La privacidad en el desarrollo de software: obligación y oportunidad.

Intervención en Diálogos TIC, de la Asociación Profesional Española de Privacidad, Girona, 10 de abril de 2015.

El desarrollo de software enfrenta en todos los países la necesidad de incorporar el Derecho en estadios tempranos, prácticamente en lo que se suele definir coloquialmente como toma de requerimientos. Esta necesidad convive con universo complejo en el que inciden factores de orden social y económico, así como de indudable relevancia jurídica.

En primer lugar, desde un punto de vista ciudadano se percibe una creciente aceleración en los fenómenos que asocian investigación, desarrollo e innovación. Este ritmo frenético no sólo responde a la propia dinámica de la llamada Ley de Moore, a la que se une la ley de los fotones, o al crecimiento exponencial de las capacidades de almacenamiento y procesamiento en la nube. Parece evidente que no sólo las capacidades de evolución técnica inciden en la velocidad de cambio. Cualquier observador puede apreciar cómo desde la llamada burbuja puntocom incide de modo significativo el desembarco del mercado en internet, o a la inversa que tanto monta… En este sentido, la presión crece a medida que se especializa el universo de las aplicaciones móviles, se consolida la confianza en los servicios y el comercio en internet, y oleadas de nativos digitales se incorporan al mundo web 2.0. No basta con desarrollar una aplicación móvil o un producto de software innovador, es necesario que se posicione en un mercado con miles de apps, que gane en favoritos y valoraciones, y a ser posible que sea gratis o tan indispensable que no se hunda el mundo por pagar un euro por descarga.

En segundo lugar, la mayoría de nuestra población sólo está dispuesta a contratar con modelos de pay for privacy, aunque sin saberlo. Haga el lector la prueba, pregunte a cualquiera sobre si su red social, o su aplicación móvil para el fitness son gratis. Si Vd. tiene suerte y no lo miran con cierta conmiseración, obtendrá un sí por respuesta en la mayor parte de los casos. En la práctica, ello genera modelos de negocio de fuerte impacto en los derechos fundamentales. Es decir, mientras que “comprar una revista” es un acto tradicional que no requiere la identificación de una persona y comporta un rendimiento inmediato y evidente, ofrecer una publicación gratuita por internet o una aplicación de soporte a libros electrónicos obliga a otro tipo de estrategia. El oferente, el emprendedor o innovador, necesitará obtener ingresos. Dedicó tiempo, esfuerzo y dinero al desarrollo y necesita retorno para sobrevivir y a ser posible proveerse de un sueldo digno y crear empleo. Y para ello debe operar como data broker, ya sea en el nivel más sencillo alquilando espacio publicitario altamente segmentado, ya sea negociando directamente en el mercado paquetes de datos agregados o no.

En tercer y último lugar, el desarrollador se enfrentará a un Ordenamiento Jurídico antiguo en términos de adaptación, altamente codificado y caracterizado por un exceso de producción normativa a veces demasiado centrada en la anécdota en lugar de en la categoría. Por otra parte, la presión normativa se acentúa puesto que nuestro negocio podría adquirir cierta complejidad al ser trasnacional, contratar un cloud, o simplemente estar sujeto alguna especialidad jurídica como la propiedad intelectual.

No ayuda en mucho cuando las autoridades especializadas adoptan estrategias puramente defensivas y se enrocan en una concepción del Derecho propia de los años noventa. Ello puede significar la adopción de soluciones formalmente positivistas, alineadas con la interpretación literal de la norma y con un cierto desconocimiento no ya de la tecnología sino de los requerimientos prácticos que exige la adopción de sus criterios y resoluciones. Ello comporta que el enfoque jurídico siga una pauta reactiva o defensiva en lugar de centrarse en el acompañamiento proactivo. Esto es, se apuesta por mantener un determinado statu quo en lugar de apostar por un modelo funcional tanto a los objetivos de garantía del derecho fundamental a la protección de datos, propiedad intelectual etc., como a las posibilidades de lograr un desarrollo tecnológico armónico. De este modo, el asesoramiento se acaba concibiendo como la provisión de un paraguas frente a un aparato sancionador que en el caso de las PYMES puede comportar sencillamente su desaparición.

Y con esta realidad se paga un doble precio alternativo. O bien se configura un territorio hostil a la innovación, o bien se promueve desde la más pura inconsciencia un análisis de riesgos donde se pondera directamente la relación coste-beneficio de un incumplimiento. Así que en la práctica, una postura reacia a la industria y poco abierta a ofrecer modelos de interpretación flexible, paradójicamente conduce bien al incumplimiento, bien a la emigración del negocio a un territorio desde el que hacer lo mismo al margen de toda presión normativa y sin capacidad de intervención.

Y este hecho, si descendemos al plano de la realidad, obliga a tener en cuenta ciertos aspectos estratégicos ineludibles. La primera cuestión que cabe plantearse es obvia ¿realmente es necesario contemplar los aspectos jurídicos más allá de la contratación? Y en caso afirmativo, ¿Qué conceptos legales básicos debería tener en cuenta?

La respuesta a esta pregunta será variable en función del sector y el tipo de aplicación a desarrollar. Imaginemos que el desarrollador se limita a plantear un producto plano y anónimo, casi un “arcade” clásico. En tal caso, desde cuestiones sobre la titularidad si la hubiere de las librerías de programación, la relativa a las imágenes ya sean de personas o marcas, y el uso de las consabidas cookies, generan cuestiones normativas que no podemos descuidar.

Pero si damos un paso adelante y pensamos en aplicaciones vinculadas a usuario identificado o identificable la cuestión obviamente se complica. Para empezar ni podremos descuidar la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y su normativa de desarrollo, ni la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Y en tal sentido, manejar conceptos tan básicos como dato personal, tratamiento, o fichero adquirirán una elevada trascendencia.

Ello nos obligará a dimensionar aspectos aparentemente planos, como la información y las políticas de privacidad, así como el consentimiento. Pero desconfíen Vds. es posible que como se dice en alguna web la protección de datos personales sea gratis, pero en nuestro caso lo que sin duda no será es sencilla. Hemos de establecer con precisión qué finalidad perseguimos, definir en función de la misma su periodo de conservación, el flujo que regirá la trayectoria vital de la información de su recogida a su cancelación pasando por el bloqueo. ¿Cuál será nuestro target de cliente? Si es menor, o si se trata de sectores altamente regulados como el juego la cosa se complica a la hora de determinar el régimen jurídico aplicable. Y lo mismo sucede cuando definamos el nivel de seguridad. Los ejemplos podrían escalarse al infinito, baste con añadir sólo uno más, cuál es el de la relevancia del sector. Si diseña, por ejemplo, un software que va a gestionar la salud, debe considerar aspectos sectoriales como los perfiles de usuario, los consentimientos informados y no sólo para el tratamiento sino también en relación con bioética, investigación y últimas voluntades, o los formatos posibles de anonimización, o por el contrario asegurar la reidentificación en ensayos clínicos. Incluso aspectos, como el sistema operativo, el terminal, o la infraestructura en un supuesto de Infrastructure as a Service y Plattform as a Service, serán relevantísimos.

Y enfrentados a este escenario, ¿con que herramientas metodológicas cuento? En mi opinión, todo parte de una decisión estratégica previa, debe ser capaz de conformar un equipo multidisciplinar que aúne, diseño, negocio, clientes o usuarios y apoyo jurídico. Y ese equipo debe ser empático, debe ser capaz de comerse la comida para perro de los otros miembros, y las exigencias del cliente final y de los reguladores. Y para ello, dispone de dos metodologías capitales. Se trata de la Privacy by design, perfectamente extensible a la idea de Legal Compliance by Design, y las llamadas Privacy Impact Assesment.

La privacidad en el diseño y por defecto supone implementar medidas y procedimientos técnicos y organizativos apropiados para garantizar el cumplimiento normativo y la protección de los derechos del interesado. Obliga también a establecer un horizonte en el tratamiento de información personal que aplica la máxima arquitectónica de menos es más. Hay que buscar una minimización de los datos personales de modo que sólo sean objeto de tratamiento los datos personales necesarios para cada fin específico del tratamiento, y que no se recojan ni conserven más allá del mínimo necesario para esos fines, tanto por lo que respecta a la cantidad de los datos como a la duración de su conservación. Y esto obliga a una “privacidad incrustada en el diseño” que abarque también la seguridad. En aquellos casos en los que la naturaleza, volumen o sensibilidad de los tratamientos lo exija habrá que operar un análisis de riesgos específico, una PIA, que nos permita tomar un decisión, orientar nuestra programación y definir las medidas orientada a proteger la privacidad y/u otros valores relevantes.

Idénticos problemas afectarán al comercio electrónico aderezados con factores añadidos. Así, a la regulación sobre cookies se une la necesidad de garantizar que el modelo de contratación, desde la oferta a la confirmación del contrato, sigue la secuencia legal. Asimismo, y no es cuestión banal, habrá que dimensionar las condiciones de funcionamiento de los opting in/opting out respecto de la publicidad, y reflexionar sobre el sentido de herramientas del tipo 2envía a un amigo”. Pero en este sector las cosas han ido más allá y hay aspectos que adquieren un valor crucial. Por ejemplo la integración de tiendas en redes sociales de terceros, las pasarelas de pago mediante terminales móviles, y en un futuro cercano, la notificación de quiebras de seguridad adquieren un valor central.

En conclusión, la asistencia jurídica y la integración de derecho, negocio y tecnología en los procesos de desarrollo de software genera un círculo virtuoso en el que todos ganan. La herramienta ganará en seguridad en sentido jurídico, funcionalidad y en robustez. El cliente gana en cuanto una gran parte del diseño se orienta necesariamente a satisfacer sus derechos. Y por último la organización gana en términos de conocimiento interno sobre sus procesos, de confianza en el funcionamiento de sus aplicaciones y obtienen una ventaja competitiva generadora de confiabilidad en sus usuarios.

Pero todo ello será posible a condición de ser capaces de encontrar una koiné, un espacio de encuentro con un lenguaje y un espíritu comunes, en un esfuerzo compartido y orientado a la excelencia. Pero este esfuerzo, no será posible sin un nuevo entendimiento del Derecho que sin renunciar a su función tuitiva y ordenadora sea más fluido, más dúctil, más aplicable. El programador, es una suerte de demiurgo capaz de convertir el Derecho en reglas ineludibles del sistema. Sin embargo, y aunque en su ignorancia muchos así lo crean, no es un milagrero está limitado por las leyes de la física que rigen su universo particular, sin el apoyo del jurista, del regulador y del legislador su esfuerzo, como todo esfuerzo inútil solo le conducirá a la melancolía.