Blog Fide El Confidencial

La pandemia y sus consecuencias nos conducen ineludiblemente a una aceleración de los tiempos en distintos procesos clave para el país y para la Unión Europea. El impulso del teletrabajo en sus distintas dimensiones constituye sólo una manifestación epidérmica de los retos a los que nos enfrentamos.
Desde experiencias empresariales exitosas hemos aprendido cómo la sensorización que aporta Internet de los objetos contribuye a la eficiencia en la gestión y proporciona el sustrato esencial para la toma de muchas decisiones. Covid-19 demostró que la transformación digital se erige un factor determinante para la resiliencia. Nuestras empresas, del IBEX 35 a la más humilde PYME, deben afrontar la digitalización como una necesidad. En unos casos les ayudará a automatizar procesos, incrementar la eficiencia y reducir costes. En otros a trasladar al entorno virtual sus servicios o la venta y distribución de sus productos. En todos los ámbitos al incremento de las condiciones de calidad, seguridad y confiabilidad exige una gobernanza que irá de la mano de nuevos modos de hacer las cosas, de nuevas formas de adaptarse a una realidad líquida y cambiante.
Por otro lado, las Administraciones Públicas deben abordar de una vez por todas un proceso de transformación digital integral. La estrategia de regular la administración electrónica con una fecha de inicio, que nunca se cumple y siempre se aplaza, se ha mostrado insuficiente. Hoy, la estrategia digital de la Unión Europea , el Plan España Digital 2025, o las distintas estrategias de Inteligencia Artificial comportan una visión holística de estos procesos que debe contemplar las infraestructuras, las personas, la formación y una ineludible capa horizontal de gobernanza. Por último, el conjunto de las políticas públicas se apoyará en este esfuerzo de digitalización.
Y en todos estos procesos existe un elemento común y esencial: los datos. Así por ejemplo, basta con revisar las diez políticas palanca de reforma estructural para un crecimiento sostenible e inclusivo del Plan de recuperación, transformación y resiliencia para confirmar esta afirmación. No es posible alcanzar prácticamente ninguno de ellos sin manejar información de todo tipo, poblacional, medioambiental, de salud, nutricional, poder adquisitivo, hábitos de vida y de consumo, la relativa a la movilidad… De querer enumerar todas las categorías y conjuntos de datos disponibles, a buen seguro podríamos llenar la edición de un periódico durante varios días. Pero no sólo se trata de explotar datos preexistentes. Por ejemplo, la monitorización que proporciona una ciudad inteligente aportará nuevas categorías de datos. Y no sólo esto, las herramientas de analítica de datos, los procesos de machine learning, ofrecerán nuevos modos de contemplar tales datos y sus relaciones. Y, por tanto, visiones de 360º que revolucionarán nuestro modo de entender, abordar y gobernar la realidad. Si a la analítica le sumamos los procesos de automatización y la Inteligencia Artificial se otea un horizonte nuevo para los procesos de decisión humana.
Se afirma que la Unión Europea afronta estos retos desde una posición de desventaja respecto de China y Estados Unidos. Se achaca tal circunstancia a varios factores. Así, por ejemplo, carecemos de campeones en el mundo digital. No existen empresas comparables a Amazon, Apple, Google, Facebook o Microsoft. Tampoco competimos con AliExpres ni disponemos de un mercado equiparable. Es más, la fragmentación lingüística y cultural del continente nos obliga a realizar esfuerzos adicionales. Por otra parte, es un hecho conocido que el esfuerzo de investigación y de transferencia e innovación presenta severas asimetrías según países. Sin embargo, la parte del león en las críticas a nuestra competitividad se la lleva sin duda la regulación. Y, a la cabeza de la misma el Reglamento General de Protección de Datos. ¿Es esto cierto? ¿Es la norma de protección de datos un obstáculo para nuestra transformación digital?
El llamado RGPD, o GDPR por sus siglas en inglés, se integra en un paquete regulador más amplio que incluye la Directiva Open Data, y el Reglamento que asegura que no existan barreras a la circulación de datos no personales. La regulación no se ha detenido aquí. Se plantea una revolución con propuestas en el ámbito de las telecomunicaciones, (e-Privacy Regulation) o del mundo digital (Digital Services Act Package).
Aparentemente, el paquete normativo es abrumador. Sin embargo, basta con leer atentamente las tres normas vigentes para apreciar que la intención del legislador apunta a favorecer el uso de los datos, en ocasiones con declaraciones muy contundentes. Ahora bien, la Unión Europea apuesta por un diseño que pone en el centro la garantía de los derechos fundamentales, que sitúa el núcleo de su propuesta en el ser humano. Es decir, nada excluye el uso de datos personales en la investigación, en la economía, en el entero proceso de transformación digital, pero se exige sustentar toda nuestra acción en el principio de protección de datos desde el diseño y por defecto. Del mismo modo, se impulsa de modo decisivo el open data, pero desde la garantía de una cierto control y trazabilidad, y asegurando la completa anonimización de los datos cuando ello sea pertinente. Y, finalmente, se nos obliga a tener en cuenta cuando un dato no personal en origen, como por ejemplo un código postal, se halla inextricablemente unido a un dato personal afectando a la esfera de derechos de una persona.
Sin embargo, pese a esta clara declaración de intenciones es lugar común concebir estas normas como una barrera más que como un catalizador. ¿A qué se debe? En primer lugar, la garantía del derecho fundamental a la protección de datos nace sin duda en un contexto en el que la experiencia histórica en Europa muestra de modo particularmente contundente que riesgos afronta la ciudadanía frente a un estado totalitario que maneje abundante información personal. No resulta extraño, por tanto, que la Constitución Española regulase la “limitación” del uso de la informática, la Portuguesa prohibiese el uso de identificadores únicos, y, tanto los Tratados del Consejo de Europa como las Directivas de la Unión, abordasen la cuestión desde el punto de vista de los límites. La ley, ofrecía herramientas al ciudadano para ejercer un control efectivo frente al impacto en su esfera de derechos de la acción del Estado y las empresas.
Pero esta legislación, se manifestó incompleta e ineficiente en el mundo de internet y las redes sociales, y nos pertrechamos con el RGPD. Debe subrayarse, que no sólo la Directiva y la conocida LOPD habían quedado obsoletas, también el modo de interpretarlas y aplicarlas. La nueva regulación exige superar el concepto del derecho fundamental como límite y sustituirlo por un universo en el que la definición de las condiciones de un tratamiento ocupa el lugar central. El valor que aporta la protección de datos desde el diseño y por defecto reside en un proceso que aborda los riesgos y obliga a definir las condiciones que los eliminen o mitiguen significativamente.
Sin embargo, en la actualidad existen decenas de reputados expertos, y más de una autoridad de protección de datos, anclados en denunciar los riesgos aportando como única solución la prohibición o la limitación. Cada vez que, en un informe técnico, en una opinión o en un guía, nos detenemos en este estadio del análisis disuadimos a los sectores de investigar, innovar y emprender. Es cierto, que vivir en el territorio de la denuncia permanente y la alarma social rinde pingües beneficios reputacionales, políticos e incluso empresariales. Sin embargo, esta actitud perjudica a todos los sectores y resulta particularmente inane, no aporta valor.
En estos enfoques no se “diseña”, se apuntan los riesgos, pero no se gobiernan. Se plantea sólo una de las preguntas y se obvian muchas otras. ¿Existen metodologías que ofrezcan seguridad? ¿Podemos garantizar la trazabilidad de los tratamientos? ¿Podemos aportar algún método que facilite la monitorización? ¿Existen alternativas que permitan alcanzar los objetivos desde el cumplimiento normativo? Cuando este planteamiento se suma a un enfoque jurídico ausente de todo conocimiento práctico conduce ineludiblemente al fracaso, a la inacción y a la prohibición.
A ello cabe añadir un cierto autismo desde los reguladores. Cuando se confunde la independencia con la unilateralidad se corre el riesgo de generar más problemas de los que eventualmente se resuelven. La experiencia en los modelos de gobierno abierto muestra un camino basado en la transparencia, la participación y la rendición de cuentas. Y este modelo incumbe también a los reguladores. Es esencial abrir espacios de diálogo y participación que generen no solo un conocimiento certero de la realidad a la que se aplica la norma, sino también un compromiso activo de la industria con el cumplimiento.
En un ecosistema de esta naturaleza, la investigación, los innovadores, las empresas o la Administración enfrentan una barrera que no pueden remontar y que conduce a la impotencia, el abandono o la emigración. Nos convierten en un territorio hostil y yermo. En la encrucijada de la transformación digital debemos decidir qué enfoque vamos a aplicar. En nuestra opinión, se impone una metodología de protección de datos desde el diseño centrada en la realidad de los hechos, capaz de ofrecer soluciones funcionales, participativas y viables pero intransigente con la ilegalidad. Lo contrario, lo que hicimos hasta hoy, nos erige en censores y en decisores negativos sobre procesos de los que depende nuestro futuro como país.
Ricard Martínez Martínez
Director de la Cátedra de privacidad y Transformación Digital Microsoft-Universitat de Valencia.
Artículo publicado originalmente en el Blog de Fide en El Confidencial