Beatriz Rodríguez
Socia de Privacidad y Tecnología de RocaJunyent
Los últimos años desde la entrada en vigor del Reglamento Europeo de Protección de Datos hemos vivido el trastabillante avance en la gestión de la privacidad de las grandes y medianas estructuras corporativas hacia el modelo de accountability (las pequeñas, en su mayoría, siguen en fase de aproximación a la normativa), cambio sin duda impulsado por las cuantiosas multas previstas en el RGPD y que las Autoridades de Protección de Datos han ido exponencialmente aplicando. El Reglamento nació con la vocación de ser un instrumento para frenar el uso indiscriminado de la tecnología y la inercia de la globalización como vehículos para la explotación masiva del famoso «petróleo» del siglo XXI, frente a los que la antigua directiva europea y sus regulaciones locales quedaban obsoletos, y se ha revelado sin duda como un arma eficaz en la cruzada por hacer entender al ciudadano que no hay «servicios gratis» y que es necesario que tengamos un control sobre el uso de nuestra información frente a la comodidad, funcionalidad, gratuidad y/o placer que nos puedan proporcionar determinados servicios.
Pero esa batalla, en el contexto actual de inestabilidad política, crisis sanitaria y revolución tecnológica, se ha tornado más crucial que nunca, puesto que el uso de los datos personales como instrumento de información y de espionaje gubernamental, como sistema de control del comportamiento de la población y de determinación de sus hábitos y conductas, así como herramienta de acopio ilimitado de poder para las empresas; han dejado de ser meros casos de uso o de referencia histórica propios de charlas de salón, para inmiscuirse en la realidad de nuestro día a día e infiltrarse en la conciencia social como una preocupación creciente que escapa a nuestro control.
La proliferación de marcos normativos a nivel global que persiguen la protección del derecho fundamental a la protección de datos, así como los crecientes escándalos que han salpicado las noticias con cuestiones relacionadas con la privacidad y el uso de las tecnologías, particularmente las redes sociales (y sí, seguramente todos hayamos pensado «Facebook» al mismo tiempo), han favorecido la reflexión acerca de las implicaciones que la exposición de nuestra información personal de manera indiscriminada puede acarrear, y es una modesta victoria el hecho de hoy seamos más conscientes de que permitir el tratamiento de nuestros datos personales requiere una mínima información previa, así como de que debemos tener cierta capacidad de control sobre lo que se puede o no se puede hacer con la información que suministramos.
Es el desarrollo de las tecnologías que se nutren de datos personales el que desafía la plena eficacia de la protección del derecho a la protección de datos. Poca capacidad de control podemos tener sobre nuestra información si ni siquiera somos capaces de percibir (mucho menos de comprender o dimensionar) la realidad del tratamiento de datos que se está realizando
No obstante, y a pesar de ello, las encuestas ponen de manifiesto que la mayor parte de la población siente que ha perdido el control de sus datos en los últimos años. Asimismo, para una gran parte de la población, los conceptos de inteligencia artificial, internet of things, machine learning, robótica, decisiones automatizadas, etc. son cuestiones aún reservadas para freaks y nerds y más propias de un capítulo de Big Bang Theory que de su día a día. O esa es, al menos, la percepción. La tecnología avanza a pasos que no somos capaces de asimilar, para los que no estamos preparados, y eso finalmente aboca a que no entendamos que una dirección IP es un dato personal, o bien que, si en nuestras búsquedas por internet aparecen anuncios sobre un tema del que hemos tenido una conversación reciente por teléfono, no es casualidad, sino que hay un tratamiento de datos personales subyacente. Es el desarrollo de estas tecnologías que se nutren de datos personales el que precisamente desafía la plena eficacia de la protección del derecho a la protección de datos. Poca capacidad de control podemos tener sobre nuestra información si ni siquiera somos capaces de percibir (mucho menos de comprender o dimensionar) la realidad del tratamiento de datos que se está realizando.
La pregunta que nos hacemos los profesionales de la privacidad, para quienes todas estas preocupaciones habían dejado de ser teoría hace tiempo, es si los instrumentos que tenemos son suficientes y estamos a tiempo para ganar la batalla, conseguir un equilibro y permitir que la explotación de la información opere en beneficio de la humanidad y no en su contra o, sin ánimo de ser fatalistas, si llegamos demasiado tarde para inclinar la balanza a nuestro favor, y estamos abocados a sucumbir a un uso impuesto de soluciones tecnológicas que no comprendemos y de interacción en una sociedad que sabe mucho más de nosotros de lo que desearíamos.
Probablemente, uno de los elementos más importantes para conseguir ese equilibrio y, por tanto, uno de los retos de mayor calado para las Autoridades de Control y los organismos públicos, es el de dar cohesión al conocimiento de la sociedad sobre la tecnología, impulsar esa asimilación y establecer nuevas vías para acercar al ciudadano medio a una realidad que no es cosa únicamente de un fenómeno televisivo. Más aún, por cuanto, aunque el uso de la tecnología sí es global, ese conocimiento dista mucho de ser homogéneo a nivel regional, y es aún necesaria la armonización de principios y el reconocimiento de garantías y derechos similares entre las jurisdicciones de las distintas latitudes. No podemos impulsar el respeto de la privacidad ajenos a la realidad de que vivimos en una sociedad digital y globalizada. Hay mucho trabajo por hacer en cuanto al establecimiento de flujos transfronterizos de datos que permitan garantizar la protección de los interesados, pero que no desconozcan las necesidades operativas y económicas de las empresas, quienes demandan servicios multinacionales y activos 24 horas al día, 7 días a la semana.
Y aunque con Schrems II se volviese abrir el melón de las transferencias internacionales (si es que alguna vez llegó a cerrarse), y estamos en fase de búsqueda de soluciones, al menos temporales (cláusulas contractuales tipo, BCR, garantías adicionales, TIAs, y demás instrumentos), los próximos años van a seguir siendo puntos de inflexión en la convergencia de los marcos políticos y regulatorios. La dicotomía privacidad y usabilidad está llegando al terreno de juego como una arriesgada partida entre las autoridades de control y sus sanciones y las grandes corporaciones que les toman el pulso, negándose a abandonar sus feudos de control de la información. Serán necesarios acuerdos políticos y legislativos para evitar tener que escoger entre privacidad o servicios, así como el establecimiento de políticas que fomenten el crecimiento y desarrollo de nuevas empresas con soluciones que puedan competir en usabilidad, precio y servicio con los big players tecnológicos, de modo que el juego no termine con el castigo a las Pymes que dependen de éstos y con la desconexión de los servicios para una gran cantidad de usuarios.
Otro factor esencial será el calado de una cultura real de privacidad dentro de las organizaciones. Es necesario integrar los principios de privacy by design y by default en el customer journey de las empresas, en su definición del business experience y en el diseño de sus nuevos productos y soluciones, eliminando las fricciones y posicionando la transparencia y la información al usuario en el centro de la actividad. Esto supone concebir la privacidad como un valor añadido a la propuesta de negocio, contribuyendo a la consolidación de la confianza en la organización y permitiendo la creación de ecosistemas saludables y respetuosos con el individuo, que lo empoderen en sus facultades de control (sin obstaculizar obviamente el desarrollo de negocio, aquí está el caballo de Troya) y que se alejen de los walled gardens de las grandes compañías tecnológicas y de la recopilación masiva y secuestro de información personal a cambio de servicios basados en la gratuidad.
Los profesionales de la privacidad tenemos en este nuevo paradigma un rol estratégico. Debemos ser facilitadores e interlocutores entre las necesidades de negocio y las de los individuos, acercando a unos a la visión del legislador, para que los tratamientos de datos sean leales, transparentes y conscientes por parte de la organización; y a los otros a la nueva realidad digital, contribuyendo con soluciones creativas a configurar los servicios y a superar las barreras que las enrevesadas políticas y los interminables paneles de configuración han creado en el acceso y definición de servicios respetuosos con la privacidad.