“(...) esta Agencia considera necesario que se realice, con intervención del delegado de protección de datos del Ministerio de Justicia, un análisis de riesgos y, en su caso, una Evaluación de impacto en la protección de datos, que permita identificar las garantías necesarias que habría que trasladar al presente texto legal.”
Agencia Española de Protección de Datos. Informe núm. 0020/2022 sobre Anteproyecto de Ley reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Es un lugar común considerar que la protección de datos es una cuestión regulada de manera omnicomprensiva por el Reglamento General de Protección de Datos y bajo la esfera casi exclusiva de la competencia de la Unión Europea. Este incorrecto entendimiento repercute de modo significativo sobre la calidad jurídica de muchas de las decisiones que se adoptan en este ámbito en tres niveles.
Primero banaliza extraordinariamente la percepción pública sobre la “sencillez"· de este marco normativo convirtiendo la operativa en un mero silogismo: si hay dato cúmplase la ley.
En segundo lugar, permitiendo un enfoque y reinterpretación del entero Orden jurídico desde el derecho fundamental a la protección de datos en esquema mental de ponderación de derechos en los que casi en cualquier supuesto prevalecerá éste. Si el primer factor afecta a la calidad jurídica de los operadores, el segundo nos desliza hacia una concepción individualista en la que el interés común podría perecer.
El tercer efecto deriva de la acción del legislador. No debe olvidarse que cada una de las referencias de los artículos 6 (LA LEY 6637/2016) y 9.2 del RGPD (LA LEY 6637/2016), además de las habilitaciones de su capítulo 9, abren una ventana de oportunidad al legislador nacional. Y esto no implica que se deba optar por leyes meramente referenciales. Cuando la primera declaración de la Carta de Derechos Digitales (LA LEY 16317/2021), impulsada por el Gobierno de España, afirma el principio de cumplimiento normativo desde el diseño de los entornos digitales, y exige aplicar la legalidad vigente, apela también a la calidad legislativa como precondición necesaria. No basta con ordenar o declarar la aplicabilidad del Reglamento (UE) 2016/679 (LA LEY 6637/2016) y de la Ley Orgánica 3/2018 (LA LEY 19303/2018), y remitirse a estas normas. Las bases de legitimación para el tratamiento, la definición de las finalidades legítimas e incluso aspectos de detalle como la naturaleza, conformación y funcionamiento de enteros sistemas de información dependen de la calidad legislativa. Y este requerimiento alcanza incluso a la legislación menor y la actividad de fomento, siendo particularmente exigible en cualquier programa de subvenciones centrado en actividades de transformación digital que impliquen el tratamiento de datos personales.
La carencia de calidad normativa en todos los niveles obliga a interpretar allí donde de modo muy preciso el Comité Europeo de Protección de Datos, con cita del extraordinario documento del Supervisor sobre el juicio de proporcionalidad, exige de predeterminación y precisión normativa
Este estado de cosas, dificulta extraordinariamente el cumplimiento normativo cuando no desmerece la labor de los profesionales y, particularmente de las personas delegadas de protección de datos. La carencia de calidad normativa en todos los niveles obliga a interpretar allí donde de modo muy preciso el Comité Europeo de Protección de Datos, con cita del extraordinario documento del Supervisor Europeo de Protección de Datos sobre el juicio de proporcionalidad, exige de predeterminación y precisión normativa. Y ello produce efectos particularmente perversos en la medida en la obliga al sector privado, que no goza de los privilegios sancionadores del sector público, a operar desde el análisis del riesgo regulador. Y cuando este es el enfoque para decidir sobre una actividad del tratamiento los resultados nunca serán positivos. Cuando el responsable del tratamiento se retrae ante la duda estamos cercenando oportunidades para la investigación, la innovación y el emprendimiento.
Por otra parte, se abre la puerta al soft law y a la proliferación de tantas visiones e interpretaciones de la ley como autoridades de protección de datos existen en la Unión Europea. Y así, un instituto diseñado para la garantía de los derechos fundamentales paraliza el desarrollo de derechos que, como el de la creación científica y técnica, o el de la libertad de empresa, también encuentran acomodo constitucional. Y, sobre todo, se incentiva la fuga de talento, crecimiento y competitividad a latitudes más favorables. En sentido contrario, cuando la interpretación vuela libre y sin ataduras, el riesgo para el derecho fundamental a la protección de datos crece.
Por ello, el aviso de la Agencia Española de Protección de Datos y el resultado en la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción (LA LEY 1840/2023), son un ejemplo altamente positivo. A él se ha sumado la reciente publicación de las “Orientaciones para la realización de una evaluación de impacto para la protección de datos en el desarrollo normativo”. En este sentido y puesto que la Memoria del Análisis de Impacto Normativo “incluirá cualquier otro extremo que pudiera ser relevante a criterio del órgano proponente”, existe un espacio de disposición suficiente para incorporar este tipo de recomendaciones.
Como demuestra el trabajo publicado en este número, sobre el tratamiento de datos personales en el marco de la Ley 2/2023, con sus luces y sus sombras, cualquier profesional de la privacidad puede entablar un fructífero diálogo con la norma. Y no sólo se encuentran referencias útiles en el Título VI sobre protección de datos personales, a lo largo de todo el articulado puede obtenerse información muy relevante para el diseño de los sistemas de información necesarios para cumplir la Ley.
Otro tanto sucede con la legislación de la Unión Europea. La Data Governance Act, la Propuesta Data Act, la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre el Espacio Europeo de Datos Sanitarios o la Propuesta de Reglamento de Inteligencia Artificial dan por supuesto al Reglamento General de Protección de Datos (LA LEY 6637/2016) como un marco suficiente y adecuado. Y esto no es cierto. Cada uno de los tratamientos que de ellas derivan presenta retos particularmente exigentes.
Baste con señalar un ejemplo. Se presume que estas normas implican el impulso de una fase de investigación e innovación que de modo preferente se basará en el tratamiento de datos anonimizados. ¿Pero que es la anonimización? ¿Es un proceso basado en el criterio de riesgo razonable del considerando 26 del RGPD? ¿Es una anonimización equivalente al borrado o anonimización irreversible que propugna el Grupo de Trabajo del artículo 29? ¿Es tal vez la anonimización en dos capas por dos equipos independientes con el análisis de riesgos en cinco estadios de la Guía de la autoridad de protección de datos de Singapur que propone a la Agencia Española de Protección de Datos? ¿O es el estándar de anonimización de facto que propone la industria alemana en ecosistemas cerrados de tratamiento? ¿Es la diferential privacy o la multi-party computation un modelo tecnológicamente adecuado? ¿Y si incorporamos blockchain a la ecuación para disponer de trazabilidad cumplimos o incumplimos el RGPD?
Es más, la anonimización ¿nos saca del territorio RGPD, como parece decir la norma, o nos vincula de modo permanente e ineludible con las condiciones de obtención primaria de los datos? Y, en el segundo caso ¿qué ocurrirá cuando la aplicación de la IA a datos “anónimos” genere potenciales finalidades no compatibles con la finalidad original con la que se recogieron los dados antes de su anonimización?
Legislar en una sociedad en plena transformación digital no puede consistir ni en el ejercicio autocomplaciente que no sirvió para disciplinar la salvaje monetización de la privacidad sobre la base del modelo de consentimiento completamente alejado de la realidad, inane y falaz, de la Directiva 95/46/CE (LA LEY 5793/1995). Ni tampoco, en prohibir a toda costa. Siempre hemos defendido que el derecho fundamental a la protección de datos encontraba su fundamento en el artículo 18.1 de la Constitución (LA LEY 2500/1978). Que la propuesta del constituyente, de limitar los usos de la informática, como una habilitación dinámica al legislador era más eficiente. Hoy, más que nunca, una lectura actualizada del artículo 18.4 CE (LA LEY 2500/1978) en términos de modulación de los usos de las tecnologías de la información se nos antoja necesaria. El legislador, debe aquilatar de modo muy preciso sus objetivos y, como bien señaló la Agencia Española de Protección de Datos, debe realizar una evaluación de impacto relativa a la protección de datos, debe entender que riesgos genera una mala legislación y debe ser capaz de ordenar la transformación digital. De lo contrario, no nos quedará más remedio que firmar cartas y manifiestos, mientras repetimos los errores que nos han convertido en un gigante regulador y en un adolescente tecnológico.
Ricard Martínez