España lleva al límite a las autoridades nacionales que velan por los reglamentos tecnológicos de la UE

Regular desde Bruselas no basta. Menos, cuando las autoridades nacionales que tienen que velar por las leyes europeas se cumplan a rajatabla en los Estados miembros de la Unión Europea están asfixiadas o incapacitadas para asumir su labor.

En los últimos años la Comisión ha ido sacando adelante diversas iniciativas legislativas tecnológicas. Tres ejemplos: el Reglamento General de Protección de Datos (RGPD) comenzó a aplicarse en 2018. El de Servicios Digitales, en febrero de este año. El turno del Reglamento de la Inteligencia Artificial llegará en dos años, en 2026.

El objetivo: meter en cintura a las grandes multinacionales extranjeras y a la industria tecnológica para que operen en el Viejo Continente acorde a los valores europeos. Es una forma de sobresalir entre la disputada carrera tecnológica que ahora mismo libran EEUU y China.

Sin embargo, tanto el RGPD como el DSA o el Reglamento de la IA delegan en los Estados miembros varias competencias, desde la forma en la que se interpondrán sanciones hasta las autoridades públicas que tendrán que perseguir esas posibles infracciones dentro del territorio de cada país.

Por todo ello, el Gobierno de España ha tenido que ir desarrollando de forma paralela todas las agencias supervisoras que velarán por el cumplimiento de estas normas en el país.

La Agencia Española de Protección de Datos (AEPD) celebró su 30 aniversario hace unos meses —ya existían leyes de protección de datos antes de que naciera el RGPD europeo—. El nombre del director de la Agencia Española de Supervisión de la IA (AESIA) se conocerá en unos días, y la Comisión del Mercado y la Competencia (CNMC) fue designada en enero coordinadora del DSA.

Estas tres entidades tienen entre sus objetivos velar por esas leyes comunitarias. La AEPD y la CNMC son autoridades administrativas independientes mientras que la AESIA es una entidad de derecho público. Poco más tienen en común. Bueno, sí: el bloqueo político y otras polémicas están poniendo en un brete la labor que estos organismos deben desempeñar.

La CNMC, vísteme despacio que tengo prisa

El Reglamento de Servicios Digitales está en plena aplicación desde febrero de este año, y entre sus propósitos está el combatir la proliferación de bulos y desinformación en redes sociales y blindarle garantías a sus usuarios, por ejemplo a la hora de recurrir una posible expulsión del servicio.

Bruselas ya ha invocado varias investigaciones a plataformas como X —antes Twitter— o TikTok —a la que ha llegado a prohibir el lanzamiento en la Unión Europea de un programa de recompensas dentro de TikTok Lite—. Hace apenas unos días la Comisión anunció una nueva causa contra Meta precisamente para frenar la desinformación rusa en plena precampaña electoral.

Pero la Comisión no es ni mucho menos la única autoridad que puede determinar si una compañía tecnológica ha vulnerado el DSA. El reglamento prevé que los Estados miembros designen a autoridades nacionales para que colaboren en la tarea.

Prueba de ello es la reciente y sorprendente decisión de Telegram, que para atender al DSA ha contratado a un despacho belga especializado, que intervendrá en su nombre ante la autoridad que el Gobierno belga ha designado para velar por el Reglamento de Servicios Digitales: el Instituto de Correos y Telecomunicaciones nacional, BIPT por sus siglas en inglés.

Europa, pie en pared ante las tecnológicas: todos los casos que Bruselas ha abierto con los nuevos reglamentos de servicios y mercados digitales

España ya tiene claro qué organismo será su autoridad nacional coordinadora de servicios digitales: la CNMC. El problema es que la CNMC a día de hoy todavía no ha actualizado sus estatutos. Disruptores explicó en febrero que esto podría desembocar en que Bruselas acabara expedientando a España.

Por el momento tal cosa no ha sucedido. En el listado de autoridades nacionales, la Comisión indica qué países han nombrado a la autoridad que velará por el DSA. A finales de abril, Bruselas inició expedientes sancionadores a las más rezagadas: Chipre, República Checa, Estonia, Polonia, Portugal y Eslovaquia.

Pero la realidad también es que cuando se van a cumplir tres meses desde que se comenzó a aplicar de forma efectiva el DSA la CNMC no tiene novedades. Fuentes del organismo inciden en que se está trabajando en ello: la reestructuración interna, el fortalecimiento y la cooperación son "pasos esenciales" para cumplir su objetivo como Coordinador de Servicios Digitales.

La AEPD, asfixiada por los presupuestos y por el bloqueo político

La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, está a punto de cumplir cinco años desde que caducó su mandato. Sigue al frente de la institución justo cuando el organismo de control está logrando mover al Gobierno para que ponga en marcha una nueva ley de protección de la infancia en internet.

Los vigentes estatutos de la AEPD no contemplan siquiera ya la figura de una directora general, sino el de un presidente o presidenta y el de un adjunto o adjunta a la Presidencia. Sin embargo, no se ha podido renovar el cargo porque España —el país— sigue instalada en el bloqueo político a raíz de que ni PSOE ni PP logren ponerse de acuerdo ni siquiera para la renovación del Poder Judicial.

Hubo un intento en la pasada legislatura de renovar la AEPD que no logró salir adelante. En la pasada legislatura, España —la directora— sí llamó la atención ante un hecho evidente: la autoridad necesita más medios y recursos. En Europa se sigue con mucha atención el modelo sancionador que la autoridad española está desplegando a la hora de velar por el RGPD.

Pero ese modelo sancionador —la AEPD es la autoridad de protección de datos que más sanciones ha impuesto desde que entrara en vigor el RGPD en todo el continente, y la quinta por cuantía total de las multas— está sacándose adelante con un equipo que necesita refuerzos. 

Antes de las elecciones del 23 de julio del año pasado, la directora de la AEPD avisó: la agencia está al borde del colapso. A principios de año Business Insider España supo que la AEPD recibiría un aumento del 24% en su presupuesto con la aprobación de los nuevos presupuestos generales del Estado. Sin embargo, el Gobierno acabó confirmando que los PGE se prorrogarían y no habría nuevos hasta 2025.

Continúa la agonía.

La AESIA, a punto de echar a andar, pero con dudas sobre su independencia

Esta semana el ministro para la Transformación Digital, José Luis Escrivá, ha mantenido un encuentro con la alcaldesa de A Coruña, Inés Rey, para concretar la puesta en marcha de la AESIA, uno de los primeros entes de la Administración General del Estado que pone su sede fuera de Madrid en virtud de un decreto para descentralizar las instituciones públicas.

No será el primero (el Instituto Nacional de Ciberseguridad lleva años asentado en León) pero su puesta en marcha sí será inminente. Este 9 de mayo terminaba el proceso para enviar las candidaturas a ser director o directora de la AESIA y el propio ministro Escrivá ha confirmado hace horas que el nombramiento de esta persona se producirá este mismo mes.

Sin embargo, la AESIA aborda otros desafíos. El artículo 70 del Reglamento de la Inteligencia Artificial incide en que cada país designara una autoridad nacional "que ejercerá sus poderes de manera independiente, imparcial y sin sesgos, a fin de preservar la objetividad de sus actividades y funciones y de garantizar la aplicación y ejecución".

No hay mucho más desarrollado en la normativa, más allá de que hace unas semanas una asesora parlamentaria de uno de los ponentes de este reglamento en el Parlamento Europeo reconocía que preferentemente deberían ser autoridades independientes.

La AESIA, al contrario que la AEPD o la CNMC, no lo es. La AESIA depende directamente del Ministerio de Escrivá, en tanto que es este organismo el que designa el nombramiento de la persona que liderará esta nueva entidad. 

La AEPD, por ejemplo, elige a su presidente mediante la reunión de un comité de selección compuesto por la secretaria de Estado de Justicia, un subsecretario de Presidencia, un magistrado del Supremo, entre otros cargos de relevancia. La Presidencia de la AESIA, sin embargo, es designada directamente por la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Esto ha desatado dudas sobre si la AESIA no requerirá cambios de calado una vez el Reglamento de la Inteligencia Artificial eche a andar.