El primer reto es obvio, vivimos un escenario evidente de ciberguerra. Son conflictos que no se declaran pero que existen y nos pueden afectar gravemente. Aquí no existen tratados que prohíban los ensayos. A diferencia de lo que sucede en el ámbito de las pruebas nucleares, o de las maniobras militares, todo se realiza con fuego real. Así, las noticias que hemos ido recibiendo en años recientes sobre ataques y desinformación, alcanzan hoy pleno sentido. Puede que estuviéramos en plena guerra electrónica, quisiéramos reconocerlo o no. Y en ese contexto, la entrada en vigor a lo largo de 2023 del nuevo Esquema Nacional de Seguridad resultará crucial en el ámbito de las infraestructuras críticas de la Administración. En nuestra opinión, el carácter crítico no debería predicarse exclusivamente de aquellas instalaciones específicamente catalogadas como tales. El nuevo enfoque de la seguridad de la información debe dejar de una vez de concebirse como una pesada carga a la que se atiende formalmente, y asumirse como un elemento central y vital para el funcionamiento de todas las organizaciones. Y en algunas de ellas, incluso para su supervivencia.
En segundo lugar, y con independencia de su intensidad, se anuncia un nuevo periodo de crisis económica. De un modo u otro en el último decenio se han apuntado los dos elementos que deberían definir un nuevo modelo económico de país, y de la propia Unión Europea: descarbonización y digitalización. Con independencia, del nivel de profundidad con el que examinemos la apuesta económica de la UE, ésta va a ser absolutamente dependiente del tratamiento de datos personales, de datos no personales. Pero también de un ecosistema de categorías intermedias que derivarán tanto del modelo de analítica de datos como de las condiciones tecnológicas de intermediación y garantía que emergen de la Data Governance Act y de la propuesta de Data Act.
Basta con leer atentamente los documentos de la Comisión, y los sucesivos estudios encargados por el Parlamento Europeo en materia de Inteligencia Artificial, para comprender la apuesta. Todos los trabajos de la UE guardan una prudente equidistancia con las doctrinas apocalípticas de la privacidad desde una posición basada en el pragmatismo. Nadie discute los graves atentados a nuestros derechos, y a la propia democracia, que han derivado de la monetización de la vida privada, del llamado capitalismo de la vigilancia. Pero, a nadie se le escapa la posición de debilidad en que se encuentran los Estados de la UE, y los sectores empresariales locales frente a sus competidores en otros países. Hoy, una red social está en condiciones de tomar decisiones con datos y capacidades de análisis de los que carecen los servicios sociales de una administración o las PYME.
Las autoridades de protección de datos no pueden bajo ningún concepto renunciar a su posición de garantes, pero la ausencia de recursos que se ha denunciado recientemente las condena a una acción limitada a la tramitación de denuncias
En nuestra opinión, la Unión Europea lanza un mensaje claro. El Estado Leviathan y la economía depredadora de la privacidad que se describen desde posiciones ultra-individualistas son inadmisibles. Pero la respuesta no consiste en prohibir el tratamiento, sino en gestionar el riesgo. Y para ello, se alumbra un modelo que define un ecosistema de datos sujeto a controles, balances y contrapesos, desde una aproximación centrada en la garantía de los derechos fundamentales. En este ecosistema, el derecho fundamental a la protección de datos y su garantía cumplirá un papel esencial y las autoridades de protección de datos serán la clave de bóveda que dote de equilibrio a la construcción.
Y ello nos obliga a compartir con nuestras lectoras y lectores una visión crítica sobre el escenario actual. De una parte, desde que Hungría acabase enjuiciada por atentar contra la independencia del regulador, distintas autoridades han sido puestas en cuestión ya sea por su inacción, ya sea por motivos de injerencia política. Por otra parte, el Comité Europeo de Protección de Datos ha publicado el 5 de septiembre un estudio sobre los recursos que los Estados ponen a disposición de las autoridades de protección de datos. El 77% de las autoridades se declaran insatisfechas con su presupuesto y el 87% consideran que no cuentan con suficientes recursos humanos.
El escenario podría calificarse en una escala que bascularía de lo preocupante a lo aterrador. En la práctica, la carencia de recursos de todo tipo aboca a los reguladores a dos tipos de actitudes. A lo largo de su historia muchas de ellas han desempeñado tareas de promoción y concienciación. En ausencia de un marco sancionador, han desplegado magistraturas de autoridad con el riesgo de incidir escasamente en el impulso del cumplimiento normativo.
Por otra parte, las lecciones aprendidas en la historia de la Agencia Española de Protección de Datos muestran cómo, en ausencia de recursos suficientes, pero con el apoyo que implica la potestad sancionadora, se genera una aproximación muy característica: la del palo y la zanahoria. Y así, más de un mandato de la AEPD resulta fácilmente reconocible por el impulso y crecimiento de las sanciones. De otro lado, la autoridad proporciona guía, pero la carencia de recursos y procedimientos obligan a una aproximación escasamente participativa construida en no pocas ocasiones sin integrar a los sectores concernidos.
Este estado de cosas no es ni sostenible, ni funcional para el logro de los objetivos de la Unión Europea. Las autoridades no pueden bajo ningún concepto renunciar a su posición de garantes. Sin embargo, la ausencia de recursos las condena a una acción limitada a la tramitación de denuncias. En el contexto del nuevo marco sancionador del RGPD ello incrementa un riesgo regulador que se despliega además de un modo asimétrico. La autoridad debe atender por su orden las denuncias que saturan su estructura sin poder desplegar auditorías sectoriales destinadas a sectores estratégicos. Por otra parte, a medida que crezca el volumen de las sanciones, y sobre todo aquellas mediáticas por su cuantía, se generará una imagen negativa de hostilidad frente a cualquier actividad basada en datos. De otro lado, la imposibilidad de liderar y gestionar procesos participativos genera el riesgo de promover un soft law tan autista como inaplicable.
Ni el RGPD, ni ninguna de las normas estructurales en marcha (Reglamento de IA, Data Act, Reglamento del Espacio Europeo de Datos de Salud), puede producir los efectos deseados en un escenario de esta naturaleza. Como sociedades enfrentamos un periodo de alta exigencia para la digitalización de la Administración, para la investigación, la innovación y el emprendimiento. Estas normas, simultánea o sucesivamente, incorporan valores muy claros. Sitúan al ser humano y la garantía de sus derechos en el vértice (human centric approach), la protección de datos desde el diseño y por defecto como elemento estructural, el enfoque centrado en el riesgo como metodología, el diseño de instrumentos de control efectivo para las personas como exigencia indispensable, la creación de entornos de intermediación capaces de potenciar los tratamientos al servicio del bien común como base de la nueva economía, y la interoperabilidad (y portabilidad) y la seguridad como instrumentos esenciales.
Y ello implica una redefinición de los reguladores en protección de datos como entidades dotadas de altas capacidades, desde su dirección hasta el ultimo de sus agentes. Y además, dotadas de recursos que les permitan definir modelos de participación sectorial para el impulso de políticas públicas que incentiven el cumplimiento en protección de datos desde el compromiso corporativo y el conocimiento de la realidad material.
La arquitectura europea de la privacidad y de la transformación digital es profundamente dependiente de las autoridades de protección de datos, tanto en sus recursos, como en la definición de sus estrategias de acción. Y, como en los bellos arcos de las catedrales góticas, la transformación digital necesita de ellas en su clave de bóveda. Esta pieza de la arquitectura debería ser tan bella, como funcional. Sin ella las bóvedas se desmoronarían, las cúpulas se derrumbarían y la Unión Europea fracasaría en demostrarle al mundo que es posible un desarrollo económico digital con rostro humano.
Ricard Martínez Martínez
Director de LA LEY Privacidad