"Quiero aportar tranquilidad". Ésa es la obsesión de la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, frente a una serie de polémicos preceptos que ésta recoge, especialmente aquél que permite a los partidos recopilar datos personales de opiniones políticas de los ciudadanos.

A la espera de su publicación en el BOE —algo "inminente" y que provocará su entrada en vigor al día siguiente de dicha publicación—, la directora asegura sin titubeos que "la Agencia, en su labor de interpretación de la norma, va a ser lo más rigurosa y garantista posible con los derechos de los ciudadanos".

En un gesto para defender la independencia de la AEPD, su directora niega rotundamente que la nota aclaratoria (nota original), enviada de modo inédito antes de que la norma fuese aprobada definitivamente en el Senado, fuese fruto de ninguna presión política.

"Rotundamente no", dijo en un desayuno con periodistas. "La Agencia no recibe instrucciones de nadie, así que rontundamente no", insistió. "Además, la AEPD no va a valorar la redacción de un artículo, y respeta profundamente el trabajo de los grupos parlamentarios", afirmó, y añadió: "El papel que le corresponde es aplicar la legislación vigente mientras esté vigente, e interpretarla".

"Se estaba dando una cierta alarma social ya que se estaba difundiendo la idea de que este artículo iba a permitir el perfilado ideológico y el envío de publicidad personalizada en base a ese perfilado ideológico, y la interpretación de la Agencia es que esas dos posibilidades son imposibles", explicó.

Mar España insistía en que los partidos políticos van a poder, por un lado, comprobar a través de las tendencias o 'trending topics' qué temas son más interesantes o preocupantes, o bien enviar a través de los datos obtenidos en internet publicidad o propaganda de forma genérica, nunca individualizada, ya que no se les va a permitir realizar seguimientos ideológicos de los ciudadanos.

"La Agencia no va a entrar a valorar si el artículo está bien redactado o no", apuntó, "aunque quizá el marco más adecuado para introducir una modificación de la normativa electoral de ese calado no era el de la normativa de la protección de datos".

La propia directora reconoció que "este artículo va a haber que interpretarlo", por lo que ya se ha puesto en contacto con la Junta Electoral Central (JEC) para poder proporcionar unas líneas de interpretación "con las máximas garantías".

Horas más tarde, en una entrevista concedida a Público, Mar España, contestó a una serie de preguntas sobre algunos de los puntos más controvertidos de la nueva LOPD.

¿Cuál es la razón por la que la AEPD emite una nota aclaratoria en la que interpreta un precepto legal (como es el nuevo articulo 58 bis de la Ley Electoral) incluso antes de su aprobación definitiva?

Tuvimos conocimiento de determinadas declaraciones públicas al menos una persona con responsabilidad política en las que afirmaba que la Agencia avalaba en concreto la redacción actual del texto de la enmienda de modificación de la Ley Electoral. Pero la Agencia no avala. Lo que hizo en su momento fue elaborar un informe jurídico sobre el anteproyecto de Ley elaborado por el Gobierno. En el caso de las enmiendas la AEPD, lo que hace es acatar lo que los partidos políticos, en el legítimo ejercicio de la soberanía popular, aprueben en el Congreso y en el Senado.

[La directora se refiere a Ander Gil, senador portavoz del Grupo Socialista, que afirmó en dos casiones que el texto de la norma estaba "avalado por la Agencia de protección de Datos"]

En cuanto a ese precepto, su redacción ha sido interpretada por muchos expertos como una especie de vía libre o carta blanca para que los políticos elaboren o encarguen la realización de perfiles ideológicos para enviar propaganda individualizada. ¿Es esto así? ¿Cuál es, en definitiva, la posición de la Agencia?

La AEPD va a cumplir con sus funciones, una de las cuales es la capacidad y la competencia de interpretar la normativa vigente de protección de datos. Esta disposición final hay que interpretarla, como dijimos en el comunicado, en el contexto de la enmienda inicial; por ejemplo, ahí había un apartado en el que, efectivamente, se permitía el perfilado ideológico (con alguna garantía específica, como la evaluación de impacto), y eso se eliminó porque entendíamos que era contrario a los derechos que establece el reglamento europeo.

Dentro de esa capacidad de interpretación que tiene la Agencia, ésta va a ser lo más rigurosa y garantista posible con los derechos de los ciudadanos. Nuestra interpretación es vinculante en el marco de un proceso sancionador. Y lo hemos dicho ya claramente: no vamos a permitir perfilados ideológicos de los ciudadanos, por ninguna razón, ni mucho menos propaganda electoral individualizada en función de esos perfilados.

Fachada de la Agencia Española de Protección de Datos. ARCHIVO

¿Qué garantías concretas en este sentido va a plantear la Agencia, ya que la norma no especifica cuáles son?

En primer lugar, aunque este precepto sólo habla de las "garantías adecuadas" en el primero de los apartados del artículo 58 bis de la LOREG, la Agencia establecerá esas garantías al resto del artículo, en concreto el segundo y el tercero, que son los más polémicos por su interpretación. En primer lugar, hay que tener en cuenta que la legislación aplicable en este supuesto es la electoral, siendo la de protección de datos en este caso supletora. En cualquier caso, ya he contactado con el presidente de la Junta Electoral Central (JEC) para que podamos establecer conjuntamente esas garantías.

Puedo adelantar algunas concretas, en el ámbito de las competencias de esta Agencia. Así, los partidos, que tienen que tener nombrado un delegado de protección de datos obligatoriamente, deberán de informar a los ciudadanos (art. 14 del RGPD), y si no pueden por una cuestión técnica, tendrán que publicitar adecuadamente qué datos tratan y cómo lo hacen. También deberán realizar un análisis de riesgos y una evaluación de impacto. Si tienen cualquier duda de que un tratamiento de datos puede suponer un riesgo para los derechos de los ciudadanos, están obligados a consultar a la AEPD. A consecuencia del análisis de impacto, deberán adoptar medidas técnicas, organizativas y de seguridad para minimizar posibles problemas. Y, a la vez, tienen que ofrecer la posibilidad de ejercer el derecho de oposición de una forma clara, sencilla y en el mismo canal por el que están enviando esa propaganda a los votantes.

Si desde hace tiempo la Agencia está pidiendo que se refuercen sus medios, dado el aumento de carga de trabajo actual y el previsible, ¿cómo va a poder ejercer la Agencia su labor de vigilancia? ¿Es el momento para pedir más medios?

Claro, es que de hecho el artículo 52 del Reglamento General obliga a los estados a a proporcionar medios a las agencias de protección de datos, precisamente para preservar su independencia. Sin medios, la Agencia, por muy buena voluntad que tenga, no puede cumplir con su obligación de garantizar algo tan importante como de lo que hablamos ahora, la base del funcionamiento de un estado democrático.

Inspectores hay, ahora mismo, 16. Llevo tiempo demandando a todos los gobiernos durante mi mandato —llevo tres Gobiernos ya— el incremento de medios. Y estamos trabajando con el Ministerio de Hacienda para el incremento de presupuesto para la AEPD, que es urgente, y conseguir un refuerzo de los medios personales.Mientras, mi obligación es priorizar. Y evidentemente este temna es prioritario. Ya hay convocada una reunión urgente de trabajo para definir es tas garantías.

Todo esto es perfectamente compatible con el inicio de investigaciones, en su caso, o el análisis de denuncias, si recibimos alguna en este sentido. También con la incoación de un procedimiento sancionador, si procede. Quisiera recordar que mediante este procedimiento un partido político puede llegar a ser objeto de una sanción de hasta 20 millones de euros.

Otro aspecto que ha suscitado polémica es el artículo 85 de la LOPD, sobre el derecho de rectificación digital, que se amplía a "redes sociales y servicios equivalentes". Hay quien lo ve excesivo, incluso se apunta al riesgo de censura al prescindir de la figura judicial por unos "protocolos obligatorios" que deberán ofrecer las plataformas...

De los 17 derechos digitales que recoge esta normativa, entendemos que sólo somos competentes para interpretar y regular desde el artículo 89 al 94 de la nueva LOPD. A la Agencia no le corresponde, por tanto, tutelar este derecho que menciona.

Sobre los artículos 93 y 94, que regulan el 'derecho al olvido digital', ¿cómo va a interpretar la Agencia su aplicación? Concretamente, el 94 extiende este derecho a "redes sociales y medios equivalentes". ¿Existe alguna interpretación de la Agencia que prevea impedir, por ejemplo, una avalancha de solicitudes? ¿O para que no se convierta en una herramienta para reinterpretar la realidad en un futuro a gusto de cualquiera?

Yo diferenciaría claramente ambos artículos. El 93, que se refiere al derecho al olvido en las búsquedas de internet, es una aplicación de los criterio del Tribunal de Justicia de la UE (concretamente, del caso Costeja). El 94 da un paso más. El primer criterio es restrictivo: un considerando del RGPD [18] establece que en el ámbito de las redes sociales la actividad se considera doméstica, y si un ciudadano está en un perfil cerrado en una red social no se aplicaría el derecho al olvido; hay que conjugar el derecho a la libertad de expresión con el derecho al olvido; habría que dirimir si hablamos de datos suministrados por el propio usuario o no; y, en última instancia, quien es responsable de la ponderación será quien ofrece los servicios de la red social.

Pero sí es posible que haya un incremento de solicitudes a la Agencia en este ámbito. Hablamos, por ejemplo, de 22 millones de usuarios de Fabecook en España, por ejemplo. De todas formas, iremos viendo caso a caso.