17 may 2019

Ricard Martinez. Director de la Cátedra de Privacidad y Transformación Digital Microsoft-Universitat de València. Originalmente publicado en Diario La Ley. 

Celebramos hoy el Día Internacional de la Protección de Datos Personales en el día del aniversario del Convenio 108/1981 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Resulta por tanto altamente significativo verificar como una aportación al Derecho de nuestro continente permea estados y empresas, y camina poco a poco para convertirse en un estándar universal de facto.

Aunque, podamos sentirnos orgullosos no podemos contemplar los avances en privacidad desde el eurocentrismo. en Asia se adoptaron normas sobre privacidad en los años setenta y se profundizaría después en un modelo Asia-pacífico. Y en América el concepto de habeas data fructificó y aunque el proceso legislativo se demorase, encontramos normativas muy consolidadas en muchos países. Por otra parte, el empuje de la CNIL en la llamada francophonie impulsa la adopción de normas sobre la materia en África.

Pero, sobre todo, no podemos olvidar la estrecha relación con la cultura jurídica estadounidense con el nacimiento de la noción del derecho a la vida privada como derecho constitucional, y la conformación de sus relaciones con el derecho a la información y la libertad de expresión. La debemos sin duda al genio de Warren y Brandeis y a la posterior labor de este último en el Tribunal Supremo. Por otra parte, debemos el paradigma de la informational privacy a la obra de Alan Westin en la década de los 70. Ello sin contar la profunda aportación posterior de Tribe, Lessig, Daniel J. Solove, Fred Cate, o P. Schwartz entre muchos otros. No podemos obviar la aportación de la Privacy Act de 1974, ni la non nata propuesta de Consumer Privacy Bill Of Rights de Obama, y el profundo impacto de la legislación sectorial y estadual, y, la labor de la Federal Trade Commission y las organizaciones de derechos civiles. Del mismo modo, no podemos omitir la fundamental aportación de Canadá al concepto de Privacy by Design, aunque alguna técnica como la llamada privacy impact assessment ya estuviera presente en otros países y culturas.

El nombramiento de un “Special Rapporteur on the right to privacy” por Naciones Unidas, la revisión del Convenio 108, y la aprobación del Reglamento General de Protección de Datos, apuntan una línea de tendencia que subraya el carácter esencial del derecho fundamental a la protección de datos, o -el right to privacy-, como una garantía de los derechos en el contexto de la transformación digital. Pero la celebración de 2019 no puede ser complaciente. La tarea no ha hecho más que empezar. y en este sentido, cabe plantear varios aspectos que se consideran estratégicos.

1.-El cumplimiento normativo debe dejar de ser epidérmico.

Los expertos sabemos hasta qué punto la normativa sobre protección de datos personales ha sido un archivador en un estante. La preocupación mayor de los responsables, en países como el nuestro con un modelo registral, no fue otra que blanquear sus organizaciones con una pátina de aparente cumplimiento. Era esencial registrar los ficheros, y tener políticas de privacidad. El pack se completaba con un documento de seguridad, las más de las veces de copiar-pegar, y modelos de contrato de encargado del tratamiento que con suerte hacían alguna cosa más que copiar los preceptos legales.

Ese ambiente fue caldo de cultivo para mercachifles y buhoneros de toda especie. Empresas con su check box y sus cursillos de una semana que convertían en experto en protección de datos al primer comercial interesado en cambiar de oficio. Y no nos referimos únicamente al llamado Coste Cero. Hoy, una parte de estos profesionales cuya formación, compromiso y experiencia, deja que desear aunque reúnen los requisitos de experiencia para examinarse y certificarse.

2.-La profesión de la privacidad.

Preocupa la depauperación del oficio de la privacidad, su constante devaluación. En amplios ámbitos del sector público se considera al delegado de protección de datos un “especialista” de bajo nivel. Por otra parte, no es una profesión regulada, y parece que el conocimiento profundo al que se refiere el RGPD y en ocasiones se ha confundido con un cursillo. Permítanme que recuerde a Salvador, una persona humilde e iletrada, que un buen día en un huerto de naranjos me enseñó que “deprisa y mal todo el mundo sabe”, lo complicado es hacer las cosas razonablemente bien, y la excelencia aúna experiencia, rapidez y eficiencia. Hay más verdad en la frase de un humilde jornalero analfabeto que en muchos planes estratégicos.

Nuestra profesión requiere de un aprendizaje sólido, exige pausa y profundidad, obliga a explorar el conjunto del Ordenamiento, supone una constante actualización y exige de un cierto enfoque humanista. Si su DPD no lee revistas de divulgación científica, si no le interesa la neurociencia y el neuromarketing, la investigación en salud, si carece de la menor sensibilidad o conocimiento organizativo, si no se interesa por la economía digital, la ciberguerra o la inteligencia artificial…, si el RGPD constituye la única inquietud de su delegado o delegada, si opera con una visión de túnel, Vd. tendrá problemas. Y desgraciadamente, el conocimiento no se diseña desde un salón, ni lo acredita un cursillo.

3.-La aplicación del RGPD.

Otro de los aspectos cruciales para el futuro inmediato tiene que ver con la aplicación del RGPD. No se van a reiterar aquí argumentos empleados hasta la saciedad en otras publicaciones respecto de los errores de las políticas de garrote y tentetieso. Es evidente, que consiguen efectos a corto plazo, pero no redundan necesariamente en un mejor cumplimiento normativo. Aunque con el nuevo RGPD si se aporta un nuevo elemento esencial: la función disuasoria. En este sentido, lo que cabe reconocer a la norma es su potencial eficacia para disuadir de aquellos análisis de riesgos para los que incumplir resultaba rentable. El reto para el regulador consistirá en ser capaz de entender el marco sancionador como remedio, como estímulo para impulsar procesos de cambio.

Sin embargo, el reto para las organizaciones es otro. La protección de datos desde el diseño y por defecto, obliga a revisar el ADN del funcionamiento corporativo. Exige, empoderar al conjunto de la organización y ponerla en modo “privacidad”. Si ello es relevante con carácter general, posee una importancia nuclear en aquellas personas responsables de diseñar los procesos en todos los niveles, de fijar los objetivos, de implementar hardware y software. la protección de datos desde el diseño y por defecto, impulsa a concebir el cumplimiento del RGPD desde un enfoque dinámico e iterativo.

4.-Empoderamos personas, protegemos personas.

La percepción subjetiva de nuestra privacidad debe ir creciendo con el tiempo. Todavía no somos capaces de diferenciar el impacto de la digitalización en nuestros derechos y tampoco percibimos el elemento cualitativo que deriva de un tratamiento. En cualquier acción de concienciación pública se percibe con sorpresa las capacidades que ofrece el profiling. Y auqnue nuestra capacidad de sorpresa no tenga límites. la sociedad, aprende, y aprende rápido. Y cada 28 de enero se avanza un grado más en nuestro entendimiento de las ventajas y los riesgos del tratamiento de información personal en el mundo digital. Es posible que un futuro no sólo la reputación, sino la viabilidad de organizaciones y empresas pueda verse comprometida si no respetan el derecho fundamental a la protección de datos.

Tras cada dato hay sobre todo una persona. Niños que aprenden en su colegio, pacientes que esperan ser sanados, clientes que requieren de un trato adecuado, administrados que necesitan una ayuda o subvención… La transformación digital, y singularmente la Inteligencia Artificial, van a requerir un tratamiento intensivo de datos personales sin precedentes en la historia. No va ser una cuestión de elección. Cuándo se trata a un paciente crónico el principio de minimización de datos tiende a infinito. Necesitamos su historia clínica al completo, las interacciones farmacológicas, su estilo de vida, la monitorización que proporciona un wearable. Y los escenarios de tratamiento masivo de datos no van a disminuir, crecerán, y en algunos ámbitos, -todos los vinculados al Estado del Bienestar y todos los entornos que implican gestión de la complejidad, lejos de ser la regla van a ser la excepción.

Aplicar adecuadamente la normativa nacional y europea, garantizar el derecho fundamental a la protección de datos, es el sustrato básico que garantizará otros derechos fundamentales. la salud, la libertad ideológica, la libertad de expresión, el derecho a la información, el acceso al trabajo, el crédito o la vivienda, dependerán de ello. Cada error, cada riesgo de sesgo en un algoritmo, cada problema de calidad en los datos pondrá en riesgo vidas. Cuando recogemos un solo dato actualizamos el contrato fundamental que cualquier organización pública o privada contrae en una sociedad democrática: poner los derechos fundamentales como límite, horizonte y objetivo ético y jurídico ineludible. No lo olvidemos, no protegemos datos, protegemos personas.