Vigilar y castigar. ¿Cuál debería ser la acción del regulador?

Hace unas semanas tenía la oportunidad de analizar en la sección jurídica de Expansión.com el papel de la Agencia Española de Protección de Datos en el contexto de la sociedad de la información. De aquella reflexión sobre los límites del derecho sancionador en protección de datos personales surge, no sólo el poco imaginativo remedo de un título magnífico de Michael Foucault, sino también la necesidad de profundizar en un aspecto muy concreto de la acción del regulador. La cuestión puede resumirse en una pregunta, ¿debería el regulador limitarse a estar a la expectativa y ejercer sus competencias de investigación y sanción o cabe esperar algo más de él?

Esta pregunta se entrelaza ineludiblemente con un debate más profundo respecto de la naturaleza de las relaciones entre el Derecho y la sociedad de la información, o si se prefiere el Derecho y los avances tecnológicos. Una de las constantes en la relación entre Derecho y tecnología reside en la lentitud de reacción de gobiernos y parlamentos, incapaces de ponerles puertas al campo, así como en el hecho de centrarse en una aproximación caso por caso al fenómeno tecnológico. Basta con recordar conceptos como “Big Data”, “Cloud” o “derecho al olvido”. En todos los caso se da un mismo patrón. Se trata de un fenómeno nuevo, a veces inesperado y de base tecnológica. Produce un daño o conflicto cuya regulación específica aparentemente no existe. Y se reclama una actuación rápida que nunca llega.

La respuesta más común del regulador tiende a consistir en señalar los gravísimos peligros que de la novedad se derivan para los derechos fundamentales junto con la actitud propia de la caza al acecho. Es decir, el regulador espera que los sectores “concernidos” cumplan la Ley y de no hacerlo se les aplica con el rigor que corresponda el aparato sancionador. No malinterprete el lector estas palabras, nada es blanco ni negro, generalmente la realidad ofrece una amplia paleta de colores. Es bien conocido que nuestro regulador recibe y acoge a quienes le consultan criterio y ocasionalmente colabora con ellos. Pero este ni es un proceso sistemático ni jurídicamente ordenado. El único cauce legal disponible es solicitar un informe o la tramitación de un código tipo. Y en este último caso la lentitud del propio sector para alcanzar un volumen de empresas significativo junto a la propia burocracia se erigen en un muro difícil de saltar.

Sin embargo, uno de los modos en los que el Derecho puede hacer frente al avance tecnológico es por medio de la acción de autoridades independientes de control, -como las telecomunicaciones, la protección de datos, la competencia o los mercados de valores-, la acción administrativa y la posibilidad de fijar normas al menos de carácter interpretativo como instrucciones o circulares.

Por tanto, nuestro Ordenamiento para hacer frente no sólo a internet sino también al conjunto de problemas asociados al progreso tecnológico debería ser capaz de pertrecharse de un buen corpus de principios legislativos, confiando en que el marco de actuación competencial del ejecutivo y las autoridades independientes sea capaz de ofrecer respuestas y soluciones en tiempo real.

Por otra parte, el ordenamiento debe completarse con prácticas propias del Soft-Law integrando fórmulas reguladoras dotadas de cierta flexibilidad. La experiencia de los últimos años muestra la necesidad de integrar el cumplimiento normativo en las organizaciones por medio de herramientas no estrictamente jurídicas. De entre ellas hay que referirse a distintas estrategias susceptibles de proporcionar rendimientos interesantes.

En primer lugar, en la cultura jurídica anglosajona es relativamente frecuente la emisión de informes y guías, -“guidelines”, que sirven para orientar el cumplimiento normativo de enteros sectores productivos. Si bien esas guías se publican por autoridades administrativas con la adecuada competencia, no es en absoluto inusual que su desarrollo responda a un esfuerzo concertado con el sector e incluso que hayan nacido de él. Un ejemplo paradigmático en el plano nacional lo constituye la “Guía sobre el uso de las cookies” que supervisada por la Agencia Española de Protección de Datos respondió al impulso de Adigital, Autocontrol e IAB, y ha permitido determinar las condiciones de aplicación concreta de la normativa sectorial. Este esfuerzo puede completarse, y de hecho así sucede en muchos países, con códigos corporativos vinculantes que comprometen ciertos objetivos de cumplimiento normativo ya sea a empresas concretas, ya sea a determinados sectores.

Otro elemento determinante para el cumplimiento normativo concreto puede ser impulsado mediante los procesos de certificación y/o acreditación de la calidad. La adopción de un estándar certificable supone en muchos casos la asunción de determinados objetivos de cumplimiento normativo y puede ser un vehículo interesante para promover este cumplimiento. Por tanto, si bien en ningún caso podrán ser considerados normas jurídicas, su contribución puede ser determinante para ofrecer confianza al mercado e incluso un cierto grado de seguridad jurídica.

En el Código y otras leyes del ciberespacio, Lawrence Lessig formulaba una interesante teoría incorporada posteriormente a la reedición de su obra con el título Código 2.0 en la que se vincula el Derecho y los programadores informáticos. De modo resumido la teoría de Lessig explora las posibilidades reguladoras que ofrece el código informático en los siguientes términos.

En primer lugar, hay que entender que cuando se desarrolla un sistema informático la tarea del programador resulta materialmente normativa. Es decir, fija reglas cuya estructura y finalidad se asemeja mucho a la de las normas jurídicas. En este sentido basta con pensar en el acceso a cualquier red social. La estructura de registro funciona de modo imperativo de modo que si no rellenamos los campos marcados con un asterisco o no seguimos las indicaciones el sistema nos rechazará una y otra vez. Del mismo modo sólo si conseguimos finalizar el proceso y se nos otorga usuario y contraseña podremos acceder al servicio.

Por otra parte, la propia arquitectura de internet permite acciones materialmente normativas lo cual debería facilitar la acción del estado. Por una parte el comercio electrónico, y en general cualquier página o servicio de internet, ha sido construido de modo que funcione lo mejor posible. Precisamente para facilitar la ergonomía de la navegación se desarrollaron muy tempranamente tratamientos invisibles de información como las cookies a las que se han unido nuevas herramientas como el análisis semántico. Ello permite no sólo facilitar la navegación sino también analizar el comportamiento, y en opinión de Lessig «el subproducto de este proceso ha sido convertir la Red en un espacio más regulable».

No obstante, todavía faltan incentivos a la penetración de la regulación, para ello hace falta la intervención del Estado. Y es en este punto en el que cabe remitirse de nuevo a lo arriba señalado. La fijación de principios por el legislador, su concreción en normas de rango infralegal y su traslación a los distintos sectores por medio de guidelines y estándares puede facilitar que la normatividad se inserte en el código alcanzando la programación y el funcionamiento ordinario de la tecnología en la sociedad de la información.

En cierta manera, asistimos a un fenómeno circular o que se retroalimenta. En un entorno de desarrollo tecnológico acelerado cada nueva generación de innovación generará sin duda alguna la correspondiente presión sobre los operadores en el mercado en todos los niveles. De un lado, los propios desarrolladores deberán convivir con la incertidumbre de adaptar su producto o negocio a los principios vigentes en el Ordenamiento. Por otra parte, ciertos operadores jurídicos, -gobiernos, parlamentos y autoridades reguladoras-, deberán responder al empuje innovador tratando de lograr un equilibrio por lo demás complejo. Se trata de definir un escenario que fomente y permita el desarrollo de la economía digital, pero que a la vez discipline ese mercado emergente garantice el respeto del Ordenamiento y ofrezca soluciones eficaces y flexibles.

Pero todas estas estrategias de promoción del cumplimiento normativo no se compadecen con la caza al acecho. La táctica en este ámbito debe ser grupal. El regulador debe estar dispuesto a empatizar con el regulado y a trascender la suerte de relación autoritativa actual del tipo amigo-enemigo. El regulador debe estar dispuesto a descender a la realidad, ensuciarse las manos y comerse su propia comida para perro, buscando soluciones funcionales desde dentro de las cosas y no desde su periferia. Debe estar dispuesto a profundizar de modo que las “guidelines” compartidas con el sector nazcan a propuesta suya por decenas y no como fruto de iniciativas aisladas. Debe entender que su tarea está también al servicio de la administración y del sector privado prestando soporte al cumplimiento normativo y que esa tarea es tan noble como la tutela de los derechos fundamentales, y cumple exactamente con la misma función.

Sólo así podrá abordarse la complejidad cada vez mayor de nuestra economía digital, podrán definirse reglas de juego comprensibles, aplicables y compartidas y podrá hacerse que la protección de datos personales abandone la columna de riesgos corporativos para integrarse en la visión y misión de las entidades en el apartado de ventajas competitivas.