El llamado Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe) es sencillamente demoledor leído desde la óptica de un jurista inmerso, como es el caso, en el despliegue de proyectos de investigación en el ámbito de la salud centrados en la gestión de grandes conjuntos de datos para el desarrollo de inteligencia artificial y analítica de datos en la imagen médica de cáncer. Seamos sinceros, desde el punto de vista de muchos legisladores, reguladores sectoriales y del mundo de la academia, es posible que la posición de Mario Draghi no se comparta en absoluto. No olviden, que la Unión Europea es un gigante regulador que en el ámbito de la transformación digital define una senda normativa dirigida a asegurar los derechos fundamentales, el estado de derecho, la democracia y nuestro sistema de libertades. Sin embargo, el Informe exige una lectura atenta y obliga a extraer lecciones que puedan resultar de utilidad. Veamos algunas de las afirmaciones del documento.
Una vez que las empresas alcanzan la fase de crecimiento, se encuentran con obstáculos normativos y jurisdiccionales que les impiden transformarse en empresas maduras y competitivas.
En la práctica se señala que decidir la ampliación de la escala de una empresa impone costes muy altos para las empresas jóvenes que se enfrentan a barreras normativas que limitan el crecimiento. Estas barreras derivan de la existencia de procedimientos complejos y costosos en unos sistemas nacionales fragmentados que les impiden aprovechar el Mercado Único.
Existe una superproducción normativa en el marco de regulación de las empresas tecnológicas
Se afirma que existen más de 100 leyes centradas en la materia y más de 270 reguladores activos en el Mercado Único. Ello implica que las empresas se vean disuadidas a la hora de hacer negocios en toda la UE a través de filiales, ya que se enfrentan a requisitos heterogéneos, a una proliferación de agencias reguladoras y a la «sobrerregulación» por parte de las autoridades nacionales. Además, se señala cómo la fragmentación pone a las empresas de la UE en desventaja con respecto a EE.UU., que confía en el sector privado para crear grandes conjuntos de datos, y China, que puede aprovechar sus instituciones para la agregación de datos. Por si esto fuera poco, el informe afirma que la aplicación de las normas de competencia de la UE puede inhibir la cooperación dentro de la industria y la multiplicidad de normas nacionales en materia de contratación pública genera elevados costes permanentes para los proveedores de servicios en la nube.
El efecto, aparentemente contraintuitivo pero destacado ya por reputados expertos es que las empresas europeas carecen de estímulo para crecer y expandirse territorialmente en el Mercado único y precisamente quien cuenta con estructura de soporte y músculo financiero para asumir los costes operacionales y jurídicos de ello son precisamente grandes empresas, que a menudo no tienen su sede en la UE (Viktor Mayer-Schönberger y Thomas Ramge). El Informe es preocupante cuando constata no sólo la existencia de problemas para la aparición de empresas innovadoras y para su crecimiento apuntando al decrecimiento. Y lo hace con un ejemplo muy gráfico: la posición de la UE en sectores innovadores, como el farmacéutico, está empeorando debido a los mismos problemas de escasa inversión en I+D y a la fragmentación normativa. Desde nuestra experiencia que confirma las afirmaciones del Informe una de las razones reside en que la habilitación del Reglamento General de Protección de Datos (LA LEY 6637/2016) a los Estados para regular el tratamiento de categorías especiales de datos con fines de investigación ha tenido por efecto limitar el acceso a los datos sanitarios por la fragmentación regulatoria. Y esta no es desde luego una inferencia de Draghi, sino una realidad sobre la que no cabe discusión.
En estos momentos diseñar repositorios de datos de salud de alcance europeo se enfrenta a un vía crucis regulador. En algunos países la gestión burocrática, incluida la obtención de permisos es agotadora. En otros es necesario atender incluso a la regulación regional. En los más no existe demasiado problema para obtener datos retrospectivos a condición de una anonimización que suele considerarse imposible. El diseño del consentimiento hace inviable disponer de grandes volúmenes de datos para estudios prospectivos, de naturaleza longitudinal o a lo largo de la vida que exijan una vinculación, incluso seudonimizada, con el paciente real. Esto obliga a anonimizar. Y, en la mayor parte de los casos no se admite como válida una anonimización robusta con tratamientos intermediados por el software en espacios seguros y trazables. Todo ello tiene como consecuencia una reducción significativa del volumen, las variables disponibles y su precisión e incluso podría infringir las exigencias de diversidad o exclusión del sesgo en el Reglamento de Inteligencia Artificial (LA LEY 16665/2024). En la práctica, cuando se necesite tratar conjunto de datos de distintos países con la regulación vigente nos enfrentamos a catálogos de datos con restricciones de uso nacionales que harán imposible proyectar tratamientos simultáneos en distintos países.
Propuestas para la acción
El informe propone que «los inventores se conviertan en inversores» lo que implica agilizar y facilitar la gestión de la propiedad intelectual reduciendo tiempos, burocracia y costes. En lo que aquí interesa se propone llevar a cabo una evaluación exhaustiva del impacto de la normativa digital y de otro tipo en las pequeñas empresas, con el objetivo de excluir a las PYME de normativas que sólo las grandes empresas pueden cumplir, así como promover un estatuto de «empresa europea innovadora») con una identidad digital única válida en toda la UE y reconocida por todos los Estados miembros.
Debe señalarse, que algunas de las políticas propuestas han sido integradas de algún modo en la criticada legislación. Así, Data Governance Act debería crear el ecosistema para la generación de grandes conjuntos de datos, no sólo mediante aquellos aportados libremente por múltiples empresas, sino también con los que provengan del sector público, del altruismo de datos y del ejercicio del derecho de portabilidad que regula Data Act. Y lo mismo sucede con la promoción de sandboxes para el desarrollo de inteligencia artificial y su utilidad para evaluar periódicamente los obstáculos reglamentarios derivados de la legislación de la UE o nacional y proporcionar a los reguladores información de retorno procedente de empresas privadas y centros de investigación.
El informe recomienda acelerar la digitalización de los sistemas sanitarios y del Espacio Europeo de Datos Sanitarios
Por otra parte, se señala que la apertura del uso secundario de los datos sanitarios con fines de investigación tiene un gran potencial para afianzar las actividades de I+D+i del sector farmacéutico en la UE. A tal respecto, el informe recomienda acelerar la digitalización de los sistemas sanitarios y del Espacio Europeo de Datos Sanitarios (EHDS), y ampliar las capacidades de 1+Million Genome Initiative. Ideas que se comparten, pero con la intuición de que la mirada debe ir más allá del horizonte farmacéutico y entender que la Propuesta de Reglamento sobre el Espacio Europeo de Datos Sanitarios abre el campo para un ecosistema muy amplio de innovación.
Sè non e vero è ben trovato…
La primera emoción que sentirán muchos juristas al leer esta sección del Informe se parece tal vez mucho a la fase de negación del duelo. La literatura jurídica, ética y filosófica que demoniza el modelo de negocio de las tecnológicas norteamericanas es amplísima. En esencia se trata sencillamente de un capitalismo de la vigilancia, de naturaleza depredadora que, de la mano de buscadores y redes sociales, ha canibalizado Internet y se ha apropiado de nuestros datos. Disponer de ingentes volúmenes de datos ha permitido un crecimiento exponencial, primero del negocio publicitario y, después de enteros sectores de negocio ya sea por la naturaleza informacional del mismo, ya sea por la enorme capacidad de adquisición de empresas emergentes. En Vida 3.0 Mark Tegmark presenta una utopía en la que ingenieros de este tipo de empresa diseñan en secreto una IA de propósito general que sigue esta ruta para reinvertir lo ganado en promover el bien común y la democracia universal.
Y con independencia de nuestra posición ideológica y dogmática es un hecho que la depredación de nuestra vida privada, de los más elementales valores democráticos e incluso de los derechos de nuestros niños y niñas alimentó el modelo de negocio al que nos referimos. Pero también es un hecho que al parecer no hicimos nada. Nuestro Estado de Derecho, y sobre todo sus servidores, fuimos incapaces de embridar lo que se nos venía encima con las herramientas a disposición, seguramente con la excepción de algún tribunal francés, alemán e italiano y con la notable excepción del llamado derecho al olvido.
Un elefante en la habitación…
Con la lección aprendida hemos diseñado un ecosistema normativo que pretende resolver en gran medida una parte de los problemas que se señalan. Sin embargo, no basta con ello. Es necesario entender en dónde se encuentran gran parte de los problemas y por qué no sólo no desaparecerán, sino que podrían incluso agravarse.
En primer lugar, es necesario corregir el enfoque con el que se aplica el Reglamento General de Protección de Datos (LA LEY 6637/2016), a nuestro juicio particularmente erróneo. El primer gran error del legislador no fue otro que atribuir a las leyes nacionales la regulación de la investigación en interés público. La combinación es explosiva si tenemos en cuenta además que, en sectores críticos como la salud que emplean categorías especiales de datos, el RGPD permitía a los Estados miembros mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud. Eso nos permite afirmar, con fines meramente pedagógicos, que en muchos países la anonimización de los datos de salud es imposible y el uso de datos seudonimizados complejo, mientras que en España se permite el tratamiento de ambos tipos de datos sin consentimiento, y este último puede manifestarse de forma amplia permitiendo investigar en áreas médicas. Es decir, de mantenerse el statu quo España une a su normativa un grado de digitalización que le debería poner a la cabeza de la Unión Europea en la innovación e investigación en salud con datos.
La legislación es bastante menos relevante que el soft-law que emana de las autoridades de protección de datos
La protección de datos nos proporciona una segunda lección particularmente valiosa. Por grave que suene la afirmación en boca de un jurista, la legislación es bastante menos relevante que el soft-law que emana de las autoridades de protección de datos. De hecho, estas agencias independientes tanto en el plano nacional como en el del Comité Europeo de Protección de Datos fijan criterio mediante informes, decisiones, guías o resoluciones sancionadoras. Y su palabra es la Ley. Es más, el reforzamiento de su capacidad de enforcement genera un estado de cosas que de generalizarse podría dinamitar cualquier esfuerzo nacional o europeo de impulso de la transformación digital por varias razones.
En primer lugar, porque generan situaciones de asimetría entre Estados. Tenemos dos guías sobre IA en España en la AEPD y otra en marcha en Francia en la CNIL. Existen guías propias o ajenas sobre anonimización de todo jaez, y en COVID tomar la temperatura en un espacio público fue razonable en unos países y gravísimo en otros. A esta asimetría hay que sumarle el enfoque interpretativo. Todas y cada una de las normas, desde la Directiva 95/46/CE (LA LEY 5793/1995) al casi publicado EHDS proponen como objetivo principal promover la circulación, el intercambio y la reutilización de datos como soporte indispensable para el funcionamiento del Mercado Interior y el despegue de la innovación, la investigación y la economía. Para ello era indispensable garantizar el derecho fundamental a la protección de datos y, a través del mismo, nuestro sistema de libertades. La cuestión, es que el marco de interpretación y aplicación ha pivotado exclusivamente en torno a la garantía del derecho fundamental como objetivo central y único. Incluso durante el periodo más grave para la salud y la seguridad de nuestras sociedades, la pandemia de COVID, la interpretación no sólo de las autoridades sino también de reputados expertos, mantuvo una aproximación liberal-individualista que sacrificó el bien común y socavó la confianza de la ciudadanía en la acción del Estado.
Por otra parte, la cuantía de las multas y la configuración constitucional de las autoridades las convierte en generadoras de una suerte de jurisprudencia escasamente atacable. En nuestro país los costes procesales de discutir el criterio de la autoridad ante una corte especializada con sede en Madrid convierten cualquier resolución sancionadora menor en inatacable debido a la relación coste-beneficio. Por otra parte, cuando se tratan datos de salud la amenaza de las gravísimas sanciones y el enorme perjuicio reputacional de la declaración de una infracción, operan causando autocensura en el ámbito de la innovación y la investigación. Y, llegados a este punto, se produce un efecto paradójico. La persona delegada de protección de datos, que supervisa y que no decide, posee la capacidad de detener cualquier idea innovadora en cuanto abre la Caja de Pandora. Y con ello, profesionales cuya responsabilidad máxima debería ser hacer conciliables los dos objetivos del RGPD, esto es, tratar datos garantizando derechos, se limitan a emitir juicios binarios y generalmente defensivos que en no pocos casos paralizan los proyectos.
Una tercera cuestión, muy bien entendida en el Informe Draghi, consiste en el coste que implica el marco de funcionamiento actual. El soft-law es más importante que la propia ley y el regulador utiliza instrumentos no normativos para fijar criterios que son jurídicamente irrecurribles. A mayor abundamiento esta producción de guías se genera desde una aproximación autoritativa sin apertura a la participación del sector. Y es una pena, que no se consensue con los sectores concernidos y que las autoridades de protección de datos no se abran sin prejuicios a la participación. Porque la experiencia demuestra que nadie sabe todo, que nadie piensa en todo y que nadie es inmune al error. Y, las más de las veces la escucha atenta y participativa incorpora la semilla que nos hace crecer. En cambio, cuando se recurre a una auctoritas inapelable se publican documentos de excelencia, a veces casi estándares, pero de imposible aplicación para una PYME debido a los costes. Y no sólo por la dificultad material, sino también porque el lenguaje del regulador es demiúrgico y necesita ser descodificado por intérpretes expertos que tienen el feo vicio de facturar a precios inalcanzables para esos jóvenes cuyo trabajo final de máster podría haber sido el próximo unicornio. Y ello condena a las empresas y a las personas innovadoras a decisiones imposibles. La primera, y aparentemente peor, consiste en jugar a la ruleta del riesgo regulador, a que la multa sea inferior a la oportunidad de negocio. Porque en realidad lo que trágicamente sucede es que el emprendimiento se deslocaliza en territorios más amables o sencillamente se aborta cualquier innovación. En uno y otro caso perdemos talento y oportunidades.
En España ha proliferado el LOPD Coste 0, en el que se desvían fondos de formación a la consultoría de protección de datos de baja calidad
Por otra parte, por alguna extraña razón el legislador parece haber creído que el Reglamento General de Protección de Datos (LA LEY 6637/2016) se está aplicando y funciona. Nada más lejos de la realidad. Aplicar la norma no se encuentra al alcance de una PYME, y créanme cuando afirmo que en la mayor parte de los casos la aplicación del RGPD es epidérmica y se basa en formularios de copiar-pegar y en procesos estandarizados cuya similitud con el enfoque de riesgos del RGPD se parece lo que un huevo a una castaña. Además, en un país como España ha proliferado un cáncer llamado LOPD Coste 0, en el que se desvían fondos de formación desde hace un decenio a la consultoría de protección de datos de baja calidad. Súmese que no se exige responsabilidad alguna a la administración para llegar a una conclusión significativa: no sólo, es que será difícil que nuestra economía sea competitiva, es que en gran medida el déficit estructural en cumplimiento normativo será un lastre.
Eppur si muove…
Y, sin embargo, desde un entendimiento dinámico y proactivo el marco jurídico digital de la Unión Europea podría suponer una ventaja competitiva. Solo por citar algunas normas, eIDAS 2 abre el camino a revolucionar la gestión de la identidad digital en todas sus dimensiones y dotar de robustez y seguridad a nuestro modelo económico. La confluencia de tecnologías habilitadoras, blockchain, multi-party computation, la encriptación homomórfica, la privacidad diferencial y los datos sintéticos, abren el campo a compensar nuestra carencia de hiperescalares en el manejo de datos con fórmulas de compartición de datos. La apertura de datos público-privados que proponen Data Governance Act y el EHDS abre un extraordinario horizonte de esperanza. Y Data Act y el altruismo de datos de data Governance Act podrían suponer un acicate para la participación ciudadana.
De ser cierta la afirmación de Kjartan Rist en Forbes la Unión Europea está demostrando fortaleza en el despliegue del ecosistema de start-up y, lo que es más interesante es capaz de liderar sectores relevantes en investigación y formación en titulaciones STEM. El talento existe, la voluntad también. Llegados aquí, la pregunta es obvia. ¿Vamos a cometer los mismos errores? Este partido no se juega sólo en el elevado espacio de las ideas y los valores. Como señalaron Andrés Pedreño y Luis Moreno nos hallamos inmersos en una batalla geopolítica. Y quienes trabajamos muy duro para que exista un campo de juego que permita a la Unión Europea ser algo más que early adopters o meros compradores, y liderar la tecnología con fortaleza y principios democráticos buscamos cada día soluciones funcionales. Y este duro territorio no es apto para quienes no sean capaces de sumergirse hasta las cejas en el contexto de cada escenario de innovación con una mente abierta y creativa.
Es necesario que las guías y criterios que se generan sean el resultado de un trabajo conjunto y del consenso. El regulador no perderá ni un ápice de su autoridad e independencia por ello
Los verdaderos campeones de la privacidad y los derechos son aquellos que se esfuerzan en que lleguen al mercado productos confiables y para ello no necesitan lecciones dictadas desde la lejanía y la mera teoría del derecho, necesitan ayuda, diálogo y escucha atenta. Y para ello debe cambiar una parte de la metodología de los reguladores. La protección de datos, para ser exactos el cumplimiento normativo desde el diseño y por defecto, es el camino que deberían emprender los reguladores en su propio trabajo. Pero este concepto no es estático y formal sino dinámico y enfocado a la realidad. Y ello exige un esfuerzo adicional de trabajo con los sectores y de escucha atenta. Existen procesos e instrumentos óptimos como son los códigos de conducta vinculantes y los esquemas de certificación. Pero también es necesario que las guías y criterios que se generan sean el resultado de un trabajo conjunto y del consenso. El regulador no perderá ni un ápice de su autoridad e independencia por ello y, a cambio, podría obtener el compromiso activo de los sectores regulados en marcos de cumplimiento viables, entendibles y adaptados al contexto.
Hay que leer bien el Informe Draghi cuando se refiere al papel del Derecho y de la proliferación de autoridades reguladoras. Esta política legislativa no tiene marcha atrás. Así que el futuro de la Unión Europea se juega justo en el territorio de los reguladores que pasan a ser mucho más que meras instituciones de control y verificación administrativa y garantes de derechos. Su papel adicional, no debería ser otro que, sin renunciar a su esencia convertirse en los agentes que definirán un futuro viable para nuestra innovación, investigación y competitividad. ¿Lo habremos entendido?
Ricard Martínez Martínez
Director de LA LEY PRIVACIDAD
Profesor de Derecho Constitucional de la Universitat de València