¿Consentimiento o contrato?

Una de las primeras cuestiones que llamaron mi atención en la investigación sobre las repercusiones del tratamiento de datos personales en los derechos fundamentales fue la figura del consentimiento y lo que desde un primer momento denominé contratos de “pay for privacy”.

El modelo de ofrecer servicios financiados por el uso de los datos por el oferente era bien conocido y estudiado por los juristas norteamericanos y a ello dediqué una significativa parte de mi tesis doctoral. Paul Schwartz, Anita Allen, Fred Cate y Lawrence Lessig, entre otros, habían mantenido un intenso debate en la Connecticut Law Review y otras publicaciones. En esencia el primero señalaba la existencia de un mercado no regulado de la privacy que generaba asimetrías en la negociación. De modo que cabía excluir el consentimiento como verdadera fuente de legitimación en un contexto de servicios gratuitos de internet bajo el paradigma del “take it or leave it”. Otros autores, y significativamente Cate, defendían que precisamente el modelo de opting ut era el que facilitaba una significativa reducción de costes en los servicios y un beneficio directo para los consumidores. Todavía pasaría mucho tiempo hasta que el negocio del data broking sería objeto de investigación por la Federal Trade Comission y el legislativo norteamericano.

No podemos negar una cierta realidad y la Vanguardia Dossier ha examinado con mucho detalle los nuevos modelos de negocio de internet. En el mundo de la analítica resulta bastante obvio que los servicios abonados en moneda tradicional son residuales. Y en el territorio Smartphone brillan por su ausencia. Uno de los efectos más interesantes de la apuesta del Reglamento General de Protección de Datos por un opt in muy contundente, -el consentimiento explícito mediante una acción afirmativa-, ha sido que vuelva a cuestionarse si puede obtenerse un consentimiento válido a cambio de ofertas, descuentos o ventajas adicionales.

Uno de los problemas que más frecuentemente afectan a los que nos dedicamos a la protección de datos es la tentación de caer en un cierto ombliguismo jurídico. No solemos tener visión periférica, renunciamos a la interpretación sistemática del Ordenamiento. De hecho, esta tendencia es una de las más graves fallas en la conformación de la figura del delegado de protección de datos, y va a conducir sin duda a la gestación por las certificaciones de pseudojuristas con visión de túnel y una escasa cintura. Y, sin embargo, es bien conocido por un estudiante de primero del Grado de Derecho, y lo entiende uno de matemáticas o de informática-, que el Ordenamiento es un “sistema” con capacidad de auto y hetero-integración, en el que todo está conectado.

El derecho fundamental a la protección de datos se integra en el contexto de la conformación de un derecho a la privacidad, con el que habría una relación de especie a género-, y filogenéticamente ambos pertenecen a los derechos de la personalidad. Estos derechos son absolutos, irrenunciables, imprescriptibles e intransmisibles. Lo que, sin embargo, no excluye la realización de negocios jurídicos en los que el titular permite que otro explote la información personal y no activa los mecanismos reactivos que el Derecho le ofrece. Esto es algo muy claro en el marco del derecho a la intimidad, del derecho a la propia imagen y del derecho al honor. Basta con abrir cualquier revista para entenderlo. Incluso es significativamente evidente en el caso de los menores cuya imagen se protege, pero cuya difusión bajo autorización parental no se excluye. Más obvio resulta todavía en el caso de la inviolabilidad del domicilio, derecho que más cerca queda del antiguo paradigma propietario, y en el que su titular posee la plena libertad de decidir quién entra o no en su morada. Mayor dificultad plantea el secreto de las comunicaciones cuya estructura es netamente diversa.

Y la cuestión que deberíamos considerar obviamente es ¿por qué una persona no puede negociar en el mercado su privacidad? Y, en segundo lugar, ¿por qué la contraprestación no puede ser un servicio? Por alguna razón, -que honestamente se me escapa-, hemos olvidado que el artículo 1088 del Código Civil define el contrato como «Toda obligación consiste en dar, hacer o no hacer alguna cosa». Por otra parte, no es ocioso subrayar que para la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, el concepto de servicio de la sociedad de la información «comprende también los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios». Parece evidente, que los que he definido como contratos de “pay for privacy”, deberían ser posibles y lícitos.

En tal caso, parece bastante claro que la fuente de legitimación para el tratamiento sería su necesidad para la ejecución de un contrato (art. 6.1.b RGPD). Y no dudo que desde el mayor de los purismos cuestionará de inmediato esta afirmación. Pero, en el modelo de negocio de “pay for privacy”, la obligación que asume el cliente-pagador, es la explotación de sus datos por el oferente. Y, por tanto, parece perfectamente posible que existan tratamientos basados total o parcialmente en este modelo. Y de ahí que gane una singular importancia el deber de invocar la base jurídica del tratamiento (art. 13 RGPD).

El problema en realidad es precisamente el de la transparencia. El esquema de recogida de datos en estos casos responde a algo más parecido a una “donación”, que a un contrato bilateral. Y acudir al consentimiento una metodología que en mi opinión contradice de modo significativo las Guidelines del Working Party. En el caso que nos ocupa no se ésta consintiendo en el tratamiento, -al menos no de manera exclusiva-, sino que en realidad se está aceptando algo de contenido más amplio: la explotación económica de nuestros datos. Por tanto, parece evidente que la estructura informativa de aquellos que nos ofrecen ventajas a cambio de tratar nuestros datos personales debería ser más innovadora y la invocación de las condiciones y  de la base legal muy precisas.

Y aquí debemos aprender del Derecho de los consumidores, como de modo muy gráfico señaló Yves Poullet en el encuentro con el que la Agencia Española de Protección de Datos conmemoró los veinte años de Directiva. El problema no reside en cómo aplicar el RGPD. Está en otro lado. Se encuentra en que en este tipo de contratos hay que migrar al Derecho del consumo y atribuir derechos complementarios a lo que sería una posición subjetiva cualificada, la del interesado-consumidor. Porque lo que no ofrece dudas, es que no estamos ante un mercado en el que el cliente pueda negociar su privacidad, pueda regatear o discutir el precio. Sigue siendo un contexto asimétrico en el que, como en tantos otros casos, el interesado-consumidor sencillamente acepta o no unas condiciones generales.

Desgraciadamente, no nos basta con enfoques puristas anclados exclusivamente en el paradigma del derecho fundamental a la protección de datos, y desde una óptica que desconoce la naturaleza civil y negocial del derecho. La verdad es la verdad, dígala Agamenón o su porquero, y el legislador no ha considerado hasta hoy esta realidad. Y los efectos son devastadores, la falacia del consentimiento sólo ha generado desprotección. Ahora la dinámica del consentimiento explícito por definición puede paralizar el modelo de negocio en internet para los operadores de la UE, puede hacerlo migrar hacía esquemas de pago como el decidido por el Washington Post para suscriptores europeos, y nos tememos que sea evadible y siga sin proteger al interesado-consumidor que dispondrá de todos los ineficientes derechos que le pertenecen como interesado, y ninguno de los que le protegen como consumidor. No parece un gran negocio.