Lorenzo Cotino (AEPD): "No llegamos tan lejos como China o EEUU, pero aquí va a haber reconocimiento facial en espacios públicos y eso necesita garantías"
El presidente de la Agencia Española de Protección de Datos muestra su preocupación en El HuffPost porque no se cuente lo suficiente con la AEPD en el nuevo Proyecto de Ley Orgánica de Gobernanza de la IA.
Hace cinco años Europa parecía irremediablemente avocada a un futuro distópico en el que la norma sería la vigilancia biométrica. Las cámaras en establecimientos y calles incorporarían sistemas de reconocimiento facial y los modelos algorítmicos prescribirían nuestro comportamiento ante las autoridades. Contra muchos pronósticos, los Veintisiete forjaron el acuerdo y el Reglamento de Inteligencia Artificial se hizo realidad.
Sin embargo, esta batalla no se ha ganado de manera definitiva. Y quien lanza esa grave advertencia no es un cualquiera. Lorenzo Cotino, presidente de la Agencia Española de Protección de Datos (AEPD), comparte en una entrevista con El HuffPost que efectivamente estamos "en una zona del mundo en donde eso se está conteniendo". "Pero no diría mucho más que conteniendo", abunda.
La AEPD es la máxima autoridad nacional en materia de protección de datos. Aunque el Reglamento General de Protección de Datos (RGPD) cumple diez años en 2026, el órgano, una institución independiente, ya ha cumplido 25 años cultivando una cultura de la privacidad y velando por los derechos fundamentales "que emanan" de toda ella. Pero no se puede dar todo por hecho, incide Cotino durante la conversación.
"Hay otras regiones del mundo, tanto democráticas como no democráticas, en las que los sistemas de reconocimiento facial están generalizándose", asevera. "No deberíamos relajarnos mucho". En ese sentido, Cotino, que llegó a la Presidencia de la AEPD el año pasado y es catedrático de Derecho Constitucional, apunta a que el vigente Reglamento de la IA y la futura legislación española "dan una cobertura muy amplia a estos sistemas de reconocimiento facial".
No es algo malo per se. Hay casos de uso que pueden optimizar cuestiones procedimentales, recuerdan los expertos. Sin embargo, desplegar una tecnología tan crítica como esta requiere también de que haya quien vigile que todo se haga con ajuste a la ley.
"En la AEPD estamos preocupados"
El Consejo de Ministros aprobó a finales de mayo el Proyecto de Ley Orgánica para el buen uso y la gobernanza de la inteligencia artificial, que ya encarrila su tramitación parlamentaria. Y la sociedad española "debería reflexionar" al respecto, "justo ahora en un proceso legislativo como el que estamos". "Ser conscientes de que aunque no se está llegando tan lejos como en China o en EEUU, aquí va a haber reconocimiento facial en espacios públicos y en establecimientos públicos. Y eso necesita garantías".
Cotino incide durante la entrevista en la necesidad de garantías. "Garantías que pone el Reglamento de la IA en parte y que también las debe poner la ley española". En ese sentido, el presidente de la AEPD manifiesta una preocupación por lo que ha trascendido hasta el momento. Por el momento solo se conoce el texto del Anteproyecto de Ley (es de esperar que el Boletín Oficial de las Cortes Generales publique el Proyecto en unos días) y a Lorenzo Cotino no toda la música le sonaba afinada cuando lo revisó.
Aunque se ha prometido que el Proyecto atribuye funciones a la Agencia Española de Supervisión de Inteligencia Artificial (AESIA) y a la Agencia Española de Protección de Datos (AEPD), todavía no se conocen al detalle las mismas. Y si se va a desplegar sistemas de reconocimiento facial en espacios y establecimientos públicos "debe haber autoridades expertas que contrasten que las garantías se cumplen", recuerda.
"La sociedad debe estar vigilante en este proceso legislativo y sería interesante que estuviera movilizada. También debería haber autoridades expertas, autoridades de protección de datos como la AEPD o las autonómicas, que sean competentes para los usos que se van a dar de IA. En ese sentido, en la AEPD estamos preocupados. No parece en el último anteproyecto que se vaya a atribuir esas competencias a las autoridades que tenemos el conocimiento y las capacidades", incide.
Cuando solo se conocía el Anteproyecto, algunos análisis jurídicos ya pusieron el acento en las atribuciones que recibía la AESIA frente al papel menos protagonista que ostentaría la AEPD.
"El plan estratégico de la AEPD apuesta por la innovación"
Esta legislación nacional por la que la sociedad española debería reflexionar y eventualmente movilizarse aterriza algunos preceptos del esperado Reglamento de Inteligencia Artificial europeo. La norma comunitaria ya está en vigor y en visos de vivir algunas transformaciones por parte de los legisladores comunitarios, como la prohibición de los deepfakes sexuales.
También el Reglamento General de Protección de Datos está inmerso en una posible reforma, después de que la Comisión Europea presentara hace unos meses un omnibús digital con varias modificaciones a diversas normas. En el caso del RGPD, a la autoridad española esa música sí le suena bien. "Desde noviembre, cuando los conocimos, nos pusimos a estudiar con intensidad y urgencia el Digital Omnibus. (...) Nos pasamos las Navidades estudiándolo", rememora Lorenzo Cotino.
Aunque el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) ya ha emitido su dictamen en torno a esa propuesta y la propia AEPD forma parte de este órgano, la autoridad española también tiene su posición, en la misma línea. Pese a que algunos críticos consideran que la reforma busca "desregular" en el ámbito de la protección de datos, la AEPD entiende que es "una apuesta muy positiva por la innovación".
"Se ha vendido también como una simplificación, aunque yo eso lo veo más secundario. Ya el plan estratégico de la AEPD apuesta por la innovación". De hecho, ese Digital Omnibus hace una apuesta "por la flexibilización del uso de sistemas biométricos como el que esta agencia hace", por lo que desde Madrid se apuesta "decididamente" porque estos cambios salgan adelante.
"Toca centrar nuestros recursos en lo importante"
El presidente de la AEPD también valoró durante la entrevista con El HuffPost la situación de la Agencia Española de Protección de Datos en una legislatura que continúa con los Presupuestos Generales del Estado prorrogados. Los problemas por falta de recursos que existen en la AEPD y que ya denunciaba su predecesora, la entonces directora de la AEPD Mar España, continúan. Pero por eso mismo la autoridad valora una estrategia.
Un cambio de estrategia sobre todo teniendo en cuenta que España sigue siendo el país de toda la Unión Europea que más procedimientos sancionadores abre en materia de protección de datos. "A lo mejor es que hay algo que no es la normalidad". "En cierto modo podría decirse que es algo para presumir, pero yo creo que es algo para reflexionar", destaca.
"Antes era estupendo que la AEPD pudiera hacer todo este tipo de tramitaciones". Pero año tras año las reclamaciones que recibe la Agencia se disparan exponencialmente. Desde la irrupción de la IA generativa también se ha visto un crecimiento de reclamaciones. No solo por la tecnología en sí: también porque la gente puede hacer sus modelos con ayuda de una IA. "En un mundo ideal ojalá todos tuviéramos la posibilidad de tener medios para controlar el cumplimiento de las normas pero la realidad es muy prosaica, no tenemos medios para hacer frente a toda esa avalancha".
Por eso Cotino abunda en que toca "centrar nuestros recursos en lo más importante". "Y lo más importante qué es: intensidad de daños, número de afectados. Igual hay que centrar el tiro y no matar moscas a cañonazos. Menos procedimientos pero centrados en los temas realmente relevantes. A ello iremos forzados por la realidad de que se nos multiplican el número de reclamaciones. Esto es lo que hacen el resto países de la Unión Europea".