¿Existe un habeas data, un derecho de los ciudadanos a controlar sus datos en la red? Las propuestas legales europea y americana a estudio
Juan Antonio Martínez ha presentado un estudio en la Facultad de
comunicación institucional de la Santa Cruz (Roma) sobre el proyecto de ley
que la Comisión Europea, por una parte, comenzó a tramitar en enero de
2012, la Propuesta de Reglamento General de Protección de Datos (1) y el marco regulatorio de la privacidad en el contexto de la
economía digital que la Casa Blanca, por su parte, aprobó en febrero de
2012, la Consumer Data Privacy in a Networked World (2)
.
Que haya motivos de preocupación para el legislador de las dos orillas del
Atlántico es innegable. Y no solo por los escándalos generados por las
filtraciones de Wikileaks y Snowden, que han llevado a discutir, en el
Senado americano y en la opinión pública internacional, la política de
espionaje de la Seguridad etadounidense que se ha servido de la
colaboración voluntaria – vagamente permitida por las leyes antiterrorismo-
de las grandes compañías de Internet que poseen datos personales de
millones y millones de usuarios, es decir ciudadanos. Los
representantes de algunas de estas compañías (Yahoo, Facebook, Google,
Microsoft, Apple, Skype, Twitter) un tiempo financiadores entusiastas de
las campañas electorales de Obama y amigos de comparecer públicamente en
los “salotti” del Presidente, han decidido distanciarse de la Casa Blanca.
El mismo Obama ha debido dar mensajes explícitos, por ahora solo retóricos,
de la necesidad de revisar las políticas de vigliancia de los ciudadanos a
través de sus datos almacenados por todas partes.
Incidentalmente, sorprende que el interés de la Casa Blanca en la
protección de los datos de los consumidores, bien elocuente en el marco
regulatorio aprobado por la misma Casa Blanca apenas pocos meses antes, no
se haya “extendido” a los ciudadanos. Parece como si consumidores y
ciudadanos fuesen dos categorías distintas. En realidad, y como bien
explica Martínez en su trabajo, las preocupaciones que han dado origen a la Consumer Data Privacy in a Networked World son de índole
comercial, no política. Lo que interesa en ese texto es saber a quién
pertenecen los datos de los usuarios -¿a las empresas de servicios en
Internet que los obtienen con el consentimiento de sus usuarios o a éstos,
y hasta qué punto?- y cómo asegurar un comercio libre y no frenar la
innovación tecnológica.
No sólo historias de espías y filtraciones
Hablar de internet es hablar de datos. Y hablar de datos es, en definitiva,
hablar de personas. Eric Schmidt, quien fue consejero delegado de Google
Inc. hasta 2011, afirmó hace unos años que “hay cinco exabytes de
información creados desde el nacimiento de la civilización hasta 2003.
Ahora, esa misma información se crea cada dos días, y además ese ritmo de
crecimiento se está acelerando”. La razón de semejante multiplicación del
volumen de datos es el contenido generado por los usuarios. Para el
consejero de Google, la información creada por los usuarios de internet y
el estado actual de la tecnología permiten elaborar fácilmente perfiles
para predecir la conducta personal: “La gente está describiendo cosas sobre
sí mismos a través de vídeos y fotografías. Con un dispositivo móvil puedes
contarnos a nosotros y a tus amigos dónde estás. Nosotros podemos usar la
tecnología para predecir dónde vas a ir. Y eso es muy interesante. Podemos
tomar una foto, y si hay catorce fotografías en internet, podemos predecir
dónde estás con un 95% de fiabilidad”. La sociedad, continuaba más adelante
Schmidt, no está preparada para las cuestiones que surgirán como
consecuencia del contenido generado por los usuarios.
Cifras a parte, el hecho es que la mayor parte de nuestra interacción
social se realiza hoy a través del intercambio de datos que son
registrados, conservados y elaborados. Google, por ejemplo, almacena
información de los usuarios de su servicio a través de cookies.
Otro tanto sucede con Facebook, quien no oculta que utiliza las cookies para saber más del usuario y ofrecerle funciones,
productos y anuncios que le puedan resultar interesantes para mejorar su
experiencia en la red social.
Los escenarios descritos por películas como Terminator, Matrix o Minority Report parecen cobrar vida. En este
caso el lado oscuro no lo encarnan máquinas perversas, sino el uso que
puedan hacer de esos datos personales otros usuarios. Cualquier acción que
en la vida “analógica” se perdería, en el mundo online queda almacenado,
archivado y en muchos casos a disposición del público.
Un mismo desafío. Dos respuestas diversas
Recojo las principales conclusiones del estudio de Martínez acerca
de los dos textos legales:
El nuevo Reglamento europeo, de aplicación directa en todo el espacio
europeo una vez aprobado, establece un mayor control del interesado sobre
sus datos personales. Se consagra por ejemplo el derecho al olvido digital, como la facultad del interesado a
exigir al responsable del tratamiento que ponga todos los medios razonables
para suprimir y solicitar a terceros la supresión de toda información que
pueda concernir a una persona (art. 17).
Otro nuevo derecho que intenta afianzar el poder de disposición del
interesado es el de portabilidad de los datos (art. 18). Un
usuario podrá solicitar al responsable del tratamiento una copia
estructurada de su información personal que pueda utilizarse en un sistema
de tratamiento similar.
Una última novedad importante del nuevo Reglamento europeo es el principio de ubicación del interesado (art. 3.1). El marco legal
precedente preveía que la normativa aplicable era la del lugar del
responsable del tratamiento de datos. A partir de ahora se aplicará la ley
del titular de los datos. Ello exigirá la equiparación de la normativa para
las empresas que operen dentro y fuera de la Unión Europea.
La estadounidense Consumer Data Privacy in a Networked World es la
primera norma que aborda de un modo sistemático el tema de la protección de
datos personales. El cuerpo central de esta propuesta lo constituye la Consumer Privacy Bill of Rights, una carta de derechos de
privacidad del consumidor en el contexto digital. Esta carta de derechos
establece una serie de principios que sirva a las empresas del entorno
online como guía para establecer mecanismos de autoregulación sobre
cuestiones de privacidad.
Los principios de la carta de derechos son siete: control individual del
usuario, transparencia en la información proporcionada al consumidor,
respeto por el contexto en el tratamiento de los datos, seguridad, derecho
de acceso y corrección de la información personal, recogida de datos
limitada al servicio que la empresa ofrece, y responsabilidad de las
empresas en el tratamiento de datos.
En conclusión, a juicio de Martínez, el principio del respeto por el
contexto en el tratamiento de información personal deja a las empresas un
amplio margen para decidir sobre los fines del uso de datos personales. “La
norma afirma que el elemento clave para entender el contexto de una cesión
y tratamiento de datos viene dado por los fines de la relación de la
empresa con sus consumidores. Este criterio deja en manos de las compañías
la posibilidad de usar la información personal para fines distintos a los
de su recogida, o de cederlos a terceros siempre que suponga una mejora del
servicio prestado a sus clientes”.
Por su parte, la norma europea adolece de realismo. Por ejemplo, el derecho
al olvido no está privado de dificultades técnicas, puesto que una vez que
un dato personal circula por la red es muy difícil recuperar el control
sobre él. En cuanto al criterio de ubicación, pone en desventaja a las
empresas radicadas en el territorio comunitario respecto a la innovación y
no alcanza a las empresas con sede fuera de Europa. Habrá que ver, por
ejemplo, cómo acaban los procesos legales iniciados por empresas y
ciudadanos de cinco países europos contre Google, el buscador más potente
de internet, por no ajustarse al marco legal de protección de datos
personales.
Conclusión: una nuevo habeas data
Diferencias aparte, que son reconducibles a tradiciones jurídicas y
mentalidades diversas, lo cierto es que el legislador, empujado por los
cambios tecnológicos y sus consecuencias sociales, está elaborando nuevos
derechos que nacen de la necesidad de un poder de control del titular de
sus datos personales. Junto a los tradicionales derechos objetivos de
protección de datos -llamados por la doctrina derechos ARCO: acceso,
rectificación, cancelación y oposición-, los nuevos marcos reguladores
apuntan a afianzar las garantías procesales que hagan efectivos esos
derechos. Como afirma Martínez, «esta garantía no consiste únicamente en el
reconocimiento del derecho de protección de datos, sino en el poder
efectivo de hacerlo valer ante terceros. Es lo que en el Derecho Romano se
denominaba actio”.
Sin pretensiones retóricas, se puede hablar de un nuevo habeas data, que responde a idénticas exigencias y criterios de
justicia que dieron lugar históricamente a un habeas corpus al
inicio de los modernos Estados de derecho y luego a un habeas mente cuando los desafíos de la sociedad de la infromación
llevó al reconocimiento de un right to privacy junto a otros
derechos de la personalidad.
(
1)
El nombre completo de la Propuesta es
Reglamento del Parlamento europeo y del Consejo relativo a la
protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos.
Al tratarse de una normativa europea con rango de Reglamento es vinculante
para todos los países de la Unión, sin necesidad de que éstos lo reciban
con una ley nacional de transposición. El texto de la Propuesta en español
se puede encontrar en:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF
.
A pesar de que el texto esté aún en fase de tramitación, a partir de ahora
nos referiremos a él con la numeración de registro de entrada que le dio la
Comisión, es decir, Reglamento 2012/0011.
(2)
El nombre completo es
Consumer Data Privacy in a Networked World: A Framework for Promoting
Privacy and Promoting Innovation in the Global Digital Economy
. A partir de ahora nos referiremos a ella con las siglas CODAP. El texto
puede encontrarse en:
http://www.whitehouse.gov/sites/default/files/privacy-final.p
df