El largo de proceso de gestación y aplicación del Reglamento General de Protección de Datos (2012-2018) traía como compromiso dotar de estabilidad al marco normativo regulador en materia de protección de datos. Sin embargo, ya antes de su entrada en vigor presentaba en su estructura algún elemento que hacía presagiar que iba a ser la primera de muchas normas.
De una parte, la cincuentena larga de habilitaciones para el desarrollo nacional incorpora al RGPD el germen de la infección que tan gravemente afectó a la vieja Directiva 95/46/CE (LA LEY 5793/1995).
Por otra, la propia evolución de la tecnología plantea repercusiones relevantes. Así, por ejemplo, sabemos que encajar blockchain en el marco del RGPD plantea significativas discusiones entre quienes lo consideran un instrumento indispensable para atribuir un control eficaz sobre los datos por las personas interesadas, la dificultad de reunir las condiciones del artículo 28 para los encargados del tratamiento o cómo concebir conceptos como el derecho al olvido como borrado irreversible de datos. Y lo mismo sucede, con la inteligencia artificial. El llamado modelo ALTAI de análisis de impacto ético y el enfoque centrado en el riesgo suponen una vuelta de tuerca para las metodologías de evaluación de impacto y la protección de datos desde el diseño y por defecto. Y podríamos seguir enumerando todos y cada uno de los retos tecnológicos que Gartner identifica para 2022. No hace falta ser un lince para intuir que la escalada geopolítica muy pronto va poner bajo el punto de mira el origen de muchas compañías que distribuyen productos o servicios que soportan infraestructuras básicas.
Desde un punto de vista material, los cuatro años de vida del Reglamento General de Protección de Datos (LA LEY 6637/2016) y de la Ley Orgánica de Protección de Datos ofrecen tantas luces como sombras. De una parte, la actividad sancionadora --contenida en España aunque con tendencia al crecimiento--, no parece haber obrado todos y cada uno de los milagros esperados. Los expertos saben perfectamente que, incluso antes de la tramitación del RGPD, el marco sancionador había desplegado estándares de alta calidad en las principales empresas en España.
El grado de madurez alcanzado por el sector profesional de la protección de datos obliga a cambiar el modelo, pues ya no es sostenible la posición autoritativa-sancionadora en la que los reguladores dictan su criterio mediante documentos no susceptibles de recurso y control jurisdiccional
Ni con la LORTAD, ni con la LOPD, la normativa caló en la Administración. Hoy, no existe incentivo alguno a su despliegue entre los cuadros directivos, la dotación de personal y el nombramiento de los delegados de protección de datos es manifiestamente insuficiente y el esfuerzo de estos profesionales suele ser poco o nada recompensado. Por otra parte, la calidad formativa y la fiscalización de capacidades de la plantilla y de los profesionales resultan manifiestamente mejorables. ¿Cuántas administraciones en este país han impartido al menos un curso de 10 horas al personal en su integridad? La pequeña y mediana empresa merecería un capítulo aparte ya que salvo entidades muy comprometidas el cumplimiento sigue siendo epidérmico cuando no inexistente.
Un último aspecto a considerar es la acción de las autoridades de protección de datos. Se ha señalado con reiteración cómo la producción de soft-law a nivel nacional constituye un elemento disgregador ante la lentitud en el funcionamiento de los mecanismos de cohesión y coherencia. Por otra parte, a la en su día política húngara respecto de la independencia de su autoridad, se han unido las quejas a la inacción o lentitud irlandesas o la dudosa independencia de la autoridad belga. Y esto nos traslada dos grandes lecciones. En primer lugar, es una obviedad que el grado de madurez alcanzado por el sector profesional de la protección de datos obliga a cambiar el modelo. Ya no es sostenible la posición autoritativa-sancionadora en la que los reguladores dictan su criterio mediante documentos no susceptibles de recurso y control jurisdiccional como guías o notas de prensa. Y tampoco es concebible una visión meramente política de reguladores altamente exigidos desde el punto de vista técnico.
Y, sin embargo, el Reglamento General de Protección de Datos (LA LEY 6637/2016) sigue siendo una norma cargada de oportunidades bajo ciertas condiciones. En primer lugar, el enfoque centrado en el riesgo y la protección de datos desde el diseño y por defecto integran dos elementos estructurales para el proceso de transformación digital que afrontamos. De una parte, implican un compromiso ético centrado en el ser humano y la garantía de sus derechos fundamentales. De otra, brinda a los sectores público y privado la oportunidad de investigar, innovar, transformar y emprender, gestionando el riesgo y gobernando adecuadamente las tecnologías de la información y las comunicaciones. No es una cuestión banal si tenemos en cuenta que al menos dos de las grandes multinacionales del sector hacen de la privacidad estandarte de su modelo de negocio, y también la más importante e internacional de nuestras compañías.
Y precisamente estas metodologías deberían aplicarse por las autoridades de protección de datos en el diseño de sus políticas públicas. El solipsismo autista que las ha caracterizado debe llegar a su fin. Lo entendió primero el ICO y lo entienden cada vez mejor el Comité Europeo de Protección de Datos o la CNIL. La transparencia y los mecanismos de gobierno abierto y participativo son un deber ineludible para construir juntos el modelo europeo de protección de datos. Implicar a los sectores, aprender de sus necesidades desde una actitud absolutamente lejana de toda prepotencia, y conformar con la sociedad las políticas públicas, es fundamental para un modelo sostenible de cumplimiento normativo en protección de datos.
En nuestro oficio suele decirse que el papel es muy sufrido. Y sobre el papel la derogada Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos y la Ley 39/2015 (LA LEY 15010/2015) prometían una administración electrónica como por arte de birlibirloque. El Título X de la Ley Orgánica 3/2018 (LA LEY 19303/2018), prácticamente no se ha ejecutado. La magnitud del reto en protección de datos es todavía mayor. Data Governance Act, Data Act Proposal y European Health Data Space Proposal nos sitúan ante una encrucijada de un tamaño descomunal. De una parte, implican el diseño de un entramado público institucional de gestión y control de un altísimo nivel de exigencia. De otra, implican la construcción de ecosistemas que incrementen la explotación de los datos para fines de investigación, innovación y emprendimiento. Se trata de generar espacios de intermediación segura, dotados de una adecuada gobernanza de los datos, que integren y permitan la colaboración público-privada y el compromiso de cada persona con el uso de sus datos a la vez que el empoderamiento y control real de las personas interesadas.
En el cuarto aniversario del Reglamento General de Protección de Datos (LA LEY 6637/2016), aunque pudiera parecer que todo está hecho, lo cierto es que un nuevo mundo nace y hay que crearlo desde los valores éticos innegociables que inspiraron el RGPD, pero con una actitud abierta, profesional y participativa.
Ricard Martínez Martínez
Director de la LEY Privacidad