- Bogota D.C - Calle 67 N° 7-94 Oficina 604
- 3138834959 - 601 7953297 Ext. 120
Menú
Carlos B Fernández. En nuestro repaso por las materias más relevantes de las que Diario La Ley CIBERDERECHO se ha ocupado a lo largo de sus primeros 50 números, la protección de datos debe ocupar un lugar relevante.
Nuestra sección nació el mismo año en que fue publicada la norma que había de revolucionar esta materia: el Reglamento General de Protección de Datos de 2016 (LA LEY 6637/2016). Esta coincidencia nos ha permitido hacer un intenso seguimiento de su aplicación y desarollo, así como para poder apreciar su efecto irradiador sobre otros ordenamientos, que es ya innegable.
Además, nuestro país ha asistido a la llegada de una nueva Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LA LEY 19303/2018), que ha establecido un nuevo marco jurídico, del que las primeras sanciones de elevada cuantía han sido una primera señal.
Pero haría mal quien cifrase la importancia de esta materia en ese concreto aspecto. La trascendencia del derecho a la protección de datos no puede medirse por ese baremo, sino por la relevancia que cobra para los ciudadanos en una sociedad cada vez más tecnificada, en la cual los datos personales se han convertido en un valor económico de primer nivel, por lo que son objeto de un deseo que los pone en frecuentente riesgo.
Una circunstancia que no hace sino poner de relieve la importancia de la normativa que los protege.
Así lo han trasladado en estas páginas los máximos responsables de los organismos europeos, Comité y Supervisor, como nacionales, que han tenido la amabilidad de trasladarnos sus opiniones a través de nuestras páginas. Desde el lamentablemente desaparecido Giovanni Buttarelli, a su sucesor, Wojciech Wiewiórowski, a la presidenta del Comité Europeo, Andrea Jelinek, y la presidenta de la Agencia Española, Mar España, todos ellos han dejado en estas páginas testimonio de su visión sobre la situación y evolución de la protección de datos.
Dada la importancia del tema, en esta ocasión hemos invitado a compartir sus opiniones al grupo de expertos más relevante de nuestro país. Mónica Arenas, Profesora de derecho constitucional y Delegada de Protección de Datos de la Universidad de Alcalá; Leonardo Cervera-Navas, director del Supervisor Europeo de Protección de Datos; Marcos Judel, abogado, presidente de la Asociación Profesional Española de Privacidad; José López Calvo, Vocal Asesor y Delegado de Protección de Datos del Consejo Superior de Investigaciones Científicas; Alejandro Padín, Socio de Garrigues; Miguel Recio, abogado del área de TMC de CMS Albiñana & Suárez de Lezo y Eduardo Ustarán, Socio de Hogan Lovells.
Creemos que se trata de un documento excepcional para conocer la situación y futura evolución de esta disciplina.
1. ¿Cómo ha evolucionado la protección de datos en estos últimos años?
Mónica Arenas: La digitalización de nuestras sociedades avanza a pasos agigantados y, en este proceso, el tratamiento de la información personal se ha hecho cada vez más indispensable. Centrándonos en Europa, sin alejarnos mucho en el tiempo, desde que en 2018 entrara en aplicación el RGPD y, en 2020, la Organización Mundial de la Salud decretara una pandemia mundial por COVID-19, el tratamiento de los datos personales ha pasado a ocupar un lugar primordial en las agendas públicas y en el sector privado, y los ciudadanos nos hemos hecho más conscientes de que nuestros datos personales están siendo utilizados y nos planteamos y demandamos un mayor control de los mismos.
El derecho a la protección de datos ha evolucionado haciéndose imprescindible en todas las actividades que desarrollamos. No hay actividad que llevemos a cabo en nuestro día a día en la que no tratemos datos personales, o datos susceptibles de convertirse en datos personales gracias a los avances tecnológicos y a técnicas informáticas avanzadas. Esto tiene, como es lógico, sus ventajas y sus desventajas. Las ventajas son evidentes por la mayor protección dispensada a los sujetos, por el reforzamiento de su vida privada. Pero esto también implica no perder de vista que el derecho fundamental a la protección de datos no es un derecho absoluto y debe analizarse de forma sistemática, aplicando el principio de proporcionalidad, convirtiéndolo en un derecho al servicio de la humanidad, como dice el propio RGPD, no entorpeciendo cualquier tipo de avance social o científico.
El derecho a la protección de datos ha cobrado una evidente proyección transversal e internacional, lo que implica que aplicado de forma correcta mejora el funcionamiento democrático de nuestras sociedades, reforzando el control de los datos por parte de sus titulares; pero también implica un mayor compromiso no sólo a nivel legislativo, sino a nivel jurisprudencial por parte de Tribunales y de Autoridades de control, con normas que doten de la seguridad jurídica necesaria a la hora de tatar datos personales y permitir que nuestras sociedades avancen y sean competitivas.
«Aplicado de forma correcta, el derecho a la protección de datos mejora el funcionamiento democrático de nuestras sociedades»
Leonardo Cervera-Navas: Uno de los cambios de más envergadura en la historia de la protección de datos desde la adopción del Convenio n.º 108 del Consejo de Europa en 1981 y la Directiva 95/46/EC fue la entrada en vigor del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) en 2018. Este Reglamento introdujo novedades importantes como el principio de “responsabilidad proactiva”, que puso fin al sistema de notificaciones a las autoridades de control de la Directiva e impuso en el responsable del tratamiento la obligación de aplicar medidas técnicas y organizativas apropiadas y la demostración de que el tratamiento sea conforme al Reglamento, una tarea para la que la figura del delegado de protección de datos deviene esencial. Otro principio capital del reglamento es el principio de proporcionalidad y el enfoque basado en el riesgo, ya que el responsable del tratamiento debe adoptar tales medidas teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas. Por último, se puede destacar también el ámbito de aplicación del RGPD, que se extiende al tratamiento de datos personales por operadores económicos dentro de la UE, con independencia de que el tratamiento tenga lugar en territorio europeo. En definitiva, el grado de protección de derechos fundamentales conseguido por el RGPD ha situado a la Unión Europea como referente de los estándares mundiales en la protección de datos, lo que algunos autores han llamado el “Brussels Effect”.
Igualmente, de manera global, la protección de datos ha evolucionado también en el sentido de incrementar su consideración e impacto en áreas en las que la Unión Europea ha dado pasos decisivos recientemente. Ejemplos recientes de este impacto son las medidas tecnológicas y de tratamiento de datos que se adoptaron en el marco de la lucha contra la pandemia del COVID-19 , la aproximación de legislaciones en el área de salud, incluyendo la propuesta de la Comisión para crear un Espacio de Datos Europeo, o la reciente propuesta para la regulación de la inteligencia artificial publicada por la Comisión Europea .
Marcos Judel: El cambio de paradigma que ha traído el Reglamento General de Protección de Datos (LA LEY 6637/2016) desde el 25 de mayo de 2018 en relación al anterior modelo normativo se está comenzando a asentar ahora. Esta evolución ha venido dado porque pasamos de un sistema de cumplimiento más taxativo y basado en obligaciones concretas a un sistema de responsabilidad proactiva basado en realizar análisis de riesgos concretos, realistas y útiles para eliminar o mitigar situaciones que puedan poner en peligro los derechos y libertades de las personas, aplicar los principios y obligaciones del RGPD y, especialmente, demostrar su cumplimiento.
Este nuevo modelo conlleva también un cambio importante de cultura de la protección de datos en nuestro país que implica poner a la privacidad y a las personas como elemento principal en la toma de decisiones en todos los ámbitos de negocio o de políticas públicas.
Por otro lado, esta exigencia de esta responsabilidad proactiva implica una mayor complejidad en la aplicación de la norma y requiere un compromiso mucho más diligente y consciente de su importancia. Las empresas ya no están ante un sistema sancionador relativamente limitado, sino ante la posibilidad de sanciones realmente importantes en cuanto a cuantía, y expuestos a daños reputacionales que cada vez son de mayor calado en una ciudadanía más consciente de sus derechos y dispuesta a velar por su protección.
José López Calvo: Ha pasado de ser un derecho desconocido y novedoso, de nueva generación y considerado propio de países y personas opulentas, a convertirse en un derecho y preocupación fundamental en la totalidad de la población.
Principalmente al encontrarse vinculado, amenazado y cuestionado por constantes avances tecnológicos sostenidos en el tratamiento de datos: expansión de los sistemas de videovigilancia, drones, sistemas de publicidad personalizada, inteligencia artificial, cámaras on board y otros escenarios novedosos.
Y en especial, por la aparición y desarrollo exponencial de internet y de imperios digitales que son los albaceas de nuestro «ciberyo», nos conocen mejor que a nosotros mismos, gestionan un volcado exhaustivo de nuestros deseos y pensamientos, ejercen el inmenso poder de unos servicios irresistiblemente seductores y se constituyen, en parte acuciados por las autoridades, como guardabarreras de la libertad de expresión y privacidad en internet. Se constituyen, así, en “propietarios” de nuestra identidad digital, compuesta por los millones de datos que dejamos en internet, con capacidad para estrujarla para enviarnos publicidad personalizada, modelarla y manipularla a efectos comerciales o políticos e incluso para matarla. Porque ya hay víctimas que se enfrentan al asesinato de su alter ego cibernético, al ser abruptamente cancelada sin explicación alguna su cuenta de correo y todo lo asociado con ella.
La constante recopilación de datos en Internet y el big data nos enfrenta, además, con la amenaza de automatizar y puntuar al hombre, convertido en indicadores y datos, como en el sistema de control social chino, y, a la inversa, el riesgo de humanización de máquinas que actúen con libre albedrío, asuman decisiones y actúen sin explicarse a través de algoritmos indescifrables. El “Gran Hermano” es privado, incontrolado e inaccesible. Hace años no era así.
Además, la inexistencia de territorio y tiempo (casi nada se borra) en internet ha convertido a la privacidad en un problema mundial con respuestas locales insuficientes todavía. Internet es un nuevo mundo sin sinfonía todavía. Un universo paralelo sin ley. Que sortea el sistema tributario y laboral y que se edifica a expensas de nuestra privacidad.
Por todo ello, la protección de los datos personales ha abandonado su condición de problema residual y se ha constituido en una prioridad social e institucional.
Alejandro Padín: La protección de datos se ha consolidado con una rama del derecho enormemente importante en los últimos años, porque está vinculada a la protección de la intimidad personal y familiar, algo esencial cuando vivimos en un mundo digital en el que el tratamiento de los datos se convierte en la base de muchos negocios. El riesgo que ello supone para la intimidad no viene solo derivado de la capacidad que tienen las empresas para tratar los datos de sus clientes en formas absolutamente disruptivas, sino, principalmente, de la existencia de ataques externos a las infraestructuras tecnológicas para acceder a esa información. Además, desde el año 2018, fecha de aplicación obligatoria del Reglamento General de Protección de Datos de la Unión Europea (RGPD), el elevado importe de las sanciones por incumplimiento de la normativa ha hecho que las entidades hayan elevado el nivel de prioridad que se le da al cumplimiento de esta normativa.Todo ello ha redundado en que se aprecie un nuevo elemento reputacional en las empresas, determinado por la importancia que le dan a la forma en que tratan los datos personales de sus clientes, trabajadores, proveedores o cualquier otra persona.
Miguel Recio: La protección de datos, tanto en la Unión Europea como alrededor del mundo, ha evolucionado a través del reconocimiento, según el caso, de un derecho fundamental o humano. En particular, hemos visto como en nuestro país se ha configurado jurisprudencialmente como un derecho fundamental autónomo que ha sido desarrollado por sucesivas Leyes Orgánicas para, primero, contar con una legislación necesaria en la materia, posteriormente transponer la ya derogada Directiva 95/46/CE (LA LEY 5793/1995), y, actualmente, adecuar nuestro ordenamiento jurídico al Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016). Y también se han adoptado múltiples leyes sectoriales que regulan este derecho.
Tanto a nivel nacional como comunitario se ha producido un desarrollo normativo y jurisprudencial relevante. En concreto, en el ámbito comunitario, la inclusión como derecho fundamental y autónomo o independiente en la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) (UE) es quizás uno de los logros más relevantes al que hemos asistido.
«El derecho a la protección de datos debe alcanzar el punto de equilibrio con la sociedad digital y la innovación tecnológica»
Durante los últimos años hemos asistido también a un importante desarrollo conceptual, aunque todavía quedan muchas cuestiones pendientes, tales como delimitar claramente el concepto de corresponsable del tratamiento. En este sentido, de tener más elementos para identificar cuándo estamos ante un responsable o ante un encargado del tratamiento, a entender qué se entiende por transferencia internacional de datos o tener directrices sobre qué brechas de seguridad de los datos personales son las que tienen que notificarse a la autoridad de control, son algunos de los ejemplos de esta evolución conceptual y de cumplimiento en la materia.
Y, en particular, durante los últimos años, las personas son cada vez más conscientes de su derecho fundamental a la protección de datos. Es decir, la protección de datos ha evolucionado conforme lo hacen la sociedad y la tecnología.
Ahora bien, la protección de datos continúa evolucionando. Y debe hacerlo para alcanzar el punto de equilibrio, entre otros y en concreto, con la sociedad digital y la innovación tecnológica.
Eduardo Ustarán: Es un campo del derecho que ha crecido en importancia considerablemente. La razón es que el uso y la explotación de los datos personales ha pasado a ser un aspecto crítico de la economía, que hoy en día es primordialmente digital. Los datos personales tienen un enorme valor económico y social, y por lo tanto, la regulación de su uso se ha convertido en una prioridad de política legislativa y regulatoria por todo el mundo. Ello ha llevado a una gran demanda de profesionales especialistas en este campo que apenas existía hace una década.
2. ¿Cuáles han sido los hitos de esa evolución?
Mónica Arenas: Quizá es retrotraernos mucho en el tiempo, pero un momento trascendental que no debemos olvidar en la evolución del derecho fundamental a la protección de datos fue su reconocimiento como derecho fundamental en la Unión Europea, en la Carta de Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007). Creo que muchas veces perdemos de vista el hecho de que nos encontramos ante un derecho fundamental. Al hablar de datos personales tendemos a cosificar el derecho, le damos un valor económico –que en realidad los datos, que son su objeto material, lo tienen–, pero lo pervertimos, olvidamos que la esencia del derecho no son los datos y esta esencia no puede cuantificarse. ¿Cuánto vale nuestro desarrollo personal? ¿Cómo valoramos nuestra dignidad? ¿Cómo valoramos la posibilidad de participar en la sociedad de la que formamos parte? Este desarrollo personal en todas las facetas de nuestra vida es lo que protege y garantiza en último término el derecho a la protección de datos. De ahí la importancia de su reconocimiento a nivel normativo.
Más allá de este hito en lo que podríamos llamar la historia de reconocimiento del derecho a la protección de datos o del hito que supuso el cambio de paradigma en la materia con la aprobación del RGPD, otro de los hitos que supuso un antes y un después en el tratamiento de los datos personales se ha visto vinculado a los avances tecnológicos y al uso masivo de Internet y las redes sociales. Estos cambios y avances en el uso e intercambio de la información, especialmente entre sujetos particulares, cambiaron no sólo la percepción del derecho, sino que evidenció todo lo que se podía hacer con los datos personales, evidenciando no sólo los peligros, sino los beneficios que aportaban a nuestras vidas.
Pero, por último, creo que no podemos negar el hecho de que la pandemia por COVID-19 ha supuesto también un antes y un después en el uso e intercambio de nuestra información: a nivel laboral, impulsando el teletrabajo; a nivel educativo, imponiéndose modelos de enseñanza y evaluación semipresencial o en formato online; y, especialmente, en el sector sanitario e investigador, donde se han impuesto medidas y herramientas para controlar a las personas infectadas y contener la expansión del virus. La pandemia generó una necesidad y la tecnología y el uso de la información personal le han dado respuesta.
Leonardo Cervera Navas: Desde la entrada en vigor del RGPD en 2018, ha crecido substancialmente el nivel de conocimiento de la ciudadanía sobre sus derechos y las obligaciones de las empresas, y las administraciones públicas y las empresas con sede o intereses comerciales en la Unión Europea han tenido que rediseñar sus procesos internos. Esto ha derivado en la creación de registros internos de las actividades de tratamiento, el nombramiento de delegados de protección de datos o la adopción de protocolos para la notificación de violaciones de la seguridad de los datos personales en el plazo de 72 horas marcado por el reglamento.
Por otra parte, es importante poner de manifiesto también que la regulación de la protección de datos viene impulsada no solo por el poder legislativo, sino también por la jurisprudencia dictada por el Tribunal de Justicia de la Unión Europea (TJUE). En este sentido, es indudable que la historia de la transferencia de datos personales en el ámbito internacional ha quedado marcada por las sentencias del TJUE mediante las que se invalidaron las decisiones de la comisión 2000/520/CE («puerto seguro») y 2016/1250 («Decisión Escudo de la privacidad») sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE.UU. Asimismo, recientes sentencias en las que el TJEU interpreta las obligaciones en relación con la transmisión y retención de datos por motivos de lucha contra la delincuencia o de seguridad nacional, han determinado un giro en el tratamiento de datos por los operadores de comunicaciones electrónicas .
Marcos Judel: Todo cambio legislativo viene dado por una realidad social que va por delante de la regulación y tiene la finalidad de controlar y limitar situaciones de abuso. Como sabemos, la protección de datos es un derecho fundamental autónomo reconocido por nuestro Tribunal Constitucional en su sentencia 292 el año 2000, y desde ese año, el mundo ha sufrido una imparable transformación digital que cuenta con un potencial de intromisión en la privacidad personal y familiar de las personas: Internet y comunicaciones, cookies, wereables, geolocalización, reconocimiento facial, algoritmos que toman decisiones automatizadas, perfilado con fines publicitarios, IoT… Si bien son elementos útiles y necesarios deben ser ideados para que respeten la privacidad de las personas desde su diseño y por defecto, y éste es uno de los principios que el legislador europeo ha querido implementar en el nuevo modelo legislativo. Pero un cambio normativo por sí solo no basta para un salto como el que estamos viviendo.
El verdadero motor del cambio es la consciencia individual sobre la privacidad. Conocer que tenemos derechos de controlar quién tiene nuestros datos, por qué y para qué, y poder limitarlo, nos hace más exigentes e impulsa que administraciones públicas y empresas sean más respetuosas con nuestros derechos y libertades. La situación de pandemia Covid-19 que estamos viviendo ha servido también para poner la privacidad en el centro del debate social e impulsar su conocimiento. De hecho, hasta que no ha existido esa concienciación, el cambio legislativo no ha bastado por sí solo para que la cultura de la privacidad adquiera una velocidad de crucero hacia unos cimientos sólidos y globales.
«El verdadero motor del cambio que estamos viviendo en relación con la protección de datos es la consciencia individual sobre la privacidad»
José López Calvo: Aquellos que han activado la sensibilidad de la sociedad y de la opinión pública y, como consecuencia, del legislador y de las tecnológicas, que pasaron de proclamar que la privacidad “había muerto” a “encabezar la manifestación” y reclamar en Estados Unidos una legislación inspirada en el GDPR (LA LEY 6637/2016). Principalmente:
– la percepción de que el número de cámaras de video crece, que la publicidad cada vez está más perfilada, que la inteligencia artificial y los avances se alimentan de nuestros datos y, por tanto, de nuestra privacidad.
– la lluvia fina durante ya décadas por la Agencia Española y los tribunales españoles y europeos de la “pedagogía de la sanción”, delimitando los contornos de lo admisible y no admisible.
– la exponencial seducción de los maravillosos servicios de internet que nos cautivan, hipnotizan y adormecen mientras ordeñan nuestros datos.
– las divulgaciones de Snowden sobre control masivo de la actividad en internet con la comunicación por las tecnológicas a los servicios de seguridad de Estados Unidos y el escándalo de Cambridge Analítyca, que desplomó el valor bursátil de Facebook, que junto al resto de las tecnológicas constató la relación entre privacidad y dinero. Sin estos, y otros equiparables, probablemente no habrían acontecido los más importantes hitos jurídicos, no habría habido GDPR (LA LEY 6637/2016), sentencia de derecho al olvido –-la propuesta del Abogado General, preSnowden, era más probuscador que la sentencia, postsnowden– y, desde luego, no se habrían anulado los acuerdos para la transferencia de datos personales a EEUU, de Puerto Seguro en 2015 y de su sucesor en 2020, el Escudo de privacidad.
– las más que fundadas sospechas de que los procesos electorales han sido (Victoria de Trump) y pueden ser manipulados por bots, fake news, algoritmos de sugerencia, mensajes segmentados y otras técnicas.
– el denominado «11 S de las redes sociales» en que las grandes tecnológicas, como Facebook y Twitter, aclararon abruptamente las reglas del juego, permitiéndose bloquear el perfil nada menos que del entonces Presidente de Estados Unidos.
– la proliferación de ciberataques que alcanza hasta a los servidores más estratégicos y dotados de mayores medidas de seguridad, que evidencian la debilidad de nuestro ADN digital, el riesgo al que nos sometemos y la aparición de un nuevo tipo de guerra potencialmente letal para nuestro «ciberyo».
– la presentación en abril de 2021 por la Comisión Europea de audaces y exhaustivas propuestas para la regulación de la inteligencia artificial con la gobernanza de los datos como parte integral de las obligaciones de los proveedores de sistemas de IA de alto riesgo. Que se utilizan en el entrenamiento, la validación y pruebas de aprendizaje automático y para identificar posibles sesgos, comprobar inexactitudes y evaluar su idoneidad.
– silenciosa, pero de manera trascendente, al otro lado del espejo, la existencia de modelos alternativos para nacionalizar y controlar institucionalmente internet en Rusia y, adicionalmente en China, que permiten valorar exhaustivamente a la población por su rastro en la red.
Alejandro Padín: En los últimos años se han producido diversos hitos importantes, unos derivados del desarrollo de la tecnología y otros del mal uso de la misma. Tan mediáticos han sido los descubrimientos tecnológicos más avanzados como las informaciones que permitían averiguar que se estaban produciendo robos masivos de información, o usos ilegítimos de información personal a gran escala, para finalidades desconocidas por los individuos titulares de esa información.
Existen dos elementos que han impulsado de forma exponencial el uso y tratamiento de datos para fines empresariales, que son el incremento en la capacidad de almacenamiento de datos y el aumento de la velocidad de transmisión y procesado de información. Ambos elementos han permitido desarrollos tecnológicos tales como el big data y la analítica de datos, pero han permitido también el incremento en el número y sofisticación de los ataques para acceder a la información, el espionaje a gran escala, o el desarrollo de herramientas de identificación y perfilado fuera del control de los interesados.
Miguel Recio: Los hitos de esta evolución han sido fundamentalmente legislativos, tecnológicos y jurisprudenciales.
Durante los últimos años hemos visto como se aprobaban multitud de leyes alrededor del mundo, incluyendo el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) en la Unión Europea, la Lei Geral de Proteção de Dados en Brasil o la California Consumer Privacy Act (CCPA) en los Estados Unidos.
«Intentar aplicar el esquema responsable / encargado del tratamiento en la cadena de bloques puede ser complejo o, incluso, inadecuado»
Desafortunadamente en algunos casos son todavía leyes o regulaciones que siguen esquemas predigitales, es decir, que son difíciles de aplicar a la realidad actual. Un claro ejemplo podría ser la cadena de bloques en la que intentar aplicar el esquema responsable/encargado del tratamiento puede ser complejo o, incluso, inadecuado.
Es la normativa que se aplica al menos, por el momento, a la nube, a los algoritmos, al big data, a los smart data, al tratamiento analítico de los datos, a la inteligencia artificial (sin perjuicio de que esta podría tener en un futuro próximo un Reglamento específico en la Unión Europea), al Internet de las Cosas, al Internet de los Cuerpos, a la cadena de bloques (blockchain) o a los coches autónomos. Estos avances tecnológicos y otros que están por llegar, así como el desarrollo de servicios digitales como, por ejemplo, las redes sociales, han dado lugar a modificaciones legislativas o, en su caso, nuevas leyes que todavía tienen que evolucionar para lograr estar alineadas con la innovación tecnológica.
Y en el ámbito europeo, junto con las normas ya indicadas, desde la ya famosa sentencia en el caso Lindqvist (asunto C-101/01), que nos suscitaba la duda de si publicar datos personales en una página web era una transferencia internacional de datos; hasta la anulación del Escudo de Privacidad (“Privacy Shield”) (asunto C-311/18), son algunos de los hitos desde el punto de vista jurisprudencial. Estos hitos han sido una oportunidad porque han servidor para profundizar en el significado y alcance del derecho fundamental a la protección de datos.
En definitiva, los hitos son múltiples y diversos, pudiendo centrar nuestra atención en el hecho de que en las últimas tres décadas en la Unión Europea hemos visto surgir y desarrollarse un derecho fundamental a la protección de datos que debe aplicarse con proporcionalidad ante la rápida evolución tecnológica y la globalización.
Eduardo Ustarán: Hay tres factores que determinan el alcance de esa evolución. El primero es la evolución tecnológica y en concreto los desarrollos digitales que se basan en el uso de datos personales, desde las redes sociales y la publicidad a la medida, a los avances de la inteligencia artificial. El segundo es el valor de la información personal como activo. Esto está más que demostrado por éxito de las grandes empresas tecnológicas y de Internet. Hoy en día todos los sectores de la economía están afectados por este proceso. El tercer factor es que todo esto ha sucedido a una escala global, donde las fronteras no existen y los datos personales fluyen sin trabas tecnológicas por las redes de información.
«La evolución del derecho a la protección de datos ha venido marcada por los desarrollos digitales que se basan en el uso de datos personales, el valor de la información personal como activo y la escala global del fenómeno»
3. ¿Cuáles son los nuevos retos que tiene por delante el derecho a la protección de datos?
Mónica Arenas: Nuestras sociedades están cambiando y no sólo a nivel tecnológico, que es lo que va a favorecer el intercambio de información personal de forma masiva hasta ahora inimaginable, rompiendo esquemas de espacio y tiempo, sino que estamos experimentando cambios a todos los niveles y en todos los terrenos. No obstante, me gustaría destacar tres retos.
Así, en primer lugar, destacaría la importancia de hacer frente al uso de la información personal en el terreno de la participación ciudadana, por su conexión con el principio democrático. Hay que evitar todo tipo de manipulación de nuestros datos personales por quienes queremos que sean nuestros representantes. La transparencia debería primar en el funcionamiento democrático de nuestras sociedades, pero es cierto que el uso de la tecnología por parte de partidos políticos, los casos de fake news y asuntos como el de Cambridge Analityca nos muestran que quedan muchas cosas por hacer y no son sencillas.
En segundo lugar, creo que un correcto tratamiento de la información personal se hace indispensable en el terreno de la investigación, especialmente, en la investigación médica. La normativa de protección de datos, recordamos aquí, debe estar al servicio de la humanidad.
Y, en tercer lugar, creo que es esencial buscar y encontrar un equilibrio entre el uso o control de la información personal y la seguridad ciudadana, seguridad pública o seguridad nacional ante las nuevas formas de delincuencia o ciberdelincuencia a las que nos enfrentamos. Se hacen precisas normas necesarias y proporcionadas en una sociedad democrática, dotadas de una cuidada técnica legislativa y no nacidas a la luz de las prisas y a golpe de noticia.
Por último, afectando a los anteriores retos, creo que debe salir y saltar a la palestra el uso de la inteligencia artificial no solo en los ámbitos políticos, policiales, científicos o médicos citados. Es evidente la necesidad de que dichas tecnologías y avances cumplan no sólo con normas claras y con una clara proyección internacional, sino con unos principios éticos que eviten todo tipo de discriminación.
Leonardo Cervera-Navas: Los retos de la protección de datos son muchos, pero mencionaré tres de gran actualidad:
1. Las transferencias de datos personales a terceros países están actualmente en el punto de mira tras la sentencia del TJUE de julio de 2020, en la que se invalidó el Acuerdo del escudo de privacidad para transferencias de datos con Estados Unidos. A resultas de ello, se plantean actualmente dos retos principales: por parte de la Comisión Europea, asegurar que todas las decisiones de adecuación del marco de protección de datos de terceros países tienen en cuenta la nueva jurisprudencia y son conformes a sus directrices interpretativas. Por parte de los operadores económicos responsables del tratamiento, cumplir con los requisitos legales cuando no exista decisión de adecuación para las transferencias a un tercer país. Esto implica una evaluación caso por caso de los riesgos de dicha transferencia y la adopción de salvaguardas, bien mediante la adopción de las Cláusulas Contractuales Estándar publicadas por la Comisión Europea, o bien a través de la adopción de medidas contractuales a estos efectos.
2. La supervisión de los sistemas de inteligencia artificial con el fin de asegurar que las soluciones que utilizan estos sistemas respetan los valores europeos y sus principios legales supone otro gran reto en la actualidad. La contribución que la inteligencia artificial puede aportar en el desarrollo de nuestra sociedad es innegable, pero es igualmente innegable que algunos sistemas presentan riesgos elevadísimos de interferencia en la privacidad de los individuos que deben ser debidamente regulados y quedar sujetos a supervisión. Con este fin, en abril de 2021 la Comisión Europea ha presentado una propuesta de Ley de la Inteligencia Artificial. El Supervisor Europeo de Protección de Datos se ha puesto ya manos a la obra para proporcionar a los colegisladores europeos un análisis meticuloso y comprensivo de la propuesta.
3. Un último reto a resaltar es el encaje de la protección de datos con la investigación científica. En este sentido, si bien el RGPD en su Artículo 89 (LA LEY 6637/2016) se refiere específicamente a las garantías y excepciones aplicables al tratamiento con fines de investigación científica, quedan aún algunas cuestiones por aclarar en este área. Conscientes de ello, el Comité Europeo de Protección de Datos está actualmente desarrollando unas directrices sobre la aplicación del RGPD al ámbito de la investigación científica, cuya publicación está prevista para finales del 2021.
Marcos Judel: Desde luego, uno de los retos principales es que se asiente la cultura de la privacidad en el entramado empresarial y en la administración pública. Si bien se han dado pasos importantes, todavía existen dos velocidades en el cumplimiento normativo y eso lastra tanto los derechos de las personas como el desarrollo de nuestra sociedad y de la economía.
Por otro lado, este nuevo escenario es sumamente complejo. Lo estamos viviendo ya al analizar las resoluciones de la Agencia Española de Protección de Datos respecto a procedimientos sancionadores tramitados enteramente bajo el régimen del RGPD, de las que se desprende el cuidado con el que se ha de abordar cada situación en la que existan tratamientos de datos personales. Pero, también, por vivir en un mundo globalmente digitalizado, en el que las relaciones tecnológicas trascienden fronteras.
Además, nos enfrentamos a un futuro muy próximo en el que la tecnología pueda tomar decisiones automatizadas de forma autónoma, lo que puede afectar a nuestra privacidad. Por lo que otro de los retos es que que se habrán de abordar tales cambios y las consecuentes nuevas regulaciones desde planteamientos éticos y morales adecuados para no ver retroceder en los avances logrados en nuestras libertades.
José López Calvo: El escenario sigue siendo incierto ante el limitado número de países con Agencia de Protección de datos, la fragmentación de los instrumentos y jurisdicciones y la asimetría de modelos y principios, incluso entre Europa y Estados Unidos, sin marco vigente de transferencia internacional de datos.
Adicionalmente, el procedimiento de cooperación y coherencia del GDPR (LA LEY 6637/2016) entre las Agencias europeas sigue ofreciendo dudas por crear burocracia, sobrecargar y centralizar la irlandesa y luxemburguesa (donde ubican las multinacionales sus sedes), vaciar su contenido con la interpretación de que no es aplicable si el establecimiento principal se encuentra situado fuera de la UE y por la falta de autocontención por los tribunales nacionales en aspectos que debieran ser sometidos a cuestión prejudicial.
Es más, en la reciente propuesta de Reglamento de inteligencia artificial está ausente un sistema de “ventanilla única” como en el GDPR (LA LEY 6637/2016), que se basa en que una única autoridad principal supervisara el cumplimiento de las organizaciones que operan en varios Estados miembros, lo que puede derivar en la fragmentación de la supervisión de los sistemas de IA.
La única respuesta, de enorme dificultad política, probablemente debe venir de la creación de estructuras internacionales lo más extendidas posibles, preferentemente en el entorno ONU, que regulen el tráfico y establezca normas “iguales para todos”, con posibilidad de imponer sanciones. Dotar asimismo de competencias ejecutivas al Supervisor Europeo para cuestiones transnacionales sería también un avance.
Alejandro Padín: Actualmente se presenta un horizonte apasionante en el mundo de la privacidad. Tenemos ante nosotros avances tecnológicos que todavía plantean dudas de tipo regulatorio, como por ejemplo la inteligencia artificial. Sin ir más lejos, en esta materia la Unión Europea está tratando de dictar regulación estableciendo determinados límites para usos de la tecnología que pueden ser considerados como vulneradores de los derechos fundamentales de los ciudadanos. Sin embargo, esos desarrollos se presentan en forma de tsunami que no se podrá parar o evitar, sino que habrá que interiorizar, entender e incorporar a los procesos económicos y sociales.
En el ámbito de la infraestructura, el despliegue de las redes 5G constituye otro reto muy relevante. La capacidad de control sobre la información y los usos de la misma se van a multiplicar con esta infraestructura, que supondrá un impulso para las tecnologías de “internet de las cosas” (“IoT”).
Otros desarrollos tecnológicos que son cada vez más conocidos y utilizados también se basan en la transmisión y almacenamiento de información, como es el blockchain o, dentro de no mucho tiempo, la computación cuántica.
Todos ellos plantean nuevos riesgos y nuevos problemas, pero también nuevas oportunidades. Por todo ello, o a pesar de ello, todos esos desarrollos vienen para quedarse, por un motivo principal, que es su utilidad para los ciudadanos. Ellos son los que no van a dejar que la tecnología deje de desarrollarse, y que van adoptar y adquirir todo aquello que les facilite la vida o les permita hacer mejor las cosas, igual que dejarán a un lado todo lo que no cumpla esas expectativas. Cada vez más, entre los elementos de decisión, estará la seguridad y la confianza en la tecnología y, sobre todo, en quién la usa y en cómo la usa.
Miguel Recio: La protección de datos personales se enfrente a varios retos que pueden tener un origen muy diverso.
Uno de estos retos es el derivado de posiciones extremas que dan lugar al proteccionismo en lugar de a una verdadera protección de datos. Los requisitos de la soberanía de datos pueden dar lugar a perder claras oportunidades de innovación, además de ser contraria al Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) si consideramos el caso de la Unión Europea (UE). En este sentido, el hecho de que los datos personales no puedan salir de un territorio, incluso dentro de la propia UE, es contrario al RGPD y da lugar a problemas de competencia o incluso a la pérdida de empleos que podrían generarse por prestadores de servicios en otros Estados miembros.
Otro de los retos es el de entender la interrelación entre el derecho fundamental a la protección de datos con la competencia y la protección de los consumidores. Una protección efectiva de la persona física, que es a quien realmente se protege y no a los datos personales, requiere considerar esta cuestión desde una perspectiva holística y no meramente centrada o limitada a los poderes que pueda tener una autoridad de control.
La ciberseguridad es otro de los retos principales. Como activo de información, los datos personales tienen que protegerse también frente a ciberataques que podrían causar graves daños a las personas físicas en el ejercicio de sus derechos fundamentales. Garantizar la confidencialidad, integridad y disponibilidad de los datos personales es esencial para poder afirmar que las personas tienen un derecho fundamental a la protección de sus datos.
También son retos relevantes la necesidad de proporcionar seguridad jurídica a responsables y encargados del tratamiento ante solicitudes gubernamentales de acceso a datos personales cuando estos se tratan en otros países, a poder contar con nuevos instrumentos para transferencias internacionales de datos (tras casi tres años de aplicación, todavía no contamos con códigos de conducta o certificaciones aprobadas conforme al RGPD en la UE que permitan proporcionar garantías adecuadas en este caso) o la aplicación desproporcionada de la legislación aplicable en la materia.
Eduardo Ustarán: Los retos están directamente asociados con estos tres factores. En concreto, cómo adaptarse a la rapidísima evolución tecnológica teniendo en cuenta el atractivo económico que tiene la explotación de datos personales y al mismo tiempo hacerlo a nivel global. La ley de protección de datos y su interpretación tiene que adaptarse a estas circunstancias o será condenada a ser inefectiva.
4. ¿Con qué enfoque deberían abordarse esos desafíos?
Mónica Arenas: Se debe potenciar el enfoque proactivo que introdujo el RGPD y los principios de privacidad desde el diseño y por defecto, sin olvidar la imprescindible transparencia y accountability en el uso de los datos personales. Pero más allá de lo que es cumplir con la normativa -porque la aplicación de estos principios es hacer efectivo el RGPD-, en un mundo globalizado como en el que vivimos, se hace imprescindible la colaboración entre sector público y sector privado como responsables del tratamiento de la información personal.
Los grandes retos a los que se enfrenta la humanidad se deben abordar desde un enfoque holístico. No podemos pretender tener sociedades justas e igualitarias, respetuosas con los derechos fundamentales de los sujetos que las integran, si sector público y privado tienen un enfoque diferente y no aúnan sus fortalezas para disminuir sus debilidades y hacer frente a los grandes retos que tenemos por delante.
Además, creo que es una cuestión de justicia social aplicar un enfoque ético y no discriminatorio, pero no solo evitando todo tipo de discriminación por razones políticas, religiosas, de raza, edad, salud, o incluso por cuestiones económicas y de acceso a la tecnología, sino por cuestión de género. Creo que es indispensable aplicar una perspectiva de género a la materia, que consiga sociedades más igualitarias y más democráticas, donde toda la ciudadanía pueda, y tenga la posibilidad de utilizar la tecnología, sin limitarse personalmente por no saber quién, cómo, cuándo y con qué fines se utilizan los datos personales, y sin verse limitados porque un algoritmo les ha excluido de la ecuación.
Leonardo Cervera-Navas: Los desafíos mencionados sólo pueden abordarse eficazmente desde un enfoque netamente europeo e internacional y en un marco democrático y de respeto de los derechos fundamentales. En este sentido, la acción de las autoridades de protección de datos debe encaminarse a la colaboración estrecha, la promoción de una fuerte cultura de protección de datos en las administraciones públicas y el entramado empresarial, con un enfoque basado en el riesgo (a mayor riesgo, mayor regulación), y en una colaboración y diálogo permanente con los actores más relevantes. Creo firmemente que la protección de datos, aplicada a la vez con rigor y flexibilidad, nunca constituye un obstáculo para la aplicación de las nuevas tecnologías en nuestra sociedad, el comercio con terceros países, la digitalización del sector financiero y de inversiones, la lucha contra el blanqueo de capitales o la investigación científica, por citar algunas de las áreas donde la Unión Europea está dando grandes pasos en los últimos tiempos.
Marcos Judel: El RGPD requiere de un proceso de análisis y estudio pormenorizado. Por lo que no cabe ninguna duda de que el enfoque pasa por rodearse de profesionales de la privacidad altamente formados y cualificados, que ayuden a empresas y administraciones públicas a conjugar el desarrollo del negocio y políticas públicas con la protección de las personas.
Los profesionales de la privacidad y delegados/as de protección de datos son elementos clave de el nuevo orden social y económico de nuestros días. Su ayuda y asesoramiento es un motor de soluciones innovadoras, realistas y prácticas y no un freno al desarrollo empresarial y económico en España y en Europa.
Todo ello debe abordarse desde un estricto compromiso de calidad, buenas prácticas y ética profesional. Y el mercado debe saber que puede acudir a la Asociación Profesional Española de Privacidad (APEP) para encontrar a los perfiles que necesite, pues en APEP no sólo estamos comprometidos con un estricto código ético, sino que formamos y certificamos a profesionales por profesionales.
Por último, debemos continuar denunciando y concienciando al mercado y a la sociedad de la existencia de prácticas maliciosas, abusivas o fraudulentas que asolan a las pequeñas y medianas empresas y que ponen en riesgo su reputación y viabilidad económica, así como a los derechos de las personas. Me refiero a la existencia de ofertas de servicios en protección de datos a coste cero o bajo coste a cargo de fondos para formación bonificada, a amenazas o intimidaciones para la contratación de servicios, o a las suplantaciones de identidad de organismos como la Agencia Española de Protección de Datos para captar negocio. Siempre habrá quien intente aprovecharse y engañar, pero será más difícil que suceda si se adopta la cultura de la privacidad. Para ello, el primer paso es estar informado y el segundo huir del cumplimiento por obligación y hacerlo por convicción; porque al final, como siempre, lo barato sale caro.
Alejandro Padín: La evolución tecnológica debe ir siempre de la mano de la protección de la intimidad y la privacidad. Sin embargo, no se pueden perder de vista otras perspectivas igualmente importantes relacionadas con la naturaleza de los datos personales y de la información. Así, por ejemplo, la tecnología permite identificar el valor de los datos y elevar a estos a la categoría de activo con valor económico.
Por supuesto, la visión de la información personal como activo de valor económico no puede separarse de su tratamiento como derecho fundamental. Pero existen formas de obtener valor de la información sin perder de vista aquella orientación inicial de protección de la privacidad.
Pero, además, como consecuencia de la pandemia que estamos todavía padeciendo, se ha podido desarrollar también otra perspectiva muy novedosa, aunque ya prevista en la normativa (incorporada en el propio RGPD) y es el valor de los datos como activo social, útil para el bien común. La posibilidad de utilizar información personal para la investigación científica y médica en beneficio de la humanidad, por ejemplo, es una realidad que no puede limitarse de forma injustificada, y que debe ser impulsada. De nuevo, sin olvidar que estamos tratando con derechos fundamentales de las personas.
Existe una palabra clave en todo lo que acabamos de exponer, y que sería el elemento esencial que permitiría avanzar en la tecnología sin vulnerar los derechos de los individuos. Esa palabra es Confianza. Si las personas pueden confiar en las entidades que tienen sus datos porque saben que los van a utilizar bien, y si esas entidades cumplen con sus obligaciones y con las expectativas de los interesados y tratan los datos de forma ponderada y transparente, la evolución de la tecnología basada en datos personales tendrá un futuro absolutamente prometedor.
Miguel Recio: Los desafíos a los que nos enfrentamos deberían abordarse con un alto grado de compromiso y colaboración por todas las partes involucradas. Entre estas cabe destacar, en particular, quienes elaboran leyes y regulaciones en materia de protección de datos, quienes desarrollan tecnología y servicios digitales, así como por quienes las aplican, tales como las autoridades de protección de datos y las autoridades judiciales. Tanto en el presente como de cara al futuro es esencial un alto grado de certidumbre jurídica, ya que las dudas que pueden plantearse en la interpretación de leyes y regulaciones en protección de datos, así como en su aplicación son, en sí mismas, un desafío.
Dada la evolución tecnológica, especialmente durante la última década, sería deseable una aproximación tecnológicamente neutra desde el punto de vista de la normativa sobre protección de datos que evite barreras u obstáculos que puedan privarnos de desarrollos adecuados para la sociedad y para las personas. Como reiteradamente señala el Dr. José Luis Piñar Mañas, debemos centrarnos en los principios. Las leyes pasan, pero los principios, debidamente actualizados, transcienden a aquellas y continúan siendo clave para lograr un tratamiento lícito, leal y transparente de los datos personales.
Es decir, los principios de la protección de datos, que se aplican desde hace décadas y que se han ido actualizando conforme a avanzado la tecnología, la sociedad, así como la legislación y la regulación en materia de protección de datos, deberían seguir siendo la hoja de ruta o el marco esencial de la protección de datos en el desarrollo de la tecnología y los servicios digitales.
Y los desafíos deberían abordarse también considerando las lecciones aprendidas (entre otras, proporcionalidad, límites al derecho a la protección de datos, principios y derechos). Una visión global o, al menos, internacional sería también necesaria, ya que debería buscarse la integración de las diferentes aproximaciones a la protección de datos y a la privacidad para lograr un nivel adecuado común.
Por último, debemos considerar las claves que nos ofrece el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) ya que el derecho a la protección de datos sirve a la humanidad y no es un derecho absoluto, debiendo aplicarse conforme al principio de proporcionalidad.
Eduardo Ustarán: Con una mentalidad positiva y de progreso que no ponga en conflicto el desarrollo tecnológico con la función de la ley. El progreso y la regulación del uso de los datos personales no están necesariamente enfrentados. Es posible crear e interpretar leyes de una manera que no impidan el progreso pero que den pautas que lleven a la protección de los datos y de la privacidad de una manera efectiva.
