Protección de datos y desarrollo tecnológico en un mundo global.

Intervención en el III Congreso Internacional sobre Protección de Datos de la Cátedra Google de Privacidad, Sociedad e Innovación.

Si el desarrollo tecnológico no se armoniza con la privacidad, si enfrentamos uno y otro, y si tenemos la tentación de sacrificar el desarrollo en el altar de la privacidad, seremos más pobres, seremos menos eficientes, seremos menos competitivos, Si por el contrario si apostamos por un desarrollo que no contemple la privacidad como valor genético, seremos menos libres. El diálogo y la interacción entre ambos valores resulta pues ineludible.

Abordar las relaciones entre la protección de datos personales y el desarrollo tecnológico en un mundo global constituye sin duda un reto de considerables proporciones. En primer lugar, porque el investigador debe abandonar ciertos prejuicios y definir un enfoque teórico más cercano al mundo de lo empírico, más propio de las ciencias. Los juristas nos movemos en muchas ocasiones más en el plano del intelectual que enuncia proposiciones dotadas de un sentido pleno pero cuya demostración dista mucho de la que le sería exigible a un matemático. Por ello una mínima honestidad intelectual obliga a advertir que como jurista al abordar estos temas no se puede sino ser sino prisionero de nuestras intuiciones, y esclavo de nuestros prejuicios.

Y por ello hay que comenzar desde un punto de partida muy preciso: la garantía de los derechos fundamentales en nuestro modelo constitucional implica necesariamente costes. Y ello es debido tanto a la propia naturaleza evolutiva del concepto como de la propia dinámica interna del derecho fundamental a la protección de datos. Desde un punto de vista conceptual los derechos fundamentales han pasado a incorporar elementos propios del estado social. En este sentido, ya no son solo triunfos frente al estado, o normas jurídicas que imponen deberes de abstención. Dicho de un modo coloquial, hasta los derechos más “clásicos” han incorporado algún tipo de acción estatal aunque sea sólo en el plano promocional.

El derecho fundamental a la protección de datos, a pesar de su vinculación genética con el derecho a la intimidad, se ha convertido en una especie aparte y ha asumido un claro contenido prestacional. Por tanto, lejos de incorporar obligaciones de mera abstención, su característica central en el modelo europeo consiste precisamente en imponer deberes y obligaciones al responsable del fichero o tratamiento que se erigen, en algunos casos, en soporte necesario para la garantía de los derechos del afectado. En este sentido son significativas las sentencias de la Audiencia Nacional que vienen caracterizando un deber eminentemente técnico, como el de seguridad, como un instituto instrumental indispensable para la garantía del derecho.

Y es esta estructura la que conduce a establecer una primera relación entre el derecho fundamental a la protección de datos y el desarrollo tecnológico. ¿Cumplir con la legislación sobre privacidad constituye una inversión o un coste?

Para responder a esta pregunta es muy útil recordar una intenso debate doctrinal mantenido por Fred Cate, Lawrence Lessig y Paul Schwartz en la Connecticut Law Review en el año 2000. En ese debate Cate subrayaba como las cláusulas de opt-in, al exigir una actuación positiva del interesado no suelen ser ejercidas por los ciudadanos y elevan los costes para las empresas que acaban repercutiendo sobre el consumidor ya que exigen contactar con cada cliente. De este modo, en opinión de Cate, las limitaciones al principio de opt-out suponen un gran obstáculo para la libre circulación de la información sin aportar una especial protección para la vida privada y reduciendo de facto la cantidad de información que recibe el ciudadano. Por ello, considera que sería mejor dejar al mercado funcionar.

Por tanto, podríamos presumir que efectivamente la protección de datos personales es un coste. Es más, tirando de este hilo podríamos llegar a la conclusión que la protección de datos opera como barrera al desarrollo tecnológico en virtud de distintas razones que se han venido planteando a lo largo de los años y que paso a enumerar:

  • La legislación impone barreras burocráticas insalvables.

  • La legislación es anticuada, incluso obsoleta, y no permite resolver los retos que plantea el desarrollo tecnológico.

  • El elevado monto de las multas opera como un freno a la innovación, y en concreto en el caso español, desincentiva la entrada de empresas en el país a la vez que limita extraordinariamente la innovación interna.

En este sentido resulta significativa la posición expuesta por la Asociación Europea de Universidades sobre la Propuesta de Reglamento de Protección de Datos Personales. Esta asociación integra 847 universidades de 47 países, y fue ratificada por 34 asociaciones de rectores, incluida la Conferencia de Rectores de las Universidades Españolas. En este documento entre otras cosas se señalaba que:

  • Las trabas a ciertos flujos internacionales de datos limitarán la investigación.

  • El probable impacto de la regulación es incierto pero en el peor de los casos podría convertir en ilegal la investigación en salud con datos personales y en el mejor de los casos en un trabajo irrealizable o impracticable.

  • El proyecto limita de modo injustificado los usos secundarios de datos.

  • Las transferencias internacionales de datos fuera del territorio UE son esenciales para la investigación y para la competitividad europea en esta materia.

  • Se propone la vuelta artículos 81 y 83 en su redacción por la Propuesta original de la Comisión.

El documento en sí mismo es discutible, pero transmite de nuevo esa sensación de la regulación como límite y/o barrera en este caso a la investigación científica.

Muchas de estas afirmaciones, pueden ser discutibles, y podríamos rebatirlas una a una. No obstante, también sería sencillamente hipócrita afirmar sin ningún tipo de matiz que el derecho fundamental a la protección de datos y su regulación no afectan en modo alguno al desarrollo tecnológico. La cuestión no es en absoluto tan sencilla, y tiene que ver en el modo de gestionar la privacidad.

En realidad, hoy enfrentamos dos retos ineludibles. El primero de ellos se refiere a cómo aplicamos las normas sobre protección de datos, y en mi opinión, el balance no es en absoluto satisfactorio. El sistema actualmente se caracteriza por ciertos elementos predominantes:

  • Una interpretación, monista, literal, de algún modo plana de la norma.

Tanto en el ámbito del contenido esencial del derecho fundamental a la protección de datos, como desde el punto de vista de la concreta aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y sus normas de desarrollo.

En este sentido, se opera con un silogismo básico, con una mecánica interpretativa carente de matices, y que en muchas ocasiones ofrece resultados del tipo: aplíquese la LOPD. Y no me refiero solo al regulador, se trata de un virus ampliamente extendido. Es obvio, que si la normativa se reduce a su propio contexto, que si renunciamos a los criterios de interpretación del art. 3.1 del Código Civil, la protección de datos operará como barrera insalvable para el desarrollo tecnológico. Y lo será, porque no ofrece soluciones viables, porque se centra en el qué, pero no aporta nunca el cómo.

  • Una interpretación defensiva vinculada al fuerte aparato sancionador.

El impacto de algunas sanciones, y la fuerte repercusión que su publicación produce en la reputación corporativa opera como una suerte de límite inconsciente que define aproximaciones jurídicas restrictivas y poco proclives a facilitar condiciones óptimas para el desarrollo tecnológico.

  • Se pone el acento en el ciudadano y sus derechos fundamentales.

Y así debe ser, pero tenemos un problema cuando ese es el único acento visible, cuando su objeto es generar una imagen pública que diferencia entre quienes cumplen, y quienes infringen, entre los defensores de la privacidad y los enemigos de la privacidad. Este lenguaje mediático es aprovechado en más de una ocasión para la generación de mensajes alarmistas. Verán no es en absoluto infrecuente que los amigos del Powerpoint altamente visual acudan a imágenes de Darth Vader, Matrix, Minority Report, o Gattaca para vincularlos a empresas o entidades concretas.

Como parece lógico imaginar, este lenguaje de buenos y malos, tampoco parece un incentivo a la innovación. Nadie desea aparecer en el lado del mal, nadie desea que padezca su reputación corporativa.

En segundo lugar, existe una barrera adicional que deriva de una legislación antigua útil en sus principios básicos pero carente de recursos para afrontar muchos aspectos. Y por otra parte, y me temo que en eso tal vez a los rectores no les falte la razón la nueva legislación profundiza con mucho detalle en los elementos de reforzamiento de la privacidad, pero salvo que el consejo lo enmiende, ofrece apoyos más bien limitados desde el punto de vista de la investigación.

Llegados a este punto, pudiera parecer que la tesis que aquí se defiende no es otra que la que afirmaría que el derecho fundamental a la protección de datos. Nada más lejos de la realidad. Como recogieron los medios el pasado 8 de junio desde la Asociación Profesional Española de Privacidad, y personalmente, pensamos que «Las empresas españolas deben apostar por el cumplimiento de las normas de privacidad para generar «un Big Data marca España» que se presente «al mundo como algo seguro y de confianza»». Y no nos referimos a un conjunto de obligaciones de alcance imposible sino a una metodología que avalada por el regulador sea accesible.

Cabe afirmar con una absoluta convicción que privacidad y desarrollo tecnológico pueden armonizarse. Pero para que ello sea posible es necesario el cumplimiento de ciertos requisitos:

  • La propia regulación debe integrar este objeto.

Resulta significativo que la propuesta de Ley que regulará el derecho a la privacidad del consumidor en Estados Unidos incluya en su exposición de motivos una declaración expresa reconociendo la realidad del crecimiento exponencial del volumen y la variedad de datos que se generan, recogen y procesan, afirme que este crecimiento tiene potencial para generar enormes beneficios para el conocimiento humano, la innovación tecnológica y el crecimiento económico, pero a la vez también pueda ser un peligro para la privacidad y la libertad individuales.

Pero el legislador no ve en ello un límite o un bloqueo. Entiende que las leyes deben acompasarse al ritmo al que evolucionan la tecnología y los negocios y debe encontrarse un equilibrio que fomente la confianza de los individuos en que los datos personales serán protegidos adecuadamente, mientras que el apoyo a la flexibilidad y el libre flujo de información, promoverá la innovación continua y el crecimiento económico en la economía en red.

En el caso europeo ha sido una enmienda del Parlamento la que ha introducido el Considerando 6 bis (nuevo) que señala:

«Debe garantizarse un equilibrio adecuado entre la protección de la intimidad y el respeto del mercado único. Las normas de protección de datos no deben socavar la competitividad, la innovación ni las nuevas tecnologías».

Parece más que evidente la necesidad de incorporar esta cultura.

  • Las autoridades de protección de datos personales deben asumir nuevos roles.

En este sentido, deben ser conscientes que ya no sólo son garantes de derechos fundamentales sino elementos cruciales para el fomento y desarrollo de la economía digital. Y ello les obliga a estrategias muy concretas:

– Apostar por integrar a la industria desde un punto de vista proactivo y como herramienta crucial para el cumplimiento.

– Buscar soluciones funcionales y aplicables, evitando la mera concepción positivista del Derecho.

– Potenciar los códigos tipo y reconocer cuando sean útiles los estándares adoptados por la industria.

– Incrementar de modo significativo el volumen de Guidelines concebidas no como mera enunciación de principios que ya están en las normas, sino como verdaderas guías para la acción. Las Guidelines deben abandonar el discurso sobre qué es la protección de datos y abordar el cómo aplicarla. Y ese como debe ser viable y funcional, y a ser posible pactado con la industria.

– Concebir el procedimiento sancionador como remedio y como escuela, consolidar su práctica y editar guías o documentos que permitan disponer de un conocimiento actualizado de su criterio en cada materia.

En esencia es necesario renunciar al castigo como modelo, es fundamental encontrar un nuevo modo de gestionar la privacidad.

  • Los profesionales de la privacidad serán imprescindibles.

Resulta significativo no encontrar un espacio de atención al profesional en la autoridad. Resulta particularmente relevante apreciar cómo se ha generado una suerte de conciencia local de que la LOPD, como diría mi viejo profesor de italiano, è facile e divertente. Y sin embargo, si eres una joyería y para cumplir la normativa sobre cookies hay que hacer una auditoría profunda de cookies, y si cuando el proveedor de un servicio no te informa bien de la cookie hay que ir a buscar en diccionarios especializados y en foros recónditos que además se anonimizan en la resolución… Pues me temo que ni facile, ni divertente.

Cuando afrontamos procesos de innovación y desarrollo, la participación de los profesionales resulta crucial si queremos insertar privacidad en el diseño, y análisis de riesgos. Pero, a los profesionales ni están ni se les espera. No forman parte de consejos asesores y el conocimiento experto no es requisito para el acceso a ningún puesto en el regulador del primero al último, en el mejor de los casos es un mérito.

Por otra parte, en las sucesivas versiones de la Propuesta de Reglamento se vacía de funciones al DPO y se convierte en una figura potestativa para el derecho interno de los estados.

  • El compromiso de la industria.  

La última condición que permitiría afirmar que desarrollo tecnológico y protección de datos puedan ser no sólo compatibles sino incluso retroalimentarse es el compromiso de la industria. Para es necesario potenciar una imagen del derecho fundamental a la protección de datos como una ventaja competitiva que permita a quien cumpla ofrecer a la sociedad seguridad y confianza. Y a la vez, asumir que adoptar estrategias de cumplimiento en privacidad mejora nuestros procesos internos.

En conclusión, privacidad y desarrollo tecnológico deben conciliarse.

Pero esta afirmación, no es solo una afirmación de contenido puramente económico, deriva de una fe profunda en nuestro modelo de libertades. El derecho a la vida privada se construyó inicialmente tanto en EE.UU. como en Europa como una barrera ante la acción estatal. El juez Cooley o Benjamin Constant son fiel expresión del valor central de la protección de la vida privada, centrada en la propiedad privada y el domicilio, como garantía de la libertad. Muy pronto sin embargo, Warren y Brandeis apreciaron como la innovación tecnológica obliga a un cambio que trasladaba la privacidad desde la propiedad a la dignidad, desde el Common Law a los derechos fundamentales, e intuyeron que la invasión de la misma se socializaba.

Por ello, si el desarrollo tecnológico no se armoniza con la privacidad, si enfrentamos uno y otro, y si tenemos la tentación de sacrificar el desarrollo en el altar de la privacidad, seremos más pobres, seremos menos eficientes, seremos menos competitivos, Si por el contrario si apostamos por un desarrollo que no contemple la privacidad como valor genético, seremos menos libres. El diálogo y la interacción entre ambos valores resulta pues ineludible.