El futuro de la privacidad. Reflexiones de un 28 de enero


 

Ricard Martínez.

@ricardmm

El 28 de enero de 1981, el Consejo de Europa adoptaba en Estrasburgo el Convenio n° 108/1981 relativo a la protección de las personas físicas en lo que respecta al tratamiento automatizado de datos personales. Con ello culminaba un proceso de construcción del modelo europeo de protección de datos personales precedido de leyes nacionales, – Ley del Land de Hesse de 1970 y Ley Sueca (Datalag) de 1973-, y de las constituciones de Grecia, Portugal y España. El modelo acabaría siendo definitivamente modulado por la Directiva 95/46/CE, la jurisprudencia, -caso Ley del Censo de 1983 en Alemania, SSTC 254/1993, 11/1998 y 292/2000 en España, casos Gaskin, Rotaru, Z c. Finlandia y Marper del Tribunal Europeo de Derechos Humanos, casos Lindqvist y Derecho al Olvido del Tribunal de Justica de la UE-, y se consolidaría como derecho fundamental europeo en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea.  En paralelo, en Estados Unidos se aprobaba la Privacy Act de 1974 que incorporaba los controles de la Cuarta Enmienda a las relaciones informática-estado-privacidad, adquiriendo carta de naturaleza la noción de informational privacy que tanto debe a Alan Westin.

Nuestro modelo regional se cimenta sobre el reconocimiento del derecho fundamental a la protección de datos personales o derecho a la autodeterminación informativa, como un derecho a ejercer un control sobre nuestros datos que se tutela por autoridades administrativas que suman una cierta naturaleza de ombudsmen especializados con intensas potestades de investigación y sanción en algunos casos como el español, el conocido “enforcement”. Este modelo, que en su primera generación se plantea como un límite a la acción estatal evoluciona rápidamente de la mano de la informática de usuario a convertirse en un marco regulador de las relaciones privadas. El resultado no es otro que la evolución de un derecho de la personalidad a un modelo de derecho prestacional, propio de los derechos sociales, que impone cargas y obligaciones al responsable y supone el desempeño de una importante la labor tuitiva por parte del Estado que se acaba proyectando sobre las relaciones públicas y privadas.

¿Es posible poner puertas al campo?

Este marco normativo incorpora principios vigentes en las relaciones humanas de directa aplicación a la evolución de las tecnologías de la información y las comunicaciones, sin perjuicio de la existencia o no de desarrollo normativo.  Sin embargo, el problema reside en una normativa previa a internet y que debe ajustarse a una realidad caracterizada no ya solo por la worl wide web sino por un complejo ecosistema tecnológico.

El concepto de tratamiento proyectado sobre la web, fue resuelto en Lindqvist aplicando principios tradicionales. No obstante la realidad de las redes sociales es mucho más compleja y ha obligado al Grupo de Trabajo del artículo 29, y a diversos tribunales,  a abordar un complejo entramado de relaciones diferenciando entre responsables de la red social y responsables del tratamiento e incluso apostando, en un criterio que no se comparte en absoluto, por considerar responsables a sujetos que tuvieran un gran número de seguidores. Los propios blogs, algo tan aparentemente inocuo tecnológicamente hablando, presentan dificultades de implementación normativa. La interacción con los usuarios genera tratamientos, y a decir de la Audiencia Nacional si están ordenados incluso un fichero. Lo mismo sucede con la inserción de un “like” que apunte a una redifusión en una red social generador de nuevos tratamientos que pueden obligar a implementar la odiosa normativa sobre cookies.

Más allá de estas anécdotas, aportadas como ejemplo, la evolución, cargada de términos en inglés o de siglas, –big data, bring your own device (BYOD), RFID, wearables, internet of things, drones, smart cities, e-health…-, suele ser enfocada con una visión fenomenológica en el sentido de limitada al conocimiento estricto de los fenómenos. No es extraño encontrarse por tanto con multitud de artículos del tipo “Cumple el gadget X con la LOPD”, que con la mejor de las voluntades nos ofrecen respuestas prácticas.

Las autoridades de protección de datos personales también suelen operar en un marco del tipo acción-reacción sobre la base del caso concreto. Y no es una mala práctica, pero ni puede ser la única, ni cabe aceptar que se base en estrategias puramente reactivas centradas en una especie de “horror technicae”. Este tipo de aproximaciones acota la realidad cuando esta ya ha pasado por delante de sus narices, en la distancia y mientras el sector probablemente ande ya en otras cosas. El futuro de la privacidad requiere de nuevos enfoques.

Una regulación basada en principios aplicables.

El Proyecto de Reglamento de la Unión Europea, aporta cierto aire fresco. Y lo hace en todos aquellos casos en los que su propuesta normativa se inserta en el corazón del diseño de productos, procesos y negocios. Y acierta cuando entiende que lo relevante no es la concreta tecnología sino la inserción en su ADN creador de “Código” normativo. En tal sentido, aunque muchos discutan o consideren anticuadas las teorías de Lessig sobre el potencial regulador del Código lo cierto es que adecuadamente implementadas sus propuestas son certeras. El reglamento, debe impulsar un cambio de rumbo para que sí se puedan poner puertas al campo cuando el agrimensor este definiendo cuál es la extensión del mismo.

Un modo diferente de entender “el campo”. Una nueva normatividad.

  Pero este poner puertas al campo no puede significar prohibir sin otro criterio que el de preservar un teórico derecho fundamental. No pueden compartirse en absoluto las aproximaciones de quienes a la menor oportunidad se pronuncian en contra de casi todo desde el pedestal de la defensa de la privacidad. La privacidad, sin duda alguna será el pilar central de la garantía de nuestra libertad en el mundo del internet de las redes sociales, de la conectividad de las cosas, del big data. Pero demonizar per se la tecnología no nos deja en mejor lugar que a quienes querían prohibir el ferrocarril habida cuenta de no saber si un humano podría resistir velocidades superiores a los 30 KM/h.

Nuestro deber consiste en aproximarnos al desarrollo de la sociedad de la información con rigor, con conocimiento de causa y aportando todos nuestros saberes jurídicos a fin de garantizar un desarrollo acorde con el respeto a los derechos fundamentales. No se trata de evaluar si “algo cumple con la LOPD”, se trata de asegurar que lo haga, que cumpla en origen y desde el diseño. Y ello obliga a un cambio esencial de actitud hacía un marco colaborativo en el que derecho, tecnología y negocio confluyan en un entorno de creación.

España y la Unión Europea han generado un medio ambiente jurídico en protección de datos personales que se percibe como hostil. Y esta hostilidad genera acciones que se desarrollan de espaldas a la norma, hace la innovación se traslade a países más receptivos o directamente disuade a innovadores y emprendedores por los riesgos sancionadores asociados a ciertos desarrollos.

¿Se han preguntado Vds. que ocurriría si en lugar de este enfoque optásemos por una actitud más empática, más proactiva e integrada facilitando respuestas del tipo “cómo” en lugar de soluciones del tipo prohibido/permitido? Da la impresión que entonces el modelo europeo de protección de datos podría percibirse como oportunidad y ventaja competitiva en lugar de cómo obstáculo. Incluso es posible, que algunas invenciones tuvieran el nombre en nuestro idioma.