Juan Pablo Aparicio Vaquero
Profesor Titular de Derecho Civil, Universidad de Salamanca (España)
Proyecto I+D+i “Privacidad y Redes Sociales” (DER2013-42294-R), Ministerio de Economía y Competitividad
La gestión rápida (prácticamente inmediata) de enormes cantidades de datos (lo que popularmente se conoce como Big Data) es el pilar esencial de la llamada “Sociedad de la Información”, y uno de los motores principales de la economía del siglo XXI. Volumen (ingente y casi físicamente inabarcable cantidad de datos tratados), velocidad (rapidez con la que se tratan, desde su recogida hasta que se generan los correspondientes outputs o se presentan los resultados con mayor o menor nivel de estructuración, listos para la toma de decisiones, automatizadas o no, en base a los mismos), variedad (en cuanto a los datos recabados, su carácter público y privado, incluso íntimo, y por la forma en que se recogen, a partir de todo tipo de dispositivos, sensores, formularios, etc.), veracidad (adecuación a la realidad, que les da mayor relevancia económica cuando mayor sea), y valor de los datos gestionados (importancia en función del negocio al que se van a aplicar), son las características esenciales del Big Data. De carácter transversal (se utiliza en todos los sectores: medicina, industria, campo, enseñanza, etc.), y aunque no es un fin en sí mismo (no es sino una herramienta para poder alcanzar determinados resultados en cualquier campo de la economía y actividad humana), sí es objeto de innovadores modelos de negocio centrados de forma exclusiva en el manejo de información: centros de proceso de datos, alquileres de tiempo y/o software y equipos, espacio en servidores, las redes sociales, elaboración de perfiles, el cloud-computing (la “nube”), servicios complementarios a la explotación de contenidos digitales, aparición de profesionales como los ingenieros de datos… IDC cifraba en más de 122.000 millones de dólares el volumen de negocio mundial en 2015 en torno al Big Data, previendo su incremento hasta casi el doble para 2020 (Worldwide Semiannual Big Data and Analytics Spending Guide, 2016).
Aunque la utilidad de tales servicios y actividades es innegable y contribuye, como he dicho, al diseño de la actual sociedad, su pensamiento, filosofía y valores, lo cierto es que los datos con los cuales comercian todos estos nuevos servicios son extraídos de las personas (físicas y jurídicas), de su actividad e interacciones (entre ellas y con los prestadores de los servicios), con o sin su permiso, con o sin su conocimiento, incluso. Téngase en cuenta que si bien la afectación de las personas jurídicas (mercantiles, asociaciones, fundaciones, entre otras) es esencialmente económica (aunque se les reconoce en muchas normativas su derecho al honor, lo habitual es que lo implicado sea su marca y actividad en el mercado), las personas físicas, por el contrario, se ven concernidas a un nivel más íntimo, no evaluable sólo en términos económicos; a ello se une el desconocimiento, cuando no indiferencia en muchos casos, sobre el tratamiento de sus datos, dados sin ningún pudor y sin consciencia del posible perjuicio de terceros. Así pues, ¿tienen los individuos protección suficiente frente a los usos de sus datos personales? Evidentemente, dicha protección pasa por el diseño de un marco nuevo en el que se conjuguen los intereses particulares con los desarrollos y nuevos modelos de negocio que permiten los avances tecnológicos (TIC, Tecnologías de la Información y las Comunicaciones). Suponiendo (quizá es mucho presumir, en este momento) un nivel tecnológico que permita niveles razonables de seguridad (esto es, la rotura de las medidas de protección existente implica un coste notablemente superior al de su implementación), la respuesta ha de estar en otros dos frentes, por lo que ahora más nos interesa: el Derecho y la educación o formación de los ciudadanos.
Por lo que respecta al Derecho, no es cierto que el Big Data aún no haya sido regulado, o que, dado el carácter transfronterizo y universal de la Sociedad de la Información, esté al margen de toda posible regulación jurídica. Titulares periodísticos como los que estos días vemos en Europa destacando que las autoridades van a regular, por fin, tal fenómeno son absolutamente sensacionalistas, como introducción a la noticia sobre la adopción de nuevas medidas. Así pues, puede que la respuesta jurídica actual sea insuficiente, pero no es inexistente. Precisamente, en los diversos países europeos existe una amplia normativa no ya sólo sobre protección de derechos fundamentales que pueden verse afectados por el tratamiento de datos personales (honor, intimidad e imagen; así, la Ley Orgánica 1/1982, en España), sino incluso de forma específica sobre la protección de tales datos, en cuanto su tutela constituye, en sí misma, un (nuevo) auténtico derecho fundamental (reconocido como tal en el propio art. 18 de la Constitución, dice nuestro Tribunal Constitucional en Sentencia de 30 de noviembre de 2000). En el ámbito de la Unión Europea, la Directiva sobre protección de datos aún vigente es de 1995 (Directiva 95/46), complementada por otras posteriores (señaladamente, la 2002/58), aunque pronto será sustituida por el ya aprobado Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, de 27 de abril), que tendrá plena eficacia a partir del 25 de mayo de 2018. A diferencia de la Directiva, el Reglamento será directamente aplicable en todos los Estados miembros, sin necesidad de adaptación o incorporación a sus ordenamientos internos, aplicándose sobre más de 500 millones de personas, en uno de los grandes mercados mundiales: “un continente, una norma”, se dice.
El nuevo Reglamento, como sucedía con la Directiva, se asienta sobre la base fundamental del consentimiento (inequívoco, explícito, verificable) del titular de los datos, que es soberano, salvo ciertas excepciones derivadas del orden público y los intereses legítimos de quien trata los datos, para autorizar o prohibir dicho tratamiento. Se le reconocen derechos de acceso, rectificación, oposición y supresión (incluido el llamado “derecho al olvido” por el cual, si no se es persona relevante y la noticia no tiene trascendencia, se tiene derecho a solicitar la exclusión de los buscadores, aunque el contenido siga en las páginas del editor), así como otros más novedosos, como el de “portabilidad” (pedir a su proveedor cesante que entregue los datos al nuevo proveedor); además, en relación con alguna de las consideraciones hechas antes, se prohíbe la toma de decisiones automatizadas sobre los individuos (basadas en tratamientos automáticos exclusivamente, incluida la elaboración de perfiles) cuando tales decisiones hayan de tener consecuencias jurídicas, sin olvidar que sólo pueden tratarse datos pertinentes, adecuados y limitados a los fines que correspondan.
Frente a los derechos del titular, la nueva regulación insiste en las obligaciones del responsable del tratamiento, que habrá de actuar de forma proactiva, debiendo poder demostrar públicamente el cumplimiento de todos sus deberes (accountability) e implementando todo tipo de medidas para proteger los datos (evaluaciones de impacto o PIA, privacy impact assessments; delegados de protección de datos, medidas tecnológicas…). Destaca, además, la obligación de dar noticia inmediata de las brechas de seguridad y de las medidas adoptadas para solventarlas —de forma que no se den casos como el de Yahoo, que hasta en un par de ocasiones ha llegado a admitir, con años de retraso, violaciones de seguridad que afectaron a miles de millones de cuentas—, así como las llamadas políticas de privacidad por (o “desde”) el diseño (privacy by design) y por defecto (privacy by default). La primera obliga a las empresas a implementar las decisiones sobre protección de datos como un elemento más a tener en cuenta desde el principio de cualquier nuevo proyecto o desarrollo, mientras que la segunda pretende cerrar las opciones de seguridad y publicidad de las cuentas que abren los sujetos particulares (por ejemplo, en redes sociales), de tal manera que, por defecto, sólo ellos tengan acceso a lo publicado y sólo mediante su autorización tales cuentas pasen a ser públicas o abran sus opciones de difusión; justamente, lo contrario de lo que ofrecen hoy en día muchas redes sociales, en que la configuración de seguridad por defecto es la mínima, mientras que la de publicidad, la máxima posible.
El nuevo Reglamento, de forma más clara incluso que la Directiva (que también lo era) será aplicable incluso a empresas de fuera de la Unión que recaben datos de personas que residan en ésta, tales como las grandes redes sociales con sede en los EE. UU. Al respecto, además, la Comisión Europea (Decisión C(2016) 4176 final de 12 de julio de 2016) ha llegado a un nuevo acuerdo con las autoridades estadounidenses para sustituir el sistema de Puerto Seguro vigente hasta su anulación por la justicia europea (asunto C-362/14, caso Schrems, 6-10-2015) que permita la salida de datos de ciudadanos europeos y su gestión por las empresas de los EE. UU. El nuevo Privacy Shield, como se ha dado en llamar, permitirá la transferencia de datos sin necesidad de autorizaciones específicas, toda vez que el Gobierno estadounidense ha garantizado el no acceso generalizado a los datos, y se prevén mecanismos para que los ciudadanos europeos puedan reclamar frente a posibles vulneraciones.
Las medidas legales adoptadas en el ámbito europeo, no pueden sino merecer aprobación (al menos, su espíritu). Ahora bien, ¿son suficientes los referidos mecanismos legales, y sus equivalentes en otros países, para garantizar la protección de los intereses y privacidad (privacy) de los ciudadanos individuales? La respuesta es, necesariamente, un rotundo no. Y no ya sólo por las propias dudas sobre su efectividad, generadas por su aplicabilidad real (tecnológica y económicamente), la amplitud de algunas excepciones (en el Reglamento, p. ej., la que permite el tratamiento con un mero “interés legítimo” del responsable del mismo: ¿qué significa eso?) y su volubilidad en función de los gobiernos de turno y sus prioridades geoestratégicas (¿quid de la Rule 41, modificación de la Ley de Procedimiento Criminal de los EE. UU., que permite al FBI, aunque bajo orden judicial, hackear dispositivos en cualquier parte del mundo?), sino por el comportamiento de los mayores interesados: los propios individuos.
Efectivamente, conviene insistir en la importancia de que los ciudadanos tomen conciencia de su doble posición: por un lado, son titulares de los derechos pero, por el otro, son la cantera o mina de la que se extraen tales datos; en ocasiones, no son tratados sino como simple materia prima, una más, para la industria (en este caso, una nueva: la de la Información). Como ya he mantenido en alguna otra ocasión, los datos son el “petróleo del siglo XXI”, pero sus yacimientos no son sino las propias personas, su actividad. En este sentido, el individuo ha de concienciarse, ya desde joven, de que su actividad e interacción con su entorno tiene, más allá del valor moral y personal relacionado con su intimidad y privacidad (si no solo por esta misma razón, en cuanto integrante de su dignidad como persona), un valor económico cuyo primer encargado de tutelar (e, incluso, de explotar, si así lo quisiera, y con el límite de la mencionada dignidad indisponible) es él mismo. Es fundamental la autoprotección y consciencia del comportamiento propio como primer mecanismo de garantía de los derechos. Las plataformas y torres de extracción de tales datos son diversas (los dispositivos inteligentes de la vida cotidiana, las cámaras de videovigilancia en cualquier entorno, la propia celebración de contratos y los formularios para la prestación de cualquier servicio, las redes sociales…) pero no hay que engañarse acerca de su carácter oneroso: aun prestando un servicio gratuito, su actividad o entorno es comercial (en particular, las mencionadas redes sociales), y acaban poniendo en valor económico tales datos. Así pues, los servicios de la Sociedad de la Información no son propiamente gratuitos sino, casi siempre, auténticamente onerosos.
En definitiva, en el mundo moderno, tecnología y Derecho no son suficientes para proteger la privacidad y los datos personales. La adecuada formación y concienciación de las personas, desde su infancia, es imprescindible, so pena de acabar comercializando a la persona en cuanto tal, y que ésta sea (y valga) lo que publica, sin más. Por ello, ya los niños han de recibir formación sobre el uso inteligente y seguro de los dispositivos electrónicos e Internet, el valor de sus datos personales y la importancia y consecuencias (presentes y futuras) de la publicidad que den a sus comportamientos, fotografías, vídeos, textos y opiniones. La acción formativa en colegios e institutos ha de estar, en todo el mundo, a la vanguardia de las medidas a adoptar.