A pocos días de cumplirse el décimo aniversario de la entrada en vigor del RGPD, nos debemos preguntar, inevitablemente, cuál es el balance de esta norma a día de hoy. ¿Están ajustadas las cuentas, o existe aún un desequilibrio contable entre los derechos reconocidos en el Reglamento europeo y las obligaciones que pesan sobre los responsables de tratamiento? ¿Dónde se encuentran, en realidad, las fronteras legales que deslindan el ámbito real de poder o dominio de las personas sobre sus datos (eso que se ha venido en llamar el habeas data) de los intereses, comerciales y no comerciales, que encarnan los data traders o los responsables del tratamiento? Es difícil precisarlo. Han pasado diez años, y todavía nos falta una visión lo suficientemente estática como para tener una comprensión clara de cuál ha sido el efecto vertebrador del RGPD a lo largo de estos años en el campo de la protección de datos personales. Intentémoslo.
Por un lado, existe unanimidad en considerar que el RGPD ha contribuido significativamente a sofisticar y profesionalizar una legislación que, hasta la fecha, al menos en el ámbito europeo, dejaba en manos de los Estados miembros la regulación. En línea con la estrategia legislativa por medio de directivas, el Consejo y el Parlamento Europeo pusieron en 1995 el primer pilar para la regulación del tratamiento de datos personales en la Unión Europea (Directiva 95/46/CE), si bien se distanciaron de cualquier pretensión de exhaustividad normativa. Su objetivo era otro, más prudente, menos ambicioso: simplemente establecer el marco normativo básico para la protección del dato personal de los ciudadanos europeos como parte de su intimidad, dejando a los Estados miembros las manos libres a la hora de desarrollar, o no, la Directiva. Por cierto, que esta llegaba ya tarde a nuestro país, que, a la sazón, había sido pionero en la regulación de esta materia tal y como demuestran el artículo 18.4 de la Constitución (recordemos, de 1978) y la ya lejana LORTAD (LO 5/1992). Eran otros tiempos, más rudimentarios, más precisos, y menos sometidos a los dictados incomprensibles de la exuberante producción legislativa europea, que se ahoga en su propia complejidad, como recientes movimientos vienen a demostrar (i.e. Digital Omnibus Regulation Proposal).
Por otro, resulta también incuestionable que el RGPD ha calado de forma muy notable a través de los poros de la sociedad civil. El reconocimiento claro y preciso de cuáles son los derechos de los ciudadanos respecto del uso legítimo de sus datos personales; el establecimiento de principios hasta ahora desconocidos como el de proactividad o minimización, que permiten proscribir aquellos tratamientos que no se adecúen a sus estrictos cánones; o, en definitiva, la aparición en escena del «DPO» (en inglés, todo suena siempre más moderno e innovador) y su halo de tecnicismo, son testigos de cargo de que los tiempos de la improvisación legal y tecnológica para los responsables del tratamiento se han acabado. Ya no vale el tran tran que tanto vendió en los primeros momentos de la entrada en vigor del RGPD. Las empresas, los responsables en general, deben invertir de verdad para mantenerse dentro de los confines de la legalidad, por muy dudosos que estos, a veces, nos parezcan. La recompensa no encuentra su equivalente, necesariamente, en la satisfacción (moral) por cumplir la norma, que defendería mi querido Kant, sino más bien en la evitación de un riesgo (económico) que planea sobre las cabezas de los responsables del tratamiento y cuya dimensión es proporcional a su negligencia en el cumplimiento de la norma.
Finalmente, no podemos dejar de reconocer que el RGPD constituye un eslabón importantísimo en la cadena de la protección digital desplegada por las instituciones políticas de la Unión Europea. No dejamos de escuchar señales de advertencia, desde muy diversos sectores, educativo, tecnológico, sociedad civil, investigador, acerca del desgaste desmedido y creciente que puede sufrir nuestra intimidad digital en redes sociales, plataformas digitales o marketplaces, por no hablar del rostro cambiante y en inquietante evolución de la IA. El RGPD fue el primer producto legislativo, seguido a poca distancia por el Reglamento de Servicios Digitales (por sus siglas en inglés, DSA) y, desde luego, por el Reglamento de Inteligencia Artificial, que sembró el camino de la protección jurídica de los ciudadanos en internet y en redes sociales, y que actúa como freno legal y cultural (¡que se lo digan a las grandes tecnológicas!) a las ansias del control algorítmico. Fenómenos preocupantes como las deep fakes o los ultrafalsos no hacen sino alertarnos de que en el mundo de matrix no es oro todo lo que reluce, y que solo la acción combinada del legislador (administrativo, civil y penal) puede y debe poner coto a prácticas o usos de datos de las personas por medio de estas tecnologías, cuyo buen propósito no se acaba de atisbar.
La pregunta final resulta inevitable: ¿qué queda por hacer? A mi juicio, mucho. La cultura del arraigo, en su sentido etimológico de «echar raíces», del RGPD sigue su curso. Es un ser vivo que se desarrolla, se fortalece y crece. Hay todavía ámbitos en los que la protección legal debe profundizarse, siendo primordial la defensa de los menores respecto del tratamiento de sus datos. Que el legislador español haya optado por rebajar la edad mínima a la que se puede dar un consentimiento válido al tratamiento de datos a los 14 años resulta preocupante en un mundo líquido, en constante movimiento, como es el digital. Por otro lado, la perspectiva de un ilimitado usufructo, como el que el fabricante o mero usuario de una IA pretende hacer recaer sobre nuestra intimidad digital exige establecer unos límites de transparencia bien definidos; y, desde luego, unas sanciones lo suficientemente contundentes y efectivas como para desincentivar cualquier uso torticero e ilegítimo de la IA para modificar nuestros hábitos y nuestra personalidad, algo que, lamentablemente, ya estamos comprobando.
El legado hasta la fecha del RGPD es fecundo y encomiable en muchos aspectos. Pero el libro de su desarrollo aún no ha quedado escrito del todo. Antes bien, como he apuntado, hoy más que nunca si cabe es necesario apuntalar el muro de la protección debida al titular del dato, y asegurarle un entorno de libre dominio de su identidad digital. Es nuestra responsabilidad, como juristas especializados en privacidad y parte fundamental del engranaje legal, procurar escribir nuevas páginas en ese libro, y no contentarnos con todo lo hecho durante estos diez años.
Escrito por: José Carlos Erdozain. Of Counsel PONS IP
