La privacidad es un derecho fundamental (así lo dicen la Constitución y la carta de derechos de la UE) pero también uno de los más caóticos para los ciudadanos. No es fácil saber qué es legal y qué no con gente sacando y publicando fotos por todas partes, mirillas con cámara, coches que graban la calle, reconocimiento facial para fichar en la empresa, puertas de acceso con huella dactilar o bromas pesadas que usan los datos personales de otras personas.
Por eso uno de los premios de la Agencia Española de Protección de Datos (AEPD) de 2023 ha ido a parar a dos jóvenes abogados que intentan explicar este derecho en dos espacios a menudo reñidos con él: TikTok e Instagram. En esta entrevista Elena Gil (que ya lleva tres premios del regulador en diferentes categorías) y Eduard Blasi explican cómo es divulgar sobre privacidad desde la plataforma de una gran tecnológica y opinan sobre uno de los grandes debates del momento en esta área: el plan del Gobierno para controlar el consumo de pornografía por parte de niños y adolescentes y el proyecto de la AEPD para lanzar una app oficial que verifique la edad de todos los usuarios.
La protección de datos es un tema denso. ¿Cómo se adapta al formato de vídeos cortos de TikTok e Instagram?
Eduard Blasi: Es un reto muy grande, no únicamente comunicar en el lenguaje adecuado, sino condensar la información en 40 segundos o menos. No es algo que te enseñen en la carrera de Derecho. Pero se trata de eso: de hacer llegar un mensaje técnico y sin perder calidad a un público objetivo que no entiende o que no tiene una formación legal.
¿Qué temas son los que más interesan?
Elena Gil: En general hay dos grandes temas, que son inteligencia artificial y videovigilancia, especialmente mirillas digitales. También asuntos más tecnológicos y que en ese momento están en prensa, que suelen llamar la atención de la gente.
El hecho de que sea un tema complejo también hace que los bulos se extiendan con facilidad. ¿Desmienten muchos bulos?
Gil: No hemos desmentido bulos. Quizá podemos coger una noticia que puede estar generando confusión e intentar contextualizarla o explicarla, pero sin tacharlo de bulo. Recuerdo, por ejemplo, que se montó bastante lío en torno a unas alertas que nos llegaron en Madrid al móvil con el riesgo de inundaciones y que se hablaba de que nos vigilan el Gobierno. Entonces explicamos por qué esas alertas eran reales y no había una vigilancia del Gobierno, sin que el mensaje fuera en torno a la prensa o a que alguien está mintiendo. Nunca hemos querido enviar un mensaje de que alguien tergiversa la información y que nosotros somos la fuente a seguir.
Blasi: No actuamos como validadores de contenidos, sino que intentamos aportar rigor jurídico. Otro ejemplo reciente es en el sistema de verificación de edad de la AEPD, donde se estaba hablando de que vas a tener que dar tu DNI y te van a poder monitorizar. Nosotros intentamos aportar nuestro granito de arena explicando con evidencias de qué trata.
Sobre esto les quería preguntar. La iniciativa de la AEPD para verificar la edad de los menores ha pasado a centrarse solo en la pornografía, pero en realidad también serviría para impedir que los menores de 14 años accedan a las redes sociales, por ejemplo. ¿Qué les parece?
Gil: Sí, la gente se ha centrado en el porno pero serviría para muchas otras cosas, como las redes o los casinos online. El plan es muy ambicioso, pero comparte cosas que se están tratando para el proyecto de la cartera digital de identidad europea, que se basa en protocolos similares. Se trata de lograr estándares técnicos donde haya un proveedor que pueda validar información y que tú puedas compartir solo determinados atributos sobre ti. Por ejemplo, en el proyecto de la AEPD tú no vas a tener que compartir tu DNI, cuántos años tienes, ni ningún otro tipo de información con la web porno. Tú solo vas a compartir un atributo que es: mayor de edad, ¿sí o no? Eso es un protocolo muy privado y que ya se estudia en otros proyectos. Eres nacional de este país: ¿sí o no? Tienes permiso de conducir: ¿sí o no? Es un estándar de seguridad muy alto porque la información nunca abandona tu teléfono y tú mantienes la capacidad de compartir los datos que quieras. En un modelo más avanzado que el proyecto de AEPD como es el de la cartera digital europea, podría ser el punto de salida para poder identificarte en Internet mediante permisos. Por ejemplo, se podría compartir el atributo “mayor de edad” con una tienda online a la hora de comprar bebidas alcohólicas. Hay casos en los que esa identificación online se podría llevar al mundo offline. Eso es muy potente, pero también es muy ambicioso.
Blasi: Yo añadiría que esto es algo que emana de una norma bastante reciente, la directiva de Servicios Digitales [aprobada en la primavera de 2022]. Y que es una actuación que responde a un problema real. Los psicólogos han hablado de los problemas que el consumo temprano de pornografía está causando a los menores. Hay que hacer algo. Lo que ha propuesto la Agencia es algo nuevo, pero que no suena nuevo. Hemos visto aplicaciones parecidas con el certificado COVID o como decía Elena, con la cartera digital europea. Son modelos descentralizados en los que la información se almacena en el dispositivo del usuario, que es el modelo más proteccionista de todos. Al final se trata de eso, de que este tipo de información viaje con el usuario, no en un sistema centralizado en el que esta información se pueda usar para algo más, como ocurre en las plataformas ahora. Un modelo descentralizado con garantías permite esta validación anonimizada, muchos países están analizando cómo implementarlo y creo que puede ser acertado. Ahora, hay que hallar una solución técnica óptima, algo que tampoco es nada sencillo.
Esa es otra derivada: la solución técnica, sea cual sea, va a ser compleja. Podría implicar que cada usuario tuviera que instalar una app en cada dispositivo desde el que se conecte a Internet.
Blasi: Sí, hasta ahora la Agencia ha puesto encima de la mesa varias soluciones. Hablaron de hacer la validación vía QR, con una aplicación que podía ir o no con QR... Ahora mismo tampoco tienen encerrado el mecanismo, sino que están observando la forma de llegar a esto, que puede ser con una o con varias vías.
Gil: Aquí entramos en otro tema, y es que para verificar la edad tienes que verificar que el documento de identidad que te presentan es verdadero. Y que la persona no es un deepfake o no es una persona con una máscara. Entronca otra vez con el ámbito de la inteligencia artificial y qué cantidad de información va a tener que dar una persona para verificar que es quien dice ser y poder tener esa especie de identidad digital privada para salir a Internet. ¿Cuánto va a costar? ¿Quién va a pagar eso? ¿Va a ser un servicio público? ¿Van a ser las empresas las que lo paguen? No es nada sencillo y hay que tener en cuenta que cuando te arremangas con el proyecto para hacerlo realidad, van surgiendo problemas que en un primer momento no te planteaste.
Como abogados de protección de datos, ¿qué opinan de la existencia de tantos proyectos para identificar a la gente en todo momento en Internet?
Gil: Yo estoy dividida.
Blasi: Yo creo que identificación sí; identificación constante no. Lo que me chirría más es lo de constante. Al final lo que tenemos que intentar es que la gente tenga una conducta adecuada y que no se pueda escurrir bajo el anonimato para delinquir o cometer irregularidades en Internet. Pero todo control no implica una vigilancia, ya que hay medidas de control que son mucho menos intrusivas. Pero ese término constante es el que se asocia a vigilancia y lo que resulta muy problemático.
Gil: Habrá mucho que analizar. Hay una vertiente geopolítica, ya que la Unión Europea es mucho más restrictiva en cuanto a protección de datos que otras áreas del planeta. Luego hay que ver los casos de uso específicos: como sociedad, ¿vamos a creer que una persona no ve pornografía hasta los 18 años? La edad de los 18 años marca tantas cosas. Es un debate en el que yo estoy muy dividida. Con mi empresa trato cuestiones de blanqueo de capitales y veo usos muy útiles a la hora de facilitar que una persona se identifique online y no tenga que ir a una oficina. Al final se vuelve a lo de siempre en Internet: la cuestión es para qué se use la tecnología.
Volviendo a su canal, Techandlaw, ¿reciben muchas consultas de usuarios para resolverles dudas?
Gil: Sí, hay algunas que son sencillitas y hay quien plantea cuestiones que requieren un poco más de complejidad. Y luego hay gente que va muy perdida, que está enfadada porque no sabe muy bien si lo que le ha pasado es legal o ilegal.
Blasi: También nos piden mucho orientación en el campo. Personas que nos preguntan cómo se pueden especializar en derecho digital y que preguntan sobre másters, especializaciones, temas de certificaciones. Al final nos ven a nosotros como un perfil a seguir y estamos haciendo una mentoría en la sombra de determinadas personas.
¿Cómo es resolver esas dudas sobre privacidad desde la red social de una gran tecnológica, que en general son todo lo contrario a privadas?
Gil: Hay una parte que sí que puede llegar a ser un poco incoherente porque lo estás criticando. Pero hay otra parte: en realidad la crítica no es a la plataforma, es a la desproporcionalidad. En mi opinión sí puede haber una transacción de datos personales a cambio de un servicio digital que es útil, que nos da valor, que entretiene, que educa, lo que sea. La conclusión de la crítica quizá no es que hay que quemar Instagram, a lo mejor es que hay que regularlo para que el uso de los datos pueda existir, pero de manera proporcionada. Que no puedan ser utilizados para manipulación de la política como en el caso de Cambridge Analytica, o con restricciones para ciertos perfiles menores de edad.
Blasi: Yo opino que a veces es muy fácil culpar a la gran tecnológica. Evidentemente han cometido errores, errores muy graves, pero la mayoría de las empresas tecnológicas han intentado adaptarse, unas con más éxito, con mayor voluntad que otras, pero ha habido ciertos cambios. Muchas veces se culpa solo a la tecnológica cuando el usuario también tiene un deber de intentar informarse sobre determinadas cosas y tomar decisiones. Al final quien consiente es el usuario.
Gil: Yo en cambio soy muy contraria a poner la responsabilidad en el usuario. Creo que si un producto está ahí fuera no puede ser pernicioso por naturaleza. Que tiene que estar muy testeado, haber pasado controles.