección", recitaba el especialista.

"También se está llevando a la Inspección de Trabajo y ya hay inspectores criticándolo porque les están reemplazando".

Con lo que, a la vista de los hechos, Adsuara se hizo así mismo la pregunta que sobrevoló durante su charla el escenario. "¿Quién vigila a quién nos vigilan?". "La respuesta es: nosotros".