¿Celebrando la (des)protección de los datos personales?


 

Algunas aportaciones personales sobre el cambio de paradigma.

Hoy celebramos, un año más, el Día de la Protección de Datos en Europa. A estas alturas, ya inmersos en la mitad de la segunda década del siglo XXI, cualquier reflexión que se pueda hacer al respecto debe tener en cuenta la singularidad y la complejidad del contexto tecnológico en el que se gestiona la información y, por lo tanto, los datos de carácter personal. De lo contrario existe un riesgo cierto de que, a pesar de la aparente protección que conlleva la existencia de múltiples normas aplicables, en la práctica este derecho fundamental termine por quedar sin una garantía jurídica adecuada que asegure su efectivo respecto.

Así, existe una marcada tendencia a la multiplicación de los sistemas de recogida de información que, además, se han de interconectar como premisa elemental para la obtención de valor añadido (es el caso de las smart cities), de manera que el origen de la información puede terminar difuminándose y, por tanto, la limitación de su uso para otros fines quedar irremediablemente dañada. Por otra parte, la generalización de los servicios en la nube (cloud computing) nos aboca a potenciales conflictos de carácter internacional sobre la normativa aplicable y la jurisdicción competente, dificultando así de modo casi irremediable la efectiva tutela de los derechos y libertades, especialmente desde la perspectiva individual. Más aún, con la progresiva implantación de las conexiones en todo tipo de dispositivos y aparatos (Internet of Things) las posibilidades de obtención de información relativa a los hábitos y conductas de los usuarios se multiplican, y lo hace más allá de los estrictos límites personales (caso de los teléfonos móviles, debido a su uso personal) para proyectarse incluso sobre los grupos y colectivos, como puede ser el caso de las familias. En fin, todo ello nos sitúa en un escenario tecnológico donde el big data encuentra un perfecto caldo de cultivo, en particular si tenemos en cuenta la propensión a difundir a través de las redes sociales todo tipo de información, documentos gráficos, opiniones o, simplemente, datos personales propios y de terceros.

            Al margen de que llege a aprobarse finalmente el esperado Reglamento durante el año 2015 —lo que no deja de ser un ejercicio de adivinación arriesgado si tenemos en cuenta los antecedentes—, nuestra reflexión debe tener en cuenta una realidad indiscutible: la dificultad, por no hablar directamente de imposibilidad, para el Derecho de ofrecer respuestas adecuadas a la singularidad de los desafíos que plantea la tecnología. Existe una tendencia, especialmente presente en culturas jurídicas continentales como la española, a que las normas jurídicas escritas predeterminen con suficiente precisión los supuestos de hecho a los que han de ser aplicadas, incurriendo con relativa frecuencia en un afán reglamentista que, por lo que ahora interesa, puede conllevar una importante limitación de su alcance. Ciertamente, la exhaustividad constituye una exigencia elemental en aquellos supuestos en que la regulación deba ser restrictiva, como sucede cuando conlleve una prohibición o se establezca una sanción, pero no con carácter general.

Se trata de un problema de especial trascendencia en el ámbito de la tecnología, donde el dinamismo constituye una de sus notas características, de manera que las normas podrían quedar desfasadas y, por tanto, no ser ya aplicables o, lo que incluso resulta más preocupante, aun siéndolo las consecuencias que se deriven llegaran a ser contrarias al objetivo inicialmente pretendido. Frente a esta realidad, los principios generales del Derecho adquieren una singular importancia a la hora de tratar de establecer mecanismos reguladores eficaces, si bien al mismo tiempo hay que admitir que una excesiva apertura en la determinación de su alcance puede generar un efecto indeseable en forma de inseguridad jurídica. Sin embargo, en un ámbito como la protección de los datos personales, donde ya contamos con una larga tradición en la interpretación y aplicación de un marco regulatorio europeo que incluso se ha plasmado en relevantes decisiones jurisprudenciales, sería de gran importancia avanzar en la línea propuesta ya que, de lo contrario, reglas jurídicas excesivamente concretas —aunque, sin duda, bienintencionadas— pueden terminar convirtiéndose en el principal de los problemas a resolver.

Por otra parte, la destacada vinculación tecnológica de los tratamientos de información constituye un relevante desafío para el Derecho y, en concreto, para la eficacia de sus previsiones. En efecto, la seguridad jurídica y, en concreto, la aplicación de las disposiciones jurídicas descansa en gran medida en el efectivo respeto a las reglas técnicas que se establezcan, exigencia que ha de observarse al menos desde una doble perspectiva. Así, en primer lugar, las normas jurídicas deben establecer un nivel adecuado de protección desde la perspectiva de los estándares tecnológicos en función de la naturaleza de los riesgos existentes, concreción que no puede predeterminarse de manera absoluta a través de las fuentes del Derecho y, que por tanto, nos remite a la necesaria aplicación de criterios generalmente aceptados en el sector. Ahora bien, en segundo lugar, de nada sirve que la norma fije estándares muy garantistas si en la práctica su incumplimiento no conlleva consecuencias jurídicas lo suficientemente contundentes como para desincentivar las conductas contrarias a las previsiones normativas. Y no se trata de establecer sanciones más o menos elevadas sino, sobre todo, de tratar de impedir —ya cautelarmente o, llegado el caso, de manera definitiva— la utilización de la información cuando no se hubiesen cumplido realmente las exigencias derivadas de la seguridad tecnológica.

Si atendemos a la regulación existente en relación a la protección de los datos de carácter personal y, sobre todo, a la realidad práctica de su aplicación, ¿no es realmente necesario un cambio de paradigma en los términos señalados?

 

Julián Valero Torrijos

Catedrático (acreditado) de Derecho Administrativo

Universidad de Murcia

iDertec- Grupo de investigación “Innovación, Derecho y Tecnología”

Asociado de APEP