Desarrollo normativo en protección de datos. Las dificultades de una norma compleja.

Las organizaciones dedicadas a la defensa de la privacidad manifiestan su preocupación respecto de los retrasos en el desarrollo y aprobación del Reglamento General de protección de datos, así como de falta de transparencia en las negociaciones tripartitas. Esta situación de desconcierto, es compartida en cierta medida por los expertos y profesionales que asisten semana tras semana a nuevas versiones filtradas por Human Rights Watch, o al goteo de publicaciones en las páginas institucionales de los órganos europeos que manifiestan los tiras y afloja en esta negociación. Ello obliga a una ponderada reflexión desde varios puntos de vista.

El primero afecta a la ética y el compromiso en relación con las estrategias de comunicación de terceros en relación con estas materias. En España, en una reedición de algo muy nacional asistimos a una nueva fiesta de la venta del pato antes de haberlo cazado. No es nada nuevo, los viejos del lugar recordamos, no sin emoción, cómo estudiamos del 30 de junio al 4 de julio de 2005 en Santander un Reglamento que no vio la luz hasta diciembre de 2007, y que sufrió cambios significativos, entre otros a partir del grupo de trabajo que coordinado desde la Universitat de València propuso reformas al actual Título VIII. Por el camino, se sucedieron cursillos de todo jaez a razón de 1000.-€ del ala por un par de días de formación. En muchos casos con una presencia institucional fuerte que les dotaba de legitimidad. Por tanto, no parece muy serio apostar por formarse respecto de una norma cuyo conocimiento real y cabal, y cuyo futuro ha sido puesto en cuestión por European Digital Rights (EDRi), y Electronic Privacy Information Center (EPIC), y que es seguida con cautela por la Confederation of European Data Protection Organisations.

El segundo afecta a las tensiones que se aprecian desde la periferia en el desarrollo de esta norma. A mi juicio, el legislador europeo es un ente complejo y peculiar obligado a negociar en procesos de codecisión cuyos agentes responden a intereses muy diferenciados. En este sentido, y en este contexto, desde el origen Comisión y Parlamento han apostado por un modelo europeo de protección de datos con matices diferenciales claros y centrados en el rigor metodológico y una apuesta a ultranza por la prevalencia del derecho fundamental a la protección de datos. En este sentido, ello traslada sin duda una carga de trabajo adicional para las organizaciones. Por su parte, los Estados en el seno del Consejo deben atender intereses adicionales y la propia experiencia previa no es ajena a ello.

Por un lado, se produce un choque de culturas jurídicas. Aquellos países que o bien provienen del Common Law, o bien miran al otro lado del Atlántico, históricamente han apostado por modos de hacer basados en las Guidelines y el compromiso corporativo. A ellos debemos sin duda conceptos como el de accountability. Nuestra cultura patria muy latina en aquello del garrotazo y tentetieso responde a un modelo, y duele escribirlo, basado en un fuerte aparato sancionador y en una protección de datos dirigida desde arriba con una metodología con tendencia a lo imperativo.

Pero no es sólo esto lo que está en juego. Los estados atienden a factores de índole socioeconómica y deben plantearse cuestiones de interés nacional y casarlas con otras de carácter intracomunitario y supranacional. Por tanto, se intuye que no es en absoluto ajena a esta discusión la definición de un mínimo común denominador que evite el dumping jurídico. Del mismo modo, el derecho fundamental a la protección de datos es un derecho “caro” que además filosóficamente se incorpora a la estructura de costes de las organizaciones, cuando probablemente debería concebirse en el contexto del capítulo de inversiones. Ello explicaría cómo parece apostarse desde el Consejo por rebajar algunos requisitos, reducir costes de tramitación o convertir la figura del Data Protection Officer en una figura voluntaria.

Esta realidad, abordada aquí de modo superficial y desde casi el Cinturón de Kuiper en cuanto a lo que se cuece en la Unión Europea, puede entenderse tanto desde una perspectiva jurídica como desde la sesgada vista que ofrece la experiencia nacional.

En primer lugar, debe entenderse que la Europa de Posguerra se concibe desde la integración, ya sea en modelos cooperativos regionales tradicionales como el Consejo de Europa, ya sea desde el exitoso experimento de una organización sui generis como la Unión Europea. En ambos sistemas, existe un elemento común: la promoción del Estado Social y la garantía de los derechos fundamentales como un elemento de cohesión y a la vez diferencial respecto de otras áreas regionales. Ello genera una suerte de paraíso de los derechos que no sólo se consolidan sino que adquieren un perfil evolutivo propio ordenado a su materialización. En la Unión Europea los derechos, incluidos los de primera generación, adquieren una dimensión prestacional y una eficacia erga omnes. No sólo son derechos frente al Estado concebidos como deberes de abstención de éste. Implican por el contrario deberes positivos de acción de los que derivan obligaciones de hacer. Y en el caso de la protección de datos personales se superan los límites de la eficacia indirecta entre particulares, de la Dritwirkung, para convertirse sin duda en un derecho prestacional de tercera generación. Y este modelo de derechos no es barato, exige inversión, comporta una acción tuitiva por parte de la Administración a través de las autoridades de protección de datos.

Y es en este plano en el que conviene centrar nuestra atención. Es la acción del regulador la que definirá un ecosistema habitable en protección de datos personales. Si opera desde el solipsismo y la ajenidad subido a un trono de marfil es muy probable que condene el entero sistema a la imposibilidad. Y esta posibilidad pesa en el ánimo de los estados sin duda. Los Gobiernos saben que en estos momentos se juega la partida de la economía digital y que la normativa de protección de datos puede operar como soporte a un negocio digital que aporte la privacidad y la seguridad como valor competitivo, pero también puede ser en sí mismo un freno a la innovación y el crecimiento. Y una u otra cosa, dependen tanto del gobierno de los reguladores como de la propia normativa y de ahí que una rebaja en sus estándares deba entenderse como una tentación posible.

Por último, hay una cuestión nada desdeñable desde el punto de vista nacional. Se afirma que aplicar la LOPD está al alcance de cualquiera, y esto sencillamente es un argumento falaz. Inscribir un fichero y redactar un documento de seguridad tipo, si está al alcance de cualquiera. Pero suele desembocar en un cumplimiento epidérmico y formal, y el futuro Reglamento exige mucho más. Cumplir con la LOPD es algo más serio. Las PYME van a necesitar APPS y desembarcar en el big data. Pues bien, implementar los requerimientos de análisis e implementación que recomienda el Working Party exige una especialización fuera de su alcance.

En este escenario, otro camino es posible. En primer lugar, se requeriría un cambio de planteamientos. Un acercamiento a la industria, a la empresa, a los responsables que no debe ser entendido ni cómo una rendición, ni cómo una mercantilización, ni como un proceso de contaminación de la independencia. Por otra parte, el futuro Reglamento y/o la práctica deberían incorporar modelos de negociación corporativa ordenadas a obtener compromisos regulador-responsables de modo que el cumplimiento no se basase exclusivamente en una relación centrada en la potestas. En tal sentido, el modelo de acompañamiento en el procedimiento sancionador de la Federal Trade Commision ordenado a un cambio en las prácticas erróneas, o las garantías y controles sobre la repercusión en la reputación corporativa neozelandesas, son modelos a explorar.

Por último, y no por ello menos importante, es indispensable reforzar el papel de los profesionales de la privacidad. No es necesaria una figura de “DPO in house” en una PYME, bastaría con un modelo flexible de asistencia puntual en las fases de diseño e implementación de los tratamientos, y de auditorías regulares. Los DPO podrían ser herramienta indispensable para convertir un modelo normativo complejo en una realidad viable en todos los niveles. Sin embargo, y pese al alto grado de profesionalidad y formación, no existe un canal de comunicación directo, no existe una línea de atención al DPO. No potenciar esta figura, y la desaparición del Registro de ficheros, en un país como el nuestro es una apuesta segura por el incumplimiento normativo. No nos la podemos permitir.

La Unión Europea se juega todo con su futuro Reglamento y el pilotaje de su redacción exige prudencia y templanza. Ni puede hacer oídos sordos a la necesaria garantía de los derechos fundamentales ni puede convertirse en un instrumento paralizante. El juego de equilibrios que se requiere es delicado y exige un alto grado de profesionalidad y conocimiento. Esta es la verdadera apuesta.