Lorenzo Cotino (Valencia, 52 años) es, desde el pasado 26 de febrero, el nuevo presidente de la Agencia Española de Protección de Datos (AEPD). Sustituye a Mar España, que dejó el cargo por jubilación tras dirigir el organismo durante nueve años, cuatro más de lo preceptivo debido a la falta de entendimiento de PP y PSOE para acordar su sustituto. Doctor y licenciado en Derecho por la Universidad de Valencia, donde es catedrático de Derecho Constitucional, Cotino es autor de 14 monografías y coordinador de otras 26 relacionadas con la privacidad, la protección de datos y la transparencia.

Cotino asume las riendas del organismo en un momento en el que se están desplegando normativas para regular el uso de la inteligencia artificial (IA) que atribuyen a la AEPD nuevas competencias en este terreno. “Nosotros somos, hemos sido y vamos a seguir siendo la autoridad responsable respecto de todo tratamiento de datos con IA”, dice Cotino a EL PAÍS en la primera entrevista que concede tras su nombramiento.

Pregunta. ¿Cuáles serán las líneas maestras de su mandato?

Respuesta. Nos vamos a centrar mucho en las tecnologías disruptivas, básicamente en la IA. Este es un tema que va a ser central porque la sociedad está cambiando con esta tecnología. De los datos ya hace mucho que se dice que son el petróleo del siglo XXI, pero en Europa no acabamos de extraer ese valor, entre otras cosas porque hay que hacerlo protegiendo los datos personales. Intentaremos que se pueda avanzar ahí. Luego, hay un tema que también sabemos que puede eclosionar, que son las tecnologías cuánticas. No es nuestro objeto central, pero debemos estar preparados. Y, por supuesto, hay otros asuntos que en esta casa han sido muy exitosos, como la privacidad y protección de datos de los menores.

P. ¿Cómo enfocan esta cuestión, la protección de los menores, que fue central para su antecesora en el cargo?

R. Vamos a reorientar el foco. Los menores obviamente son muy importantes, pero tenemos que ampliar el espectro, porque ahora los vulnerables ya no son solo ellos, los mayores o las personas con discapacidad, sino que la IA va generando nuevos colectivos de afectados. Es lo que llamamos vulnerabilidad digital.

P. ¿A qué se refiere exactamente con vulnerabilidad digital?

R. Es un término nuevo, que aparece hasta 27 veces en el Reglamento Europeo de IA. Hoy en día, los colectivos tradicionalmente vulnerables ya no son los únicos que pueden ser víctimas de impactos en sus derechos motivados por la IA. Seguiremos fijándonos en ellos, pero también vamos a intentar descubrir dónde hay nuevos colectivos perjudicados por la tecnología, como por ejemplo ciertas agrupaciones profesionales, para intentar, en la medida de nuestras competencias, ver qué mecanismos preventivos podemos desarrollar. Hay entornos, como la salud, la asistencia o el uso de medios digitales, que pueden ser especialmente problemáticos. Deberemos recurrir a nuevas técnicas para garantizar derechos, como puedan ser sistemas de evaluación de impacto de las herramientas de IA antes de lanzarlas al mercado.

P. La AEPD cuenta con una plantilla de 228 profesionales. ¿Es suficiente para afrontar las tareas de supervisión de IA que les encomienda el anteproyecto de ley de IA?

R. La realidad es que ganas tenemos todas, pero capacidades las tenemos limitadas. El crecimiento de todos estos temas viene desde hace 30 años. La bola de nieve que supone la protección de datos en el entorno tecnológico no para de crecer. Si encima nos añaden nuevas atribuciones, pues literalmente vamos a necesitar crecer, porque si no no podremos dar respuesta a algunas de las cosas que se nos exigen.

P. ¿Ha logrado algún compromiso para ampliar plantilla?

R. Yo llevo aquí un mes y puedo decir que este es un tema capital en el que estamos actuando en las instancias oportunas. Estamos intentándolo, de momento tratamos de que se nos tenga en cuenta.

P. En caso de que no se reforzara la plantilla, ¿ve factible desarrollar las responsabilidades que les atribuye el anteproyecto de ley?

R. Ganas no nos faltan. Con lo que haya, haremos frente a nuestras obligaciones en la medida de nuestras posibilidades.

Es muy difícil que un ciudadano pueda cuestionar si se están tratando bien sus datos con IA si no sabe que existes esos sistemas

P. ¿Podría avanzar alguna actuación prevista en el terreno de las nuevas tecnologías?

R. Somos la autoridad de control en materia de tratamientos de datos con IA, y ese sigue siendo nuestro núcleo duro. Tenemos que actuar como hasta ahora: centrándonos en la prevención, la evangelización, en hacer ver a la sociedad que hay muchos usos de la IA que son una maravilla, pero que también tiene una cara B que hay que tener en cuenta. Desde un punto de vista más práctico, puede no resultar nada fácil para una startup o para una pequeña o mediana empresa cumplir el Reglamento General de Protección de Datos en materia de IA. Tenemos que acompañarles sacando guías y notas técnicas.

P. Estos días, un grupo de colectivos de la sociedad civil ha pedido que se haga una especie de registro de algoritmos públicos que puedan incidir sobre la vida de los ciudadanos. ¿Le parece una buena iniciativa?

R. He publicado dos libros sobre transparencia algorítmica y dos guías sobre cómo implantar los registros de algoritmos públicos. Tenemos una primera experiencia en la Comunidad Valenciana, donde se aprobó una de las primeras leyes de Europa sobre registros de algoritmos públicos. Creo que sí, la Ley de Gobernanza de Inteligencia Artificial debería tener en cuenta estos mecanismos. Es muy difícil que un ciudadano pueda cuestionar si se están tratando bien sus datos con IA si no sabe que existen esos sistemas que se están utilizando en salud, en educación, para resolver subvenciones públicas o en temas de seguridad.

P. ¿Qué le parece el proyecto de ley orgánica para la protección de personas menores de edad en los entornos digitales? ¿Cree que los derechos de los niños quedan bien protegidos con esta normativa?

R. La agencia ha participado en comités de redacción de esta normativa y elaborando una serie de informes previos. Creo que en general es una mejora.

P. El texto obliga a verificar la edad de los menores. El desarrollo de la herramienta de verificación no es competencia suya, sino del Ministerio de Transición Digital y Función Pública, aunque la agencia colabora en el proceso. ¿Ha habido algún avance?

R. No le puedo hablar del desarrollo de la herramienta porque no lo hacemos nosotros. Pero sí le puedo decir que el Comité Europeo de Protección de Datos ha establecido en enero de este año una opinión de los mecanismos de verificación de edad que casa con nuestra idea. Esa opinión europea, que ahora ya es para los 27 Estados miembros, ha seguido esencialmente los criterios de España.

P. Su antecesora en el cargo, Mar España, dijo en una entrevista en este periódico que no tendría que haber pantallas en las escuelas para niños menores de seis años. ¿Considera correcta esa línea roja?

R. Creo que no es misión de la agencia determinar cuestiones que no estén directamente centradas en temas de privacidad y protección de datos. Dicho esto, parece que hoy por hoy se está demostrando que realmente se generan daños, que esperemos que no sean irreparables, por el uso de pantallas antes de los seis años. Sí que es asunto de la agencia detectar que alguna red social utiliza algún algoritmo que genera pautas adictivas. Eso sí está muy relacionado con el daño que hacen las pantallas a los menores.

Hay preocupación con EE UU. Nos llega que la Casa Blanca está vigilando qué se hace desde Europa también en materia de protección de datos

P. La agencia presentó el año pasado un informe precisamente sobre los patrones adictivos de algunas aplicaciones, y anunció que se estaba investigando a algunas empresas sobre eso. ¿Ha habido alguna evolución en esa investigación?

R. No puedo comentar nada sobre expedientes que lleve la agencia en el marco de su función de inspección y sanción.

P. 23andme, empresa a la que la AEPD le abrió un expediente el año pasado, se acaba de declarar en quiebra. ¿Los datos genéticos de sus clientes españoles están a salvo?

R. Como ha dicho, hay expediente abierto, por lo que no podemos comentarlo. Pero es cierto que se ha generado cierto revuelo porque es una empresa que maneja ni más ni menos que datos genéticos. Vamos a intentar ver realmente cuánto impacto puede tener en España, de cuántas personas estamos hablando, y, si es que la empresa llega a desaparecer, veremos en qué situación quedan sus datos. Se va a hacer todo lo posible para que se cumpla la normativa europea, que incluye en su caso la supresión de datos y vigilar si hay una cesión por una sucesión de empresas.

P. La compañía es estadounidense. ¿Hasta qué punto dificulta estas gestiones la actitud beligerante con Europa del actual presidente de EE UU?

R. Lo que hay es preocupación. La protección de datos es muy importante, pero quizás no esté en el ojo del huracán del problema geoestratégico y geopolítico que hay actualmente, que se está centrando más en otra normativa como es la Ley de Servicios Digitales, que afecta a las plataformas. No obstante, nos llega que el gobierno de Estados Unidos está, entre comillas, vigilando qué se hace desde Europa también en materia de protección de datos. En este sentido, nosotros somos una agencia muy pequeña, pero las 27 autoridades de protección de datos no somos tan pequeñas. Tenemos que estar más unidos que nunca para reaccionar e intentar hacer valer el cumplimiento de la normativa europea.