- La conquista del feed
- Posts
- #2 Un relevo delicado
#2 Un relevo delicado
Alberto R. Aguiar
January 03, 2025 • Tiempo de lectura: 16 minutos
¡Feliz año! Ya tienes en tu buzón otra entrega de La conquista del feed. Si te gusta lo que lees, recuerda reenviar este correo para que más gente se suscriba con este enlace.
También puedes enviar ese enlace a tus amistades o compartirlo en redes. Me ayuda mucho, así que, ¡muchísimas gracias!
Recuerda que si tienes alguna pista puedes escribirme. Estoy en Mastodon, en Bluesky o incluso en LinkedIn.
En el número de hoy...
La Agencia Española de Protección de Datos busca jefe… y te afecta más de lo que crees
Cámaras de vigilancia. (Foto: Unsplash / Lianhao Qu)
Esta noticia pasó desapercibida por dos razones.
La primera y más evidente: la noticia llegó el 24 de diciembre, en los prolegómenos de la Nochebuena. En estas épocas los medios están a otras cosas.
La otra, quizá igual de evidente: los medios siguen estando a otras cosas cuando se trata de valorar la importancia de la protección de datos y de la privacidad frente a los modelos de negocio depredadores.
Mar España, directora general de la Agencia Española de Protección de Datos (AEPD), era cesada vía decreto del Consejo de Ministros. A pesar de eso, la confianza en ella era total. Fue nombrada al cargo por el primer Gobierno de Rajoy, en julio de 2015, a instancias del entonces ministro de Justicia Rafael Catalá.
En realidad, el mandato de Mar España caducó hace más de un lustro. Debió haber sido sucedida en 2019, pero una suma de factores lo hizo inviable. Hubo que esperar hasta 2021 para que un Gobierno de Pedro Sánchez presentara un real decreto con los nuevos estatutos de la Agencia. En ellos, se eliminaba la figura de directora general de la AEPD y se sustituía por una Presidencia y una Adjuntía.
Aunque fue nombrada directamente por un Gobierno del PP, Sánchez ha convertido algunos ejes estratégicos de la AEPD en cuestión de Estado, como por ejemplo la protección de los menores en entornos digitales (con una controvertida ley antipantallas trabajada por el Ministerio de Juventud e Infancia de Sira Rego junto a ministerios como el de Interior o el de Transformación Digital).
El cese, en realidad, responde al cansancio de la propia España. Ella misma explicaba el pasado 24 de diciembre que su cese coincidía con su solicitud de jubilación anticipada. Ya en 2022, cuando los nuevos estatutos de la AEPD hacía meses que habían visto la luz, la propia Agencia aclaraba que España no podría dejar el cargo hasta que se encontrara un sucesor o sucesora en sus funciones.
Un cese que llega casi cinco años tarde
En realidad ya hubo un intento para suceder a Mar España como directora de la AEPD a finales de 2021. La Agencia contaba con sus nuevos estatutos, pero PP y PSOE alcanzaron un acuerdo en 2021 para renovar varios magistrados del Tribunal Constitucional, al Defensor del Pueblo y a los consejeros del Tribunal de Cuentas. En la letra pequeña se incluyó renovar la AEPD.
¿El problema? Por entonces no se había iniciado el proceso para designar al presidente o presidenta y a su adjunto al frente de la AEPD, que contempla un proceso selectivo público al que cualquiera puede presentarse.
El Gobierno trató de salvar aquella papeleta abriendo a posteriori el proceso selectivo. Los estatutos también indican que es el Consejo de Ministros el que debe hacer después una propuesta al Congreso para que las Cortes voten y aprueben con una mayoría de tres quintos al nuevo presidente (o presidenta) de la AEPD.
De forma insospechada, el Consejo de Ministros aprobó entonces una propuesta que en realidad era una terna entre tres candidatos. El Gobierno propuso al Congreso que votara entre tres personas para liderar la Agencia: Belén Cardona (a propuesta del PSOE, con un adjunto, Borja Adsuara, a propuesta del PP); Ricard Josep Martínez y Leonardo Cervera, funcionario en el Supervisor Europeo de Protección de Datos.
Cervera cuestionó el proceso al considerar que nacía viciado de origen (en lugar de un nacer con la apertura de un proceso selectivo, lo hizo con un acuerdo entre PP y PSOE). Por esa razón lo recurrió y el Tribunal Supremo anuló el decreto del Gobierno con la terna entre tres candidatos, obligando al Gobierno a reiniciar todo este proceso selectivo.
Más de dos años después, el Gobierno está a punto de cerrar este capítulo. En octubre y noviembre de 2024 se constituyó el comité de selección para valorar el currículum, el perfil y la idoneidad de los postulados. A este proceso volvió a concurrir Leonardo Cervera, que medios y expertos situaron cerca de la órbita de Ciudadanos.
Pero el Gobierno no cuenta con Cervera. El Consejo de Ministros resolvió el 24 de diciembre, el mismo día en el que cesó a España, la propuesta que tendrá que aprobar el Congreso: el catedrático Lorenzo Cotino, como presidente de la AEPD, y Antonio Troncoso, como adjunto a la Presidencia. Las Cortes tendrán la última palabra.
Por qué te importa este baile de nombres
Lo que pasa en la AEPD te afecta. ¿Recuerdas como hace apenas un año la mayoría de periódicos digitales que visitas comenzaron a obligarte a aceptar las cookies o, en su defecto, a pagar unos céntimos para rechazarlas? Antes no era así, ¿verdad?
La historia tiene su miga y tiene que ver con una controvertida sentencia del Tribunal de Justicia de la Unión Europea sobre Meta. Sin entrar demasiado al trapo, esta idea de bombero (o tragas o pagas) fue validada por la propia AEPD con una guía hace unos meses, lo que animó a muchas empresas a ponerla en práctica.
Desde 2018, año en el que en la Unión Europea se empieza a aplicar el Reglamento General de Protección de Datos (RGPD), cada Estado miembro debe tener al menos una “autoridad de control” nacional. Ese es el papel que juega la AEPD.
Esas autoridades de control son las responsables de velar por el cumplimiento del RGPD en el territorio nacional. Muy (muy, muy) resumidamente: eso ha provocado un cuello de botella en Irlanda (la mayoría de las grandes tecnológicas están en ese país por sus tasas impositivas) que no ha empezado a desatascarse hasta hace nada.
Eso no quita que la AEPD haya jugado un rol clave en el contexto europeo. Bajo el mandato de Mar España, la agencia ha sido un modelo a seguir para el resto de autoridades europeas. Es la agencia que más multas ha impuesto en toda la Eurozona, aunque es la sexta según el valor de las multas.
Irlanda ha impuesto 30 multas, pero el valor de todas ellas supera los 3.500 millones de euros. España ha puesto 899 multas, pero el valor de todas ellas no llega a los 83 millones de euros.Esto no es extraordinario, claro: no es lo mismo multar a Facebook que multar a una comunidad de vecinos que ha puesto cámaras de vigilancia sin permiso.
Pero hasta en ese detalle lo que sucede en la AEPD te afecta a ti, incluso más allá de internet.
De hecho, piénsatelo si querías instalar una mirilla inteligente en tu puerta. La Agencia suele variar su criterio, pero la resolución más reciente sobre el tema (una de las últimas de 2024) es divertida: una persona denunció a su vecino ante la AEPD por haber instalado una en su puerta. La AEPD lo ha archivado porque en su respuesta, el vecino explicó que había instalado la cámara porque le ponían chinchetas en el felpudo.
Meter en cintura a las tecnológicas
Lo cierto es que los funcionarios de la AEPD han hecho en los últimos años un esfuerzo sobrehumano. La Agencia ha estado infrafinanciada en el último lustro. En España se han prorrogado en varias ocasiones los Presupuestos Generales del Estado. Ahí fuera, sin embargo, los desafíos seguían multiplicándose.
La propia Mar España avisaba antes de las elecciones generales de julio de 2023. El siguiente Gobierno tendría que atender a las demandas de la AEPD, advertía, porque el organismo estaba a punto de colapsar.
Este 2024 que ya dejamos atrás ha supuesto un punto de inflexión para la Agencia. A pesar del cuello de botella irlandés, la autoridad española no se amilanó contra Worldcoin, una iniciativa de Sam Altman (quien te sonará por ser el fundador y CEO de OpenAI, la compañía responsable de ChatGPT).
Worldcoin es un proyecto que persigue democratizar el blockchain y cimentar una renta básica universal cripto (no estoy de coña). Por eso, para acercar a todo el mundo a su token empezó a ofrecer unas monedas a cambio de que los usuarios se registraran… fotografiándose el ojo.
El resultado es el que te imaginas. Stands de Worldcoin en todo el mundo con colas de jóvenes y personas migrantes ofreciendo su ojo para recibir un token y después ir a un exchange para canjearlo en fiat (en euros, vamos). La AEPD llamó una mañana con urgencia a varios periodistas (ahí que fui) a una rueda de prensa en la que anunciaron que paralizaban de inmediato la actividad de Worldcoin en España.
Worldcoin se puso farruca, pero no hubo caso. Denunció a la AEPD de vuelta, pero hace escasas semanas se supo que la AEPD y la autoridad bávara de protección de datos (un organismo alemán, competente de investigar a Worldcoin) concluían que la entidad tendrá que eliminar los códigos resultantes de haber fotografiado el iris a miles de personas.
El caso contra Worldcoin (y la paralización de unas iniciativas de Facebook e Instagram sobre las elecciones europeas, también en verano de 2024) han sido un reflejo de cómo la propia AEPD está poniendo pie en pared contra prácticas predatorias de grandes tecnológicas.
Las preguntas que tocan: ¿es suficiente? ¿La AEPD puede seguir sola? ¿El RGPD se ha quedado obsoleto? ¿Qué va a hacer con todo esto en el futuro presidente de la AEPD a expensas de que lo apruebe el Congreso (si es que lo aprueba)?
Y si la Cámara no da luz verde, ¿qué será de la AEPD en una nueva fase de interinidad)
Una sucesión en un momento delicado
Cotino y Troncoso, los nombres propuestos para presidir la AEPD, tendrán que someterse a una votación en la Comisión de Justicia del Congreso de los Diputados. Ahí deberán reunir una mayoría de tres quintos con los votos favorables de más de dos grupos parlamentarios, según la ley orgánica de protección de datos.
Si no lo consiguen en primera votación, tendrán una segunda oportunidad, pero seguirán necesitando mayoría absoluta de la Comisión de Justicia.
Lo cierto es que el relevo de Mar España llega en un momento delicado. Un nuevo período de interinidad en la AEPD podría resultar fatal. El mercado de la IA generativa sigue creciendo voluptuosamente vulnerando derechos de creadores y artistas, pero también de usuarios que ven cómo sus datos personales pueden llegar a ser parte de todo un banco de datos para entrenar modelos.
De hecho, ChatGPT ya las ha tenido con la autoridad de protección de datos italiana, sin ir más lejos.
El reto es mayúsculo. Lo reflejan hallazgos como el de una base de datos vulnerable de Volkswagen. El medio alemán Der Spiegel publicaba a finales de 2024 un extenso reportaje titulado Sabemos dónde está tu coche y el título era, de hecho, riguroso: la base de datos filtraba la ubicación de más de 800.000 coches de la marca, incluyendo algo más de 80.000 coches de marca Seat.
Entre los datos filtrados: el nombre de los propietarios y datos de ubicación. Todo un compendio de información en el que es fácil descubrir dónde viven, trabajan, compran, juegan al tenis o llevan a sus hijos al cole miles de propietarios de un Vokswagen. Por no hablar de la información relativa a oficinas, embajadas o servicios de inteligencia.
Ya no es solo que las tecnológicas y las empresas en general puedan tener prácticas predatorias con tus datos personales. Es que en muchas ocasiones, de forma accidental, se producen cagadas negligencias que ponen tu privacidad en riesgo.
¿Estará preparada la AEPD del mañana para todo esto?
En breve…
La industria israelí que desarrolla programas espías para policías y gobiernos se está mudando a Barcelona, según una reciente información de Haaretz | Siguiendo con el spyware israelí, un juez halla culpable a NSO Group, la desarrolladora de Pegasus, de haber perpetrado un hackeo masivo a WhatsApp. The Guardian |
Desde finales del año pasado, en la UE todos los dispositivos electrónicos deben incorporar una clavija USB-C. Los portátiles tendrán que subirse al carro en 2026. RTVE | Entrevista en El País a la economista Cecilia Rikap, que investiga el monopolio “intelectual” y del conocimiento que aglutinan las grandes tecnológicas. |
¿Has oído hablar de Las Nenas? Yo tampoco, pero es una banda de tres mujeres… que resultaban ser dos personas con una IA. Más rancio que los Carmen Mola. elDiario.es | Sobre el ¿debate? de irse o quedarse en Twitter, os recomiendo este artículo de Judith Membrives, “Plantear un cambio de cultura digital colectivamente” en La Directa |
La extra: Las entidades que no contestan los correos
En el último número de La conquista del feed nos metimos hasta el fondo de la cocina diseccionando el real decreto en el que trabaja el Ministerio de Cultura sobre las licencias colectivas ampliadas, el instrumento legal que el equipo de Urtasun quiere importar a España para poner orden en el robo masivo que hace la IA de creaciones artísticas.
Para hacer aquel reportaje estuve intentando recabar la opinión de entidades de gestión de derechos de autor que por entonces no se habían pronunciado al respecto. En concreto, con la SGAE (músicos), con VEGAP (artistas plásticos) o CEDRO (editoriales y autores).
El Ministerio de Cultura sí respondió, tras mucha insistencia, y solo a las preguntas que consideraron. No se ha dicho todavía, por ejemplo, cuántas aportaciones recibió el borrador del decreto tras el plazo de audiencia pública.
A día de hoy ni SGAE ni VEGAP ni CEDRO han contestado a las preguntas de este boletín, pero sí han emitido un comunicado junto a otras entidades en las que reivindican su apoyo al proyecto del Ministerio. Dicen hacerlo en “representación de más de 180.000 autores, actores, artistas musicales, guionistas, directores, fotógrafos, pintores y escritores”.
Tan sorprendido como yo están hoy muchos de esos 180.000 “representados”, que denuncian desde hace días en redes sociales que estas entidades de gestión jamás les han consultado su opinión sobre el tema.
