Y, ¡cómo pasa el tiempo!
Que, de pronto, son años ...
Han pasado tres años desde que, el 25 de mayo de 2018, comenzase a ser aplicable la más profunda reforma en materia de protección de datos de nuestra historia, que se auguraba como definitiva. En este número presentamos al lector un análisis de la Ley Orgánica 7/2021, de 26 de mayo, para la protección de datos personales en la investigación, enjuiciamiento de delitos y ejecución de penas que traspone la Directiva 2016/680. Sin embargo, esta trasposición no cierra círculo alguno. El Reglamento General de Protección de Datos, se nos decía, iba a sustituir la Directiva 95/46/CE, acabar con la fragmentación legislativa nacional y a regular la materia de modo general. Nada más lejos de la realidad. Esto era algo obvio para los expertos, para el constituyente del 78, y para el Tribunal Constitucional desde la STC 254/1993. El derecho fundamental a la protección de datos es un derecho de naturaleza instrumental, relacional, contextual, esencialmente adjetivo.
Las tecnologías de la información no sólo procesan datos en muy distintos contextos. Por su propia naturaleza potencian procesos de investigación, innovación y transformación acelerados que generan nuevas realidades en ocasiones impredecibles salvo para la ciencia ficción. Ello obliga a un doble esfuerzo en materia regulatoria. De una parte, resulta imprescindible sujetar estos procesos de innovación al marco normativo preexistente. Como han demostrado los resultados del Grupo de Alto Nivel sobre Inteligencia Artificial de la Unión Europea, la garantía de los derechos fundamentales, y la aplicación de aquella normativa previa que resulte funcional, son precondiciones básicas desde un punto de vista ético, y también como garantía de un desarrollo de la tecnología ordenado y centrado en el ser humano.
De otra parte, resulta evidente que se requieren adaptaciones que vienen determinadas por distintos factores. Así, el marco competencial de la Unión y los Estados, el principio de subsidiariedad, y, bajo ciertas condiciones, las delegaciones normativas específicas y las necesarias adaptaciones que son admisibles en el límite del margen de apreciación, multiplican la producción normativa. Así, hemos desarrollado una nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) y estamos trasponiendo tanto la Directiva 2016/680 (LA LEY 6638/2016) como la Directiva Open Data. Ello sin perjuicio de que siempre flote en el ambiente la sentencia Digital Rights Ireland del Tribunal de Justicia de la Unión Europea y sus efectos sobre la Ley de conservación de datos relativos a las comunicaciones electrónicas.
Por otro lado, la propia dinámica innovadora obliga tanto a reconsiderar la evolución del marco preexistente como al desarrollo de nuevos escenarios. Así, la analítica de datos ha obligado a dejar puertas abiertas al RGPD cuando se tratan datos liberados por la Administración y cuando tratando datos no personales estos resulten “inextricablemente unidos” a datos personales. Por otra parte, el llamado “Paquete Telecom”, necesita de una nueva adaptación a la que se dedica la propuesta e-Privacy. La naturaleza de las prestaciones equivalentes a la telefonía, la explosión de las aplicaciones móviles y la radical transformación de aquello que solíamos llamar teléfono, obligan a un abordaje que, además, se enfrenta a la dificultad de deslindar los territorios entre intimidad, protección de datos y secreto de las comunicaciones. A retos similares, en complejidad, se enfrenta la delimitación de las condiciones de obtención y uso de las evidencias digitales.
No acaban aquí los retos para la legislación preexistente. El espacio europeo de salud y el de investigación, la certificación europea de COVID, los retos de Privacy Shield, y la revisión del propio RGPD permiten otear cambios en el horizonte. Adicionalmente, en una economía que o bien monetiza el dato o bien requiere del tratamiento de datos personales para funcionar, la definición de un marco europeo de servicios de la sociedad de la información implica una apuesta por una nueva Ley de Servicios Digitales. Finalmente, la reciente presentación de la Propuesta de Reglamento sobre Inteligencia Artificial ofrece un escenario fascinante pero que no se agota y crecerá. El borrador de Carta de Derechos Digitales, y el futuro debate en la Unión Europea en este ámbito, seguirán reforzando el carácter instrumental y estructural del derecho fundamental a la protección de datos en ámbitos como la publicidad, los derechos de las personas menores, el derecho a la investigación y la creación científica y técnica y los llamados neuroderechos.
Sería muy prematuro establecer si este escenario de superproducción normativa puede ser beneficioso o perjudicial. Sin embargo, existen conclusiones que pueden aventurarse. La primera de ellas es obvia. La protección de datos lleva camino de consolidarse como una materia, y una profesión, con autonomía y perfil propios. Este ámbito del Derecho se caracterizará por disponer de principios, valores, reglas e institutos propios y, a la vez, por una constante apertura a la interacción instrumental con el conjunto del Ordenamiento.
La pandemia ha puesto de manifiesto la apuesta de los reguladores por una concepción tradicional y no integradora del Derecho a la protección de datos, como límite a la acción del Estado, que ha hecho prevalecer la privacidad sobre los intereses colectivos
Sin embargo, en nuestra opinión existe una cuestión central. Cada vez urge más definir la aproximación europea a la regulación de la tecnología tanto desde un punto de vista ontológico como axiológico En la génesis del derecho fundamental a la protección de datos se encuentra una aproximación defensiva, una concepción tradicional del Derecho como límite a la acción del Estado. La concepción de los reguladores ha sido coherente con ello hasta hoy y se ha manifestado de modo muy crudo durante la pandemia de COVID. Se ha apostado en demasiadas ocasiones por una concepción prevalente y no integradora de la protección de datos que ha impedido el uso de información valiosa haciendo prevalecer la privacidad sobre los intereses colectivos. El enfoque basado en el riesgo, que sin duda compartimos, ha olvidado un elemento esencial: el remedio y la búsqueda de un riesgo residual asumible. Y esto, plantea una cuestión nuclear. La relación entre finalidad y proporcionalidad en conexión con la evaluación del riesgo genera aproximaciones reactivas que tienden a la prohibición. Y así, desde concepciones filosóficas tan valiosas como alejadas de la realidad, y desde una cierta opinión publicada, se ha generado una corriente de pensamiento políticamente correcto centrado en la prohibición.
En nuestra opinión, se trata de un enfoque que, de prevalecer, no garantizará nuestros derechos y puede que nos conduzca a la irrelevancia. El futuro de la garantía de los derechos dependerá en gran medida de identificar fines lícitos para el desarrollo tecnológico. Pero también en definir “cómo se hacen las cosas”, esto es, en identificar un proceso de cumplimiento normativo desde el diseño que asegure la garantía de los derechos. El marco de garantía debería completarse con los valores de trazabilidad, explicabilidad y auditabilidad. Estas ideas ni siquiera son novedosas. Con el estado constitucional aprendimos que los límites al poder, y la definición de esos balances y contrapesos que los disciplinan, no son nada sino se asegura un procedimiento debido, transparencia y rendición de cuentas, y un marco de seguridad jurídica en el que la prueba, justificación y documentación de cada decisión son esenciales.
Nuestro reto, no consiste en prohibir y disuadir. Ha llegado la hora de reconsiderar si la Ley limitará los usos de la informática y plantearse si sería más valioso un enfoque en el que la ley “delimitará o modulará” tales usos. En el envite está en juego nuestro papel en el mundo y nuestro futuro. Se trata de liderar una revolución digital centrada en los valores del Estado Social y de Derecho que la cultura jurídica europea ha legado a la humanidad o perder desde la prohibición y el rechazo la carrera de una transformación digital que no se detendrá por ello.