El futuro de la privacidad: difícil equilibrio entre Derecho objetivo y subjetivo


 

La privacidad se ha venido planteando hasta nuestros días como un derecho basado esencialmente en el principio de consentimiento, entendido éste como el control y la libre disposición individual de los propios datos personales.

 No obstante,  como ya dijeron A. Daniel Oliver y José Félix Muñoz en el SICARM 2012, se le atribuye al citado principio un poder conformador de la realidad que de hecho no tiene.

 Si analizamos el mecanismo de tutela, basado en el consentimiento informado individual, vemos que:

  • Ha dado buenos resultados en la anterior era que podemos denominar “de la información”. Ésta podemos considerarla como la evolución desde los procesos manuales de la era industrial hacia la informática tradicional basada simplemente en tratar en bases de datos información de tipo estructurado.
  • Se está apagando y es cuestionable en la actual era “del conocimiento” basada en la computación ubicua a través de Internet, los tratamientos analíticos masivos tipo Big Data, las redes sociales…

Así las cosas, confiar en modelos basados en el derecho de habeas data  como autodeterminación individual sobre la propia información personal, a día de hoy y en un futuro parece poco realista y se corre el riesgo de que nos auto-engañemos como sociedad.

 Si bien el propósito de que el interesado otorgue su consentimiento previo al recabado y demás tratamientos de sus datos personales se erige como mecanismo jurídico de defensa de sus derechos, en la práctica, por desgracia, su función real es la de simplemente legitimar la renuncia a la autodeterminación informativa a cambio de, por ejemplo, ganar acceso a nuevas funcionalidades en el uso de Apps.

 En otras palabras, el consentimiento puede llegar a ser contrario al interesado sustentándose esta tesis en al menos dos motivos:

  • Por un lado, en la dificultad por parte del responsable del tratamiento de aplicar el deber de informar, previo al recabado, del consentimiento para tratar los datos personales. Esa complejidad de los nuevos sistemas tendentes a dotarse de inteligencia artificial hace que ni los propios responsables estén muchas veces en condiciones de informar con precisión sobre todos los detalles del tratamiento. En consecuencia, a stricto sensu, no puede hablarse de consentimiento informado.
  • Por otro, la vorágine de Apps, funcionalidades de conectividad ubicua, medios de comunicación social y comunicación entre objetos, que emergen ya en nuestros días, han creado en muchos individuos una cultura, basada en el oversharing o la sobreexposición, que les lleva a compartirlo todo a cambio de popularidad o de mantener esas relaciones o contactos virtuales. La consecuencia es la no lectura de las cláusulas informativas y el otorgamiento del consentimiento “no informado de facto” mediante un irreflexivo “click”. Esta actitud basada en un acto reflejo, de aceptación de cualquier condición de uso en aras de acceder rápidamente y con avidez a la funcionalidad que le es ofrecida, igual que un boomerang, se convierte desafortunadamente en un sistema legitimador de tratamientos contrarios a los más básicos principios de privacidad y protección de datos, que no olvidemos son derechos fundamentales de todas las personas.

Una alternativa que empieza a oírse es la de trasladar el consentimiento desde el propio individuo aislado hasta la sociedad. La principal crítica recibida ha sido la de anticonstitucionalidad.

 El hecho de que los derechos de las personas partan todos de otro derecho fundamental e imprescindible: el derecho a la vida, puede dar a entender como necesario que el objeto de protección jurídica de éstos derechos se encuentre situado en el ámbito de la persona misma. No obstante, no debemos entender la vida solo como una cuestión biológica, sino hacerlo en sentido amplio partiendo del reconocimiento del hombre como un ser libre que necesita desarrollarse. Y este desarrollo solo puede lograrse en el individuo por la pertenencia de éste a la sociedad.

En consecuencia, considero que no debería juzgarse anticonstitucional el hecho de que pueda limitarse a un individuo su disponibilidad a otorgar consentimiento, esté o no informado, en base a lo dispuesto en nuevas normativas de interés general legisladas para regular determinados aspectos en la sociedad donde éste se desenvuelve y desarrolla, como una faceta imprescindible para alcanzar su vida plena. Protegiendo a la sociedad, en lo sustantivo se estaría protegiendo al propio individuo.

 Para fijar conceptos diré que el Derecho objetivo es el conjunto de reglas que rigen las relaciones sociales cuyas normas pueden imponerse coercitivamente, mientras que podemos definir el Derecho subjetivo como el poder o facultad que una norma atribuye a un sujeto, en virtud del cual puede realizar un acto o exigir que se realicen determinados actos.

El desarrollo tecnológico, y el desarrollo social asociado, parece que nos obligan a desplazarnos desde una garantía de la privacidad basada en el individuo y como derecho subjetivo, a la regulación mediante garantías objetivas que afecten a la sociedad. En otras palabras, cabría desplazar el centro de gravedad legislativo en materia de privacidad desde la autodeterminación subjetiva del individuo titular de los datos hacia la tutela objetiva del estado o la unión supranacional.

Conceptos como Privacidad por Defecto, se disponen en el artículo 23 “Protección de datos desde el diseño y por defecto” del borrador del RGPD/UE y son un ejemplo de la tendencia en esa dirección ya que obligan a los responsables de los tratamientos a implementar unos niveles mínimos de seguridad de partida, basados en un análisis real de los riesgos para con la privacidad.

La PbD (Privacy by Design – Privacidad desde el Diseño) es un concepto que introdujo Ann Cavoukian (que hasta julio de 2014 fue Comisionada de información y privacidad de Ontario) parece el camino a seguir en los nuevos proyectos que sean susceptibles de incorporar datos personales. El borrador del Reglamento dispone en su art. 33 la obligación de que los Responsables y Encargados del Tratamiento lleven a cabo un PIA (Privacy Impact Assessment – Evaluación de Impacto en la Privacidad) en la fase de diseño de cualquier iniciativa, cuando existan riesgos fundados para la privacidad de los interesados y atendiendo a la naturaleza, alcance o finalidad de los datos y tratamientos asociados. Recordaré que uno de los siete principios de la Privacidad desde el Diseño es la Privacidad por Defecto.

En otro orden de cosas, existe un principio de la privacidad denominado “limitación de la finalidad”. Es el único capaz de limitar los tratamientos con independencia del consentimiento otorgado inicialmente. Algunos no lo consideran un principio “básico” quizá porque lo entienden como la consecuencia de aplicar los principios de transparencia y responsabilidad, que sí lo son.

Pese a ser un principio incardinado en el modelo de protección actual, su campo de aplicación más inmediato es el relacionado con Big data y las técnicas analíticas asociadas que nos están adentrando en el futuro. En consecuencia no es pretensioso llamarle el “principio de transición” hacia el nuevo modelo que se vislumbra.

Ante la preponderancia que está obteniendo este principio frente a los demás, es que las autoridades europeas de protección de datos lo clarifican, reconociendo que protege a los interesados mediante el establecimiento de límites en el recabado y posterior tratamiento de sus datos.

Cuando una persona proporciona sus datos personales a una empresa u otra organización, usualmente tiene ciertas expectativas acerca de la finalidad para la que sus datos serán utilizados. Hay un valor en honor a estas expectativas que es la preservación de la confianza y la seguridad jurídica. Por ello, según el GT29, el principio de limitación de la finalidad es una piedra angular de la protección de datos.

Debemos considerar que los datos que ya han sido recogidos pueden ser realmente útiles para otros propósitos, que no han sido previstos inicialmente. Por lo tanto, también hay valor en permitir, dentro de límites cuidadosamente equilibrados, un cierto grado de uso adicional.

El principio de limitación de la finalidad está diseñado para ofrecer un enfoque equilibrado:

  • Por un lado tiene como objetivo conciliar la necesidad de la previsibilidad y la seguridad jurídica en relación con los fines del tratamiento.
  • Por otro lado, la necesidad pragmática de proporcionar flexibilidad.

En consecuencia el principio de limitación de la finalidad tiene dos componentes fundamentales:

  • Los datos de carácter personal deberán ser recogidos para ‘determinados, explícitos y legítimos’ fines (especificación del propósito).
  • No ser ‘Tratados posteriormente de manera incompatible con dichos fines (uso compatible).

El tratamiento adicional para un propósito diferente no significa necesariamente que sea incompatible, (Artículo 4.2 LOPD y 8.3 RLOPD) pero la compatibilidad debe evaluarse caso por caso, teniendo en cuenta todas las circunstancias, lo que no siempre es una tarea fácil y dificulta la tutela efectiva del Derecho objetivo del que hablaba antes, por parte de las Autoridades de Control en materia de privacidad y de los diferentes órganos judiciales, desplazándolo al plano de lo subjetivo en función de las circunstancias concretas.

Debe tenerse en cuenta que el resultado de la evaluación a la que me refiero debe basarse en el artículo 10 “Supuestos que legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de diciembre, que es el reglamento de aplicación de la LOPD. Partiendo de la anulación del artículo 10.2.b por no ser conforme al artículo 7.f de la Directiva europea,  el referido artículo de la Directiva pasa a tener aplicación directa al ordenamiento jurídico español.

Dicho artículo 7.f de la Directiva establece dos únicos requisitos acumulativos para legitimar un tratamiento:

  • La necesidad de satisfacer un interés legítimo.
  • Que no prevalezcan derechos y libertades fundamentales del interesado.

Como es conocido, la colisión entre derechos fundamentales debe ponderarse caso por caso luego, si surgen dudas o un conflicto abierto, deberemos resolverlo considerando de nuevo el Derecho subjetivo.

Esto significa lo complejo que puede llegar a ser dar cumplimiento a la célebre frase de Neelie Kroes (CE): “Los nuevos diseños deben respetar la privacidad, sin que la Ley se convierta en una camisa de fuerza para la innovación”.

A futuro, tenemos un largo y motivador camino por delante.

José Luis Colom Planas

Consultor de GRC en GESCONSULTOR

Postgrado en Derecho, especialidad protección de datos y privacidad

Curso superior de Compliance Officer en Escuela Legal WKE

Editor del blog www.aspectosprofesionales.info

Asociado Senior de APEP