La digitalización avanza a gran velocidad y, con ella, crecen las dudas y preocupaciones sobre la privacidad. En este contexto, la figura del Delegado de Protección de Datos se ha convertido en una pieza clave de las instituciones públicas. En la Universidad Politécnica de Madrid, una comunidad de más de cuarenta mil personas entre estudiantes, profesorado, personal investigador y de administración y servicios, esta labor es especialmente compleja. Desde el tratamiento de datos en los proyectos de investigación hasta las plataformas digitales de enseñanza, la protección de los datos personales atraviesa prácticamente todas las actividades de la vida universitaria.

En esta entrevista conversamos con Luis Cancela, el Delegado de Protección de Datos de la UPM, para comprender los retos que acompañan a su labor diaria, centrada en informar, asesorar y supervisar el cumplimiento de la normativa de protección de datos de carácter personal, así como cooperar con la autoridad de control, que en el caso de la UPM es la Agencia Española de Protección de Datos.

Técnico de Gestión, Luis Cancela comenzó a trabajar en la UPM hace 28 años, desempeñando funciones en diferentes ámbitos como el de gestión de personal, contratación pública o asesoría jurídica. Desde 2018, es el Delegado de Protección de Datos de la UPM.

Pregunta.- ¿Qué áreas presentan mayores desafíos en materia de protección de datos dentro de la Universidad?

Respuesta.- Podría destacarse el área de Investigación, en la que se desarrollan proyectos complejos, que implican un tratamiento de datos de categoría especial a través de tecnologías innovadoras, lo que implica un mayor riesgo de afectación a los derechos y libertades de las personas.

También cabe mencionar la publicación de contenidos en la web, redes sociales, blogs, etc., actividad en la que resulta complicado a veces conciliar derechos, como el de la protección de datos personales o el de la propia imagen, con otros principios, relacionados fundamentalmente con la transparencia, o intereses legítimos que motivan dicha publicación.

P.- ¿Qué peculiaridades encuentras en la protección de los datos en una universidad y, en concreto, en la UPM?

R.- Diría que la principal peculiaridad deriva de la autonomía universitaria que consagra nuestro sistema legal, circunstancia a la que se añade, en el caso concreto de la UPM, una amplia dispersión geográfica y funcional. Un conocimiento amplio sobre este entorno complejo facilita, en ocasiones, la solución a problemas que se plantean en el día a día de la protección de datos.

“La protección de datos nos ampara, pero también nos obliga a respetar el derecho de las demás personas”

P.- ¿Qué colectivo universitario está más afectado por la protección de datos?

R.- La protección de datos, como derecho fundamental, nos afecta en una doble vertiente: nos ampara, pero también nos obliga a respetar el derecho de las demás personas, nivel en el que daría un poco igual el colectivo universitario al que pertenezcamos.

Sí podría destacarse que las personas empleadas en nuestra Universidad, cuando tratamos datos personales (estudiantes, personal, otras personas), por cuenta de la UPM, que es la persona jurídica responsable, debemos asumir el cumplimiento de estas obligaciones de protección.

P.- ¿De dónde llegan más consultas? ¿Cuáles son las dudas más comunes que suelen tener los usuarios sobre sus datos?

R.- La mayoría de las consultas proceden de los servicios y unidades de administración de la Universidad, que necesitan tratar datos personales en su desempeño cotidiano, siendo las dudas más habituales las relacionadas con el modo adecuado de cumplir con el deber de informar a las personas interesadas sobre cómo se van a tratar sus datos.

En relación con las personas interesadas, titulares del derecho a la protección de sus datos personales, recibimos sobre todo solicitudes de ejercicio de derechos en este ámbito (acceso, rectificación, etc.), destacando las peticiones de supresión de datos personales publicados por la UPM, publicación que debe de limitarse a los datos personales estrictamente necesarios y retirarse cuando ya se haya cumplido con la finalidad pretendida.

“Casi cualquier información que aluda a una persona física ha de considerarse, conforme a la normativa, como un dato personal”

P.- ¿Sigue siendo necesario concienciar de que un dato académico también es un dato personal?

R.- Pero no sólo un dato académico, sino que casi cualquier información que aluda a una persona física ha de considerarse, conforme a la normativa, como un dato personal, generando ese riesgo de que un tratamiento inapropiado nos pueda afectar negativamente. Ahí reside la clave de esto que se ha dado en llamar “protección de datos”, cuando de lo que realmente se trata es de garantizar a las personas el control sobre su propia información para evitar que puedan sufrir daños reales a través de una utilización indebida de sus datos personales.

“Un diseño deficiente sobre estas cuestiones de cumplimiento normativo puede comprometer seriamente el proyecto de investigación”

P.- La UPM es muy activa en investigación. ¿Qué retos supone la protección de datos en proyectos que involucran datos sensibles o colaboraciones internacionales?

R.- Considero que el principal reto consiste en transmitir al personal investigador la idea de que adecuar los tratamientos de datos personales previstos a la normativa es una tarea compleja, que requiere de un conocimiento experto para garantizar una privacidad desde el diseño, aunque ello pueda suponer un mayor coste del proyecto, al tener que contratar ese asesoramiento profesional. Un diseño deficiente sobre estas cuestiones de cumplimiento normativo (que no sólo aluden a la protección de datos) puede comprometer seriamente el proyecto, impidiendo, por ejemplo, la publicación de los resultados en revistas especializadas que exijan acreditar dicho cumplimiento mediante el respaldo de un comité de ética u otro mecanismo similar. 

“Resulta necesario revisar periódicamente todos los aspectos que inciden en el tratamiento de datos personales”

P.- ¿Qué aspectos consideras que aún quedan por mejorar?

R.- En un entorno en continua evolución (tecnológica, social, jurídica, etc.), resulta necesario revisar periódicamente, en un proceso de mejora continua, todos los aspectos que inciden en el tratamiento de datos personales que realiza la UPM, pero “echaría el resto” en esa labor de sensibilización, de creación de una cultura de la privacidad en nuestra comunidad universitaria.

“¿Lograremos controlar eficazmente esta utilización de tecnologías, frenando aquellos usos que pongan en peligro nuestros derechos y libertades, e incluso nuestro actual modelo de sociedad?”

P.- ¿Qué riesgos emergentes te preocupan más: IA, biometría...?

R.- La aprobación de normas como el Reglamento de la UE sobre inteligencia artificial en 2024 incide de lleno en esta preocupación, que comparto, sobre la necesidad de establecer límites en el desarrollo de los sistemas de IA, prohibiendo incluso su utilización para ciertas finalidades “nocivas”.

¿Lograremos controlar eficazmente esta utilización de tecnologías, frenando aquellos usos que pongan en peligro nuestros derechos y libertades, e incluso nuestro actual modelo de sociedad? Esto sería, en mi opinión, lo más preocupante, sobre todo teniendo en cuenta que en otras partes del planeta no se comparte esta visión, circunstancia que no contribuye precisamente a reforzar este posicionamiento ideológico y jurídico de la U.E.        

Pensemos, por ejemplo, en el avance de la neurotecnología, que puede aportar mejoras extraordinarias para la humanidad, pero que también entraña un riesgo, cada vez menos quimérico, de que no podamos proteger siquiera nuestros pensamientos, derribando así la que podría calificarse como “última frontera de la privacidad”.

P.- ¿Qué es lo más gratificante y lo más frustrante de tu trabajo como Delegado de Protección de Datos?

R.- Como en cualquier otra actividad, te toca enfrentarte de vez en cuando a algún que otro “marrón”, normalmente relacionado con la incapacidad de lograr una comunicación constructiva con alguna persona, pero el agradecimiento de quienes consideran, y así te lo manifiestan, que has atendido satisfactoriamente su consulta o su solicitud de ejercicio de derechos, ¡no tiene precio!

“Considero que el sentido de la privacidad se ha ido adormeciendo en nuestra sociedad actual”

P.- ¿Cómo ha cambiado tu visión sobre la privacidad desde que realizas esta labor?

R.- Podría decirse que he ido “despertando” ese “sentido de la privacidad”, que considero que se ha ido adormeciendo en nuestra sociedad actual, y permíteme extenderme en este punto aludiendo a una fascinante historia que leí recientemente (Se incluye en el libro “Children of the Night: The Strange and Epic Story of Modern Romania” de Paul Kenyon): Gheorghe Iosifescu, uno de los primeros expertos en computación durante el régimen dictatorial de Ceaucescu en Rumanía, se encuentra un día en su despacho a un miembro de la “securitate” (Departamento de Seguridad del Estado rumano de entonces) que, sin dirigirle la palabra, se limita a observar su actividad laboral y tomar notas en una libreta. Esta escena se repitió a diario y sin interrupción durante ¡13 años!

¿Por qué nos causa perplejidad e incluso aterra esta historia, y, sin embargo, no nos genera ninguna alarma que nuestros datos personales puedan actualmente ser utilizados por terceros con una intensidad y volumen que no admite comparación con el de esa “libretita” del pasado? Se entiende que consideramos que esas circunstancias son propias de otra época o de otro entorno geopolítico, y ello incide directamente en ese estado de somnolencia en relación con nuestra privacidad, pero nada nos garantiza que esta situación no pueda cambiar. 

“Perder nuestra privacidad puede convertirnos en un títere de quien la controle”

P.- Más allá del ambiente universitario, ¿qué importancia tiene la protección de datos en el mundo actual?

R.- Con frecuencia, no se aprecia la importancia de algo hasta que se pierde. Es paradójico que en países en los que a nivel legislativo concedemos una gran importancia a este derecho, encontrándose nuestro Reglamento Europeo de Protección de Datos a la vanguardia de la regulación mundial, sea habitual encontrarte con un discurso ciudadano pesimista o incluso de “menosprecio” a estos valores relacionados con la privacidad: “Qué pesadez esto de la protección de datos”; “Pero, si no sirve para nada”; “Total, controlan ya nuestros datos y no se puede hacer nada…”.

Efectivamente, la eficacia de esta normativa dista mucho de ser la ideal, pero no me gustaría vivir en alguno de los países en los que se otorga una protección menor o ni siquiera se contempla este derecho, lo que permite prácticas como la implantación de sistemas de vigilancia masiva con fines de control social o de persecución por motivos ideológicos, étnicos, etc.

P.- Si pudieras dar un consejo a la comunidad universitaria sobre protección de datos, ¿cuál sería?

R.- ¡Uf, consejos doy que para mí no tengo! Bueno, pues sería algo así como: “Perder nuestra privacidad puede convertirnos en un títere de quien la controle. ¡Tratemos de protegerla!”.