Cómo hacer y cómo no hacer las cosas en protección de datos. Dos modelos antagónicos.

El post invitado de esta semana lo trae Susele Cortés, que no sólo es letrada en la diputación de Málaga, es que, además, se lanzó de cabeza como Delegada de Protección de Datos de su diputación, actividad sobre la que ha ido profundizando, innovando y compartiendo con todo el mundo interesado en la materia. Muestra de ello, este post.

Como sabemos, en el mundo existen diversos modelos de protección de datos que pueden entenderse circunscritos a diversas áreas geopolíticas: Europa, Norteamérica, América Latina y Asia-Pacífico. De estos modelos, el más desarrollado es el europeo, dado que es el que mayor nivel de detalle tiene, el más protector para los derechos de los afectados, y el que muestra un mayor grado de evolución de los principios de protección de datos acorde con sus fines y objetivos.

Cuadro de Yue Minjun con Mao Tse Tung nadando en la cabeza de una personas
Cuadro del pintor chino Yue Minjun. Fuente

Cuándo se pueden tratar datos personales en el modelo de gobernanza de datos europeo.

Es curioso lo determinante que es, para todo, el lugar donde has nacido o donde has elegido vivir. En Europa, en este campo, nos podemos sentir más “seguros” al tener una normativa -el Reglamento General de Protección de Datos (RGPD)- que intenta reforzar la protección de los datos personales y dar respuesta a los nuevos retos planteados por la rápida evolución tecnológica y la globalización. Y es que, tal y como expone CAMPOS ACUÑA, la inteligencia artificial, el big data, los tratamientos masivos de datos y, la imprudencia en la gestión de su propia privacidad en las redes sociales, puede convertir a las personas físicas en “ciudadanos de cristal”para las administraciones públicas, en particular.

Pero ¿qué es realmente lo que se protege en la protección de datos? BORJA ADSAURA VARELA plantea la pregunta de otra manera,¿nuestros datos son realmente nuestros?. Estoy totalmente de acuerdo con su respuesta: se es dueño de los propios datos personales en el sentido de que cada uno tiene -o debe tener- el control de esos datos, pero eso no quiere decir que los datos personales sean una propiedad. En realidad no se protegen los datos, se protege la identidad del titular o, como dice el propio Adsaura, “se protege la asociación de unos datos con una persona identificada o identificable, porque los datos aportan información sobre nuestro honor y nuestra intimidad y, esos son los verdaderos bienes jurídicos y derechos fundamentales que se protegen” en el art.18.4 de la Constitución -origen del derecho a la protección de datos-: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. En este sentido, el Considerando 7 del RGPD afirma que “Las personas físicas deben tener el control de sus propios datos personales”.

No obstante, este control, no siempre dependerá del consentimiento de las personas físicas. Llegados a este punto, no cabe duda que la Administración pública recaba datos de sus ciudadanos porque, efectivamente, necesita tratarlos para cumplir las  funciones públicas que tiene encomendadas, pero los datos personales no puede tratarlos sin base legal, ni siquiera teniendo “permiso” del ciudadano. Las bases jurídicas del tratamiento son las condiciones que determinan su licitud y, si no concurren, simplemente se prohíbe su tratamiento.

¿Y cuáles son las bases de licitud del nuevo modelo de tratamiento de datos europeo? Sencillo, únicamente se permite el tratamiento de datos personales si existe una razón justificada en una de las bases jurídicas del art.6 del RGPD: consentimiento, ejecución de un contrato, obligación legal, interés vital, interés público e, interés legítimo.

Las bases jurídicas de tratamiento en las Administraciones Públicas

Es a partir del nuevo RGPD, cuando la Agencia Estatal de Protección de Datos (AEPD) entiende que, con carácter general, la base jurídica de los tratamientos de datos de las Administraciones será o el cumplimiento de una obligación legal o, el necesario cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.Puede resultar muy taxativo pero es verdad que si seguimos la doctrina de la vinculación positiva de la Administración a la legalidad (del profesor García de Enterría), toda actuación de la Administración –de derecho público o de derecho privado- está guiada, en términos amplios, por el “interés público”. La Administración sólo puede realizar aquello que el ordenamiento jurídico le permite expresamente.

A efectos prácticos, las Administraciones Públicas actúan mediante actos administrativos dictados en virtud de procedimientos siempre y cuando tengan competencia para ello, actuando en el ejercicio de sus funciones o en cumplimiento de una misión de interés público. Por tanto, esta base legal siempre estará presente y será la prevalente, aunque las potestades públicas puedan desembocar en otras bases jurídicas específicas concurrentes. Un ejemplo típico es la potestad de contratar de las Administraciones, otorgada por Ley, y en cuyo tratamiento también concurre la base de licitud del cumplimiento necesario para la ejecución de un contrato.

¿Y el consentimiento? Pese a que la AEPD niega el consentimiento como base de licitud único para la Administración, el consentimiento sí será base de legitimación cuando una ley especial así lo determine (por ejemplo, la Ley 39/2015 establece el necesario consentimiento expreso del interesado para que un funcionario habilitado valide su identificación o firma electrónica en una Oficina de Asistencia en Materia de Registro) o, para que la Administración pueda ceder datos a un tercero del sector privado que no tenga interés legítimo.

Por último, referir que la AEPD considera que el interés legítimo nunca será base jurídica para los tratamientos realizados por las autoridades públicas en el ejercicio de sus funciones. ¿Y si no actúa en el ejercicio de sus funciones públicas? Tampoco. ¿Por qué? Porque interpreta el concepto “misión de interés público” en sentido amplio, lo que permitiría tratar los datos personales necesarios para las finalidades legítimas establecidas por el ordenamiento jurídico, incluso en el ámbito del derecho privado.

Otro modelo de gobernanza de datos y un gran ejemplo de cómo NO hacer las cosas

Sí. Estoy convencida de que el modelo europeo, aunque no sea perfecto, garantiza que el tratamiento de datos personales sólo se llevará a cabo si existe una base legal para tratarlos, con el conocimiento del titular de esos datos y, sea quien sea quien los trate. Pero esto no ocurre en otros modelos. De hecho, ahora expondré el ejemplo del modelo de gobernanza de datos que nunca debería seguirse, pero que existe.

Cuando leí el artículo “La tecnogobernanza china: ¿quién necesita democracia si tiene datos?”, quedé totalmente impactada y comprendí mucho mejor el porqué de la filosofía garantista del RGPD. En este artículo se relata como China gobierna mediante algoritmos opacos capaces de incluir a ciudadanos en listas negras o en campos de reeducación política y religiosa, usando una combinación de vigilancia, inteligencia artificial y big data, aplicada a los datos personales. Esto es, controla el comportamiento público utilizando la tecnología en red como herramienta de gestión pública.

Uno de estos proyectos del Gobierno chino es el Sistema de Crédito Social (o mejor llamado sistema de “confianza” o “reputación”), actualmente en fase de diseño, con implementación total prevista para el 2020 y, cuya principal herramienta son las listas negras. Las personas que no han pagado multas o no han cumplido sus sentencias, pasan a una lista negra que les impide pedir dinero prestado, reservar vuelos o, alojarse en hoteles de lujo ¿No os recuerda esto a la distopía de Black Mirror?

Pero eso no es todo, la tecnogobernanza china, tras tratar y evaluar flujos de datos aplicando algoritmos predictivos, forma listas negras con personas que son consideradas más propensas a delinquir o generar conflictos. Los afectados desconocen cuáles son los datos recopilados o cuáles son las reglas de aplicación a los datos; además, no existe un registro público ni responsabilidad de cómo se construyen o ponderan los cálculos de estos algoritmos ¿Y eso no os recuerda a la película “Minority report” de Tom Cruise?

También llama mucho la atención la existencia de ciudades chinas en las que, a través de cámaras con reconocimiento facial, se proyectan fotos de peatones imprudentes, con su nombre y su DNI en una valla publicitaria.

¿Demasiado “smart city”? Tal vez nunca es demasiado, pero literalmente es dar una patada a todos los principios que rigen el RGPD. Parece todo ciencia ficción, pero ahora puede ser real gracias a la inteligencia artificial y el big data, por eso es tan importante proteger los derechos de las personas físicas para que los datos generados y almacenados no sean “mal usados” privándole de derechos o incluso de libertades.

Ciertamente, el nuevo escenario que generan las ciudades inteligentes deberá crearse teniendo en cuenta las potenciales vulneraciones de derechos (protección de datos de carácter personal, libertad, intimidad, igualdad, etc.) que plantean los procesos de toma de decisiones basados en datos y la utilización de algoritmos y de herramientas de inteligencia artificial. Está claro que las garantías clásicas del consentimiento o la habilitación legal resultan insuficientes y será preciso reconfigurarlas. Más retos para un horizonte cercano.

Comparte este artículo

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on whatsapp

Acerca del autor

Regístrate y consigue los últimos artículos en tu mail.

icono mail suscribete
SUSCRIBIRME

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.