¿Existe un habeas data, un derecho de los ciudadanos a controlar sus datos en la red? Las propuestas legales europea y americana a estudio
Juan Antonio Martínez ha presentado un estudio en la Facultad de comunicación institucional de la Santa Cruz (Roma) sobre el proyecto de ley que la Comisión Europea, por una parte, comenzó a tramitar en enero de 2012, la Propuesta de Reglamento General de Protección de Datos (1) y el marco regulatorio de la privacidad en el contexto de la economía digital que la Casa Blanca, por su parte, aprobó en febrero de 2012, la Consumer Data Privacy in a Networked World (2).
Que haya motivos de preocupación para el legislador de las dos orillas del Atlántico es innegable. Y no solo por los escándalos generados por las filtraciones de Wikileaks y Snowden, que han llevado a discutir, en el Senado americano y en la opinión pública internacional, la política de espionaje de la Seguridad etadounidense que se ha servido de la colaboración voluntaria – vagamente permitida por las leyes antiterrorismo- de las grandes compañías de Internet que poseen datos personales de millones y millones de usuarios, es decir ciudadanos. Los representantes de algunas de estas compañías (Yahoo, Facebook, Google, Microsoft, Apple, Skype, Twitter) un tiempo financiadores entusiastas de las campañas electorales de Obama y amigos de comparecer públicamente en los “salotti” del Presidente, han decidido distanciarse de la Casa Blanca. El mismo Obama ha debido dar mensajes explícitos, por ahora solo retóricos, de la necesidad de revisar las políticas de vigliancia de los ciudadanos a través de sus datos almacenados por todas partes.
Incidentalmente, sorprende que el interés de la Casa Blanca en la protección de los datos de los consumidores, bien elocuente en el marco regulatorio aprobado por la misma Casa Blanca apenas pocos meses antes, no se haya “extendido” a los ciudadanos. Parece como si consumidores y ciudadanos fuesen dos categorías distintas. En realidad, y como bien explica Martínez en su trabajo, las preocupaciones que han dado origen a la Consumer Data Privacy in a Networked World son de índole comercial, no política. Lo que interesa en ese texto es saber a quién pertenecen los datos de los usuarios -¿a las empresas de servicios en Internet que los obtienen con el consentimiento de sus usuarios o a éstos, y hasta qué punto?- y cómo asegurar un comercio libre y no frenar la innovación tecnológica.
No sólo historias de espías y filtraciones
Hablar de internet es hablar de datos. Y hablar de datos es, en definitiva, hablar de personas. Eric Schmidt, quien fue consejero delegado de Google Inc. hasta 2011, afirmó hace unos años que “hay cinco exabytes de información creados desde el nacimiento de la civilización hasta 2003. Ahora, esa misma información se crea cada dos días, y además ese ritmo de crecimiento se está acelerando”. La razón de semejante multiplicación del volumen de datos es el contenido generado por los usuarios. Para el consejero de Google, la información creada por los usuarios de internet y el estado actual de la tecnología permiten elaborar fácilmente perfiles para predecir la conducta personal: “La gente está describiendo cosas sobre sí mismos a través de vídeos y fotografías. Con un dispositivo móvil puedes contarnos a nosotros y a tus amigos dónde estás. Nosotros podemos usar la tecnología para predecir dónde vas a ir. Y eso es muy interesante. Podemos tomar una foto, y si hay catorce fotografías en internet, podemos predecir dónde estás con un 95% de fiabilidad”. La sociedad, continuaba más adelante Schmidt, no está preparada para las cuestiones que surgirán como consecuencia del contenido generado por los usuarios.
Cifras a parte, el hecho es que la mayor parte de nuestra interacción social se realiza hoy a través del intercambio de datos que son registrados, conservados y elaborados. Google, por ejemplo, almacena información de los usuarios de su servicio a través de cookies. Otro tanto sucede con Facebook, quien no oculta que utiliza las cookies para saber más del usuario y ofrecerle funciones, productos y anuncios que le puedan resultar interesantes para mejorar su experiencia en la red social.
Los escenarios descritos por películas como Terminator, Matrix o Minority Report parecen cobrar vida. En este caso el lado oscuro no lo encarnan máquinas perversas, sino el uso que puedan hacer de esos datos personales otros usuarios. Cualquier acción que en la vida “analógica” se perdería, en el mundo online queda almacenado, archivado y en muchos casos a disposición del público.
Un mismo desafío. Dos respuestas diversas
Recojo las principales conclusiones del estudio de Martínez acerca de los dos textos legales: El nuevo Reglamento europeo, de aplicación directa en todo el espacio europeo una vez aprobado, establece un mayor control del interesado sobre sus datos personales. Se consagra por ejemplo el derecho al olvido digital, como la facultad del interesado a exigir al responsable del tratamiento que ponga todos los medios razonables para suprimir y solicitar a terceros la supresión de toda información que pueda concernir a una persona (art. 17).
Otro nuevo derecho que intenta afianzar el poder de disposición del interesado es el de portabilidad de los datos (art. 18). Un usuario podrá solicitar al responsable del tratamiento una copia estructurada de su información personal que pueda utilizarse en un sistema de tratamiento similar.
Una última novedad importante del nuevo Reglamento europeo es el principio de ubicación del interesado (art. 3.1). El marco legal precedente preveía que la normativa aplicable era la del lugar del responsable del tratamiento de datos. A partir de ahora se aplicará la ley del titular de los datos. Ello exigirá la equiparación de la normativa para las empresas que operen dentro y fuera de la Unión Europea.
La estadounidense Consumer Data Privacy in a Networked World es la primera norma que aborda de un modo sistemático el tema de la protección de datos personales. El cuerpo central de esta propuesta lo constituye la Consumer Privacy Bill of Rights, una carta de derechos de privacidad del consumidor en el contexto digital. Esta carta de derechos establece una serie de principios que sirva a las empresas del entorno online como guía para establecer mecanismos de autoregulación sobre cuestiones de privacidad.
Los principios de la carta de derechos son siete: control individual del usuario, transparencia en la información proporcionada al consumidor, respeto por el contexto en el tratamiento de los datos, seguridad, derecho de acceso y corrección de la información personal, recogida de datos limitada al servicio que la empresa ofrece, y responsabilidad de las empresas en el tratamiento de datos.
En conclusión, a juicio de Martínez, el principio del respeto por el contexto en el tratamiento de información personal deja a las empresas un amplio margen para decidir sobre los fines del uso de datos personales. “La norma afirma que el elemento clave para entender el contexto de una cesión y tratamiento de datos viene dado por los fines de la relación de la empresa con sus consumidores. Este criterio deja en manos de las compañías la posibilidad de usar la información personal para fines distintos a los de su recogida, o de cederlos a terceros siempre que suponga una mejora del servicio prestado a sus clientes”.
Por su parte, la norma europea adolece de realismo. Por ejemplo, el derecho al olvido no está privado de dificultades técnicas, puesto que una vez que un dato personal circula por la red es muy difícil recuperar el control sobre él. En cuanto al criterio de ubicación, pone en desventaja a las empresas radicadas en el territorio comunitario respecto a la innovación y no alcanza a las empresas con sede fuera de Europa. Habrá que ver, por ejemplo, cómo acaban los procesos legales iniciados por empresas y ciudadanos de cinco países europos contre Google, el buscador más potente de internet, por no ajustarse al marco legal de protección de datos personales.
Conclusión: una nuevo habeas data
Diferencias aparte, que son reconducibles a tradiciones jurídicas y mentalidades diversas, lo cierto es que el legislador, empujado por los cambios tecnológicos y sus consecuencias sociales, está elaborando nuevos derechos que nacen de la necesidad de un poder de control del titular de sus datos personales. Junto a los tradicionales derechos objetivos de protección de datos -llamados por la doctrina derechos ARCO: acceso, rectificación, cancelación y oposición-, los nuevos marcos reguladores apuntan a afianzar las garantías procesales que hagan efectivos esos derechos. Como afirma Martínez, “esta garantía no consiste únicamente en el reconocimiento del derecho de protección de datos, sino en el poder efectivo de hacerlo valer ante terceros. Es lo que en el Derecho Romano se denominaba actio”.
Sin pretensiones retóricas, se puede hablar de un nuevo habeas data, que responde a idénticas exigencias y criterios de justicia que dieron lugar históricamente a un habeas corpus al inicio de los modernos Estados de derecho y luego a un habeas mente cuando los desafíos de la sociedad de la infromación llevó al reconocimiento de un right to privacy junto a otros derechos de la personalidad.
(1) El nombre completo de la Propuesta es Reglamento del Parlamento europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Al tratarse de una normativa europea con rango de Reglamento es vinculante para todos los países de la Unión, sin necesidad de que éstos lo reciban con una ley nacional de transposición. El texto de la Propuesta en español se puede encontrar en: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:IT:PDF .
A pesar de que el texto esté aún en fase de tramitación, a partir de ahora nos referiremos a él con la numeración de registro de entrada que le dio la Comisión, es decir, Reglamento 2012/0011.
(2) El nombre completo es Consumer Data Privacy in a Networked World: A Framework for Promoting Privacy and Promoting Innovation in the Global Digital Economy . A partir de ahora nos referiremos a ella con las siglas CODAP. El texto puede encontrarse en: http://www.whitehouse.gov/sites/default/files/privacy-final.pdf