¿Cómo arranca nuestro particular curso? En protección de datos se vive una constante tensión entre la realidad crecientemente compleja que ya conocemos y las sorpresas o sobresaltos que están por llegar que, en la mayoría de casos, incrementarán la complejidad. La nuestra es una realidad líquida y cambiante que va evolucionando a golpe de generación tecnológica: Web 2.0, videovigilancia, redes sociales, Internet de los Objetos, big data, inteligencia artificial y robótica, 5G, neurociencia... Junto a ella, y con cierta regularidad, determinadas posiciones de los reguladores, mediante instrumentos de soft-law o sancionadores, redefinen constantemente el escenario. Por su parte, el legislador como en la paradoja de Aquiles y la Tortuga, sigue caminado lentamente dispuesto a ganar la carrera.
Vivimos un periodo crucial para el gobierno de la privacidad en España y lo hacemos en una situación de interinidad en la Agencia Española de Protección de Datos. De un lado, la aprobación de la Carta de Derechos Digitales, a pesar de su carácter no normativo, pone sobre el tablero de juego un conjunto de necesidades respecto de las cuales la protección de datos cumple un papel instrumental y de soporte necesario. Una parte de las significativas preguntas que plantea el texto en materias como la brecha digital, la investigación con datos, la inteligencia artificial, la salud digital o los neuroderechos apela directamente a este marco normativo.
Por otra parte, la ejecución de la Estrategia Española de Inteligencia Artificial, y de las correspondientes iniciativas autonómicas, el Plan España Digital 2025, y el despliegue de los fondos Next Generation, serán altamente dependientes de los criterios que se fijen en protección de datos. Los sectores público y privado deberán desarrollar un enorme esfuerzo de innovación y ello plantea al menos dos exigencias.
La primera resulta evidente: un compromiso firme con la garantía del derecho fundamental a la protección de datos. Y ello obliga a una cierta autocrítica. El ejercicio profesional epidérmico de copia y pega, esa tan falsa como aparente estandarización, constituye un riesgo. Y también lo ha sido el recurso al nominalismo en la figura del delegado de protección de datos. No basta con nombrar una persona si no posee los recursos y las capacidades debidas. Mucho menos si no existe un compromiso de la organización y una disposición a asumir cierta cultura de la privacidad.
En esta materia, el despliegue adecuado del Esquema Nacional de Seguridad y el reto de alcanzar una adecuada madurez en ciberseguridad serán determinantes. Por otra parte, la interoperabilidad será un requisito imprescindible. No nos referimos aquí únicamente a la posibilidad de intercambiar datos o documentos en un procedimiento. Los llamados principios FAIR, por sus siglas en inglés, implican un modelo de datos fácilmente localizables, accesibles, interoperables, y reutilizables. Y ésta, sin duda, sería una precondición indispensable.
La segunda exigencia se refiere a las autoridades de protección de datos. Una nota de prensa puede afectar un entero sector productivo. Y no es una hipótesis. En el pasado reciente, las autoridades de protección de datos modularon la acción estatal en la gestión de las políticas de Salud Pública en el momento álgido de COVID. Las restricciones al tratamiento de datos personales supusieron un enorme esfuerzo de inversión en recursos humanos y tecnológicos e incluso alumbraron nueva legislación. Todo ello sitúa a la autoridad en una posición central para el futuro del país y requiere de una dirección consolidada y estable.
Es un lugar común que los medios de comunicación no incluyan a la Agencia en la lista de órganos o instituciones pendientes de renovación. Sin embargo, se trata de una autoridad administrativa independiente que influirá de modo decisivo en nuestra transformación digital, por lo que su renovación es una cuestión tan inaplazable como urgente.
En este numero se ofrece al lector una aproximación al modelo de designación de la presidencia y la adjuntía a la Agencia Española de Protección de Datos. El legislador evolucionó de modo claro hacía la figura de un comisionado parlamentario caracterizado por, al menos, dos requisitos determinantes: una sólida trayectoria profesional y la legitimación que deriva de una elección parlamentaria con mayorías reforzadas. El nuevo Estatuto Orgánico de la Autoridad profundiza en la transparencia y en el rigor técnico en el proceso de selección. Es un lugar común que los medios de comunicación no incluyan a la Agencia en la lista de órganos o instituciones pendientes de renovación. Sin embargo, se trata de una autoridad administrativa independiente que influirá de modo decisivo en nuestra transformación digital. Se trata, por tanto, de una cuestión tan inaplazable como urgente.
Por otra parte, la Estrategia Digital de la Unión Europea sigue su camino e inicia su construcción normativa con la Data Governance Act. La experiencia de la disposición adicional decimoséptima sobre tratamientos de datos de salud de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, ha demostrado que es posible construir repositorios para el uso de datos con fines de investigación. El legislador español se adelantó sin duda. Deberíamos aprovechar la experiencia.
Sin embargo, el tratamiento masivo de datos, y con él la inteligencia artificial, no gozan de buena prensa. De una parte, un modelo de crecimiento empresarial a golpe de hacer las cosas rápido desde la ajenidad con el cumplimiento normativo, evidenció la debilidad del marco normativo y la posición dependiente de las personas. Aprendimos y desplegamos el Reglamento General de Protección de Datos. De otro lado, en la carrera de la Inteligencia Artificial el gigante chino se ha dotado de una ley en materia protección de datos. Con independencia de su contenido, los totalitarismos del siglo pasado nos enseñaron que la garantía de los derechos fundamentales requiere de esfuerzos más significativos.
El resultado de esta complicada partida de ajedrez no puede ser otro que ser capaces de desplegar nuestras capacidades desde el modelo europeo de garantía de los derechos fundamentales. Pero ello exige un doble compromiso. El sector privado debe apostar por el Reglamento General de Protección de Datos, mientras las autoridades de protección de datos deben ofrecer soluciones no sólo viables sino adoptadas en procesos transparentes y participativos abiertos a los sectores. La interpretación de la realidad desde el derecho fundamental a la protección de datos como valor prevalente por defecto no es sostenible. Se requiere de un esfuerzo de interpretación sistemática, de hacer, como señala el propio RGPD que los datos sirvan a la humanidad.
Por último, nuestra referencia al inicio de curso no ha sido meramente metafórica. Nuestros escolares siguen huérfanos de un desarrollo adecuado de las previsiones del Título X de la Ley Orgánica 3/2018. Los expertos participantes en la Carta de Derechos Digitales destacaron el papel fundamental de la educación. Garantizar la privacidad de nuestras niñas y niños no sólo depende de educarles frente al peligro y en la gestión del riesgo. Este es un enfoque que se demuestra insuficiente y limitador. La clave se encuentra en la educación en y para el mundo digital que asegure nuestro futuro.
Ricard Martínez Martínez
Director de LA LEY Privacidad