SEGÚN DATOS PUBLICADOS EN LOS MEDIOS, EL ACUERDO ASCIENDE A UNA CANTIDAD NO REVELADA, QUE SE UNE A LA IMPUESTA POR LA COMISIÓN FEDERAL DEL COMERCIO DE EEUU (FTC) DE VARIOS MILES DE MILLONES DE DOLARES, SIENDO LA MÁS GRANDE IMPUESTA EN LA HISTORIA POR ESTE TIPO DE INCUMPLIMIENTOS.
PERO ¿POR QUÉ ES TAN GRAVE ESTA CESIÓN DE DATOS? ¿QUE TIENE DE DIFERENTE CON OTRAS CESIONES DE DATOS?
En efecto, en los últimos días estamos viendo en la prensa como la famosa red social Facebook es noticia, y no por haber sacado una funcionalidad o haber realizado una nueva adquisición, sino por otra causa más crítica y menos honrosa. Se trata de la suscripción de un acuerdo con los demandantes en un proceso federal, donde muy posiblemente se reconoce la culpa de haber vendido datos personales de forma masiva, (se cedieron datos personales de cerca de 87 millones de usuarios), a la empresa ubicada en el Reino Unido, Cambridge Analytica, para que mediante técnicas de tratamientos de datos masivos (big data) pudieran “ayudar” en la composición de los mensajes políticos que el candidato republicano iba haciendo en la campaña electoral, tanto en propuestas como en técnicas de intoxicación y desinformación que tan efectivas fueron en la campaña del expresidente Trump.
Nos permitimos recordar que META Platforms, empresa propietaria de FACEBOOK, INSTAGRAM, entre otras, es una de las empresas tecnológicas más potentes del planeta, sus aplicaciones informáticas gestionan cada día millones de datos personales, que con la famosa excusa de “mejorar la experiencia de usuario” los ciudadanos gustosamente vamos incorporando en sus aplicaciones gratuitas. Es público y notorio, que la actual tecnología de gestión de datos masivos (big data) permite segmentar a cada usuario por edad, nivel cultural, nivel económico, situación geográfica, y entre otras características…tendencias políticas.
Históricamente y de forma muy sucinta el sistema democrático occidental funciona mediante la difusión de mensajes de los candidatos e información publicada y distribuida por lo medio de comunicación contrastados y veraces, con esos datos el votante, se hace una idea y elige al candidato que más se aproxima a sus creencias, convicciones o deseos.
Aquí es importante destacar un elemento singular, diferente y disruptivo con respecto a otras técnicas de gestión de campañas electorales, si en el sistema electoral “clásico” el candidato fundamente su mensaje en encuestas y técnicas demoscópicas que se van haciendo en el trascurso de la campaña electoral, con el correspondiente decalaje en el tiempo, en el modelo efectuado por Cambridge Analytica, el candidato tiene información en tiempo real y mediante el análisis de los datos directos que se van generando con sus opiniones y propuestas, puede ir “adaptando” su mensaje a su auditorio. El presidente y fundador de Facebook Mark Zuckerberg, tuvo que comparecer ante una comisión del Congreso de los EEUU para explicar las acciones ilegales realizadas en la campaña del presidente Trump en el 2016.
Este uso de los datos personales en la campaña del 2016 incluidos en la RRSS Facebook, no fue autorizado ni conocido por los usuarios de la red, y se aleja de cualquier técnica demoscópica clásica. Las técnicas clásicas de encuestas basadas en muestreos representativos buscan de forma más o menos consentida la captación de información del encuestado, pero no su manipulación ni engaño, de forma resumida estas encuestas se tratan en mayor o menor medida de una herramienta estándar en toda contienda electoral democrática actual pero que no manipula ni engaña al encuestado.
Cosa distinta es la vía abierta por Facebook con la cesión de datos personales a disuelta Cambridge Analytica empresa especializada en el análisis de datos masivos. En principio, ya no se trata de datos sobre muestras representativas que se captan, se analizan y se procesan en el tiempo, sino que se realizan tratamientos en tiempo real de datos de millones de personas informando al candidato del éxito o fracaso de sus propuestas electorales, no al día siguiente del mitin, sino en tiempo real, y como ya hemos comentado, modulando por tanto el discurso electoral para que se ajuste a todo aquello que el electorado quiere oír.
La realidad es que esta herramienta el sueño de cualquier político, saber en tiempo real el efecto causado por sus mensajes a sus votantes, al tiempo de tener la posibilidad de “rectificar el tiro” cambiando el discurso “en vivo y en directo” mediante las instrucciones que le pasan sus asesores en cada momento, mediante información y desinformación directa, es de una eficacia electoral demoledora.
Pero claro, aquí nos vemos en la necesidad de hacer varias reflexiones importantes y sistémicas, ¿es democrático?, ¿es una corrupción del sistema?, ¿puede favorecer intereses de terceros ocultos?
Es evidente que Meta no es una ONG, y que su negocio es la gestión y venta de los datos que capta mediante sus aplicaciones gratuitas. Cualquier empresa puede comprar y utilizar sus datos para fines publicitarios, y… ¿para otros fines?
En fin, la conclusión es que la sanción impuesta en su día por la Federal Trade Comision, la más elevada hasta la fecha, es una aviso claro y nítido a navegantes: Si atentáis contra el sistema democrático vendiendo datos personales vais a tener serios problemas. Ahora con este segundo procedimiento en la Corte Federal, es posible que el acuerdo sea también de una cantidad económica astronómica.
Estas consecuencias fatales para el responsable de las RRSS valen para USA, ahora habría que ver como contempla este tipo de conductas la UE, que respuestas prepara ante un posible incidente electoral (por ejemplo, en las elecciones generales italianas o húngaras) y, sobre todo, como reacciona en una situación tan compleja como es el actual conflicto bélico entre occidente y Rusia, donde todo es más complicado y cruel.
Esperemos que más pronto que tarde se pueda solventar la actual situación bélica y de crisis económica y que podamos volver a centrar nuestros comentarios y noticas en cuestiones más amables y más técnicas.
Os seguiremos informando.
Un cordial saludo.
El pasado 2 y 3 de junio, se ha llevado a cabo el encuentro anual de empresas dedicadas al sector de la seguridad, el "Security Forum". Como cada año ATGroup ha estado presente junto a la Asociación de Jefes de Seguridad de España (AJSE). Ha sido nuevamente, un evento ideal para poder difundir nuestros servicios y poder conocer a las nuevas empresas del sector.
6 de Julio de 2022El Gobierno ha anunciado que este año 2022 se publicará la nueva Ley de protección del denunciante (mecanismo también conocido como “canal de denuncias” o “Whistleblower”) a consecuencia de la trasposición de la Directiva (UE) 2019/1937.¿En qué puede afectarle esta normativa? Lo más probable es que desarrolle los elementos esenciales de la Directiva (UE) 2019/1937, la cual exige que todas aquellas entidades de más de 50 empleados deberán establecer un canal de denuncias y un sistema de protección al denunciante. Los canales de denuncias contemplarán los requisitos siguientes:
ES EVIDENTE QUE ESTAMOS YA A LAS PUERTAS DE UNA REVOLUCIÓN EN LA MOVILIDAD, ESPECIALMENTE EN LAR URBANA, LA TECNOLOGIA PARA EL PLENO FUNCIONAMIENTO DEL VEHÍCULO AUTONOMO YA ESTA, SÓLO QUEDA SU IMPLANTACIÓN, ¿QUÉ CONSECUENCIAS NOS APORTARÁ EN MATERIA DE PROTECCIÓN DE DATOS?
En poco tiempo la Dirección General de Tráfico nos obligará a incorporar dispositivos en nuestro vehículo que impidan la puesta en marcha si no se verifica de forma previa la capacidad del conductor para la conducción sin influencias del alcohol.
La realidad es que poco a poco en nuestros vehículos se van a incorporar herramientas y soluciones tecnológicas que van cambiar radicalmente nuestra manera y forma de entender la conducción del vehículo particular.
Sin ánimos de ser exhaustivos nos permitimos adelantar tres entornos de interconexión que van a tener grandes consecuencias, nos referimos a lo que se puede denominar: A. Control Centralizado Administrativo, B. Control Centralizado de Emergencias, C. Control Centralizado Mecánico o gestión de asistencia técnica.
A. El control centralizado administrativo, está claro que se basará en IoT, donde se interconectará vehículo y Administración de forma constante e independiente, permitiendo que la Administración encargada de la supervisión del tráfico tenga en todo momento datos actualizados del vehículo en cuestión, claro que esa interconexión en tiempo real también puede tener como contrapartida que se controle en tiempo real la situación de la ITV, la vigencia del seguro obligatorio, la situación administrativa del vehículo en cuestión, pudiendo reaccionar la Administración con el vehículo de forma automatizada bloqueando su uso, ya sea por falta de requisitos del vehículo para circular, o por falta de capacidad del conductor. Es decir, las verificaciones administrativas de situación y capacidad serán on line y automáticas gestionadas desde un Control Centralizado Administrativo.
B. En cuanto a las emergencias, hay que recordar que en la actualidad algún fabricante de alta gama, dota a sus vehículos de sistemas de ayuda vía GPRS, o similar, geoposicionando los vehículos, e incluso detectando una brusca desaceleración. Es más que previsible que dichos sistemas se generalicen y más cuando estemos ante el vehículo autónomo o semi-autonomo, siendo los datos generados controlados y gestionados por un Control Centralizados de Emergencias.
C. Por último, cada vez más fabricantes de vehículos están incorporando más sistemas de supervisión y mantenimiento mecánico en sus productos, interconectando fabricante con productos de forma recurrente, es más que probable que el coche autónomo siga la senda que ha marcado el fabricante TESLA respecto al seguimiento y control de sus unidades puestas en circulación creando un Control Centralizado Mecánico.
En materia de protección de datos, todas estas iniciativas comportan grandes retos como pueden ser.
¿Quién es el responsable de tratamiento? ¿A quien le corresponde en cada caso? ¿Qué pasará cuando se traté de un renting o un alquiler financiero?
¿Quién será el encargado de tratamiento en los diferentes entornos y titularidades?, ¿el fabricante? ¿la Administración? ¿las empresas de servicios?
¿Qué tipos de datos se tratarán? ¿Cómo se contemplará la privacidad desde el diseño y por defecto? ¿quién será responsable de cumplir dichos requisitos?
Las cesiones, accesos o el resto de actividades descritas en materia de protección de datos, ¿requerirán consentimientos de los titulares? ¿y de los terceros afectados?
También hay que tener presente, que la industria de la movilidad es un fenómeno internacional y que sus operadores son supra comunitarios, por tanto ¿Qué pasa con las transferencias internacionales de datos?
En caso de infracción mixta, ¿Quién será la autoridad competente? ¿la DGT? ¿la AEPD?, ¿otras?
Por último, y no menos importante, ¿Quién marcará los requisitos de ciberseguridad del vehículo autónomo?
La conclusión de lo aquí expuesto es que nos encontramos en una primera fase de desarrollo, en la cual se tienen más preguntas que respuestas, pero en muy poco espacio de tiempo parece ser que llegará el tiempo de empezar a plantear respuestas a las preguntas suscitadas por los diferentes operadores jurídicos, tecnológicos y administrativos que componen la ecuación del vehículo autónomo.Miembros del equipo de ATGROUP están trabajando en empresas y Universidades para buscar las soluciones más adecuadas para nuestros clientes y para la ciudadanía en general.
ATAQUES COMO LOS SUFRIDOS POR EL INSTITUT MUNICIPAL DE INFORMATICA DE BARCELONA (IMI) O LA EMPRESA ANIMSA DE NAVARRA, DEJA AL DESCUBIERTO LA EFICACIA DE LOS ATAQUES Y LOS RIESGOS QUE PUEDEN COMPORTAR UNA CIBERSEGURIDAD DEFICIENTE O VULNERABLE.
Esta semana ha salido en los medios que el Institut Municipal de Informática órgano dependiente del Ayuntamiento de Barcelona ha sufrido un ataque mediante ingeniería social con la técnica no por conocida menos efectiva de la suplantación de facturas de proveedores legítimos por otras aparentemente también legitimas pero con el número de cuenta corriente bancaria cambiado a favor de otra, a nombre de una “mula” como se conoce en el argot a los titulares de cuentas corrientes que sirven para este tipo de estafas. Una vez la víctima realiza el pago en la cuenta de la mula, en el convencimiento que esta pagando a su proveedor, el dinero desaparece en cuestión de minutos, y a medida que pasan las horas, van efectuándose transacciones a terceras entidades de otros países, haciendo prácticamente imposible el rastreo y recuperación del capital si han pasado unos días desde el fraude.
A nuestro lector, seguro que le ha llamado la atención que la banca permita abrir cuentas corrientes y hacer disposiciones de fondos libremente y no pueda actuar contra estos colaboradores necesarios para este tipo de fraudes, máxime cuando es la máxima responsable de la identificación de su cliente real en virtud de la normativa sobre prevención de blanqueo de capitales y financiación del terrorismo. Pero a efectos prácticos, se siguen abriendo cuentas muy sospechosas, incluso de forma telemática, con insolventes o jubilados que por un porcentaje de la transacción se apuntan a colaborar en el fraude.
Entendemos que, a las entidades financieras, tan hábiles a la hora de clasificar los clientes cuando se trata de solvencia patrimonial, le seria extremadamente sencillo establecer reglas de disposición de fondos para ciertos tipos de cuentas (es extremadamente sospechoso que, a un jubilado con la pensión mínima, repentinamente en un corto periodo del tiempo le ingresen cantidades enormes de dinero y los trasfiera en cuestión de minutos a entidades de fuera del país…raro, muy raro ¿no?)
Pero no sólo la banca tiene algo que decir en este asunto, la verdad es que la actual legislación necesita urgentemente una nueva tipificación del ilícito penal, esta nueva legislación deberá obligar a los diferentes operadores, por un lado, a mejorar lo que se entiende por el “deber de autoprotección”, haciendo que la ciberseguridad sea una materia de especial atención en todas las empresas y organizaciones evitando mediante medidas técnicas, organizativas y jurídicas la victimización. Y, por otro lado, no es menos importante, el cambio legislativo en la rigurosidad de la aplicación de las medidas de supervisión y control bancario, y la posible retroacción de las transacciones fraudulentas durante un tiempo razonable, que permita a las fuerzas de seguridad solicitar el bloqueo de fondos cautelar mientras se tramita la solicitud al juzgado de instrucción correspondiente.
Con sólo este par de medidas, numerosas transacciones quedarían anuladas, identificados los estafadores y desarticulados los sistemas de enriquecimiento de estas tramas internacionales de delincuentes.
Todo ello respecto al phishing, cosa diferente ya diría a nuestro parecer algo más compleja de evitar son los ataques con ransomware, especialmente los ataques de clic cero, es decir aquellos que no necesitan ninguna acción de la víctima.
Recientemente hemos visto en los medios de comunicación como una entidad pública de Navarra (ANIMSA), que presta servicios informáticos a ciento setenta y nueve entidades públicas de esa comunidad autónoma, ha sufrido un ataque desde dos servidores (Hive y Cobalt Strike) ubicados en Letonia que ha tenido cómo consecuencia la encriptación de todos los sistemas de la entidad.
Al parecer, en este ataque no se ha pedido ningún tipo de rescate en bitcoins, como es muy habitual en este tipo de delitos, sino que se trataría de un ataque puro seguramente conectado con la triste situación de Ucrania en estos momentos y la voluntad de Rusia de dar respuesta a las sanciones occidentales atacando a cualquier administración vulnerable de la otra parte del “Telón de Acero” como se diría en otras épocas que pensábamos olvidadas.No nos cansaremos de recomendar el seguimiento y observación de las directrices y sugerencias que las entidades públicas como son INCIBE para empresas y particulares y CCN para administraciones públicas en cuanto a la planificación y ejecución de un plan de ciberseguridad integral. En resumen, la ciberseguridad es una asignatura pendiente de forma permanente, ya sabemos que la seguridad absoluta no existe, pero eso no quita que dentro de nuestra agenda u hoja de ruta empresarial incluyamos la necesidad de construir un sistema robusto de ciberseguridad desde un punto de vista integral, personas, organización y máquinas.En ATGROUP tenemos la firma vocación de acompañaros en todo este proceso, ajustarlo a vuestras necesidades e incluso ayudaros a gestionar las crisis, defendiendo los intereses de nuestros clientes con todas las herramienta legales y tecnológicas que en cada momento se puedan disponer.
Os seguiremos informando.
Un cordial saludo.
LOS ALGORITMOS QUE HACEN APRENDER A LAS MÁQUINAS, ¿TIENEN QUE SER ÉTICOS? ¿QUE PASA SI SUS DECISIONES VULNERAN DERECHOS DE PERSONAS? ¿DE QUIEN SERÁ LA RESPONSABILIDAD LEGAL Y MORAL?
En efecto, tanto administraciones públicas como empresas privadas están utilizando la inteligencia artificial (IA) para mejorar sus procesos, Ayuntamientos como el de Barcelona están aplicando el machine learning para sus procesos de atención al ciudadano y la misma Generalitat de Catalunya está utilizando el algoritmo de prevención del riesgo de reincidencia delincuencial RISCANVI, desde hace algunos años. En el mismo sentido de optimización y digitalización 4.0, numerosas empresas privadas están utilizando el Big Data para sus previsiones de incidencia de riesgo y cálculo actuarial en materia de seguros o de evaluación de solvencia patrimonial o crédito.
En todo caso, lo que hace muy pocos años nos parecían asuntos de ciencia ficción, la realidad nos esta llevando a que muchas empresas y administraciones se plantean o ya tengan en explotación algoritmos que hacen aprender a las máquinas (machine learning) y que toman decisiones de forma autónoma en base a la explotación de datos masivos.
Sin duda es un gran avance y es muy posible que el machine learning mejore muchos procesos de atención a las personas, pero esos algoritmos… ¿pueden ser discriminatorios? ¿pueden atentar contra derechos fundamentales?, ¿pueden generar perjuicios por el sesgo de sus decisiones?, en resumen, ¿Quién garantiza la neutralidad ética y legal del aprendizaje de las máquinas y de sus decisiones automatizadas?
La misma Unión Europea, consciente del problema entre otras resoluciones ha dictado la Resolución del Parlamento Europeo, de 20 de octubre de 2020, con recomendaciones destinadas a la Comisión sobre un marco de los aspectos éticos de la inteligencia artificial, la robótica y las tecnologías conexas (2020/2012(INL).
Si los algoritmos de la IA, trabajan sin control humano y aplicando criterios estrictamente numéricos/económicos, no hay duda que en un futuro breve existirán potentes desajustes sociales y legales, haciendo prácticamente imposible por ejemplo contratar una póliza de asistencia sanitaria a partir de una determinada edad o harán prohibitivo el precio de la póliza del hogar si vives en una isla donde exista un volcán activo (p.e. La Palma), o quizás nos pondrá en la cola de petición de ayudas públicas por no pertenecer a uno de los colectivos de especial protección detectados por la máquina según su sesgo social de aprendizaje automático, e incluso en una mala aplicación de reconocimiento facial, podrían vetarnos la entrada en un local de ocio nocturno, al no ajustarse nuestro rostro a las características étnicas y raciales de los clientes que ha seleccionado la máquina.
Estas posibles injusticias, incluyendo los problemas legales que se puedan derivar, en muchas ocasiones emanan de los sesgos éticos y sociales que haya ido adquiriendo el algoritmo en el proceso de aprendizaje, que, en caso de no ser debidamente corregidos y tutorizados por humanos competentes, se corre el peligro de que afecten tanto a la reputación de la administración pública o la empresa que haya puesto en explotación la IA sin las debidas garantías éticas y legales como a los desarrolladores que han comercializado un producto no ajustado a la normativa vigente ni a la ética del cliente. Dichos incumplimientos pueden tener repercusiones reputacionales, pero también severas consecuencias económicas ya sea por reclamaciones directas de los colectivos afectados como por las posibles sanciones administrativas o judiciales que se pudieran derivar de la mala gobernanza del algoritmo.
Pero ¿cómo se evita el sesgo ético negativo o incluso ilegal en el proceso de machine learnig?, no es fácil, pero lo que esta claro es que hoy por hoy se necesita una tutoría humana de la máquina, y no basta con una gestión puramente técnica, hará falta un equipo multidisciplinar de expertos que valoren y corrijan el proceso, consiguiendo que el algoritmo final puesto en explotación tenga un sesgo ético-social adecuado y sobre todo que cumpla fielmente con la legalidad vigente en cada momento.
En este sentido, desde ATGROUP proponemos la creación de los COMITÉS ETICOS IA en todas las empresas e instituciones que desarrollen y/o apliquen la IA en su operativa, ya sean meros desarrolladores o usuarios finales de dichos algoritmos.
La doctrina propone como elementos transversales en dichos comités la participación de expertos en ética digital, la inclusión de los representantes de los colectivos afectados, la participación de los representantes de los trabajadores, la participación de expertos externos independientes, la aplicación de políticas eficaces de transparencia y comunicación, etc.
Los desarrolladores podrán proponer el COMITÉ ETICO IA, como un valor añadido a sus servicios y aplicaciones, garantizando un resultado conforme a las especificaciones éticas y legales que espera el cliente.
En el caso de organizaciones que explotan ya los algoritmos de la IA, el COMITÉ ETICO IA, es la herramienta de gestión de incidencias y resolución de conflictos, tanto éticos, operativos como legales.
En resumen, el COMITÉ ÉTICO IA tendrá como funciones la gobernanza ética de los algoritmos que se apliquen o desarrollen en la institución. Es evidente que este comité deberá estar estrechamente coordinado con los otros garantes de cumplimiento normativo como son la figura del delegado de Protección de Datos y el Oficial de cumplimiento normativo (Compliance Officer) en su caso.
Si estáis explotando algoritmos de IA o tenéis proyectado escalar del 3.0 al mundo 4.0, no dudéis en contactar con nosotros, donde os asesoraremos gustosamente sobre los requisitos y necesidades a cubrir.
RECIENTEMENTE SE HA PUBLICADO LA MEMORIA 2021 DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS DONDE DESTACAN DOS CIFRAS MUY SIGNIFICATIVAS: LA PRIMERA EL INCREMENTO DE LOS PROCEDIMIENTOS SANCIONADORES EN UN 54% Y LA SEGUNDA LA SUBIDA DE LOS IMPORTES DE LAS SANCIONES EN UN 337%.
En efecto, la AEPD en su memoria anual nos expone el estado de los trabajos realizados en el pasado año 2021, enumerando actividades y acciones realizadas en estos tiempos tan complejos y cambiantes.
Sin duda la AEPD se modernizado y ha asumido el reto de la incorporación a nuestro Ordenamiento Jurídico y social el RGPD con eficacia y profesionalidad. Iniciativas como el Pacto Digital o el Canal prioritario de denuncias así lo avalan.
También hay que destacar la gran actividad informativa y difusora de información, mediante numerosos eventos y actividades que permiten difundir de forma eficaz los nuevos paradigmas y garantías en materia de privacidad.
También nos permitimos destacar, por ser de indudable interés para nuestros lectores y colaboradores el cambio de orientación que se ha constatado en la nueva Memoria 2021, nos referimos al gran incremento del número de procedimientos sancionadores, un 54 % con respecto al año 2020, y sobre todo a la fuerte subida de los importes de las sanciones impuestas, donde destaca el incremento del 337% respecto al año 2020.
Por sectores de actividad destacan los clásicos ya conocidos en anteriores memorias, nos referimos al sector de la publicidad, telecomunicaciones, entidades financieras, etc.
Aunque en esta Memoria 2021 cabe destacar el fuerte aumento de sanciones derivadas de asuntos laborales (con un incremento del 6.368 % con respecto al 2020), situación que sin duda ha tenido mucho que ver con la pandemia y las medidas de teletrabajo.
También toma interés el incremento del 89 % de los procedimientos sancionadores finalizados en el 2021 derivados de una quiebra de seguridad. Es evidente que las quiebras de seguridad han de ser gestionadas de forma diligente y profesional, ya que en caso de incidente pueden ser y son una de las vías de apertura de expediente sancionador por parte de la autoridad de control.
La conclusión de lo expuesto es que la AEPD está harmonizando su actividad sancionadora y los importes de las sanciones al resto de autoridades de control europeas, (incluso en los fundamentos de Derecho de las resoluciones sancionadoras se menciona doctrina y resoluciones jurisprudenciales de otros países de nuestro entorno europeo). Esta harmonización ha comportado un incremento muy sustancial del importe de las sanciones impuestas en base al vigente RGPD, rompiendo los viejos paradigmas y precedentes administrativos en cuanto a cuantías y valoración de las infracciones de la antigua LOPD.
Por las incidencias detectadas y la actividad realizada hasta la fecha (finales de marzo), el año 2022 promete ser aún más intenso que el pasado 2021 para la AEPD.