Alejandro Padín
Socio de Garrigues
1.
Introducción
En este trabajo parto de la asunción de una máxima que, a pesar de su obviedad, sigue siendo necesario expresar de forma completa. Esta máxima es la naturaleza jurídica plural de la información personal y de los datos personales. Sin entrar en distinciones jurisdiccionales, podemos afirmar que la protección de los datos personales es un derecho fundamental, pero los datos personales son también un activo económico y son un activo social.
Si ubicamos cada una de esas aproximaciones en entornos jurídico-económico-sociales en el mundo, podemos establecer, en términos de aproximación general, tres enfoques principales: el enfoque de la Unión Europea, el enfoque estadounidense y el enfoque chino.
No cabe duda de que en cada uno de esos enfoques hay diferencias notables, pero en todos ellos, o al menos en dos de los tres, existe una necesidad común, y es la de generar confianza en los individuos cuyos datos se tratan y, para ello, la historia nos ha demostrado que es necesario establecer una regulación.
2.
La información en la economía digital
Gracias al desarrollo de la tecnología vivimos en un mundo global.
Hay tres elementos tecnológicos principales que nos han traído hasta el estado de globalización actual, desde finales de la década de los años 90 del siglo XX. Esos elementos son el desarrollo exponencial de la velocidad de transmisión de datos, de la capacidad de almacenamiento de los esos datos y de la velocidad y eficiencia en el análisis de esos datos. El proceso no ha terminado, y nos esperan años de cambios, si cabe, aún mayores durante los próximos 20 años, cuando el tercero de esos elementos, la velocidad de procesamiento de información, sufra una revolución de dimensiones sísmicas con la consolidación de la computación cuántica.
Resulta obvio que la globalización es inherente a eso que llamamos la red, internet o, en su evolución más reciente, en el metaverso. El metaverso es necesariamente global en cualquiera de sus usos y características, ya sea la realidad virtual, la realidad aumentada, la interacción personal, el comercio electrónico o la emisión de criptoactivos. Sin embargo, la globalización no es predicable solo del mundo digital, sino también del mundo analógico. El mundo «real» u «offline» no es entendible ya si no es con globalización. La capacidad de acceso a información de cualquier parte del mundo en tiempo real afecta a las decisiones fuera de la red.
3.
Naturaleza jurídica plural de los datos personales
En este mundo global, en la era de la información, hay un tipo de información de especial relevancia y que ha venido incrementando su valor de una forma directamente proporcional al crecimiento de la velocidad de transmisión de los datos, de la capacidad de almacenamiento y de la eficiencia en el procesamiento de los mismos. Se trata de los datos personales, que se vienen definiendo de forma generalmente aceptada, aunque no sin algún matiz poco relevante a efectos de este trabajo, como cualquier información sobre una persona física identificada o identificable. Esa información, ese conjunto de datos, que nos permiten identificar directa o indirectamente a una persona, constituyen un verdadero activo en la sociedad de la información. Un activo que tiene una triple naturaleza jurídica.
En primer lugar, los datos personales son una parte intrínseca de la personalidad de un individuo.
Los datos personales, en sus distintas tipologías (datos biológicos, datos conductuales, datos identificativos, datos representativos, etc.), forman parte del ámbito de la personalidad y de la intimidad. Desde esta perspectiva, la protección de esos datos personales se considera un derecho fundamental, pues protege al individuo como titular de derechos, por el hecho de serlo. Esta concepción puede tener ciertos matices, alguno de los cuales se ha empezado a desarrollar como una de las formas de compatibilizar el derecho a la protección de datos con su mercantilización, pero no es objeto de este trabajo entrar en este debate.
Este enfoque de derecho fundamental aparece recogido, en el seno de la Unión Europea, en el artículo 8 de la Carta de Derechos Fundamentales de la UE (LA LEY 12415/2007), en el artículo 16 del Tratado Fundacional de la UE o en el Considerando (1) del Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) que, literalmente, dice que «La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental.».
En segundo lugar, ese activo formado por los datos personales tiene, indudablemente, un valor económico.
Existen diversos caminos metodológicos para poder demostrar esta afirmación. Por ejemplo, y por citar solo uno de ellos, calculando los ingresos derivados de una campaña de publicidad basada en analítica comportamental, frente a una campaña que no cuente con esa información. Desde el punto de vista jurídico, podríamos pasar semanas debatiendo sobre si el dato personal es un activo económico (incluso si es un activo), si es apropiable, si es transmisible, disponible, o reúne cualquier otro de los caracteres de los bienes y activos entendidos desde el punto de vista de derecho civil.
Sin embargo, debates jurídicos aparte, es una obviedad la condición del dato personal como activo económico, simplemente acudiendo a fuentes empíricas. Recordemos dos de las transacciones de compra de empresas más grandes de la última década: la compra de Twitter por parte de Facebook y la compra de Linkedin por parte de Microsoft. En ambas operaciones, Los importes pagados no se correspondían con ninguno de los activos del balance de la entidad adquirida. Y, sin embargo, las entidades adquirentes sí vieron el valor en lo que estaban comprando. Un valor aparentemente invisible, oculto a las cuentas anuales, ubicado exclusivamente en los activos de datos personales que ambas compañías compradas tenían en sus sistemas. Otra prueba empírica simple se puede ver analizando las cotizaciones bursátiles de compañías digitales que operan en el mercado de los datos, comprobando cómo su cotización sube o baja coincidiendo con eventos que ocurren en el ámbito regulatorio de la privacidad, con escándalos relacionados con el mal uso de datos, o con ciberataques que afectan a la información tratada por esa empresa.
Este carácter de la información personal como activo económico aparece recogido también en la regulación de la Unión Europea, en concreto ya anunciado en el artículo 2 del RGPD (LA LEY 6637/2016), según el cual «El presente Reglamento pretende contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas.»
De modo mucho más directo, aparece regulado en la California Consumer Privacy Act de 2018 en diversas fórmulas, como la que contiene el apartado 1798.125 (b) (1) (1) : «A business may offer financial incentives, including payments to consumers as compensation, for the collection of personal information, the sale or sharing of personal information, or the retention of personal information. A business may also offer a different price, rate, level, or quality of goods or services to the consumer if that price or difference is reasonably related to the value provided to the business by the consumer’s data».
En tercer lugar, los datos personales constituyen, también, un activo social.
Este aspecto se ha puesto especialmente de relieve durante la pandemia de Covid-19 y la necesidad emergente de utilizar información personal de salud para el bien común, la investigación y la fabricación de vacunas y medicamentos con los que luchar contra el virus pandémico. Pero es una necesidad evidente también para ayudar a la investigación de enfermedades raras o cualquier área relacionada con la salud. En situaciones de este tipo es fácil visualizar la necesidad y oportunidad de que los datos personales, en la medida en que aporten valor para el bien común, para la sociedad, deberían ser empleados con esas finalidades. En estos casos, la ponderación entre el derecho fundamental y el bien común se deberá inclinar en favor del segundo.
Este último enfoque de los datos personales aparece descrito en el RGPD con una frase muy elocuente, en su considerando (4): «El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad.»
4.
Enfoques jurisdiccionales
Los anteriores enfoques de privacidad tienen un peso diferente en distintas jurisdicciones. Si nos referimos a los grandes bloques globales de la privacidad, podemos establecer una clasificación parecida a esta:
-
— En Estados Unidos, el dato personal es un activo principalmente económico, con el que los individuos pueden negociar y las empresas comerciar. Las limitaciones que comienzan a imponer tímidamente algunas leyes estatales se refieren a cuestiones relacionadas con el individuo como consumidor.
-
— En China, la información personal está limitada por las facultades estatales de control del orden público, la economía y la sociedad, y puede ser usada para organizar sistemas de puntuación para la clasificación de los ciudadanos según su nivel de cumplimiento de las normas. Casual o no, la Ley de Protección de la Información Personal china de 2021 fue publicada al mismo tiempo que la Ley de Seguridad de los Datos.
-
— En la Unión Europea, la protección de los datos personales es, principalmente, un derecho fundamental, recogido tanto a nivel de la Unión como en la mayoría de las constituciones nacionales de los estados miembros.
Todo ello, sin perjuicio de que en cada uno de los bloques jurisdiccionales también se contemplan las otras características, pero en cada bloque hay una que resulta preponderante.
5.
La confianza como elemento esencial
Tras lo expuesto hasta aquí, y sin perjuicio de las diferencias jurisdiccionales, podría parecer que los tratamientos de datos están bien regulados y todo va a funcionar perfectamente. Sin embargo, la realidad es muy diferente y, además, paradójica. Cada vez más sospechamos de cualquier aplicación que nos pide nuestros datos, o siempre que tenemos que rellenar cualquier formulario en el que nos piden información personal; nos enfadamos cuando nos llaman por teléfono o nos inundan con emails ofreciendo rebajas en productos y servicios cuyo suministro ya tenemos organizado; sentimos desesperación cuando no podemos saber de dónde han obtenido nuestros datos en esas comunicaciones comerciales reiteradas. Y, sin embargo, paradójicamente, seguimos aceptando políticas de privacidad y términos y condiciones kilométricos sin siquiera leer la primera palabra.
Podemos decir que estamos en un sistema de «desconfianza por defecto», pero lo aceptamos, o lo asumimos como mal necesario y seguimos adelante. Quizá, porque valoramos más el beneficio que obtenemos con los servicios y productos que adquirimos que los problemas que sufrimos de la forma en que damos nuestros datos.
Pero debemos preguntarnos, ¿esta situación va a ser así para siempre? ¿Debemos acostumbrarnos a vivir en esta dicotomía paradójica de riesgo aceptado e incomodidad a cambio de mejores productos y servicios?
En cualquiera de los escenarios que nos situemos, y en cualquiera de los bloques jurídicos que existen, no podemos aceptar como estructural una falta de control de la información personal y una asunción de riesgo permanente por parte de los usuarios cuando reciben bienes y servicios
En mi opinión, no. Esta situación es disfuncional e incoherente. En cualquiera de los escenarios que nos situemos, y en cualquiera de los bloques jurídicos que existen, no podemos aceptar como estructural una falta de control de la información personal y una asunción de riesgo permanente por parte de los usuarios cuando reciben bienes y servicios. Pero lo cierto es que resulta complicado encontrar una solución, ya que vemos que no estamos ante una ausencia absoluta de regulación en ninguna de las geografías globales. Por ello, podríamos decir que la situación actual no se debe a la falta de regulación, o no es consecuencia de un problema regulatorio, en términos generales.
Además, si aceptamos la situación actual como inamovible, estamos asumiendo una ralentización de la evolución de la tecnología y de los usos beneficiosos que esta puede aportar al ser humano, tanto a nivel individual como colectivo. Sería absurdo estancarnos en el momento en el que estamos por el hecho de no saber resolver un problema de conflicto jurídico como el que estamos comentando.
En mi opinión, hay una solución. El problema principal es el de la falta de confianza. Esa «desconfianza por defecto», aunque asumida, supone un lastre para la evolución tecnológica, económica y social. Los desarrollos tecnológicos como el metaverso, por ejemplo, o las posibilidades que la computación cuántica podrán ofrecer, se verán seriamente perjudicados por la falta de confianza.
Si lo vemos en sentido positivo, imaginemos lo que supondría un mundo tecnologizado y globalizado en el que cada individuo supiera que cuando le facilita un dato personal a cualquier entidad, sabe perfectamente que ese dato solo se va a utilizar para la finalidad que le ha sido comunicada, y para ninguna otra. Que dispone de herramientas para controlar de forma específica, individual e instantánea, desde un dispositivo personal, la ubicación de sus datos, las finalidades para que se utilizan y el resultado que se obtiene de ellos. Que puede gestionar en tiempo real las autorizaciones o limitaciones para el uso de sus datos e, incluso, el rendimiento que los mismos producen en aquellas entidades que los están tratando. Rendimiento que puede ser económico o social.
Cuando lo explicamos así, ¿no nos suena todo esto a lo que hacemos habitualmente con nuestro dinero? Si pensamos en cómo gestionamos nuestro dinero actualmente, sabemos que hay entidades financieras que son depositarias de nuestro activo monetario, pero no nos preocupa especialmente, confiamos en ellas. Sabemos que esas entidades obtienen un rendimiento como depositarias de nuestros fondos, pero no nos preocupa especialmente, confiamos en ellas. Sabemos que podemos recuperar nuestro dinero en cualquier momento solo con pulsar un botón, transferirlo a otra entidad, utilizarlo para las finalidades que consideremos…
Otro ejemplo claro lo podemos ver en el sector de las telecomunicaciones. Utilizamos herramientas de comunicación electrónica desde hace muchos años, y sabemos que el operador mantiene el secreto de nuestras comunicaciones, el contenido, la forma o las partes que intervienen en la comunicación.
En ambos casos, son sectores que se interrelacionan a nivel global y nuestra confianza no disminuye por ello. Podemos hacer una transferencia de dinero a otro continente, o llamar por teléfono a un país en el otro lado de la Tierra, y sabemos que va a funcionar bien.
Para cerrar el círculo, si volvemos a la idea de que nuestros datos personales son, entre otras figuras, un activo económico, podemos ver el camino de futuro. Es necesario generar confianza en el sistema para que el sistema funcione, se consolide, avance y se desarrolle, catapultado por los desarrollos tecnológicos actuales y los que están por venir.
6.
La necesidad de regulación
Enfocado de este modo el análisis, podríamos actuar de dos formas. Buscando fórmulas que doten de confianza al sistema, probando ideas nuevas y viendo su resultado, o atender, precisamente, al ámbito en el que vemos que ya ha funcionado. Y, en este sentido, yo propongo analizar cómo está estructurado el sector financiero o el sector de las telecomunicaciones y ver cómo han conseguido tener la confianza (por supuesto, con matices) de los usuarios hasta el punto de contar con sus activos monetarios y económicos para mantenerlos, utilizarlos, gestionarlos y operar con ellos en múltiples y variadas formas, o poder gestionar sus comunicaciones (secretas, por definición) sin grandes problemas de confianza.
Esto nos llevaría, muy probablemente, a la necesidad de regulación, pero no a una regulación material, que ya existe (algunas de las normas citadas en este trabajo, y muchas otras, ya se encargan de eso), sino a una regulación de la gobernanza del dato en términos amplios y robustos. Y, además, a nivel global. En este sentido, las telecomunicaciones pudieron desarrollarse gracias a la existencia de la Organización Internacional de las Telecomunicaciones, que estandarizó, reguló y estableció cauces comunes para las comunicaciones electrónicas y la utilización del espectro. En el ámbito financiero, tanto a nivel nacional, como europeo o mundial, existen organismos que establecen normas generales aceptadas por todos para conseguir que los sistemas funcionen y se interrelacionen.
La gobernanza global del dato es una necesidad. En la Unión Europea estamos avanzando en la regulación de la gobernanza (se encuentra muy avanzada la propuesta de Reglamento de Gobernanza del Dato), pero no es suficiente. Hace falta elevar de forma ambiciosa el objetivo, para que podamos dotar de confianza global a un sector que es global. Solo así podrán resolverse problemas como los que tenemos encima de la mesa relacionados con las transferencias internacionales de datos, los usos económicos de los datos personales (¿dato como contraprestación por la adquisición de bienes o servicios?), la necesidad de investigar en salud utilizando datos individuales o la analítica aplicada al big data y la inteligencia artificial.