LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 08:40:18

LegalToday

Por y para profesionales del Derecho

Blog Administración Pública

El RGPD: una ley pensada para nuestros padres que regirá en la vida de nuestros hijos

Analista web especialista en Administraciones Públicas

En las próximas semanas entrará por fin en vigor el Reglamento General de Protección de Datos de la Unión Europea (RGPD). Esta normativa de obligado cumplimiento en todos los países del Espacio Económico Europeo supone una pequeña revolución en el Internet que conocemos hasta ahora. En primer lugar, focaliza toda la atención en preservar los derechos de las personas como auténticas titulares de los datos.

Símbolo de @ con un candado

Nada se puede capturar o procesar sin su consentimiento, y en todo momento se puede pedir su supresión. Por otro lado, cambia una dinámica normal de Internet: asumir que el cumplimiento de la norma de un operador digital depende del país donde presta su servicio y no del país donde reside. Es decir, que, si quieres hacer negocios digitales en Europa tendrás que actuar conforme la normativa europea, aunque la sede se encuentre en Sarasota. Este enfoque rompe el que se ha seguido hasta la fecha (muy beneficioso hasta la fecha para EEUU por puro número de operadores) de que la legislación que aplica es la del país de sede y no de servicio.

En términos generales, diría que las dos ideas suenan bien y razonables. De lo que no estoy tan seguro es de que sea algo que sea alcanzable o útil en términos reales. Es decir, vale, ya puedes descargarte todos los datos que Google tiene de ti. También podrás saber, en breve, todas las fotos de Facebook en las que apareces. Eso no quita que hoy en día sea muy difícil saber no ya qué datos tiene quién ,sino quién tiene datos tuyos. Realmente, un servicio como Unroll-me, que revisa suscripciones que tengo con una sola cuenta de correo, suele avisarme de más de 700 suscripciones. Es más, de muchas de estas organizaciones apenas he oído hablar, no sé lo que tienen, por qué lo tienen, o cómo lo tienen. Quizá me apunté por un descuento de 5 euros en una compra on-line. Incluso estando relativamente preocupado por este hecho (que lo estoy) no me veo ni capacitado ni preparado para gestionar todo eso. De hecho, incluso yo, dedicándome profesionalmente a este sector, tengo problemas (por no decir una patente incapacidad) para valorar la criticidad de los datos que puedan tener terceros sobre mí. Un dato que yo puedo juzgar como irrelevante, en el contexto correcto y adecuado, puede decir mucho a quien lo sepa leer.

Además, que a día de hoy una institución trate de regular las características de un servicio digital que se presta fuera de sus fronteras resulta poco probable. Incluso los países más "diligentes" como China en este particular dedican grandes esfuerzos con resultados desiguales combinando tecnología, normativa y medidas policiales muy activas.

Por otro lado, coincide esta entrada en vigor en una época de explosión de los datos en el mundo digital. No hay semana que no oigamos varias noticias o promesas de la Inteligencia Artificial y el Big Data. El sector público no es indiferente a ello, más inteligencia y datos para hacer políticas más atinadas, eficaces y eficientes. Sin embargo, ¿de dónde salen esos datos? ¿Cómo creéis que vamos a hacer una política pública más acertada sobre las personas sin poder recoger datos de las personas? Pongamos un ejemplo simple e inocente: mis preferencias a la hora de buscar y acceder a obras en un catálogo on-line de una biblioteca (ni siquiera de sacar obras), puede decir mucho como persona, pero mucho más como miembro de un colectivo social. Estos datos pueden contribuir a mejorar no sólo la política de adquisición de nuevos libros para la biblioteca, sino campañas de promoción de lectura, ayudas a editoriales, etc. No hablemos de cuestiones, por ejemplo, epidemiológicas a partir de registros médicos, pero también temas como la recogida de basuras, consumo de agua, etc. Es decir, sin datos, no hay big data, no hay IA que valga. Sin datos personales, no hay big data ni IA que puedan afectar, para bien o para mal, a las personas.

Paralelamente a todo esto, nos encontramos con un contexto propicio para la preocupación. El trabajo de Cambridge Analitica a partir de datos usados ilegítimamente (no estoy seguro de que sea ilegalmente) de millones de usuarios de Facebook para influir en campañas electorales. De esta aventura creo que hay dos lecciones a tener en cuenta. Por un lado, que la gente puede ceder sus datos gustosamente (sin saber lo que da, ni para qué ni nada, incluso sabiéndolo sin valorar su importancia) a cambio de un rato de diversión. En segundo lugar, que el uso de la tecnología va años por delante de la comprensión del legislador de lo que está pasando. No sólo digo que no estoy seguro de que Cambridge Analítica vaya a ser condenada legalmente por algo, es que, si no llega a ser por un chivatazo de un arrepentido, ni siquiera nos habríamos enterado de nada, aunque profesionalmente es algo que muchos sospechábamos (si no es que dábamos por seguro que es así).

En resumen, no es que esté en contra de las ideas que mueven el RGPD es que no creo que sirva de mucho. Por así decirlo es una ley que hemos hecho, pensando en el mundo de nuestros padres para un mundo en el que van a vivir nuestros hijos. Es una ley finalista de máximos, que trata de fijar la carga de la norma en el último punto del servicio cuando Internet es pura interdependencia e interacción. Que acaba dejando en manos de la ciudadanía la reclamación de sus derechos cuando incluso los que están más formados tecnológicamente, tienen problema para calibrar el impacto de decisiones que son cotidianas. Una norma cuya lectura más restrictiva puede suponer limitar "la energía del futuro" que son los datos.

Con esto no quiero decir que tenga una idea legal de cómo hacerlo mejor. Sí que creo, no obstante, que el trabajo tendría que estar mucho más centrado en la anonimización, auditoría y responsabilidad de los operadores que en la restricción, limitación y decisión de los ciudadanos habría sido algo más acertado para todas las partes. Espero, de verdad, estar equivocado y que el RGPD cumpla su propósito, pero no estoy nada convencido de ello. 

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.

Blog

Blog Administración Pública

Te recomiendo

El objetivo de este blog es crear un foro de debate sobre los temas de actualidad de la Administración Pública, dando valor y visibilidad a la labor del funcionariado. Queremos que la modernización y la transformación digital de la Administración tengan un espacio destacado en este blog, para así promover y participar en este gran cambio cultural.

Hablaremos de novedades normativas y jurisprudenciales, de los avances tecnológicos y de los beneficios de este cambio.

Promovemos el debate y la crítica constructiva, y os brindamos un espacio para que podáis compartir las dudas e inquietudes que os surjan en vuestro día a día.

¿Quiere aportar su experiencia? Contacte con nosotros a través de comunicacion@thomsonreuters.com