Mar España: "El 25% de los españoles tienen de contraseña en muchas plataformas 1234"

Mar España
photo_camera La directora de la Agencia Española de Protección de Datos (AEPD), Mar España

Vivimos rodeados de tecnología y nos movemos casi más en el mundo online que en el offline. Redes sociales, páginas web de dudosa seguridad, cookies que aceptamos sin pensar… Todo ello puede poner en riesgo nuestra privacidad y nuestros datos personales. Una situación especialmente preocupante en el caso de niños y adolescentes. Una generación que ha nacido con el móvil en la mano y acceso a todo el mundo a tan solo un clic, tanto para lo bueno como para lo malo.

Para proteger nuestros datos de todos estos posibles ataques nació en 1994 la Agencia Española de Protección de Datos (AEPD). Una entidad que en tres décadas ha pasado de recibir quejas sobre publicidad postal a lidiar con ciberacoso, salud mental en Internet e, incluso, luchar contra la difusión de contenido sexual. Temas que son especialmente importantes para la actual directora de la Agencia, Mar España, por lo que, bajo su dirección, se han creado numerosas herramientas para proteger no solo a los más jóvenes, sino también para asegurar el buen cumplimiento de una normativa que, en ocasiones, puede resultar demasiado compleja.

Mar España inaugurará las II Jornadas Aragonesas de Protección de Datos, Transparencia y Ciberseguridad de Monzón que se celebran la próxima semana, los días 7 y 8 de marzo, y que están organizadas por la Asociación Aragonesa de Delegados de Protección de Datos (AAPDP).

PREGUNTA.- La Agencia Española de Protección de Datos ya tiene 30 años, ¿cómo ha cambiado su trabajo desde que se puso en marcha?
RESPUESTA.- De una manera radical. Piensa que hace 30 años, cuando se nombró al primer director de la Agencia en el año 94, todavía España era una sociedad analógica. Internet empezó tímidamente en esa década de los 90 y el tipo de reclamaciones eran, por ejemplo, que se había enviado publicidad postal a través de un sobre a tu domicilio familiar. Eso no era nada invasivo.

La Agencia Española de Protección de Datos (AEPD) fue galardonada por la asociación Women in a Legal World (WLW) con el Premio Justicia Sostenible de la 4ª edición de los Premios WLW

Estamos en un momento de un mundo absolutamente digitalizado, interconectado… donde, por un lado, la privacidad es un factor de competitividad en proyectos de gran desarrollo tecnológico, pero donde nunca en la historia de la humanidad hemos tenido más vulnerabilidad y más difusión de nuestros datos de todo tipo en cualquier ámbito. Es un reto tremendo para una organización que, en los últimos dos años, hemos aumentado las reclamaciones en más de un 60%. Lógicamente, los medios personales y materiales no se han adaptado a ese incremento en las reclamaciones y, para poder ayudar y acompañar tanto al sistema público como a las empresas privadas, hemos puesto en marcha más de 100 herramientas, que se ofrecen gratuitamente en la Agencia, para poder ayudar en este cumplimiento normativo.

Yo diría que estamos hablando de un reto, ya no solo tecnológico, sino de cambio cultural donde la innovación debe ir de la mano de la ética y de la privacidad y donde las sociedades occidentales nos jugamos cada día el que creo que es el derecho fundamental en una sociedad en paz, desde que nos levantamos hasta que nos acostamos. Por eso, en 2016, creamos la división de Innovación Tecnológica para poder, precisamente, dar una respuesta por delante a los retos de responsabilidad proactiva, que implica cualquier tipo de tratamientos que supongan, por ejemplo, inteligencia artificial, geometría o 5G.

"Al 76% de los españoles les preocupa mucho o bastante la protección de sus datos personales, con lo cual cada vez hay más concienciación"

P.- ¿Somos más conscientes ahora de la importancia de la Protección de Datos?
R.- Creo que sí, pero quizás la ciudadanía no es consciente porque ve la Protección de Datos inmediata, lo que es, por ejemplo, aceptar cookies en una página web o firmar el consentimiento a la hora de realizar un contrato. Pero quizás no son conscientes de que, por ejemplo, hay decisiones automatizadas como el análisis de riesgos si vas a pedir un préstamo, la evaluación de tu perfil si vas acceder a un puesto de trabajo, si vas a urgencias a lo mejor ese hospital está utilizando algoritmos o, imagínate en este año electoral, los algoritmos que puede tener una red social ideológicos en relación con campañas electorales.

Quizás lo que la ciudadanía no sabe es el impacto social y democrático que supone la privacidad. Sí que es cierto que, por los últimos datos que tenemos del CIS, al 76% de los españoles les preocupa mucho o bastante la protección de sus datos personales, con lo cual cada vez hay más concienciación. Una de las pruebas es el crecimiento exponencial de reclamaciones que nos están llegando a la Agencia. Entonces, quizás, lo que más podemos trasladar a la ciudadanía es que hay veces que hay servicios que son gratuitos, pero que eso al final tiene un coste y que pagar con datos, al final, es pagar.

Mar España en el VIII Congreso Internacional de Privacidad

P.- Y en el caso de las empresas españolas, ¿son responsables en lo que se refiere a Protección de Datos?
R.- Sí. Está aumentando esa responsabilidad. Tenemos ya más de 100.000 delegados de Protección de Datos registrados en el registro de la Agencia y el 90% pertenece a entidades privadas. Es verdad que estamos hablando de un tejido empresarial muy amplio y muy fragmentado, más del 90% de las empresas en nuestro país son Pymes y por eso desde la Agencia tenemos dos misiones fundamentales: una es acompañar a las personas y protegerlas en un mundo digital, en Internet, y la otra es facilitar a las empresas y a las Administraciones Públicas el cumplimiento de una normativa que a veces es muy compleja.

Por eso, dentro de las 100 herramientas que hemos puesto en marcha desde la Agencia, me gustaría destacar la herramienta Facilita, que ha superado un millón de descargas y recibimos el premio de la Conferencia Internacional de Autoridades de Protección de Datos por su impacto. Permite, en un tiempo bastante breve, dar un modelo adaptado al modelo organizativo de una empresa de las pautas básicas de Protección de Datos, como por ejemplo el Registro General de Actividades de Tratamiento o la cláusula informativa para los correos o la página web, medidas de básicas de seguridad… También está la herramienta Facilita Emprende que es para empresas que tengan ya un perfil más tecnológico, como startups, la herramienta Gestiona de evaluación de impacto o la herramienta Comunica-Brecha o Evalúa-Riesgo.

Sí que destacaría que aquí hay dos tipos de asesoramiento. No todas las empresas tienen que tener un delegado de Protección de Datos, pero si lo van a nombrar, por ejemplo, en un caso obligatorio porque se esté haciendo un tratamiento sistemático de datos a gran escala, o porque, aun no siendo obligatorio, lo quisieran hacer por estar más seguros y mejor asesorados, recomiendo que se acuda a los delegados de Protección de Datos que están certificados con el Esquema de Certificación de la Agencia. Porque en algún caso estamos detectando que hay asesoramiento que llaman “a coste 0”. Hay delegados de Protección de Datos que están prestando el mismo asesoramiento a 10.000 entidades y eso no da ninguna garantía ni ninguna calidad y no va a evitar las responsabilidades a las empresas si hubiera luego algún problema.

La AEPD dispone de varias herramientas gratuitas para ayudar a los responsables, encargados de tratamiento y DPD en el cumplimiento de la normativa

Lo que sí recomiendo, y es fundamental, es la figura del delegado de Protección de Datos y elegir a personas con la formación y la experiencia adecuada.

P.- ¿Qué deberíamos tener en cuenta como usuarios a la hora de movernos por Internet?
R.- Pues quizá daría los mismos consejos que en el mundo real, en el mundo offline. Todos cerramos con llave la puerta de nuestra casa y la puerta de nuestro coche. Sin embargo, el 25% de los españoles tienen de contraseña en muchas plataformas 1234, vamos que se hackea en cero coma segundos. Entonces utilizar el sentido común, tener en cuenta que no se pueden enviar datos personales, datos sensibles, por ejemplo estamos hablando de datos sexuales o ciberacoso de una tercera persona, porque tú también estás tratando esos datos si los reenvías, y eres responsable. Es decir, en Internet no hay impunidad, en Internet también hay responsabilidad civil, hay responsabilidad administrativa por protección de datos y puedes acabar en la cárcel. Por ejemplo, por grabarte una relación sexual con tu expareja, libremente consentida, pero luego la pareja rompe y reenvías esos vídeos sin el consentimiento de la persona. Eso tiene penas de cárcel, está regulado en el Código Penal.

"Niños y adolescentes no están suficientemente protegidos porque la edad media de acceso a un móvil son los once años y solo uno de cada cinco padres y madres da ese primer móvil con unas pautas teóricas o con herramientas de control parental"

Es muy importante hablar de los derechos digitales. Es fundamental el derecho a la educación digital y, sobre todo, a concienciar a la gente joven. Hay algunos consejos dentro de las guías que tenemos en la Agencia que yo los recomiendo porque son los más generales. Tenemos, por ejemplo, la Guía de Seguridad y Privacidad en Internet, donde ofrecemos vídeos y en tres minutos te puedes configurar, en las principales redes sociales de este país, tu perfil de privacidad, la Guía de Compra Segura o el blog que publicamos en la web de la Agencia, que es aepd.es.

P.- Hablaba de concienciar a la gente joven y ahora tienen en marcha una campaña dirigida al uso adecuado de la tecnología por parte de niños y adolescentes, ¿están suficientemente protegidos en España?
R.- No están suficientemente protegidos porque la edad media de acceso a un móvil son los once años y solo uno de cada cinco padres y madres da ese primer móvil con unas pautas teóricas o con herramientas de control parental. Imagínate que das las llaves de tu coche a un niño de once años sin una clase teórica o práctica, es una barbaridad cuando el chaval con 18 años ha tenido que pasar un examen teórico y práctico.

Adelantamos la entrega de un móvil, que yo entiendo que hay que adelantarla y la Policía Nacional recomienda a los 14 años, pero cuando damos ese móvil la mayoría de las familias lo dan sin ningún tipo de consejos, ni herramientas de control parental, ni normas de uso. Dar un móvil como un cheque en blanco, un smartphone con conexión a Internet y a las redes sociales, es como dar un coche sin frenos a 200 kilómetros por hora.

Para proteger nuestros datos de todos estos posibles ataques nació en 1994 la Agencia Española de Protección de Datos

Para evitar eso hemos hecho una campaña con Unicef que se llama “La Guía que no viene con el móvil” donde damos pautas muy básicas pero muy importantes. Por ejemplo planificar la llegada del móvil, hay que ver la edad de madurez del menor, es importante antes de entregar el móvil firmar un contrato con tu hijo donde estipules cuántas horas lo va a utilizar al día, le dejes claro que hay determinadas páginas webs donde no va a poder entrar y eso ya se incluye en la herramienta de control parental -que hay herramientas gratuitas que las ofrecen grandes empresas de internet-, que establezcas que ese niño o esa niña no va a dormir con el móvil en la habitación. Estamos viendo que dos de cada tres adolescentes se quedan con el móvil hasta altas horas de la madrugada y eso, en el mejor de los casos, simplemente va a ser un problema de sueño y falta de rendimiento al día siguiente. Pero estamos detectando, por ejemplo, que la edad media de acceso al porno en España es de ocho años. Imagínate qué imagen de la mujer, qué configuración de la personalidad o de su propio desarrollo sexual va a tener un niño que, sin ningún tipo de control ni de acompañamiento, accede a pornografía cuando ni siquiera ha empezado, porque no es la edad, sus relaciones sexuales.

En la campaña alertamos también de esos riesgos, de esas consecuencias en el mundo online. Les advertimos que, aparte de la importancia de que los padres acompañen, les ayuden a configurarse el perfil en las redes sociales, les expliquen que si en algún momento tienen un problema no van a estar solos… Y es muy importante que sepa, cualquier familia, cualquier niño y cualquier niña que hay una herramienta que ofrecemos gratuitamente en la Agencia que es el Canal Prioritario, en el que estamos consiguiendo una retirada de contenidos sexuales y ciberacoso en cuestión de horas o 72 horas en un 90% de los casos. Eso se hace gratuitamente y no hace falta ni que sea la víctima quien lo pida, lo puede hacer un profesor, una amiga de la víctima, la familia… Eso es importante porque si un vídeo sexual se hace viral en internet ya la reparación a la víctima es imposible.

"Estamos viendo que los suicidios se han multiplicado por 25 en los últimos años y más de la mitad de estos suicidios están vinculados con un uso indebido de las tecnologías"

Dentro de esta guía también explicamos los distintos tipos de responsabilidades que pueden tener no solo los menores, sino también sus padres. Los padres responden solidariamente por protección de datos del uso indebido que hagan sus hijos y en algún caso estamos multando ya con 10.000 euros a la familia por reenvío o utilización de imágenes especialmente delicadas que han destrozado la vida de una tercera persona. Es importante que los padres den ejemplo, todos debemos ser ejemplo de desconexión digital. Tú no puedes concienciar a tus hijos y prevenir la adicción al uso de las tecnologías si tú estás cenando con ellos con el móvil en la mesa.

Estamos viendo que los suicidios se han multiplicado por 25 en los últimos años y más de la mitad de estos suicidios están vinculados con un uso indebido de las tecnologías. Es decir, son chavales que están recibiendo ciberacoso, que están recibiendo sexting… y eso, en parte, es porque esos jóvenes, cuando empiezan a utilizar internet, no tienen el suficiente acompañamiento. Entonces todo lo que hagamos es poco, creo que las Administraciones Públicas están yendo por detrás. Estamos en la primera generación de jóvenes que nacieron con el móvil, pero no puede ser que un niño con siete años tenga que hacer todos los deberes con la tablet, porque ya estás generando una adicción y, realmente, el niño con siete años tiene que pasar casi más tiempo en la calle, jugando al balón, interactuando físicamente con sus compañeros, que desarrollando ese ocio digital. Que está muy bien y es muy positivo, pero si es excesivo en cuanto a las horas puede dar problemas también en un momento clave como es la adolescencia en el desarrollo cerebral.

P.- ¿En qué otros proyectos está trabajando actualmente la Agencia?
R.- Tenemos muchos. En relación con los menores acabamos de firmar un convenio con el Consejo General de la Psicología y queremos, junto con los psicólogos y el Consejo General de Médicos, poder dar pautas por edades tanto a las familias como a los centros docentes respecto a qué sería el uso adecuado de la tecnología en función de la edad. Nos estamos jugando la salud mental de nuestra población y yo creo que eso es algo esencial.

"Nos estamos jugando la salud mental de nuestra población y yo creo que eso es algo esencial"

También estamos trabajando mucho, a través de la división de Innovación Tecnológica, en todo lo que afecta a Inteligencia Artificial. Vamos a publicar próximamente unas orientaciones sobre los espacios de datos, el uso de la Inteligencia Artificial y eso debe ir de la mano, también, de la ética y la privacidad.

P.- Todos estos temas se van a acercar a los asistentes de las II Jornadas Aragonesas de Protección de Datos, Transparencia y Ciberseguridad de Monzón…
R.- Sí, creo que es muy importante que se realicen jornadas de este tipo donde los propios delegados de Protección de Datos, tanto el sector privado como el público, puedan intercambiar experiencias, buenas prácticas y compartir las dificultades que estén teniendo en el día a día.

P.- En lo que respecta a Aragón, recientemente se ha aprobado la Ley Cloud, que sitúa a la Comunidad a la vanguardia de la implantación y el desarrollo de las tecnologías en la nube. ¿Qué supone la puesta en marcha de esta norma pionera en Europa?
R.- Conozco la iniciativa, pero por la prensa porque no se ha solicitado informe, que debería haber sido preceptivo, a la Agencia Española de Protección de Datos con lo cual sobre el texto de la Ley no me puedo pronunciar. Sí que es cierto que el cloud tiene innumerables ventajas, pero también puede tener riesgos en cuanto, por ejemplo, a la privacidad de la información que está almacenada, el análisis de los riesgos, posibles quiebras de seguridad… y la Agencia tiene una guía, precisamente, para orientaciones a los proveedores de servicios de cloud para poder dar las pautas básicas de seguridad y de privacidad.

En el caso de la Administración Pública aragonesa es la administración quien debe adoptar las medidas de seguridad necesarias que exigir al encargado del tratamiento que esté utilizando servicios cloud en la nube.