Ir o contido principal
entrevfista
Entrevista

Entrevista a Víctor Salgado

Profesor de Dereito Informático na Facultade de Dereito da Universidade da Coruña

Entrevista realizada por Juan Granados, director de Eduga

 

12

 

No contexto das II Xornadas de Formación da Inspección Educativa, visítanos Víctor Salgado. Víctor é socio director da firma referente en Galicia de dereito TIC, Pintos & Salgado Abogados, premiada en 2015 como «Boutique Data Protection Law Firm of the Year in Spain» por Global Law Experts e en 2017 como «Boutique New Technologies Law Firm of the Year in Spain» por CorporateINTL, especializado desde 1997 en dereito dixital e comunitario e autor do blog Abonauta, nominado para o Premio ao Mellor Blog Xurídico 2010 por Derecho en Red e a Editorial Bosch.

Licenciado en Dereito e diplomado superior en Xestión Empresarial pola Universidad CEU San Pablo de Madrid, é tamén profesor de Dereito Informático na Facultade de Dereito da Universidade da Coruña e experto de recoñecido prestixio nacional e internacional no ámbito do dereito dixital e Internet, tarefa pola que foi varias veces galardoado.

Juan Granados: Estimado Víctor, durante o teu relatorio fúchesnos introducindo nos segredos da IA xenerativa, nas súas evidentes potencialidades e tamén nos riscos que representa; especialmente no que se refire ás vulneracións da privacidade, á difusión de erros flagrantes (alucinacións) e á súa capacidade de persuasión sobre persoas non suficientemente formadas no seu manexo. Chamoume especialmente a atención esa verdade revelada: «contámoslle á nosa vida á IA», unha idea moi interesante…

Víctor Salgado: En efecto. Estase demostrando que o volume de información que lle estamos dando á IA é moi superior ao que compartiamos xa en redes sociais e, incluso, do que lle contamos á nosa parella ou ao noso mellor amigo. Á IA preguntámoslle por unha doenza, por un conflito laboral, polo suspenso dun fillo, por unha separación, por unha ansiedade, por unha mala racha económica ou por unha incidencia disciplinaria no centro. É dicir: relatámoslle a nosa intimidade cunha naturalidade asombrosa. Antes un contáballe esas cousas, con sorte, ao seu médico, ao seu avogado ou a un amigo moi próximo; hoxe cóntallas a unha caixa de texto aparentemente inofensiva.

De feito, comentalo cunha «máquina» e non cunha persoa ábrenos máis, curiosamente, ao non nos sentir xulgados. Sen dúbida, os psicólogos e os sociólogos dirannos moito máis sobre isto.

A conversación parece privada, case confidencial, pero non o é no sentido xurídico estrito que o cidadán imaxina. A IA non «nos escoita» como unha persoa: procésanos, perfílanos e, en ocasións, convértenos en materia prima. Ademais, non ten a obriga de gardar segredo profesional e moitos destes datos xa están aparecendo utilizados noutros ámbitos.

A IA pode ser utilísima, pero non debe converterse no noso confesor dixital. Hai unha regra moi sinxela que serve para case todo: non introducir xamais nun sistema de IA datos ou historias que non estariamos dispostos a ver reproducidos, reutilizados, filtrados ou mal interpretados, porque moitos deles serano.

J. G.: Ao fío disto, outra expresión que nos lembraches é que, xa que non existe nada de balde, «pagamos cos nosos datos».

V. S.: Exactamente. Escribino xa hai moitos anos e segue sendo certo: en Internet case nada é de balde; simplemente, o prezo non se paga en euros, senón en datos. Pagamos cos nosos hábitos, coas nosas preferencias, coa nosa atención, coas nosas relacións, coa nosa localización, coas nosas buscas e, en non poucas ocasións, cos nosos erros. Esa é a verdadeira peaxe dixital.

Como non sacamos a carteira, non percibimos a transacción ata que se fai evidente a través de escándalos públicos como Cambridge Analytica, sancións a plataformas ou, no peor dos casos, uso inadvertido dos nosos datos. Pero existe. E ademais é un pago especialmente delicado porque afecta a un dereito fundamental. Cando cedo cartos, perdo cartos; cando cedo datos, podo perder control, contexto e, ás veces, intimidade, honor e privacidade. O cidadán debe saber que entrega, a cambio de que, durante canto tempo e con que consecuencias. E iso enlaza directamente coa protección de datos e co deber de transparencia que impón o RXPD.

J. G.: Sendo que «entregamos» parte da nosa privacidade, que dereitos legais, en grandes liñas, asisten o consumidor?

V. S: Ante todo, o cidadán ten dereito a saber. Saber quen trata os seus datos, para que, con que base xurídica, durante canto tempo e con quen os comparte. E, ademais, ten dereito a intervir: acceder aos seus datos, rectificalos, suprimilos cando proceda, opoñerse a determinados tratamentos, solicitar a súa limitación, pedir a portabilidade e non quedar sometido a decisións exclusivamente automatizadas que produzan efectos relevantes sobre a súa esfera xurídica ou persoal. Grazas á nosa avanzada lexislación europea, o cidadán está bastante ben armado.

Agora ben, unha cousa é ter dereitos e outra moi distinta saber e poder exercelos de forma real e comprensible. Porque moitas veces o usuario acepta condicións interminables, políticas opacas e deseños pensados precisamente para que se resigne, non para que decida libremente. Por iso insisto tanto en que a protección de datos non pode reducirse a un clic en «acepto» (a maior mentira de Internet: «Lin atentamente e acepto as condiciones de uso»). Ten que ver con información clara, con opcións reais e coa posibilidade de dicir «non» sen quedar expulsado da vida dixital. Polo tanto, non abonda con recoñecer dereitos, senón que hai que exercelos e facelos practicables.

J. G.: Naturalmente, á Inspección Educativa, pola súa propia natureza, preocúpalle especialmente a relación da IA cos menores de idade. Que nos podes aclarar ao respecto? E, ao fío disto, servirá de algo a anunciada prohibición gobernamental do acceso ás redes sociais dos menores de 16 anos?

V. S: Os menores, en efecto, requiren unha protección reforzada. En España, cando o tratamento de datos se funda no consentimento en servizos da sociedade da información, o límite xeral está nos 14 anos; por debaixo desa idade, o consentimento débeno prestar os que exerzan a patria potestade ou tutela. Pero, ademais, no ámbito educativo moitas veces nin sequera convén apoiarse no consentimento como base principal, porque a relación entre menor, familia, centro e Administración está perfectamente regulada na lei educativa.

En materia de IA a cuestión vólvese aínda máis seria. O Regulamento europeo da IA xa considera de alto risco varios usos da IA en educación, precisamente porque poden afectar ao acceso, a avaliación, a orientación ou a traxectoria formativa do alumnado. E, ademais, prohibe certos usos especialmente invasivos, como a inferencia de emocións en centros educativos. Dito doutro modo: non todo o tecnicamente posible é xuridicamente admisible, e menos aínda cando falamos de menores.

Respecto da anunciada prohibición do acceso de menores de 16 años a redes sociais, convén distinguir entre o titular e a realidade normativa. O Goberno anunciouna publicamente e existe unha tramitación lexislativa sobre protección de menores en contornos dixitais, pero iso non equivale a dicir que hoxe exista xa unha prohibición ou se vaia producir en termos absolutos e menos na práctica. A miña opinión é que pode servir como mecanismo de presión regulatoria, pero por si soa non resolverá o problema. Sen verificación de idade eficaz, sen alfabetización dixital, sen corresponsabilidade familiar e sen esixencia real ás plataformas, a prohibición corre o risco de quedar nunha obriga efectista, pero cun resultado bastante modesto.

J. G.: Durante o relatorio, insistiches moito na idea de que os profesionais debemos xerar unha «cultura da privacidade».

V. S: Iso é, porque a privacidade non se defende só con leis, senón tamén con hábitos. Unha organización pode ter un excelente documento de cumprimento e, ao mesmo tempo, unha pésima cultura de privacidade. Abonda con que o persoal reenvíe expedientes sen necesidade, use ferramentas non autorizadas, comparta credenciais, introduza datos de menores en aplicacións de moda ou crea que, «como é para traballar», todo vale. Non, non todo vale e somos os usuarios os que, no día a día, debemos ter isto en conta á hora de tratar datos que non son os nosos.

Crear cultura de privacidade significa incorporar unha forma de pensar. Preguntarse antes de actuar: isto é necesario?, teño base para facelo?, estou usando máis datos dos imprescindibles?, informei debidamente?, o provedor ofrece garantías?, que pode saír mal? En educación, ademais, esa cultura ten un valor exemplar. O centro non só trata datos: educa tamén co seu comportamento. E sería bastante contraditorio ensinar cidadanía dixital mentres se normalizan prácticas invasivas, opacas ou cuestionables na xestión cotiá.

J. G.: E, falando de datos, lembráchesnos que algúns son singularmente sensibles e susceptibles de especial protección.

V. S: En efecto. Non todos os datos persoais teñen o mesmo peso nin o mesmo potencial lesivo. Hai categorías especialmente sensibles, como os datos de saúde, os biométricos, os relativos á orixe racial ou étnica, ás conviccións ideolóxicas ou relixiosas, á vida sexual ou á orientación sexual, entre outros. Cando eses datos entran en xogo, o nivel de cautela debe multiplicarse, porque unha filtración ou un uso indebido xa non só compromete a privacidade: pode comprometer a dignidade mesma da persoa e abrir a porta a discriminacións moi serias.

No ámbito educativo isto é particularmente importante. Pensemos en informes psicopedagóxicos, situacións de discapacidade, problemas de saúde mental, medidas de apoio, conflitos familiares, incidentes de convivencia ou incluso meras etiquetas informais que acaban nun expediente. Por iso a regra debe ser moi simple: tratar só o necesario, protexelo moito e compartilo pouquísimo.

J. G.: Por último, e isto pregúntoo porque é unha preocupación profesional que sempre xera polémica. Que ocorre cando alguén nos grava sen nolo advertir durante a nosa actividade profesional? Teñen dereito a iso? E, se é así, en que contexto e circunstancias?

V. S: Aquí convén fuxir tanto do «pódese todo» coma do «non se pode nunca». En España, o marco constitucional protexe a intimidade, a propia imaxe e o segredo das comunicacións. A partir de aí, a xurisprudencia veu admitindo, con carácter xeral, que quen participa nunha conversa pode gravala sen necesidade de pedirlle permiso ao outro interlocutor, especialmente se logo pretende ofrecela como proba. O que resulta ilícito, e incluso delituoso, é gravar conversacións alleas nas que un non participa ou difundir despois ese contido sen xustificación.

Agora ben, que unha gravación poida chegar a ser lícita como proba non significa que todo uso posterior o sexa. Unha cousa é rexistrar unha conversación propia para defenderse e outra moi distinta subila a redes, reenviala a terceiros ou utilizala para humillar, exercer presión ou desacreditar. Aí poden entrar en xogo a  protección de datos, o dereito á intimidade, o dereito á propia imaxe e, en casos graves, incluso responsabilidades administrativas ou penais. Por iso importa moito quen grava, en que contexto, con que finalidade, que se capta exactamente e que se fai despois con iso.

Nun contexto profesional, ademais, eu recomendaría prudencia reforzada porque entran en xogo, así mesmo, as obrigas en materia de protección de datos. Se alguén quere gravar unha reunión ordinaria, o correcto é advertilo e informar da finalidade, responsable, destino e o resto de información necesaria, dando a oportunidade de opoñerse. Se non o advirte e aínda así grava, arríscase a asumir unha responsabilidade importante ante un eventual incumprimento legal serio.

J. G.: Estimado Víctor, desde a redacción da Revista Galega do Ensino-EDUGA agradecémosche vivamente a túa capacidade de comunicación, a claridade das túas palabra e a túa amabilidade ao nos atender. Oxalá teñamos pronto novas oportunidades de intercambiar coñecementos contigo.

V. S: Foi un verdadeiro pracer. Moitas grazas.

 

16