Por Lothar Determann*

 

Datos personales e intimidad

Ordenadores, teléfonos móviles, coches conectados, aviones, trenes, juegos y otros instrumentos del “Internet de las Cosas” (IoT) generan grandes cantidades de datos e información. El volumen de datos almacenados en todo el mundo se duplica cada dos años. La información es valiosa para Estados, empresas e individuos. Buena parte de la información más interesante suele estar relacionada con personas físicas, también conocidas como «titulares de los datos», pues la gente se preocupa primero y sobre todo por las personas o por las cuestiones que conciernen a éstas.

Los Estados, las empresas y las personas físicas utilizan datos personales para proteger y atender a sus titulares, salvaguardar la seguridad del Estado, entregar comunicaciones, formar a los estudiantes, comercializar productos y responder a solicitudes. También los usan contra los titulares de los datos para luchar contra terroristas, reunir pruebas contra delincuentes y acallar a los críticos. A veces, los Estados y las empresas usan esos datos para actuar contra un titular concreto a fin de proteger a otro. Así sucede, por ejemplo, cuando investigan o toman medidas para evitar que los delincuentes cibernéticos, quienes hackean ordenadores para robar datos personales e identidades para poder estafar a las personas, eludan las  precauciones de seguridad adoptadas (v. L. Determann, Determann’s Field Guide to Data Privacy Law, 3d Ed. 2017, Sections 0.14 et seq).

En  1948, George Orwell escribió su famosa novela «1984» en la que describió su sombría visión sobre un estado de vigilancia, donde un omnipresente «gran hermano» controla la información, los pensamientos y los ciudadanos. Unos 20 años después, en mi estado natal, Hesse, Alemania, se promulgó la primera ley del mundo para regular el tratamiento de datos personales. Cuando se aprobó, el presidente del gobierno aludió a la novela de George Orwell y señaló que la ley estaba destinada a prevenir los peligros que Orwell pronosticó.

Cada vez son más los países que, siguiendo la estela europea, han regulado el tratamiento de datos personales con normativas de protección que establecen una prohibición general. En agosto de 2018, Brasil promulgó una ley de protección de datos similar al GDPR y la India publicó un proyecto de ley, también similar, que se espera que se promulgue pronto (v. Lothar Determann /Chetan Gupta, Indian Personal Data Protection Act, 2018: Draft Bill and Its History, Compared to EU GDPR and California Privacy Law). Posteriormente otros países europeos siguieron a Hesse. Hace aproximadamente 25 años, la UE armonizó las leyes nacionales sobre protección de datos a través de la Directiva 95/46/EC (en adelante, la Directiva de Protección de datos), reemplazada en el año 2018 por el Reglamento general de protección de datos.

En la década de los 70, Estados Unidos barajó también adoptar una regulación semejante, pero finalmente decidió no hacerlo (v. Paul M. Schwartz, Preemption and Privacy, 118 Yale L.J. 902, 910-16 (2008).), lo que permitió que las empresas que se dedican a la tecnología de la información en Silicon Valley crecer y convertirse en líderes de la industria en el sector de semiconductores, software, comercio electrónico, computación en la nube, redes sociales, big data y otros productos y servicios que utilizan gran cantidad de datos (v. Anupam Chander, How Law Made Silicon Valley, 63 Emory Law Journal 2014).

En lugar de regular el tratamiento de datos per se, Estados Unidos decidió aprobar leyes de protección de la intimidad de carácter sectorial y sobre aspectos específicos, tanto a nivel estatal como federal, lo que ha dado lugar a que ahora existan centenares de normas sobre intimidad divergentes. A las empresas y a los organismos públicos les resulta cada vez más difícil  no perderse en ese laberinto jurídico. Y las primeras están especialmente preocupadas por la Ley de defensa de la intimidad del Consumidor de California de 2018, que, para limitar los riesgos que entraña la venta de datos, añade a las leyes existentes nuevos y diversos requisitos de divulgación y derechos individuales. Cada vez son más fuertes las voces en EE.UU que claman por la necesidad de promulgar leyes federales sobre la intimidad y protección de datos uniformes. Políticos, autoridades públicas, activistas, empresas y consumidores coinciden, en principio, en que está justificado aprobar una legislación federal de carácter general. Pero existen desavenencias sobre cuestiones importantes de detalle y, de entre ellas, sobre si ley federal debería invalidar (preempt) o simplemente complementar las leyes estatales existentes, o si  EE.UU. debiera aprobar reglamentos de tratamiento de datos al estilo europeo o continuar la tradición estadounidense consistente en dictar normativas de protección de la privacidad específicas. Las normativas de protección de datos están en una encrucijada. Es hora de revisar principios fundamentales.

¿Por qué protegemos jurídicamente los datos personales?

Los Estados, normalmente, protegen los datos personales con el propósito de salvaguardar la dignidad humana y el derecho de autodeterminación (también conocido como “el derecho al olvido”). Escudados en la protección de los datos personales, los ciudadanos tienen más poder para ejercer derechos como la libertad de expresión, religiosa o de asociación. Ello contribuye a su vez a asegurar el funcionamiento del proceso democrático. Además, los ciudadanos necesitan protección frente al robo de identidades, la piratería informática, la discriminación por parte de empleadores, los bancos y compañías de seguros que utilizan información sobre las condiciones de salud preexistentes, los métodos de marketing directo intromisivos y las prácticas comerciales desleales basadas en la recogida y uso subrepticio de datos. En  EE.UU., la protección constitucional de la intimidad se ha limitado en gran medida a proteger los derechos de los individuos contra búsquedas irrazonables  realizados por los poderes públicos, tal y como contempla la cuarta Enmienda de la Constitución. La constitución escrita más antigua y aún vigente no establece expresamente un derecho a la intimidad o a la vida privada más amplio. Los tribunales federales por lo general  han considerado este derecho como una cuestión de legalidad. En 1972, los ciudadanos del Estado de California  añadieron a la Constitución de California un derecho expreso a la intimidad y la vida privada en las elecciones generales, pero el Tribunal Supremo de California pondera el derecho constitucional a la intimidad con otras garantías constitucionales. Además, en California, los casos relacionados con la vida privada y la intimidad  suelen resolverse sobre la base de normas legales, no de la Constitución de California.

En Europa, en los últimos años, tribunales y legisladores han tratado de elevar la intimidad y la vida privada al estatus de derecho fundamental. En 2012, se estableció el derecho a la protección de datos en el art. 8 de la Carta de  Derechos Fundamentales de la Unión Europea, a pesar de que este derecho todavía no se menciona expresamente en la mayoría de las constituciones de los estados. Está por ver si ello es simplemente un «rights talk» (v. Paul M. Schwartz /Karl-Nikolaus Peifer, Transatlantic Data Privacy Law, 116 The Georgetown Law Journal 115, 138, 2017) o un factor decisivo para ponderar los derechos constitucionales en conflicto, como la seguridad, la libertad de expresión y de información, y la libertad de empresa.

Con todo, también existen razones que explican por qué los gobiernos no protegen los datos personales en determinadas situaciones.  El poder ejecutivo de los Estados desempeña muchas funciones, principalmente garantizar el cumplimiento de la ley, que requieren tratar datos y tienden a chocar con las políticas  de protección de datos. Además, los legisladores y los tribunales también salvaguardan intereses y objetivos políticos que entran en conflicto con la privacidad de los datos, como la libertad de información y la libertad de empresa. El derecho de una persona a recoger y compartir información sobre otra persona puede afectar al interés de otra en la privacidad de sus datos. Los  diversos sistemas jurídicos sopesan estos objetivos políticos en conflicto de manera diferente. En EE. UU., por ejemplo, la libertad de expresión, información y de empresa tienen una consideración relativamente alta y, por ello, no se promulgan el tipo de leyes de protección de datos que predominan en Europa. Además, después de los ataques terroristas del 11 de septiembre de 2001, EE.UU. se ha centrado mucho en la seguridad nacional y en reforzar los programas de vigilancia del gobierno (v. Lothar Determann and Karl-Theodor zu Guttenberg, On War and Peace in Cyberspace: Security, Privacy, Jurisdiction, 41 Hastings Const. L.Q. (2014); see also). En Europa, por otro lado, algunas personas todavía recuerdan lo que la vigilancia de los regímenes totalitarios les ha hecho a ellos y a sus conciudadanos. Los legisladores europeos han actuado decisivamente para limitar el tratamiento automatizado de datos personales y han establecido excepciones muy restrictivas para la prensa, los medios de comunicación y las actividades no comerciales. Cualquier persona que intente comprender, interpretar y aplicar las normativas de  protección de datos debe considerar los diversos intereses en conflicto y su estado relativo en el sistema jurídico en el que se aplican. Sin seguridad, no puede haber intimidad; si la seguridad no se protege, los delincuentes, las empresas y los gobiernos extranjeros invadirán la intimidad de los individuos. No obstante, puede haber seguridad sin ninguna intimidad. Un estado totalitario  centrado  en la seguridad absoluta controlará  a todos los  individuos a costa de su intimidad. No puede haber libertad de expresión ni democracia sin intimidad ni seguridad. Todos los países necesitan encontrar un equilibrio entre la intimidad y la seguridad, acorde con lo que las personas o los representantes consideren adecuado.

¿Cómo proteger  jurídicamente la intimidad? El dilema

Los términos «legislación sobre privacidad de datos» y «normativa de protección de datos de carácter personal» se utilizan con frecuencia de forma intercambiable. Sin embargo, ambos conceptos normativos tienen orígenes y propósitos muy diferentes:

La protección de datos de carácter personal trata de proteger la información relativa a las personas físicas. El centro de atención inmediato no es la persona individual, sino los datos sobre una persona física. Al proteger los datos personales, estas normativas pretenden proteger indirectamente a las personas (los titulares de los datos) de los efectos derivados del tratamiento automatizado de datos. La norma por defecto es «verboten» (alemán para: prohibido). Las empresas y otras organizaciones tienen prohibido, por lo general, tratar datos personales, excepto que recaben el consentimiento de sus titulares ??o exista una exención legal aplicable (v. art. 6(1) GDPR). Las legislaciones europeas de protección de datos se orientan ante todo y principalmente a restringir y reducir el tratamiento automatizado de datos personales. En la práctica, muchas empresas en Europa recogen y procesan datos personales tanto como sus competidores en otras partes del mundo. Las normativas europeas de protección de datos establecen excepciones y sus titulares ??otorgan su consentimiento para permitir que se traten. Pero, en todo caso, para comprender y aplicar las normativas europeas de protección de datos es preciso tener en cuenta la hostilidad que tiene Europa hacia el tratamiento de datos personales y de bases de datos. Y, esta hostilidad es probablemente una de las razones que explican por qué las empresas europeas no lideran los sectores de la economía de la sociedad información, como el comercio electrónico, la computación en la nube, el software como servicio y las redes sociales, donde la mayor parte de la innovación y líderes del mercado proviene Estados Unidos y cada vez más de Asia.

Las legislaciones sobre privacidad de EE.UU., en cambio, permiten, por lo general, el tratamiento de datos. La normativa sobre protección de la  “privacidad” de los datos se dirige principalmente a proteger a las personas físicas de cualquier intrusión a su intimidad y de la intercepción de las comunicaciones secretas. Como consecuencia de esta aproximación, no suele prohibirse la recogida y tratamiento de datos, excepto cuando los individuos tienen una expectativa razonable de privacidad en un determinado contexto. Las empresas pueden, y así lo hacen con frecuencia, destruir esta expectativa poniendo en conocimiento de las personas las actividades de recogida y tratamiento de datos que realizan (ad ex. a través de los manuales de los trabajadores, de las políticas de privacidad publicadas en sus páginas web, colocando advertencias sobre la existencia cámaras de seguridad en sus establecimientos). Las personas físicas tienen cierta protección en la intimidad de sus hogares, pero las comunicaciones y actividades que realizan fuera de ese entorno tienen escasa  o nula protección  (ad ex. información inscrita en registros públicos, reuniones celebradas en abierto, llamadas a teléfonos móviles en público, publicaciones en Internet o en plataformas de redes sociales, etc.). En lugar de crear una ley sobre protección de datos de tipo “paraguas”, EE.UU ha promulgado, tanto a nivel Federal como Estatal, normas sectoriales y específicas, que regulan un aspecto concreto de forma muy delimitada, sin ocasionar demasiados daños colaterales a la libertad de expresión y al progreso tecnológico.

A diferencia de la UE,  en EE.UU. no se  han dictado (normalmente) leyes  que:

  • prohíban a las empresas recoger o usar datos personales, a menos que exista una excepción legal
  • exijan que se minimicen o destruyan los datos
  • establezcan agencias de protección de datos o exijan registros de bases de datos
  • restrinjan la comunicación internacional de datos
  • obliguen a las empresas a presentar documentos para acreditar que cumplen con la normativa de protección de datos
  • obliguen a las empresas a nombrar un agente de protección de datos (excepto en el sector sanitario bajo una ley federal)
  • exijan análisis de impacto sobre la protección de datos
  • incluyan juicios de valor sobre la conveniencia de las legislaciones de protección de datos o de los estándares de protección establecidas en las mismas de otros países.

Las normativas sobre Seguridad de los Datos tienen por objetivo proteger a los individuos de ciertos daños causados por el acceso no autorizado a información personal, y más en particular, por los casos de robo de identidad (delincuentes que usan datos personales ajenos para comprar o hacer cargos en sus tarjetas de crédito).  Entre este tipo de normativas  se encuentran, por ejemplo, las leyes que obligan a notificar al afectado la filtración indebida de datos. California aprobó la primera ley de estas características en el año 2003, y fue imitada posteriormente tanto por la mayoría del resto de los estados como por muchos países, incluido, recientemente, Europa (v. art. 33 and 34 GDPR). Las normativas de protección de datos europeas contienen también exigencias y requisitos sobre seguridad de los datos (v. art. 24, 32 GDPR) y son necesarias para garantizar la privacidad.

La normativa sobre residencia y retención de datos es por su naturaleza contraria a la privacidad y tiene objetivos muy distintos de los que persigue la normativa de protección de datos de carácter personal y la de privacidad de los datos. Por su virtud , y con el fin de cumplir con las exigencias normativas, auditorías fiscales y seguridad nacional, países como Rusia, Indonesia y la República Popular de China intentan garantizar que los datos estén disponibles a nivel local y por períodos de tiempo lo más breves posible. La UE y  EE.UU son contrarios a este tipo de normas, pero han establecido requisitos mínimos de retención para ciertas categorías de datos. Las normas que atribuyen la titularidad de los datos se proponen con escasa frecuencia. Y cuando lo hacen es para proteger la información relacionada con la autodeterminación  de las personas o las inversiones efectuadas por las empresas para crear  bases de datos.  Pero precisamente porque otorgan derechos sobre los datos entran en conflicto de forma inevitable con  la legislación sobre privacidad de los datos, se entrometen demasiado en la libertad de información e imponen cargas insoportables a la innovación y al gobierno. De ahí que hayan sido rechazadas en gran medida por los legisladores  de todo el mundo (v. Lothar Determann, No One Owns Data, 70 Hastings Law Journal 2018 ).

Lo que está por venir

Las tecnologías de tratamiento de datos han venido aquí para quedarse. La recopilación, uso e intercambio de datos aumentarán. Y, de hecho, deben hacerlo para mejorar la investigación y curar enfermedades; tratar a pacientes con técnicas personalizadas y de alta precisión; desarrollar inteligencia artificial; permitir que los automóviles autónomos reconozcan y protejan a las personas; fomentar la comunicación a nivel global; crear block-chains fiables y proteger la seguridad nacional e internacional. La restrictiva regulación europea es contraproducente si se quiere sacar el máximo rendimiento a las muchas oportunidades que brinda la innovación basada en datos. Además, muchos de los datos personales de la mayoría de las personas ya están almacenados en numerosas bases de datos legítimas e ilegales en todo el mundo (v., Thieves Can Now Nab Your Data in a Few Minutes for a Few Bucks; ‘If someone wants to find my Social Security number, it will take them exactly $3 and five minutes,’ a data security specialist said, (2018/12-8).

La regulación sobre protección de datos europea no ha sido efectiva en el pasado y no promete ser mejor en el futuro. Las empresas y los gobiernos europeos están usando, y seguirán usando, tecnologías, productos y servicios muy similares a sus homólogos estadounidenses. Actualmente, la mayoría de tecnologías de la información, productos y servicios las desarrollan líderes de la industria fuera de Europa. Pero los titulares datos –personas físicas- están expuestos a los mismos riesgos y preocupaciones desde la óptica de su privacidad en la UE que en cualquier otro lugar. Además, las normativas de protección de datos “paraguas” que tratan de regularlo todo son injustificadamente vagas y difíciles de actualizar. La UE tardó más de 20 años en reemplazar la Directiva de protección de datos por el GDPR. Es más, la Directiva de protección de datos de 1995 era simplemente una versión armonizada de las leyes nacionales de protección de datos que existían en la década de 1970, antes de que entrasen en escena  los canales privados de televisión, Internet, los teléfonos móviles, el big data, la computación en la nube y otras tecnologías entraran en escena.

Cada vez hay más seguidores que van en la dirección equivocada. A pesar de las obvias deficiencias de que adolecen las normativas europeas de protección de datos, cada vez son más los países (fuera de Europa) que han promulgado normativas similares. Y ello, por razón, entre otras, porque entender que las normativas de protección de datos de UE son «adecuadas» es beneficioso para el comercio transfronterizo. El procedimiento contemplado por la Directiva de protección de datos y también en el GDPR ha conducido a resultados sorprendentes: desde el año 1995, tan sólo se ha considerado que tenían en general «un nivel de protección de datos adecuado» Argentina, Canadá, Israel, Nueva Zelanda, Uruguay y algún que otro país más de pequeña dimensión (V. and Lothar Determann, Adequacy of data protection in the USA: myths and facts, International Data Privacy Law 2016).

Por su parte, las legislaciones sobre de privacidad de EE.UU. se han vuelto inmanejables como se ha explicado más arriba. En particular, la ley californiana a la que se ha hecho referencia impone obligaciones demasiado complejas y detalladas a las empresas y no compatibles con los requisitos que se exigen en otras jurisdicciones. Las empresas no pueden encontrar la salida en este laberinto. EE.UU. necesita una reforma que se proyecte sobre la legislación de carácter federal.

Para los legisladores es relativamente sencillo dictar normas de seguridad y protección de datos. Todos podríamos convenir en lo que a primera vista parece una seguridad adecuada; esto es: que las personas no autorizadas  no accedan a información confidencial. Además, si se acepta, del modo en que lo hacen  los legisladores de la UE, que el tratamiento de datos personales es básicamente perjudicial  y peligroso, es fácil convenir también tanto en los requisitos de procedimiento y administrativos que establece en el GDPR como en la exigencia de minimizar los datos que éste contiene.  Lo difícil, sin embargo, es elaborar normativas sobre privacidad que sean proporcionadas y equilibradas y que se orienten a prevenir daños y proteger la libertad de expresión, la información y la innovación. No todos estamos de acuerdo en lo pareciera ser una privacidad adecuada. El acusado que exige que la policía no entre en su casa o en su ordenador obstruye las investigaciones criminales o las medidas de seguridad nacional. Un paciente que rechaza los ensayos clínicos o la investigación impide el progreso en el campo de la medicina. El trabajador que se opone a que su empleador le supervise en su lugar de trabajo hace que a los demás empleadores les resulte más difícil prevenir la adquisición ilícita de secretos empresariales. El político que exige el «derecho a ser olvidado» afecta a la libertad de expresión y a los derechos de información de otros ciudadanos. 

Los principales problemas que suscita el tratamiento de datos personales están relacionados con abusos, como pueden serlo, la discriminación por parte de los empleadores o parte de las compañías de seguros o, incluso, como resultado de la aplicación de una determinada norma. El tratamiento de datos en sí mismo no perjudica a los titulares de datos. Sin embargo, para los legisladores no es fácil convenir en la línea que separa el uso legítimo y de los abusos. Por ejemplo, hay quienes consideran que las compañías de seguros deberían poder conocer los hábitos de salud de los asegurados y ofrecer descuentos a los no fumadores o a otros sujetos en función del ejercicio y los hábitos alimenticios que tengan para fomentar conductas de menor riesgo. Otros ven en ello una sanción injusta para los fumadores o personas con sobrepeso y sienten que su privacidad se lesiona si las empresas de seguros vigilan sus niveles de ejercicio y hábitos de consumo. Es más, las normas que prohíben los abusos no son fáciles de ejecutar o hacer valer. Puede parecer más sencillo prohibir totalmente la recopilación de datos personales  y, así, evitar posibles abusos. Pero, eso sería excesivo. Los países no prohíben los automóviles para reducir los accidentes de coche, sino que dictan  distintas normas de tráfico, pese a que sean más difíciles de diseñar y hacer cumplir. Del mismo modo, necesitamos normas diversas centradas en evitar perjuicios a la privacidad, que deben actualizarse constantemente a medida que evolucionan las tecnologías y las amenazas. Los legisladores deberían centrarse en regular determinados daños que afectan a la intimidad y diseñar normas que sopesaran de manera proporcional la privacidad con otros intereses. Asimismo, no deberían seguir o recurrir al enfoque europeo consistente en prohibir o regular ampliamente el tratamiento de datos personales, pues ello no ha conducido a una protección de la privacidad más efectiva en Europa en el pasado y sólo ha logrado impedir el progreso científico y comercial en el sector de tecnología de la información, que ahora dominan empresas no europeas. El tratamiento de datos en sí mismo no es perjudicial para las personas. Por el contrario, es necesario y en gran medida beneficioso. Los legisladores deberían fomentar y permitir el intercambio seguro de datos y centrar sus esfuerzos en hacer que las leyes se cumplan para prevenir y perseguir abusos como el delito cibernético, el fraude y la discriminación. Si los legisladores crean normativas generales de privacidad, deben hacerlo de forma que permitan su adaptación a las nuevas tecnologías, prácticas comerciales o amenazas que puedan surgir.


*Traducción de Áurea Suñol.