“Hemos dejado de gobernar para el bien común, permitiendo que los mercados avancen sin intervención política. El origen del derecho ha vuelto a ser la fuerza”. Así de contundente se mostraba el nuevo presidente del ISMS Forum, Roberto Baratta, en la inauguración del XVII Foro de la Privacidad organizado por esta entidad en el Kinépolis de Ciudad de la Imagen (Madrid).
Más de 450 personas se dieron cita para acudir a uno de los foros más prestigiosos sobre ciberseguridad, en el que cerca de 40 ponentes debatieron sobre temas como ciberseguridad, inteligencia artificial, regulación, ética y automatización de la gestión de riesgos. Escudo Digital fue media partner de esta jornada.
El impacto de la geopolítica en la gestión de la ciberseguridad y los negocios digitales no fue obviado por ninguno de los ponentes, ni mucho menos por el presidente del ISMS, quien incidió en ello durante la presentación de las jornadas. “La llegada de Trump al poder tiene un impacto real. Este cambio estratégico va a dejar a Europa más aislada que nunca: volvemos a siglos pasados”, aseveró.
Baratta advirtió de que las nuevas potencias digitales de EE.UU. “nos van a cambiar el paso”. “Nuestra sociedad debe desarrollarse, levantarse y presentar oposición al liderazgo tecnológico de las Big Tech”. En este sentido, se preguntó si es realmente necesaria tanta regulación en la Unión Europea.
“No sabemos muy bien qué hacer con el nuevo reglamento europeo de IA. Nos cuesta en España, donde los reguladores no saben cómo cohesionar los reglamentos, que vienen de Europa y no del sector. ¿Seremos capaces de mantener una Agenda Digital que potencie nuestra economía para sobrevivir al aislamiento?", se preguntó.
El también directivo de Abanca recordó que Europa va a tener que incrementar su gasto en Defensa y en los sectores primarios, y abrirse a mercados no tan maduros como el norteamericano. “Pero, ¿cuál es nuestro objetivo? ¿Qué se hagan las cosas bien o que no se hagan mal?”, reflexionó.
Sobre asuntos temas habló también el catedrático de Derecho Administrativo José Luis Piñar, ex director de la Agencia Española de Protección de Datos, quien subrayó que “no debemos arrepentirnos” de lo que hecho Europa en materia de protección de datos, donde “se ha convertido en un referente para muchas regiones del mundo, como Sudamérica, México, Canadá, Japón, Australia y algunas regiones de África”.
No obstante, advirtió, “hay leyes europeas que se solapan” y “no se puede hacer frente a tanta normativa”. “Europa debe despertar. Las empresas más importantes son hoy las de automoción, y eso no tiene sentido”, dijo. “Europa quiere ser el árbitro. Pero los árbitros no ganan partidos, y además con los que menos cobran”, ejemplificó.
España, el país que más sanciona
Otras de las ponencias más concurridas de la jornada fue la impartida por Francisco Pérez Bes, socio del Área Digital de Ecix y ex secretario general de INCIBE -así como colaborador de Escudo Digital-, quien compartió los datos de funcionamiento de la Agencia Española de Protección de Datos, con el objetivo de incitar a la reflexión.
España es el país de la UE que más sanciones impone por el mal uso de los datos, a una distancia considerable del resto. Desde que existe la RGPD (el reglamento general de protección de datos en la UE), España ha impuesto 1.191 sanciones. El siguiente en la lista, Italia, solo llega a 404. La suceden, por este orden, Rumanía (128); Alemania (125); Polonia (93); Hungría (69) y Grecia (65).
¿Por qué este evidente desfase sancionador entre nuestro país y el resto? El experto lo atribuye al elevado número de denuncias presentadas en España: más de 25.000. Ello hace que el 40% de las multas que se ponen en la UE relacionadas con la protección de datos se pongan en nuestro país.
Hasta la fecha, las más cuantiosas son las impuestas a Google (10 millones de euros); Vodafone (8,15 millones); The Phone House (6,5 millones); Endesa (6,1); Caixabank (6); Generali (5); BBVA (5); Vodafone (3,94); I-DE Redes Eléctricas Inteligentes (3,5); Caixabank (3); e Iberdrola (3).
Pese a ser las más numerosas, las multas españolas distan mucho de ser las más cuantiosas. Éstas se imponen en Irlanda, sede de buena parte de las tecnológicas norteamericanas que dominan el mercado. De las diez sanciones más altas impuestas hasta la fecha, ocho de ellas han sido en territorio irlandés. Solo la multa a Amazón (Luxemburgo) y a Uber (Países Bajos) se cuelan entre ellas.
Se trata de cuantías que superan con mucho las impuestas en España. Meta fue sancionada con 1.200 millones de euros, mientras que Amazon recibió una multa de 746 millones de euros. Les siguen en este ranking otra vez Meta (405 millones); Meta (390 millones); Tik Tok (345); LinkedIn Irlanda (310); Uber (290); Meta (265); Meta (251) y Whatsapp (225).
Responsabilidades ante un incidente generado por IA
Otro de los asuntos que generó más interés es la responsabilidad ante un incidente generado por inteligencia artificial. ¿Quién es el responsable en estos casos? No hay una doctrina firme al respecto, pero ya se han dado algunos casos. El año pasado, un viajero reservó un billete con descuento en la aerolínea Air Canadá siguiendo las indicaciones del chatbox.
Para su sorpresa, la compañía aérea no quiso aplicarle el descuento. Pero el cliente, precavido, había hecho pantallazos de la conversación. El asunto tuvo que pasar por tribunales, pero la Justicia acabó dando la razón al pasajero. Si había sido un fallo de la IA, la compañía tenía que asumirlo.
Para Ana García, Global Privacy Leader de IKEA, lo primero que debe hacer una compañía es identificar los riesgos de la IA. “Puede producir daños a la salud, a infraestructuras críticas, a los derechos fundamentales, a la propiedad o al medio ambiente. La empresa tiene que decidir qué riesgos está dispuesta a aceptar y a partir de ahí trabajar en formación, porque los incidentes van a ocurrir”, dijo.
“Todo pasa por la concienciación. Debe ser una estrategia real alineada a tus capacidades de gestión. Hay que tener claro cuáles son los roles y atribuciones de cada uno y debemos implicar a otras áreas además del CISO, capacitar y empoderar a los equipos”, dijo Marta Martínez, DPO de MAZ.
Por su parte, la Codirectora Sección IA Hub España del Europa Law Intitute (ELI), Carmen Muñoz, subrayó que la IA “es ilimitada e imparable”, por lo que “los límites deben venir desde el derecho”. “Nadie puede ser perjudicado de forma automatizada. La IA es un copiloto, un asistente del que poder valerse, pero debes tener en cuenta que el copiloto a veces puede engañarte porque quiere complacerte”, apuntó.