«El ciudadano no podría dormir si supiera del bombardeo continuo de ciberataques al sector público»

¿Los vertiginosos avances que está experimentando la Inteligencia Artificial (IA) van a conllevar que nuestros datos obtengan una mejor protección o, por el contrario, pueden suponer que corran un mayor riesgo?

Precisamente, creo que uno de los motivos de mi elección como presidente es mi conocimiento en el ámbito de la IA. Llevo desde 2016 investigando este tema y, como punto de partida, diría que es un avance brutal en muchísimos ámbitos. Obviamente, agencias como la nuestra estamos para evaluar los riesgos, pero es muy importante subrayar que en términos generales es una tecnología positiva. Por ejemplo, en nuestro plan estratégico apostamos directamente por el uso de la IA en nuestra agencia con el objetivo de lanzar el mensaje de que es necesario subirse a este tren, siempre dentro de unos guardarraíles. Es como si hace años se planteara si usar la electricidad o no, o si usar un vehículo o no... Entonces, ahora es el momento de poner un poquito de orden y algunas reglas básicas.

Precisamente, las precauciones sobre esta tecnología están conllevando avances en el marco regulatorio. La UE ya cuenta con un reglamento y en España, Galicia, fue la primera comunidad en aprobar una ley que regula la IA. ¿Cómo valora este trabajo?

El reglamento de la UE sobre IA es una norma muy importante pero recordaría, por lo que a mí respecta, que el reglamento de protección de datos aplica totalmente, al igual que pasa con las redes sociales o con la nube. En todo tratamiento de datos que se realice con IA aplica. Luego, en España para proyectar el reglamento realizado por la UE está pendiente de aprobarse el anteproyecto de ley de gobernanza de IA. Ahí el Estado regula algunas cosas respetando lo que dice la UE. Lo que pasa es que en España cuando no se regula o se retrasa, algunas comunidades se lanzan a hacerlo. Con respecto a la ley gallega hay una parte muy positiva, que posteriormente también ha salido en las normas de Castilla-La Mancha y en la que está apunto de aprobar Andalucía, que es la regulación del uso que puede hacer la Administración autonómica de la IA. Así como un registro de algoritmos, para que todos los ciudadanos sepamos si la administración está usando sistemas de IA para dar subvenciones o en salud. Son ámbitos que es importante regular y las autonomías pueden hacerlo.

¿Está de acuerdo con las voces que piden un pacto global al respecto?

Claro, pero es muy difícil que se concrete. Son malas épocas para confiar en ello. En la UE está el reglamento de IA, pero también el Consejo de Europa lanzó el año pasado el primer convenio sobre esta tecnología. Es una norma, para entendernos, más suave y que está abierta para que la firmen en todo el mundo. La administración Biden inició ese proceso pero cuando llegó Trump se negó a ratificarlo. Creemos que ese sería un buen marco de mínimos, ya que en el mundo hoy por hoy hay visiones muy diferentes. Naciones Unidas también está trabajando, pero lo más probable es que se consigan documentos declarativos, que no suponen una obligación. No debería ser tan difícil ponernos de acuerdo en que hay algunas cosas que no se debieran poder hacer con la IA en ningún lugar del mundo, pero es muy difícil pensar que lo vayan a firmar EEUU, China u otras regiones del mundo.

«No debería ser tan difícil ponernos de acuerdo en que hay algunas cosas que no se debieran poder hacer con IA en ningún lugar del mundo»

¿Está suficientemente concienciado el personal de las administraciones públicas respecto a la importancia de la ciberseguridad? ¿Lo ve preparado para incorporar y utilizar la IA?

Tanto en ciberseguridad como en protección de datos hay una sensibilidad general, sí. El bombardeo de ataques que por miles reciben todos los días nuestras administraciones hacen que sepan que esto es un problema ante el que no cabe relajarse. Los ciudadanos no podríamos dormir por la noche sabiendo de verdad lo que está pasando en el ámbito de los ataques de ciberseguridad. Es un bombardeo continuo, la rutina es de miles de ataques diarios. Esa sensibilidad que hay debe ser acompañada de mucha formación, ya que en muchas ocasiones los ataques que triunfan son los de inteligencia social: nos engañan y, sin querer, abrimos una puerta que no tocaba. Es por ello que es muy importante seguir poniendo recursos, como ya se ha hecho con los fondos de digitalización. Nunca podemos ser triunfalistas, pero es que se está haciendo muchísimo en temas de ciberseguridad.

Siempre llaman la atención los ataques que funcionan, como el que sufrieron los aeropuertos europeos hace unas semanas, pero se hace poco hincapié en que a diario se logra frustrar miles de intentos...

Así es. Yo en estos siete meses he ido hablando con organizaciones, tanto privadas como públicas, y la regla general es que te dicen que esto es como el portero de fútbol: solo se habla de él cuando ha tenido un error. Cuando se logra infiltrar un ataque saltan todas las alarmas porque se crean situaciones muy complicadas. Dicho esto, cabe recordar que hay una obligación de comunicar las brechas de seguridad, cuando existe una incidencia de seguridad hay que decirlo. Se comunican miles, pero solo en un porcentaje muy bajo se descubre que realmente no se estaba trabajando nada bien: vemos que estaban con goteras y remiendos en materia de ciberseguridad. Ahí sí que hay que acabar sancionando, pero es un porcentaje muy bajo.

Poco después de asumir el cargo dijo que la AEPD trabajaba en una guía para el uso de IA en el sector público. ¿Cómo avanza?

Pues sí. Dimos ese paso con el objetivo de utilizarla dentro de la agencia porque tenemos un colapso muy grande con reclamaciones y, una de las salidas, para ser más eficientes puede ser esa. Estamos evaluando todos los grandes sistemas de IA generativa como Mistral, Chat GPT o Copilot para ver los contratos que ellos ofrecen y saber si eso es asumible por protección de datos. Vamos a ver si podemos publicar esa guía a finales de este mes o en noviembre como muy tarde. Lo que hemos hecho es identificar casos de uso, tanto para la propia agencia como otros que sean muy habituales en otras administraciones, y según la finalidad concreta con la que quieres usar la IA se evalúa el nivel de riesgo. De modo que en algunos usos, a lo mejor, sí que se puede utilizar estos programas en red como los empleamos tú y yo, pero para otros habrá que usarlos en local: instalando el programa en tus propios servidores para que esa información no se vaya a ningún sitio.