Menú móvil

cerrar-mobile

 

Por: JOSÉ LÓPEZ CALVO
Doctor en Derecho. Administrador Civil del Estado



DATOS, DERECHO Y NUEVAS TECNOLOGÍAS: PRIVACIDAD Y PUBLICIDAD

Los datos personales, como el uranio (han sido bautizados como el petróleo de nuestro tiempo), son potencialmente generadores de lo mejor y peor del futuro. De progreso o distopía, de nuevos y valiosos servicios o distorsiones y abusos.
Recientemente el cofundador de la Wikipedia Jimmy Wales polarizó la reflexión: “si te centras en evitar que la gente haga cosas malas con los datos también estarás evitando que haga cosas buenas con ellos”.
2018 se vislumbra como el año en que la Inteligencia Artificial comenzará a aplicarse en plenitud a la medicina. Inicialmente en tareas de diagnóstico, para alcanzar en un segundo estadio a otras dimensiones como operaciones hospitalarias y especialidades clínicas. Uniéndose así a plataformas de análisis de big data ya vigentes que permiten descodificar cadenas enteras de ADN en cuestión de minutos, encontrar nuevos tratamientos y comprender mejor las enfermedades, sus desencadenantes y los patrones de propagación. Y a otras prestaciones ya existentes en otros ámbitos como la detección de transacciones fraudulentas con tarjetas de crédito o las Smart Cities en las que la infraestructura de transportes y los procesos de suministros trabajan colaborativamente.
Pero en paralelo nuestros tiempos muestran situaciones, fenómenos e iniciativas alarmantes.
Como el denominado Gran Hermano chino que dispone de big data, algoritmos y millones de cámaras capaces de identificar a 200 personas por minuto, llamar a la policía si detecta a un criminal o evaluar y otorgar carnets de buenos ciudadanos. O la alerta señalada por el Parlamento Europeo en su informe de mayo de 2016 sobre robótica e inteligencia artificial sobre la posible pérdida de control por las personas de sus datos. O los constantes ataques cibernéticos (la guerra ya se desarrolla en internet) y frecuentes brechas de seguridad.
Pues bien, el Reglamento Europeo de Protección de Datos está llamado a ser el soporte de los criterios para definir lo posible, la línea entre lo admisible y lo inadmisible y las medidas de garantía de necesaria aplicación1.
Una línea que se debe trazar sobre un terreno que se encuentra en continuo movimiento, Internet no ha alcanzado la madurez. Está todavía en plena crisis de crecimiento, en un entorno social, técnico y ético exento de parámetros definitivos que deslinden unos límites de la privacidad todavía en fase de consolidación, en plena evolución.

"El Reglamento Europeo de Protección de Datos está llamado a ser el soporte de los criterios para definir lo posible, la línea entre lo admisible y lo inadmisible y las medidas de garantía de necesaria aplicación"

Por una parte el comportamiento humano socava de manera habitual la eficacia del modelo de consentimiento que es uno de los pilares esenciales de la protección de datos. El nuevo mundo se rige por la “extimidad” que se alimenta de likes, comments y retuits. Las personas que dicen que se preocupan por la privacidad al mismo tiempo revelan grandes cantidades de información personal en línea.
Es más, es difícil encontrar un debate en materia de privacidad cuya resolución no concite interpretaciones y opiniones divergentes, incluso en el ámbito judicial. Como la reciente Sentencia del Tribunal Europeo de Derechos Humanos que condena a España a indemnizar a cinco cajeras que robaban a su empleador por vulnerar el derecho a su privacidad al ser grabadas con cámaras ocultas o la habilitación de cesión a la Agencia Tributaria por Airbnb de los datos de sus clientes o por el Consejo General del Poder Judicial de los datos de abogados incluidos en Lexnet.
La protección de datos adicionalmente es la primera víctima -o sospechosa- a sacrificar en el altar del principio de precaución que exige la imposición de medidas de cautela en aras de la seguridad.
Tensión que se ha hecho patente en la investigación de la desaparición de Diana Quer. Por una parte por las lamentaciones que se levantaron por la inexistencia de cámaras de video que permitieran desentrañar el caso. Por otra parte por la trascendencia que han otorgado las Fuerzas y Cuerpos de Seguridad a la conservación de datos que realizan las compañías de telefonía móvil. Conservación relacionada con la Directiva 24/2006 derogada por el Tribunal de Justicia de la Unión Europea por entender que “estos datos pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan”.
Es más, el juego de la privacidad se desarrolla también en otros campos normativos en que el resultado no está todavía decantado. No únicamente el Reglamento se remite a un haz de leyes nacionales a aprobar antes de su entrada en vigor el 28 de mayo de 2018 y a subsiguientes mecanismos de coherencia entre los 27 que articulen criterios comunes. Sino que se complementará con el nuevo Reglamento eprivacy -en tramitación en la actualidad- que regulará la privacidad en las comunicaciones electrónicas y los parámetros de compatibilidad entre privacidad y economía digital, sobre el que el Parlamento ha subrayado que establecerá las mayores exigencias de privacidad. Y con sentencias pendientes del Tribunal Europeo en asuntos como el alcance territorial del derecho al olvido. O con la implementación de la directiva 680/2015 -cuyo plazo de trasposición coincide con el de la aplicación plena del Reglamento- sobre la que se basará la definición de criterios y límites entre protección de datos y prevención, investigación, detección y enjuiciamiento y sanción penal.

"El Reglamento se aprueba en consecuencia en plena tormenta. Se ve obligado a adoptar y adopta decisiones no carentes de cierto riesgo. En un entorno movible y sin certezas suficientes. Legislando sobre un futuro incierto"

El Reglamento se aprueba en consecuencia en plena tormenta. Se ve obligado a adoptar y adopta decisiones no carentes de cierto riesgo. En un entorno movible y sin certezas suficientes. Legislando sobre un futuro incierto. Sobre la incertidumbre.
Para ello como premisa, importante premisa, se erige con contundencia como una potente declaración de principios, de reafirmación de las esencias de protección de datos en Europa, tanto en el espacio comunitario como frente al resto del mundo, en especial Estados Unidos y China. La norma una vez más se erige como relato político, como titular, como reforzamiento de mensaje. En este caso como necesaria proclamación.
Se enfrenta a la tormenta invocando unilateralmente y con una cierta y encomiable temeridad su alcance extraterritorial. No desconoce que los grandes retos en materia de privacidad se esconden en las grandes tecnológicas ubicadas en Estados Unidos, que nos suministran maravillosos servicios, pero que nos conocen mejor que nosotros mismos.
Y en esa línea crea un potencialmente terrible sistema sancionador frente a las extralimitaciones que alcanzará también a las empresas ubicadas en terceros países que operen en Europa, donde se las obliga a designar un representante.
En plena ciclogénesis opta por construir un esquema con pocas constataciones, consolidando principios y reenviando la delimitación de contornos a estructuras de configuración de la voluntad. En plena tormenta capea el temporal a la bretona, haciendo firme el timón, dejando que el barco de protección de datos -cuyo casco de principios mantiene inalterable- adopte su propia posición de equilibrio sobre las olas definiendo y encontrando su posición natural.
Para ello maniobra y modula el sólido Estado de Derecho tradicional de imposición vertical unidireccional y autoritario y deja paso a otro más fragmentario, cuya forma es pública, porque deriva de los poderes públicos que le otorgan legitimidad, pero dejando que su contenido y concreción sea fijado en una fase subsiguiente por operadores públicos y privados. Diluyendo así el monopolio público en el ejercicio de definición de los contornos de lo admisible.
Cabalga así sobre conceptos jurídicos indeterminados -en ocasiones sobre tópicos- remitiéndose hacia una fase de implementación en que se deberá encontrar un equilibrio entre las fuerzas y elementos jurídicos, políticos, tecnológicos, sociales o filosóficos. Es el soft law en que los poderes públicos ejercen en plenitud su capacidad normativa, pero incapaces de descender al grado de especificidad exigible se refugian en la tautología, en conceptos jurídicos indeterminados y en flexibilidad y abstracción a concretar en la esencial fase de ejecución.

"Se erige con contundencia como una potente declaración de principios, de reafirmación de las esencias de protección de datos en Europa"

La definición de contornos exigirá ejercicios de aproximación sucesiva no exentos de prueba-error que emplazan a una panoplia de operadores que quedan embarcados así en la filosofía del viejo proverbio africano “Si quieres llegar rápido camina solo, si quieres llegar lejos camina en grupo”. Y que apunta a un itinerario con, al menos, tres paradas ineludibles:
En primer lugar los procesos institucionales y homogeneizadores europeos.
El Reglamento emplaza a la búsqueda de respuestas comunitarias únicas.
Y crea instrumentos y procedimientos para ello en su Capítulo VII a través de dos ejes, consultivo y decisorio. Y contemplando un sistema de cooperación y en su caso posterior de resolución de conflictos en casos de relevancia transfronteriza que engloba a la totalidad de las autoridades nacionales que podrá converger en el Tribunal de Justicia de la Unión en su caso previa cuestión prejudicial.
Emplazando a avanzar hacia la uniformidad a través de guías y manuales de instrucciones que desciendan de lo líquido y volátil a lo sólido e introduzcan claridad y seguridad jurídica necesaria en el mercado de bienes y servicios.
En segundo lugar a los responsables y asociaciones y organismos representativos.
Los responsables del tratamiento deberán desplegar “responsabilidad proactiva” para cumplir con los principios de licitud en el tratamiento y además tienen que ser capaz de demostrarlo. Tarea compleja a la que se deben añadir los requisitos agravados del consentimiento, adoptar medidas de seguridad sobre las que el Reglamento no establece criterios explícitos, escoger encargados de tratamiento de garantía y elaborar -se suprime la obligación de inscripción de ficheros- un registro de actividades de tratamiento a disposición de la autoridad.

"Se deja que su contenido y concreción sea fijado en una fase subsiguiente por operadores públicos y privados"

A los responsables, en fin, les corresponderá el difícil ejercicio de ponderación y modulación de los tratamientos para evitar riesgos sobre la privacidad, aplicar los principios de “privacidad por defecto” y “por diseño” antes de su implantación y realizar evaluaciones de impacto relativas a la protección de datos cuando un tratamiento puede producir alto riesgo que en caso de duda deben derivar en una consulta a la autoridad de control.
Las pymes a través de sus asociaciones, por su parte, van a encontrar en los mecanismos de certificación y en los códigos de conducta que prevé el reglamento instrumentos esenciales para sortear los requisitos burocráticos y las exigencias de gestión. Limitándose las autoridades de control a adoptar un rol subsidiario.
Finalmente el Reglamento deposita una enorme confianza y responsabilidad en los expertos que se reconocen por primera vez en el campo de protección de datos a través de la creación de la figura del Delegado de Protección de Datos cuyo desempeño exige una diligencia especial no solo para evitar damnificar a los operadores sino para evitar responsabilidades personales por indebido desempeño de las funciones.
El Reglamento ha optado en consecuencia y se acerca al modelo anglosajón del “common law” -aunque la Comisión el 8 de enero confirmó que la retirada del Reino Unido de la Unión supone la retirada de sus reglas de protección de datos- con normativa habilitante y una aplicación y jurisprudencia muy flexible y poco uniforme. Alejándose de la tradición continental, en la que predominan la previsión legislativa y la norma escrita y donde la jurisprudencia tiene un papel más limitado.
Recayendo en una ambigüedad que alcanza incluso a las teóricas certezas: el refuerzo de las exigencias del consentimiento para el tratamiento al inadmitir el tácito mantiene como contrapunto -que otorga margen de maniobra- la posible base para el tratamiento con otro soporte: el “interés legítimo”. Y encuentra en las decisiones de aplicación del potencialmente duro sistema sancionador su principal elemento modulador.
Las dificultades de cincelar una norma que regule una realidad caleidoscópica se ha extendido también a la fase de tramitación en el proyecto de ley de desarrollo del Reglamento. Como se ha exteriorizado al intentar concretar el nuevo derecho de portabilidad por el que el interesado tiene derecho a recibir sus datos personales de un responsable del tratamiento -como una red social o un operador de telefonía- en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento.
El artículo 20 del Reglamento únicamente precisa al respecto que los datos objeto del derecho son los datos personales del interesado "que le incumban" y "que haya facilitado a un responsable del tratamiento".
Y frente a los esfuerzos de concreción del anteproyecto de ley, el Consejo de Estado hace constatar una vez más que no es lo mismo derecho escrito que derecho practicado.

"Necesario tributo a pagar para garantizar que los avances tecnológicos no sacrifiquen derechos personales"

“El Consejo de Estado considera acertada esta delimitación del ámbito de aplicación del derecho de portabilidad. Pese a ello, es indudable que la lectura del Reglamento no permite excluir otras interpretaciones alternativas de la frase ‘que haya facilitado a un responsable’, especialmente si se tiene en cuenta que el derecho a la portabilidad está limitado a los datos objeto de tratamientos basados en el consentimiento del interesado y que el Reglamento excluye expresamente la posibilidad de un consentimiento meramente tácito o implícito. Por esta razón, dadas las abundantes observaciones que el precepto ha suscitado en la fase de información pública, y pese a la importante contribución que este artículo supone para la seguridad jurídica de los operadores, el Consejo de Estado no considera conveniente plasmar esta interpretación en el Anteproyecto de ley orgánica, por la rigidez que ello supone”.
Se encomienda pues tanto el Reglamento como el proyecto de ley a un subsiguiente ejercicio de implementación fragmentada. Con riesgo de sobrerregulacion y sobreexigencia a los operadores tanto en la configuración de criterios -a través de abundantes documentos de las diversas autoridades de control y tribunales- como en su aplicación.
La adopción de exigencias burocráticas -inherentes al risk based approach- pueden crear en ocasiones marañas difíciles de franquear sin cuestionar la capacidad de la industria europea en comparación con las competitivas americanas y chinas, con sociedades e instituciones menos preocupadas por la privacidad.
Probablemente un necesario tributo a pagar para garantizar que los avances tecnológicos no sacrifiquen derechos personales y para reforzar un humanismo que pivota en gran parte en la garantía y reafirmación de la privacidad de las personas.
Aunque los poderes públicos no deberían olvidar que en el derecho con frecuencia, como en el tango, lo que no es fácil es imposible.

1 Su análisis exhaustivo lo realizo en Comentarios al Reglamento europeo de Protección de datos, Ed. Sepin, 2007.

Palabras clave: Privacidad, Incertidumbre, Implementación.
Keywords: Privacy, Uncertainty, Implementation.

Resumen

El Reglamento Europeo de Protección de Datos es el soporte inspirador de lo admisible e inadmisible en materia de privacidad. Es una contundente declaración de principios. Pero traza una línea sobre Internet, un terreno que se encuentra en continuo movimiento, con valores sociales no consolidados, presiones por razones de seguridad y debe complementarse con otras normas en fase de elaboración. Por ello reenvía la definición de contornos a una fase subsiguiente a desarrollar por operadores públicos y privados.

Abstract

The European General Data Protection Regulation is the guideline inspiring what is admissible and inadmissible in terms of privacy. It is a strong statement of principles. But it draws a line over the Internet - an area that is in continuous flux, with social values that are as yet unconsolidated and which is subject to pressure for security reasons, and it must be complemented with other regulations currently being drafted. For this reason, it leaves a definition of boundaries to a subsequent phase, to be undertaken by public and private operators.