Mar España Martí, directora general de la Agencia Española de Protección de Datos, participó la semana pasada en Calamocha en las Primeras jornadas de Protección de Datos, Transparencia y Ciberseguridad, organizadas por la Asociación Aragonesa de Delegados de Protección de Datos.

¿Cómo está la protección de datos? ¿Se trata de un mundo nuevo por descubrir?

No, no. Se va avanzando. En Aragón ya hay 2.808 delegados de protección de datos que han sido comunicados a la agencia, una tercera parte de ellos del sector público y el resto del sector privado. Creo que es un buen paso, como es otro buen paso la celebración de unas jornadas sobre el tema en Calamocha y Andorra. La agencia está para acompañar y facilitar la aplicación de una normativa que no es nada sencilla.

¿Queda mucho por hacer en el campo de la protección de datos?

La verdad es que sí, ya que se trata de un campo en el que se aprende continuamente. Se tiene que aplicar la normativa de protección de datos y la privacidad desde el mismo diseño, desde que comienza el ciclo de tratamiento. Y todo esto va cambiando a ritmo vertiginoso. Todas las administraciones públicas y las empresas privadas están utilizando inteligencia artificial y vamos aprendiendo todos juntos, también la Agencia Española de Protección de Datos.

Casos como Pegasus, de espionaje a políticos españoles a través de una aplicación que se introducía en sus móviles, ¿se puede evitar con técnicas de protección de datos?

El caso Pegasus no tiene nada que ver con la normativa de protección de datos, porque la ley que regula las actividades del Centro Nacional de Inteligencia establece que todas sus actividades son materia clasificada. Eso es algo ajeno a las competencias de la agencia.

"Cuanto más se apliquen medidas técnicas, organizativas y de ciberseguridad desde el diseño en una organización, mucho más fácil será tener más robustez a la hora de enfrentarnos a un ataque"

Cada día se registran cientos de ciberataques a los equipos informáticos y otros dispositivos de las agencias y particulares. ¿Puede corregirse con una aplicación estricta de la normativa?

Claro, cuanto más se apliquen medidas técnicas, organizativas y de ciberseguridad desde el diseño en una organización, mucho más fácil será tener más robustez a la hora de enfrentarnos a un ataque. Todos estamos expuestos, en el ámbito individual como en el de las entidades, con intentos de ataques de phishing, de ransomware… Pero cuanto más robustas sean las medidas implantadas, más difícil se lo ponemos a los delincuentes.

¿Qué es lo más esencial en materia de prevención para evitar sufrir ciberataques?

Primero cumplir todos los criterios que dé el delegado de protección de datos, que tiene que ser una figura diferenciada del responsable de seguridad. Y, por otro lado, hemos publicado 100 guías y herramientas con recomendaciones en materia de seguridad, que se deben tener en cuenta.

En España ha habido sanciones por este problema a empresas como Google y La Caixa.

Las sanciones se impusieron por motivos diferentes. Uno era por la política de privacidad, en el caso de La Caixa, por cómo la estaban aplicando en la práctica, y otro, en lo que se refiere a Google, por una aplicación relacionada con el derecho al olvido.

Muchos ciberasaltos se producen desde el Este de Europa. ¿Dificulta esa lejanía su detección?

No, ya que la gran ventaja que tiene el reglamento existente, del que todos tenemos que estar orgullosos, es que se aplica a cualquier ciudadano que viva en Europa con independencia de dónde se esté produciendo ese ataque o ese tratamiento. Es decir, se aplica a las empresas en China, en Japón o en Latinoamérica si están ofreciendo bienes y servicios a ciudadanos que están en Europa. Por eso, en ese sentido estamos mucho más protegidos.

¿Hay colaboración público-privada en la protección de datos?

Siempre hay cosas en común y siempre es importante fortalecer la colaboración público-privada. Pero el ámbito público debe tener su propia estrategia sobre la forma en que desea realizar el tratamiento de datos de los millones de ciudadanos que viven en nuestro país.

¿Qué papel desarrolla la entidad Incibe en el esquema de las seguridad frente a los delitos informáticos?

El Incibe es una empresa que trata de garantizar la seguridad en las empresas privadas. Nosotros colaboramos mucho con ellos y hemos hecho una guía sobre seguridad en Internet y en las redes sociales. Pero nosotros, que somos una autoridad independiente, garantizamos un derecho fundamental que va mucho más allá de la seguridad. La seguridad es una pata de la mesa. Pero si no tenemos en cuenta la privacidad desde el diseño, por defecto, y todas las medidas técnicas y organizativas, la seguridad se cae. De hecho muchas veces sancionamos a entidades que tienen unas medidas de seguridad buenas, pero en las que no se puede decir lo mismo de su política de privacidad.

¿Qué es lo que más preocupa en la actualidad en materia de seguridad en el ciberespacio?

"En el mundo digital y en internet se puede tener la misma responsabilidad civil, penal o administrativa que puedes tener cuando conduces un coche y matas a alguien"

Estamos haciendo hincapié en que la gente sepa que en el mundo digital y en internet se puede tener la misma responsabilidad civil, penal o administrativa que puedes tener cuando conduces un coche y matas a alguien. Es decir, el uso responsable de las fotos y de los vídeos en internet y las redes sociales. Y por eso lanzamos un canal prioritario con el que conseguimos que datos muy sensibles, como los de carácter sexual o ciberacoso se retiren gratuitamente si se acude a la agencia, en un plazo de 72 horas. Y estamos evitando suicidios La gran misión de la agencia es proteger a las personas en el mundo digital. Aparte de las cláusulas de protección de datos, por las que todo el mundo nos conoce, estamos para ayudar a las personas en un mundo cada vez más digitalizado.

Al tratarse de un campo tan técnico, la agencia debe de realizar una gran labor pedagógica...

Como organismo supervisor y regulador resulta muy importante nuestro compromiso y nuestra responsabilidad social y por eso estamos acompañando a los responsables públicos y privados. Recomiendo que se visite nuestra página web, aepd.es, y allí, en áreas de actuación, está todo lo que estamos haciendo. De hecho, durante este mandato hemos puesto a disposición de las empresas y administraciones públicas casi 100 guías y herramientas para facilitar el cumplimiento de las normas y que todos nos ayuden a difundir que tiene que haber tolerancia cero contra la violencia digital. Y si conocemos algún caso de difusión de vídeos y de imágenes de contenidos especialmente sensibles que no haya miedo y se acuda al canal prioritario de la agencia. Es gratis y el único en el mundo puesto en marcha por una autoridad nacional y estamos consiguiendo la retirada de contenidos en el 90% de los casos, en un plazo muy breve.