1. Una serie de catastróficas desdichas: errores comunes en el derecho fundamental a la protección de datos
El concepto de derecho fundamental a la protección de datos incorpora en si mismo una suerte de contradicción axiológica. Una constante en la conformación del significado de este derecho ha sido sin duda una aproximación primaria, escasamente cualitativa, rayana en la simplicidad. Y si tal vez esto tuviera sentido en los años setenta del pasado siglo, la cuestión que cabe plantearse ahora es qué significado atribuir a este derecho en 2023.
Por una parte, las tensiones y riesgos que dieron lugar al nacimiento del derecho no han desaparecido, se han transformado y, a la vez, incrementado con un significativo cambio en los protagonistas. Y así, mientras Leviatán no para de crecer, una parte significativa de nuestro futuro dependerá de nuestra capacidad de tratar datos personales.
El entendimiento plano del Derecho que da sentido a la revista La Ley Privacidad es sin duda reconfortante por su facilidad aplicativa. La llegada de la informática ofreció una nueva arma de dominación y control social a un Estado que tratamos de domeñar y embridar desde hace tres siglos con las armas de la democracia y el constitucionalismo. Nos preocupó, y con razón, que los Gobiernos pudieran incrementar todavía más su capacidad de limitar nuestras libertades controlando nuestra información. El censo y otros registros poblacionales como el padrón, el número de identificación único en la seguridad social o el DNI o la trazabilidad de nuestras lecturas en las bibliotecas facilitaban en muchos Estados la indexación, el control, la persecución y la caza del disidente. Y la respuesta jurídica resultaba por lo demás obvia, si la privacidad adquiría una dimensión informacional (Westin) resultaba imprescindible garantizar la libertad informativa y la tutela de los datos, o habeas data (Pérez Luño), otorgando a las personas una capacidad de control sobre sus datos que garantizase su libre autodeterminación informativa (Lucas Murillo).
Sin embargo, esta construcción teórica se cimentó en la práctica cotidiana con un conjunto de simplificaciones, cuando no mistificaciones, que en realidad no se correspondían ni con los planteamientos de la doctrina más autorizada ni con los objetivos del Convenio 108/1981 del Consejo de Europa o de la Directiva 95/46/CE (LA LEY 5793/1995). Que el artículo 18.4 de la Constitución (LA LEY 2500/1978) ordenase limitar la informática no ayudó demasiado. El entramado de la privacidad, en España y en una parte de la Unión Europea, se basa en ciertas verdades que se afirman como evidentes, y se presentan como una suerte de inexorables leyes de la termodinámica.
1.1. Si hay un mínimo tratamiento de datos personales el derecho fundamental a la protección de datos «aplica»
Esta sencilla afirmación integra en sí misma el germen del nacimiento de una singularidad, de un agujero negro gravitatorio cuyas consecuencias no paran de crecer. El derecho fundamental a la protección de datos está devorando los derechos a la intimidad personal y familiar, el honor y la propia imagen, desnaturalizando el secreto de las comunicaciones y amenaza hasta con invadir la inviolabilidad del domicilio. Y con ello amenaza tanto con la protección excesiva de escenarios que no deberían caer bajo su alcance como con la desprotección o desnaturalización de otros derechos afines.
La aplicación del paradigma de la protección de datos como criterio primario, preferente y casi único está reconduciendo conflictos tradicionales
La aplicación del paradigma de la protección de datos como criterio primario, preferente y casi único, está reconduciendo conflictos tradicionales que, por ejemplo, impactaban sobre el derecho a la propia imagen hacia un marco regulador de alta intensidad que convierte a padres imprudentes en responsables del tratamiento. Pero también ha permitido desgajar del secreto de las comunicaciones conjuntos de datos que ven así disminuida su protección al reducirse la intervención judicial y flexibilizarse sus condiciones de acceso. De hecho, estuvimos dispuestos a aceptar la convención de que una máquina que lee nuestro correo electrónico para hacer publicidad, entendernos mejor y alimentar una Inteligencia Artificial no vulnera el secreto de las comunicaciones. ¿Acaso quienes nos escriben dieron permiso a esta indiscreción? El último embate se anuncia en el improbable territorio de la academia. Prácticamente prohibida la lucha contra el fraude en los exámenes online mediante proctoring mediante biometría con reconocimiento facial y análisis de imagen soportada con inteligencia artificial, la siguiente ocurrencia consiste en el empleo de modelos de visionado de 360 grados en habitaciones privadas que son incompatibles con la noción de inviolabilidad del domicilio sustentada desde 1984 por el Tribunal Constitucional, en un intento de mantener un modelo de negocio que no se sostiene en un contexto de nula o baja calidad normativa.
1.2. El consentimiento que todo lo puede
La falacia del consentimiento es sin duda la segunda verdad integrada en nuestro ADN. Nada ha perjudicado tanto a la garantía de nuestros derechos como el modo plano en el que se entendió esta facultad en los primeros tiempos de la protección de datos personales. Tanto desde el punto de vista de su ejercicio material, como desde la comprensión de su naturaleza y contenido. Históricamente existen distintos ejemplos que dotan de fundamento a esta afirmación. Así, nuestra regulación permitió en origen múltiples formas de consentimiento y no únicamente el explícito, permitiendo el despliegue de patrones oscuros avant la lettre en la facturación. Bastaba con repetir durante meses un patrón gráfico y sustituirlo cuando llegaba el momento por un consentimiento implícito a treinta días.
Donde sin duda ha causado un mayor daño el patrón del consentimiento es en el ámbito de las redes sociales. Y ello debido a dos gravísimos errores de cálculo. El primero, creer que existe un consentimiento libre e informado allí donde no se daban ni una ni otra de las circunstancias, y a día de hoy siguen sin concurrir. Creer que las personas son capaces de entender en qué consiste el perfilado de personalidad es de una inusitada candidez. Pensar que el acceso a entornos de socialización únicos, con una posición dominante y un efecto social determinante no se aleja mucho de esa inocencia. Cuando un niño o adolescente, o una persona adulta, no tiene más opción para la socialización que una única herramienta cuyas capacidades escapan a avezados expertos, resulta más que dudosa la existencia de un consentimiento libre desde un punto de vista material. La segunda cuestión se refiere a la propia naturaleza de la relación jurídica que se establece. El usuario «no paga» por un servicio que ahora sabemos que como mínimo debería costarle 10 euros al mes, y la red social comercializa su publicidad. ¿Realmente era el consentimiento la base legal de este tratamiento? Esta fijación con el instituto ha hurtado a los usuarios de redes sociales las garantías que les ofrece el derecho civil y la protección de los consumidores perfectamente compatibles con la tutela del derecho fundamental a la protección de datos.
Por último, y sin duda en su manifestación más dolorosa, este modo de entender el consentimiento se encuentra en la base de parte de la grave situación que enfrentan los menores en nuestros días. En primer lugar, porque entendimos por alguna extraordinaria razón que padres y madres «maduros» podían consentir y compartir indiscriminada y compulsivamente imágenes de los menores en Internet. Y ello, sin que al parecer la Fiscalía ejerciese intensamente las potestades que derivan del artículo 4 de la Ley Orgánica 1/1996, de 15 de enero, de Protección Jurídica del Menor (LA LEY 167/1996). Y no tardaron en subirse a ese tren los propios centros escolares. Esa comunidad educativa que tanto se preocupa hoy. El mayor esfuerzo de las escuelas en materia de cumplimiento normativo hace 20 años que consiste en obtener el consentimiento informado para tratar datos personales de los menores con folletitos que se entregan a los padres a principio de curso y que solo los progenitores «raritos» y «malévolos» que solo quieren fastidiar al grupo y discriminar a sus hijos se niegan a firmar. Y así, nuestros menores han crecido normalizando el impacto de las tecnologías de la información y las comunicaciones en sus vidas y asumiendo que la privacidad es una entelequia, que es mejor vender sus datos al mejor postor, que andarse con veleidades y reivindicaciones.
Y así, regulatoriamente hablando, hicimos descansar el consentimiento en menores de edad inmaduros que estaban creciendo en con el hábito de vivir en un panóptico favorecido por padres y escuela en presencia de reguladores tan implicados en la promoción en el día de la Internet Segura como ausentes en su tarea de fiscalización. Porque mientras gritaban cuidado ¡que viene el lobo! los propios pastores servían a nuestros niños y niñas en canal al negocio depredador de la monetización de la privacidad y al incumplir su deber de adquirir y transmitir competencias digitales los expusieron a un territorio salvaje en que los operadores informales cazan despiadadamente. Ha habido que esperar al último período para que se haya producido un cambio radical de la Agencia Española de Protección de Datos en este ámbito que debe ser felicitado y bienvenido.
1.3. Cuantos menos datos…
Las traducciones siempre hicieron mucho daño en protección de datos. Traducir «data subject» por persona interesada desconecta al derecho de su titular, y aunque el significado se acerque un poco más, llamar al proveedor de servicios o contratista, «el processor» o encargado del tratamiento tiene su aquél. Y ni que decir tiene que huir de la expresión «data broker» o «data owner» para acabar en «data holder» ha degenerado en castellano en la noción de «titular de los datos» que, no sólo no describe la realidad, sino que genera confusión. Y eso es exactamente lo que ha ocurrido con el «minimisation principle».
Resulta que para el diccionario Webster minimizar consiste en reducir o mantener al mínimo. Pero todavía es más interesante la definición del Oxford «reducir algo, especialmente algo malo, al nivel más bajo posible». Y para la RAE minimizar es lo mismo, esto es, «reducir lo más posible el tamaño de algo o quitarle importancia».
Y sin embargo el art 5.2 RGPD (LA LEY 6637/2016) señala que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados. Es decir, el «diccionario de la Unión Europea» nos plantea un problema desde el punto de vista de los procesos tradicionales de la interpretación jurídica, ya que las palabras pierden aquí el sentido propio en favor del contexto que específicamente les concede el legislador europeo.
En más de una ocasión los operadores jurídicos relevantes aplican la acepción del diccionario antes que la legal. Y esta es la percepción social que transmite la opinión publicada
Y esta cuestión no es en absoluto banal. En más de una ocasión los operadores jurídicos relevantes aplican la acepción del diccionario antes que la legal. Y esta es la percepción social que transmite la opinión publicada. En realidad, la definición del RGPD se corresponde con la idea de limitar, delimitar o ajustar. Lo que sin duda causa otro dolor de cabeza al avezado servicio lingüístico y de traducción de la Unión Europea de que no se atreve a utilizar dos veces la palabra limitación en el mismo artículo ya que se acabaría confundiendo minimización y limitación de la finalidad.
De algún modo el legislador habría caído en la trampa que le tiende la tradición histórica del derecho fundamental a la protección de datos usando conceptos que apuntan a la maldad intrínseca que incorpora el hecho de tratar datos. En realidad, cada uno de los principios citados se entiende mejor como manifestación de la idea de ajuste o adecuación. La adecuación a un fin delimita y ajusta las condiciones del tratamiento desde el punto de vista temporal y causal, la llamada minimización opera como un criterio de delimitación material que desde la idea de pertinencia guarda relación con lo que históricamente se denominó calidad de los datos y la determinación de las categorías y volumen de los datos necesarios para la consecución de objetivos lícitos.
Por otra parte, como ha señalado la Agencia Española de Protección de Datos al abordar los siete principios de la privacidad desde el diseño, el principio de minimización se proyecta también sobre el diseño del tratamiento en sus aspectos organizativos y en el diseño de las condiciones técnicas del tratamiento. De la mano del principio «need to know» la minimización va a obligar a identificar los perfiles de usuario de un sistema de información y sus competencias e incluso a definir el flujo de los datos a lo largo de su ciclo de vida.
Y no se trata en absoluto de una cuestión menor y puramente retórica. Enfrentamos escenarios de transformación digital para los que el tratamiento masivo de datos, y en particular su volumen y variedad, pueden ser muy relevantes. Por tanto, cuando «minimizar» se entiende como reducir al mínimo los datos en lugar de tratar aquellos que resulten estrictamente necesarios, podría generarse un riesgo significativo para la garantía de los derechos fundamentales. La gobernanza de datos y el principio de exclusión del sesgo en la futura Ley de Inteligencia Artificial podrían peligrar. En efecto, «tratar los menos datos posibles» en volumen y variedad puede que garantizase de modo impecable el derecho fundamental a la protección de datos y al tiempo generar riesgos sistémicos en el funcionamiento de la Inteligencia Artificial. Y, aunque, no lo vayamos a tratar aquí en profundidad, incluso el principio de conservación de los datos se verá afectado en la medida en la que el mantenimiento de los conjuntos de datos originales necesarios para contrastar cualquier desviación del sistema podría ser razonable durante un período prolongado de tiempo y/o, al menos, durante el ciclo de vida de la versión del producto.
1.4. Matar al can…
Enfrentados a la realidad de no poder minimizar en el perverso sentido de la expresión, queda un expediente muy querido para los expertos en protección de datos que expresa el refrán castellano que dice que muerto el perro se acabó la rabia: «hay que anonimizar». La cuestión en esta materia no es otra que el mantenimiento entre las autoridades de protección de datos de la visión clásica del derecho fundamental a la protección de datos como elemento limitador del uso de la informática.
En efecto, una lectura atenta de la Directiva 95/46/CE (LA LEY 5793/1995) y del considerando 26 del RGPD apuntaría a la anonimización como un método que, al excluir la existencia de datos personales, determina la no aplicación de la norma y la posible reutilización sin límites y en cualquier contexto de los datos obtenidos. Este escenario permitiría extraer el máximo rendimiento posible a los datos así generados al superar el corsé de la limitación de finalidad, de la necesaria justificación de la compatibilidad del tratamiento e incluso independizaría el tratamiento de su base de legitimación original. Esta idea es compatible con aquello que se apunta como resultado previsible en los procesos de analítica de datos. Puesto que el análisis es por definición relacional la posibilidad de explorar nuevas posibilidades o la exposición a los hallazgos casuales es muy alta.
Por otra parte, el citado considerando ofrece un marco de referencia para establecer cuándo existe anonimización. Este se basa en dos criterios esenciales. El primero parte de un enfoque de riesgo, de su exclusión, que obliga a verificar si los datos podrían ser objeto de una reidentificación ya sea por singularización, inferencia o vinculación. El segundo atiende a un juicio de razonabilidad que debe tener en cuenta las capacidades que el estado del arte puede ofrecer a cualquier tercero a la hora de reidentificar.
Sin embargo, el soft law ha seguido otro camino. Las autoridades de protección de datos, cuya posición constitucional debería ser objeto de un estudio profundo, fijaron su posición en las Directrices 5/2014 sobre anonimización del grupo de Trabajo del Artículo 29 (GT29). Su primera conclusión no es otra que considerar a la anonimización un tratamiento en sí mismo. Ésta es una consecuencia lógica desde el punto de vista de la interpretación sistemática de la norma, al menos en lo que se refiere a la condición de encargado del tratamiento de los prestadores de servicios de anonimización. Pero más allá de la palabra «utilización», resulta que desde un punto de vista objetivo el concepto anonimizar no aparece en las definiciones de tratamiento de la Directiva o del Reglamento. De ahí que sorprenda cómo a la condición de tratamiento de datos personales que se atribuye a la anonimización se le anude por conexión el conjunto de disposiciones de la regulación. Es decir, no bastaría con una decisión libre de anonimizar, sino que la misma debería ser coherente con el principio de limitación de finalidad y las propias expectativas de las personas interesadas. Y, así, la interpretación auténtica, la legislación material la fija el Grupo de Trabajo del artículo 29 hasta el punto de modular, por ejemplo, la disposición adicional decimoséptima sobre tratamientos de datos de salud de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018). Es por ello que en los tratamientos de datos de salud se informa siempre sobre la posibilidad de usar los datos anonimizados con fines de investigación sin consentimiento.
Pero la acción de los reguladores no se detiene aquí ya que hacen evolucionar el juicio de razonabilidad del considerando 26 hacía el concepto de anonimización irreversible equivalente al borrado e imponen el deber de contemplar de modo prospectivo, cuando no predictivo, el futuro de la tecnología en los próximos años. Es decir, la evaluación del riesgo debe ir más allá del contexto en el que la anonimización se produce y se convierte en un juicio objetivo: si cualquier tercero con la mejor y mayor tecnología disponible puede reidentificar, los datos serán siempre datos personales. Y este criterio no es meramente teórico, sobre él se cimenta la decisión del Supervisor Europeo de Protección de Datos en el asunto de la Junta Única de Resolución (JUR), objeto de la sentencia del Tribunal General de la Unión Europea en el asunto del mismo nombre, de 26 de abril de 2023.
Y esta situación es de algún modo inquietante. El considerando 26 posee un claro valor interpretativo. A partir de ello las autoridades de protección de datos muestran una tendencia a la extensión de su sentido en un contexto de interpretación sistemática que en la práctica extiende el ámbito de aplicación del RGPD. Sin embargo, el Tribunal General enfoca la cuestión desde las capacidades del sujeto que trata datos.
En consecuencia, nos enfrentamos a procedimientos de anonimización que también pueden poner en peligro los derechos fundamentales de las personas en el contexto de la Inteligencia Artificial o de los tratamientos masivos de datos. No puede olvidarse que los procedimientos que alimentan las distintas metodologías de analítica de datos son altamente dependientes, como antes se señaló, de la variedad y volumen de datos disponibles. En este ámbito las metodologías clásicas de anonimización implican la eliminación de sujetos singularizables, la reducción de variables, la generalización o la adición de ruido. Únicamente cuando la combinación de datos para generar datos sintéticos, y por ende sujetos que no existen en la realidad, no influya en la validez de los resultados podría apostarse por la anonimización irreversible y confiable. En todos los demás casos ya no bastará con evaluar la anonimización y será imprescindible asegurar el valor estadístico del conjunto de datos que se genera y su calidad. Y, desde aquí sumamos un ladrillo más en un edificio avejentado cuya única finalidad aparente puede ser reducir al mínimo cualquier tratamiento de datos.
1.5. ¿El riesgo es el Estado?
La herencia de los años setenta y la resaca de la lucha contra el terrorismo han cimentado sin duda la percepción pública del Estado-Leviatán. Lo cierto es que razones no faltan para ello. La evolución de nuestros marcos jurídicos en este ámbito con la laxa regulación hispana hasta 2007, tanto en materia de protección de datos como en videovigilancia, el liberticidio de la Directiva de sobre conservación de datos en las comunicaciones, —al que podemos sumar los PNR varios—, no han contribuido en demasía a la hora de ofrecer confianza a la población ni a los expertos. Sólo la trasposición de la Directiva 2016/680 (LA LEY 6638/2016) que regula el tratamiento de datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, ha aportado algo de seguridad en este ámbito. Cada una de las innovaciones legislativas a las que nos hemos referido trató de aportar un cierto marco de garantías, pero hasta la Directiva adolecían de dos graves carencias. La primera consistía en lanzar un mensaje de claro sacrificio de la privacidad en el altar de la seguridad. La segunda una ausencia de balances y contrapesos, de metodologías que asegurasen la debida trazabilidad de usos, el control de la acción del Estado y que fueran capaces de disuadir cualquier tentación de desvío de poder.
La imagen de la Administración Pública no es precisamente la mejor desde el punto de vista de la protección de datos. La norma no podrá ser correctamente aplicada jamás en el país mientras no exista un factor determinante de disuasión
Por si fuera poco, la imagen de la Administración Pública no es precisamente la mejor desde el punto de vista de la protección de datos. La norma no podrá ser correctamente aplicada jamás en el país mientras no exista un factor determinante de disuasión. Y no parece que la mera reconvención tenga otro efecto que pasar un poco de vergüenza si la cuestión acaba en los medios de comunicación, adecentar un poco la casa y volver a las andadas. Y ello tiene consecuencias muy graves. La primera, pero por extraño que parezca la menor de ellas, no es otra que consolidar la visión del Estado y la Administración como una amenaza. Como la COVID demostró, esto facilita las visiones liberal-individualistas con nuevos sacerdocios. Ahora lo que se sacrificó en el altar de la privacidad, paradójicamente, fue el bien común, la trazabilidad de contactos y la posibilidad de articular cortafuegos a la propagación de la epidemia. En el futuro, alguna tesis doctoral debería calcular las diferencias entre aquellos países que usaron la tecnología desde el primer momento y los que la prohibieron. Y, a fuer de ser sinceros, nada le gustaría más a este editorialista que equivocarse, porque de acertar en nuestros prejuicios habría que anotar en el «debe» de la protección de datos contagio, dolor y muerte.
Pero el efecto más demoledor de las carencias de la Administración Pública en protección de datos se proyecta sobre el tratamiento futuro de los mismos. La trasformación digital de nuestras Administraciones es inviable sin un marco robusto de gobernanza de datos. Uno de los efectos inmediatos de la definición de marcos de cumplimiento deriva de la necesidad de analizar y entender los flujos de datos. Desde un momento muy primario los procesos de auditoría, análisis de riesgos y evaluación de impacto relativa a la protección de datos producen un efecto profundo en las organizaciones. La pluralidad de sujetos implicados y su alcance, en términos de activos, recursos humanos y procesos, proporcionan un entendimiento profundo del estado de la organización. Al ejecutar estos procesos se van a verificar redundancias, tratamientos innecesarios, riesgos para la calidad y veracidad de los datos, malas praxis que ponen en riesgo la seguridad, disponibilidad y trazabilidad de los sistemas de información, uso inadecuado de recursos humanos…
Es decir, la propia resistencia al cambio, la banalización y la minusvaloración por los cuadros dirigentes del derecho a la protección de datos personales opera como un cáncer que pudre los sistemas de información pública. Y en estas condiciones cuando se impone su evolución hacía condiciones de reutilización se generan efectos perversos desde un punto de vista emocional y material. Así, la conciencia sobre el estado de nuestros sistemas alimenta la resistencia al cambio. No se trata de falta de voluntad, es algo más humano y primario. El gestor no desea que se expongan sus vergüenzas y no aceptará la integración de sus conjuntos de datos en marcos de reutilización, en espacios de datos. La cuestión material resulta si cabe más grave todavía. La carencia de gobernanza multiplica las fuentes de datos y los tratamientos informales. La confianza en la certeza de la información decae, el número de sistemas suele resultar elefantiásico y su integración imposible. Y desde luego no se cuenta con los recursos humanos, ni con la voluntad de emprender el cambio. Y, sin embargo, cuando la necesidad de evolucionar al nuevo modelo de espacios de datos hace emerger este estado de cosas se sigue sin invertir en uno de los pilares para la gestión del cambio: la protección de datos.
Y a pesar de ello, deberíamos confiar, ya que salvo en lo que se refiere al delicado equilibrio entre seguridad y privacidad en realidad Leviatán se cambió de casa al sector privado. Porque es éste en realidad, quien posee un mayor volumen de datos sobre la ciudadanía y no el Estado. De hecho, más allá de las otoñales locuras de algún dictador trasnochado, ni un solo Gobierno ha conseguido jamás disponer de un mapa emocional de su población. De este modo, las multinacionales de la Internet social y las aplicaciones móviles manejan todos nuestros datos: nuestras compras, nuestro consumo, nuestros ingresos y transacciones, nuestra salud y, como los hechos han demostrado, nuestra ideología, religión y creencias y nuestras más profundas pulsiones y emociones.
Y esto conduce a un estado de cosas que contradice nuestra cultura y percepción. Necesitamos con urgencia una transformación digital de lo público al servicio del ser humano. El Estado-Administración clásico no se sostiene ni material ni estratégicamente. Ante un proceso de altísima tecnificación la gestión desde la ocurrencia, la planificación clásica o el procedimiento administrativo que subordina y cosifica a las personas deberían desaparecer. Amplísimos sectores como la movilidad y la sostenibilidad ecológica de las ciudades, la prestación sanitaria, la gestión de emergencias o la distribución de servicios esenciales podría prestarse con una mayor eficiencia y aun menor coste. El Estado social estará en peligro desde un punto de vista material, y como edificio constitucional, si no evoluciona hacía la transformación digital, la gestión inteligente y los procesos decisionales basados en datos. Y es justo en este contexto en el que el uso del derecho fundamental a la protección de datos como factor de limitación de la informática puede poner en riesgo el despliegue de funciones estatales básicas.
Así que, vista en su conjunto, la situación es paradójica. El consentimiento en protección de datos alimentó un gigantesco mercado de capitalización de la privacidad, la minimización amenaza con reducir la calidad de los sistemas de información basados en Inteligencia Artificial y una anonimización imposible paraliza nuestra posibilidad de avanzar, e incluso es posible que hayamos equivocado dónde se encuentra Leviatán.
Pero no es esto lo que perseguían la Directiva, ni el Reglamento General de Protección de Datos (LA LEY 6637/2016) ni a dónde debería conducir el complejo entramado que ha tratado de construir la Comisión Europea y que no siempre acaban de entender el Parlamento y los grupos de interés.
2. Caminando hacía los espacios de datos
Cada número de esta Revista convive con una realidad cambiante que nos enfrenta a una realidad poliédrica. Son tiempos difíciles y la vez llenos de oportunidades que conviene saber navegar. Las normas y las políticas de la Unión Europea siempre han perseguido un objetivo: asegurar el tratamiento y la circulación de datos en el marco interior. Sin ello el sistema en realidad no puede funcionar. Las lecciones aprendidas con la Directiva 95/46/CE (LA LEY 5793/1995) apuntaban a una fragmentación normativa que operaba como barrera de entrada en el mercado, como plataforma para el dumping normativo en un marco sencillamente ingobernable. Y puesto que a pesar de nuestra soberbia regulatoria fuimos incapaces de entender y gobernar Internet nos enfrentamos en esta década ante una situación pavorosa: no tenemos los datos, no tenemos la industria, no tenemos las infraestructuras básicas. Y es en el contexto en el que las propuestas sobre transformación digital y espacios de datos y la Década Digital Europea adquieren su sentido.
Las exposiciones de motivos de normas ya publicadas y otras en marcha permiten obtener una visión de conjunto. Y lo que pieza a pieza revela el puzle es que la Comisión Europea persigue no es otra cosa que promover un mercado de datos con perfiles propios. Cada uno de los Reglamentos en marcha aborda una cuestión específica que completa un dibujo cuyo punto de partida imprescindible pasaba por resolver el desbarajuste regulador previo con el Reglamento General de Protección de Datos (LA LEY 6637/2016).
En primer lugar, la Unión ha debido reforzar y consolidar el mercado de open data mediante una Directiva y un Reglamento ya que no había alcanzado el grado de madurez adecuado. Sin embargo, como se ha señalado más arriba no existe en la Unión Europea un mercado de data brokers, esos datos se encuentran manos de multinacionales de otros países. Por otra parte, un volumen considerable de datos en manos del sector público difícilmente puede ser accesible ya que es necesaria una transformación inicial que garantice no solo el derecho fundamental a la protección de datos sino también otros derechos como la propiedad intelectual. Por otra, como se recordará la relación entre el consumidor y los proveedores de servicios de la sociedad de la información es asimétrica. Ello implica que la idea de «autodeterminación» de control efectivo sobre nuestros datos resulta ser una entelequia más allá de poder ejercer los derechos de acceso, rectificación, supresión, portabilidad, limitación u oposición al tratamiento. Pero, ese poder de «disposición» al que se refería la STC 292/2000 (LA LEY 11336/2000) resulta ser poco más que una ensoñación. Nuestros datos, a cambio de la calderilla de una red social, de un buscador de hoteles, o de inverosímiles aplicaciones móviles son analizados, enriquecidos y explotados sin que podamos tomar ni una sola decisión operativa.
La Data Act ofrece un marco de empoderamiento del usuario a años luz del que jamás ha ofrecido una norma o un solo regulador en protección de datos
Precisamente por ello, surgen normas que buscan cambiar las reglas del juego. La Data Act ofrece un marco de empoderamiento del usuario a años luz del que jamás ha ofrecido una norma o un solo regulador en protección de datos. Ya no se trata de cancelar los datos, se trata de que el usuario decida cuando recibe una copia en formato reutilizable y con quienes los comparte. Decidir con quién se comparten los datos puede erigirse en un primer martillo en la demolición de los monopolios sobre ellos. Esto obliga a un cambio de paradigma para el que no estoy muy seguro que nos hallemos preparados. El salto al pay for data, lo quiera o no, la Unión Europea parece más que natural. Por otra parte, la Data Governance Act promueve nuevos servicios de intermediación públicos y privados y el altruismo de datos. Se trata de nuevo de romper prácticas monopolistas y abrir nuevos escenarios de innovación, investigación y emprendimiento al servicio del modelo económico europeo, por ejemplo, a través de los llamados Digital Innovation Hubs. Finalmente, en una lista que no agota todas las posibilidades, la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Espacio Europeo de Datos Sanitarios revolucionará el escenario de la compartición de datos de saludo para uso secundario.
Por todo ello, debemos felicitarnos de la iniciativa del INE, la AEAT, la Seguridad Social, el Banco de España y el SEPE firmando un acuerdo para permitir el acceso conjunto a sus bases de datos para trabajos científicos de investigación de interés público. Según señala la nota de prensa:
«El acceso a los datos se realizará mediante procedimientos que permitan asegurar en todo momento la confidencialidad de la información, la protección de los datos personales, el respeto de la legislación vigente y el secreto estadístico, garantizando la imposibilidad de identificar directamente a ninguno de los sujetos o unidades cuya información esté contenida en las bases de datos».
Una nota de prensa no permite determinar los retos que estas instituciones han debido afrontar. De una parte, desde el RGPD parece que las metodologías de análisis de riesgos, evaluación de impacto relativa a la protección de datos y protección de datos desde el diseño y por defecto y la definición de espacios seguros y trazables será todo un reto. La Agencia Española de Protección de Datos, mediante su Guía de Aproximación de los Espacios de Datos ha abierto un camino que explorar metodológicamente para la compartición de datos. En el documento se abre el camino hacia ecosistemas de tratamiento seguro, dotados de trazabilidad que pueden integrar tecnologías dirigidas a intermediar en el procesado ofreciendo condiciones materiales de anonimización, o de seudonimización robusta, mediate herramientas de privacidad diferencial, computación multi-parte o encriptación homomórfica. Y esta es sin duda la segunda clave. Si el equipo de compliance de estas instituciones ha realizado su trabajo con pleno soporte e integración, si el regulador se encuentra cercano y ofrece un respaldo adecuado, si el riesgo reputacional se gestiona correctamente y se ofrecen garantías y transparencia, el resultado puede ser un caso de uso de primer nivel. Nos jugamos mucho con ello. Debemos demostrar que protección de datos y tratamiento de datos masivos en espacios de compartición son realidades que pueden convivir.
Ricard Martínez
Director de LA LEY PRIVACIDAD