¿Celebrando la (des)protección de los datos personales? Algunas aportaciones personales sobre el cambio de paradigma

Hoy celebramos, un año más, el Día de la Protección de Datos en Europa. A estas alturas, ya inmersos en la mitad de la segunda década del siglo XXI, cualquier reflexión que se pueda hacer al respecto debe tener en cuenta la singularidad y la complejidad del contexto tecnológico en el que se gestiona la información y, por lo tanto, los datos de carácter personal. De lo contrario existe un riesgo cierto de que, a pesar de la aparente protección que conlleva la existencia de múltiples normas aplicables, en la práctica este derecho fundamental termine por quedar sin una garantía jurídica adecuada que asegure su efectivo respecto.

Así, existe una marcada tendencia a la multiplicación de los sistemas de recogida de información que, además, se han de interconectar como premisa elemental para la obtención de valor añadido (es el caso de las smart cities), de manera que el origen de la información puede terminar difuminándose y, por tanto, la limitación de su uso para otros fines quedar irremediablemente dañada. Por otra parte, la generalización de los servicios en la nube (cloud computing) nos aboca a potenciales conflictos de carácter internacional sobre la normativa aplicable y la jurisdicción competente, dificultando así de modo casi irremediable la efectiva tutela de los derechos y libertades, especialmente desde la perspectiva individual. Más aún, con la progresiva implantación de las conexiones en todo tipo de dispositivos y aparatos (Internet of Things) las posibilidades de obtención de información relativa a los hábitos y conductas de los usuarios se multiplican, y lo hace más allá de los estrictos límites personales (caso de los teléfonos móviles, debido a su uso personal) para proyectarse incluso sobre los grupos y colectivos, como puede ser el caso de las familias. En fin, todo ello nos sitúa en un escenario tecnológico donde el big data encuentra un perfecto caldo de cultivo, en particular si tenemos en cuenta la propensión a difundir a través de las redes sociales todo tipo de información, documentos gráficos, opiniones o, simplemente, datos personales propios y de terceros.

            Al margen de que llege a aprobarse finalmente el esperado Reglamento durante el año 2015 —lo que no deja de ser un ejercicio de adivinación arriesgado si tenemos en cuenta los antecedentes—, nuestra reflexión debe tener en cuenta una realidad indiscutible: la dificultad, por no hablar directamente de imposibilidad, para el Derecho de ofrecer respuestas adecuadas a la singularidad de los desafíos que plantea la tecnología. Existe una tendencia, especialmente presente en culturas jurídicas continentales como la española, a que las normas jurídicas escritas predeterminen con suficiente precisión los supuestos de hecho a los que han de ser aplicadas, incurriendo con relativa frecuencia en un afán reglamentista que, por lo que ahora interesa, puede conllevar una importante limitación de su alcance. Ciertamente, la exhaustividad constituye una exigencia elemental en aquellos supuestos en que la regulación deba ser restrictiva, como sucede cuando conlleve una prohibición o se establezca una sanción, pero no con carácter general.

Se trata de un problema de especial trascendencia en el ámbito de la tecnología, donde el dinamismo constituye una de sus notas características, de manera que las normas podrían quedar desfasadas y, por tanto, no ser ya aplicables o, lo que incluso resulta más preocupante, aun siéndolo las consecuencias que se deriven llegaran a ser contrarias al objetivo inicialmente pretendido. Frente a esta realidad, los principios generales del Derecho adquieren una singular importancia a la hora de tratar de establecer mecanismos reguladores eficaces, si bien al mismo tiempo hay que admitir que una excesiva apertura en la determinación de su alcance puede generar un efecto indeseable en forma de inseguridad jurídica. Sin embargo, en un ámbito como la protección de los datos personales, donde ya contamos con una larga tradición en la interpretación y aplicación de un marco regulatorio europeo que incluso se ha plasmado en relevantes decisiones jurisprudenciales, sería de gran importancia avanzar en la línea propuesta ya que, de lo contrario, reglas jurídicas excesivamente concretas —aunque, sin duda, bienintencionadas— pueden terminar convirtiéndose en el principal de los problemas a resolver.

Por otra parte, la destacada vinculación tecnológica de los tratamientos de información constituye un relevante desafío para el Derecho y, en concreto, para la eficacia de sus previsiones. En efecto, la seguridad jurídica y, en concreto, la aplicación de las disposiciones jurídicas descansa en gran medida en el efectivo respeto a las reglas técnicas que se establezcan, exigencia que ha de observarse al menos desde una doble perspectiva. Así, en primer lugar, las normas jurídicas deben establecer un nivel adecuado de protección desde la perspectiva de los estándares tecnológicos en función de la naturaleza de los riesgos existentes, concreción que no puede predeterminarse de manera absoluta a través de las fuentes del Derecho y, que por tanto, nos remite a la necesaria aplicación de criterios generalmente aceptados en el sector. Ahora bien, en segundo lugar, de nada sirve que la norma fije estándares muy garantistas si en la práctica su incumplimiento no conlleva consecuencias jurídicas lo suficientemente contundentes como para desincentivar las conductas contrarias a las previsiones normativas. Y no se trata de establecer sanciones más o menos elevadas sino, sobre todo, de tratar de impedir —ya cautelarmente o, llegado el caso, de manera definitiva— la utilización de la información cuando no se hubiesen cumplido realmente las exigencias derivadas de la seguridad tecnológica.

Si atendemos a la regulación existente en relación a la protección de los datos de carácter personal y, sobre todo, a la realidad práctica de su aplicación, ¿no es realmente necesario un cambio de paradigma en los términos señalados?

Esta entrada ha sido publicada en la web de la Asociación Profesional Española de Privacidad-APEP con ocasión del monografíco que dicha entidad ha dedicado a conmemorar el Día Europeo de Protección de Datos 2015.

La contratación electrónica en las Administraciones Públicas: una oportunidad para la innovación tecnológica

Hoy entra en vigor la obligación de utilizar facturas electrónicas para los proveedores de las Administraciones Públicas, una medida de gran trascendencia que establece la Ley 25/2013, de 27 de diciembre. Se trata de un primer paso en el proceso de modernización tecnológica de la contratación pública que, en los próximos meses, ha de abordar el legislador español para cumplir con las previsiones de la regulación europea recientemente aprobada.

En efecto, una de las principales novedades normativas que se produjeron en el ámbito de la Administración electrónica a lo largo del año 2014 fue la aprobación de la Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014: entre otras medidas, uno de sus principales ejes se refiere precisamente a la necesidad de impulsar la utilización de medios electrónicos y telemáticos en los procedimientos relacionados con la contratación pública. De ahí que, durante la última edición del Congreso Derecho TICs-SICARM 2014, dedicásemos una mesa redonda específica al análisis de esta regulación.

Sin perjuicio de la necesidad de llevar a cabo estudios monográficos que desciendan al detalle en el contenido de la regulación que nos viene desde Europa como el realizado por el profesor Rubén Martínez y que aparecerá publicado en breve por la editorial Tirant lo Blanch, sí me gustaría al menos resaltar las medidas que, a mi juicio, deben destacarse principalmente y, sobre todo, la necesidad de un cambio de paradigma en las posibilidades del uso avanzado de la tecnología para reforzar las posibilidades de control en un ámbito tan sensible como el que nos ocupa. ¿Cómo debería afrontarse este desafío?

• En primer lugar debería aprovecharse el potencial que tiene la tecnología a la hora de facilitar una efectiva simplificación de los procedimientos, esto es, que suponga una decidida superación de las pomposas declaraciones formales como las que se suelen incorporar a los textos normativos. Más allá de la mera declaración unilateral de los operadores económicos que contempla la Directiva, las Administraciones Públicas deberían acceder directamente y de manera automatizada a los registros donde se encuentre la información necesaria para comprobar que aquellos reúnen los requisitos necesarios para participar en el correspondiente procedimiento.
• Por otra parte, desde la perspectiva del Gobierno Abierto y la transparencia que se reclama constantemente de los poderes públicos, la innovación tecnológica puede convertirse en una potente herramienta para prevenir y, en su caso corregir, decisiones y actuaciones desviadas. En efecto, sólo a partir de los planteamientos en que se sustenta el open data es posible plantear la implantación de mecanismos avanzados que faciliten la realización de dicho control, de manera comparativa, sobre aspectos tan relevantes como el coste de la contratación en la prestación de servicios públicos en distintas entidades públicas. En última instancia, al margen de otros instrumentos formalizados basados en la agregación de la demanda por parte de los compradores públicos, el open data puede facilitar la reducción de los precios al facilitar el efectivo conocimiento del coste de los servicios y de los bienes al resto de las entidades públicas, así como servir de referencia para el funcionamiento más preciso de los sistemas dinámicos.
• En última instancia, la modernización tecnológica del marco normativo regulador de la contratación pública no puede limitarse a una mera transposición de las disposiciones europeas sin tener en cuenta el potencial que ofrece el desarrollo actual de la tecnología. Resulta imprescindible superar las limitaciones que conllevan las concepciones basadas en la mera digitalización de procedimientos que, hasta ahora y en gran medida todavía, se han venido tramitando en soporte papel. Debe apostarse por parámetros de gestión avanzada de la información que sirvan para superar definitivamente dificultades y obstáculos de propios de modelos estancos, utilizando a tal efecto la tecnología como instrumento para la transformación de la gestión pública. Sin perder de vista, claro está, que la innovación tecnológica ha de estar necesariamente sustentada en el estricto cumplimiento de las exigencias jurídicas que, de ser posible, podrían incluso reforzarse en muchos casos.

La magnitud de la contratación pública en el contexto del PIB sin duda merece apostar por una efectiva modernización tecnológica de la gestión pública en este ámbito que suponga un aprovechamiento efectivo del potencial que ofrece la tecnología. ¿Será capaz del legislador español de asumir con valentía y visión de futuro estos desafíos?