“Nunca tendremos una situación en la que la privacidad y los datos sean protegidos de forma correcta”. Wojciech Wiewiórowski no se esconde. Este jurista polaco (Łęczyca, 1971), nombrado en 2019 Supervisor Europeo de Protección de Datos (EDPS por sus siglas inglesas), arranca así la entrevista que concede a EL PAÍS aprovechando su visita oficial a Madrid. Parte de la base de que su tarea, velar por que la UE garantice la intimidad de los ciudadanos, es por definición una quimera. “Las nuevas tecnologías cambian muy deprisa el contexto en el que nos movemos. La covid ha acelerado muchos procesos de digitalización, y con ellos las amenazas potenciales a la privacidad”, añade a modo de introducción.
La oficina de este euroburócrata goza de independencia dentro del complejo entramado institucional comunitario, pero carece de poderes ejecutivos. Emite informes y asesora a la Comisión, al Consejo y al Parlamento Europeo. Cuando se ideó el puesto, allá por 2004, se antojaba como un destino relativamente tranquilo. El crecimiento exponencial de la cantidad de datos que compartimos desde entonces ha convertido al EDPS en una figura clave dentro de la estrategia digital europea. Con mandato hasta 2024, Wiewiórowski opina que la tarea de la Unión es conseguir que los ciudadanos europeos puedan sentir que se hace un trato seguro de sus datos.
Pregunta. ¿Cree que la UE está dotada de los mecanismos y leyes correctas para asegurar la privacidad de los ciudadanos?
Respuesta. Las leyes suelen tardar años en aprobarse. Según vayamos solucionando los problemas que tenemos irán surgiendo nuevos. La inteligencia artificial y otras tecnologías abren nuevos frentes cada día. En cualquier caso, creo que la ley no debería ser la herramienta para desarrollar las soluciones, sino para establecer los límites.
P. En primavera se cumplirán cuatro años de la entrada en vigor del Reglamento General de Protección de Datos (RGPD). ¿Qué balance hace de esta normativa?
R. Yo diría que el mayor desafío es que se aplique de forma adecuada. Creo que no hay necesidad ahora mismo de reformarlo. Pero tenemos que evaluarlo y hay cosas que no se parecen a lo que esperábamos.
P. ¿Como cuáles?
R. Todavía no tenemos los códigos de conducta a nivel europeo. Se está dejando que los desarrollen las propias empresas porque se decidió que la autorregulación podría ser suficiente. Eso fue algo optimista, diría yo. Lo que todavía no tenemos tras estos años, y es una decepción, es una certificación, unos sellos europeos que garanticen que un producto o servicio determinado aplica nuestra normativa de privacidad. Fui escéptico sobre esto desde el principio: los sellos de calidad funcionan bien en el hardware, pero es muy difícil con el software, que se está actualizando continuamente.
P. Las empresas tecnológicas recopilan todo tipo de datos de los internautas por defecto. ¿No sería más práctico que tuvieran que preguntar antes?
R. El RGPD establece que tienes que saber para qué se recopilan los datos desde el mismo momento en que empiezas a hacerlo. Ese es el enfoque en Europa, a diferencia de EE UU o Asia. Los representantes de Google me dijeron hace unos años que este probablemente sea el mayor crimen de la historia de la humanidad porque los datos que captan, argumentan, los necesitaremos, pero todavía no sabemos para qué. No estoy de acuerdo con ellos.
P. Las tecnológicas pueden conocer fácilmente nuestra ideología política, nivel de renta u orientación sexual rastreando nuestra huella digital. ¿Cómo hemos llegado hasta aquí?
R. Hay una respuesta legal: puedes pedir a las empresas que te digan todo lo que saben de ti y luego solicitar que borren información. El problema es que el 90% de la gente no tiene el tiempo o el conocimiento para hacerlo. Por eso es mejor asegurarse de que sepamos el propósito con el que se recogen nuestros datos. Sucede lo mismo con los aviones: no necesitas construirlo tú mismo, ni saber cómo consiguen volar. Simplemente confiamos nuestras vidas al piloto del avión porque estamos convencidos de que es seguro. Eso es lo que debería pasar con la protección de datos.
P. Lo que usted y su equipo hacen afecta directamente a la actividad de las mayores empresas del mundo. Y los gobiernos pueden ponerse de perfil si hay problemas.
R. Me siento cómodo hablando de luchas imposibles en el país de Don Quijote [se ríe]. Dicho esto, a las instituciones cada vez les preocupa más este tema y las propias empresas saben que necesitan ganarse la confianza del público. Nos queda mucho camino, pero hemos mejorado. ¿Debemos tratar de que la gente no coja el coche borracha? Por supuesto. ¿Lo conseguimos con un 100% de efectividad? No, y por eso hay que seguir haciendo campañas y tomando medidas disuasorias. Es importante recordar que no protegemos los datos, sino a las personas sobre las que tratan esos datos. Estamos hablando de información sobre mí, sobre usted, sobre nuestros hijos. Los países que decidan no proteger la privacidad de los datos personales pueden acabar como China, donde hay un sistema de crédito social. No estamos tan lejos de ellos. Muchos ayuntamientos dicen que quieren saber todo lo que hagan sus ciudadanos para diseñar mejores servicios. Eso es lo mismo que dice Pekín.
P. ¿Se sienten respaldados por el resto de instituciones de la UE?
R. La Comisión sigue nuestra línea de argumentación, lo cual nos hace felices. Respecto al Consejo y a los estados miembros, cuando hablamos de protección general de datos tenemos buen apoyo de los gobiernos; no es tan sencillo cuando tratamos los derechos de la gente frente a los cuerpos de seguridad.
P. ¿Cómo valora el trabajo de la Agencia Española de Protección de Datos (AEPD)?
R. Tiene muy buena reputación. Por su actividad y porque quieren contribuir a moldear lo que pasa en Europa.
P. Se suele decir que Irlanda, país en el que tienen sede Facebook, Google, Apple o Microsoft, hace de cuello de botella de las normativas de privacidad europeas. ¿Está de acuerdo con esa afirmación?
R. No. El problema de Irlanda tiene tres niveles. El primero es que, siendo un país pequeño, concentra más del 60% de las grandes compañías tecnológicas. El segundo, que el procedimiento administrativo irlandés es muy distinto al del resto de países de la UE. Ellos por ejemplo no tienen fecha límite en los procedimientos. Y el tercero es que la autoridad de protección de datos irlandesa es muy cuidadosa de no cometer errores de forma porque son conscientes de que si se equivocan en alguno de los casos contra las big tech pueden echarlo todo por tierra.
P. ¿Le preocupa la proliferación de sistemas de reconocimiento facial?
R. Nuestra postura es que los dispositivos remotos de identificación biométrica no deberían usarse en espacios públicos. Puedo entender que haya sitios donde tenga sentido usarlos, como en los escáneres de pasaportes, siempre que las imágenes tomadas a los ciudadanos se traten con las salvaguardas necesarias. También hay lugares y momentos en los que, por motivos de seguridad, puede ser necesario reconocer a todo el mundo, como en las fronteras de la UE. Pero no veo esa necesidad en un espacio público. Si permitimos que se pueda usar en una cafetería cambiaremos la sociedad porque dejaremos de ser anónimos.
P. ¿Qué opina del metaverso?
R. Tenía previsto reunirme con Nick Clegg [máximo responsable de comunicación de Meta] para hablar sobre ello, pero la situación de la pandemia hizo que cancelásemos el viaje a EE UU. No tengo nada contra la tecnología. Soy usuario de Facebook, no me importa decirlo. No estoy diciendo que el metaverso sea algo malo antes de que exista, pero desde luego habrá que observarlo detenidamente y preguntarse qué sucede ahí y cómo funciona desde el punto de vista de la privacidad.
Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.