Las y los profesionales de la privacidad podrían marcar los distintos hitos que se han ido produciendo en el país desde la LORTAD (1) . De hecho, basta con recuperar la exposición de motivos de aquella norma cuando afirma que «el progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida». La frase conserva sin duda toda su vigencia y, a un tiempo, su estilo ha ganado el peso de aquellas novelas clásicas que hojeamos atónitos cuando nos hablan en una lengua que nos es ajena.
Una norma de estilo en este editorial consiste en tratar de centrar la cuestión en una, o a lo sumo, en un par de materias de interés. Ello nos permite ofrecer una reflexión que se busca ponderada y mesurada y persigue, siempre desde la óptica del director, ofrecer a la audiencia un marco de reflexión en el que profundizar. Este reto va ser no ya difícil, sino prácticamente imposible de alcanzar en el número 16 de la Revista. Tal vez sea, la proximidad del verano, quien sabe si el fin cercano en 2024 de la legislatura del Parlamento Europeo, o una mera coincidencia. Pero lo cierto, es que la tarea se acumula y el reto para el profesional adquiere dimensiones ciclópeas.
Por ello, y a riesgo de caer en la asistematicidad, pero desde la honestidad intelectual, debe advertirse que el texto que llega a sus manos se construye como una suerte de edificio prefabricado con building blocks que guarda un frágil equilibrio en cuanto a su coherencia. Así, nuestra primera intención fue construir el editorial recuperando una cuestión que había sido objeto de consideración en el número anterior. En su informe N/REF: 0020/2022, la Agencia Española de Protección de Datos contenía una afirmación muy interesante, e incluso marcada en negrita, sobre el artículo 5 de la futura Ley 2/2023, de 20 de febrero (LA LEY 1840/2023), de protección al informante: ámbito material de aplicación
Por consiguiente, en virtud de las funciones que se le atribuyen legalmente, corresponde al órgano de administración u órgano de gobierno de cada entidad u organismo obligado ostentar la condición de «responsable del tratamiento» de los datos personales, de conformidad con lo dispuesto en la normativa sobre protección de datos personales, lo que debería recogerse en texto del propio artículo 5.
La posición de la Agencia Española de Protección de Datos resultaba ciertamente interesante en la medida en la que respondía a una tradición en la interpretación formalista de la norma de la que ya se disfrutó en el pasado, por ejemplo, al calificar como responsable del tratamiento a la figura de la administración concursal. Así pues, no ha sido infrecuente en el pasado atender a la literalidad de la norma desconociendo la sustancia de las cosas. En el caso que nos ocupa quienes trabajamos «al sol y a pie de obra» éramos conscientes de algunas cuestiones de orden práctico relativamente relevantes en lo relativo a los canales de denuncia. La primera de ellas, consiste en que frecuentemente las unidades que se ocupan de estas cuestiones funcionan con una relativa independencia. Es lo que se esperaría de los mecanismos de intervención o de las inspecciones de servicios. La segunda, y no menor, es que el o la «informante» difícilmente notificará hechos a un responsable del tratamiento que es «el órgano de gobierno», especialmente cuando la infracción afecte a este. Y, ello obligaba a formular recomendaciones tan surrealistas para gestionar el riesgo y la garantía d ellos derechos del informante como recomendar la existencia de un «responsable del tratamiento» sin permisos de acceso o consulta al sistema de información.
Por ello, el sucesivo Informe N/REF: 0054/2023 obliga sin duda a una cierta reflexión. En él la AEPD recuerda que «la consideración del órgano de administración u órgano de gobierno de cada entidad u organismo como responsable del tratamiento de los datos personales» deriva del citado Informe 20/2022, cuya finalidad...
...era contribuir a la correcta identificación de los responsables del tratamiento y de los posibles encargados, pero sin que fuera la intención de atribuir al Consejo de Administración de una sociedad mercantil una responsabilidad respecto del tratamiento de los datos personales en el Sistema interno de información diferenciada respecto de la que corresponde a la propia sociedad con relación a los restantes tratamientos de datos personales conforme al artículo 4.7. del RGPD (LA LEY 6637/2016), ni alterar el régimen de responsabilidad previsto en la normativa sobre protección de datos personales para adecuarlo al régimen de responsabilidad solidaria de los administradores recogido en el artículo 236 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital (LA LEY 14030/2010).
Y hete aquí que el regulador, que había desplegado una prolija y extensa disquisición en su primer informe, impecable sin duda, desde una visión hiperpositivista y teórica acaba concluyendo que:
Por todo ello, la correcta interpretación del artículo 5 de la Ley 2/2023, de 20 de febrero (LA LEY 1840/2023), desde la perspectiva de la protección de datos personales, requiere identificar como responsable del tratamiento a la entidad u organismo obligado por la ley a disponer de un Sistema interno de información, sin perjuicio de que las decisiones necesarias para su correcta implantación deban adoptarse por el correspondiente órgano de administración u órgano de gobierno.
Aunque, cabe preguntarse una obviedad. ¿Qué debería suceder en aquellas entidades públicas que venían haciendo descansar la atribución de responsabilidad del tratamiento en unidades de gestión como direcciones generales o servicios? El RGPD, admite calificar como responsable del tratamiento a una «autoridad pública, servicio u otro organismo». Si, como es el caso en el mundo de la Universidad la tarea se atribuye a un servicio de inspección o a una unidad de control interno, ¿por qué razón debería atribuirse la condición de responsable del tratamiento a la propia institución? Así pues, la protección de datos desde el diseño y por defecto no sólo le es exigible al legislador, al responsable del tratamiento o al encargado del tratamiento, también a la AEPD. Sus informes jurídicos, como ya hemos aprendido con las Guías, deberían incluir una fase de toma de requerimientos, de análisis y de gestión del riesgo, en la que no estaría de más incluir los hechos, la realidad en el funcionamiento de los flujos de información como elemento de referencia útil. Tal vez en el futuro debamos profundizar en el estudio de la posición constitucional de este regulador que como venimos aprendiendo influye decisivamente en la redacción de una Ley o fija criterios mediante informes o Guías que, no pudiendo ser objeto de recurso, se erigen en interpretación auténtica de amplios sectores de la legislación habida cuenta de la naturaleza instrumental del derecho fundamental a la protección de datos.
Como podrá apreciarse, a la luz de lo que a continuación referiremos, nuestro objetivo para el Editorial era discreto, incluso banal. Mientras meditaba este texto que, obviamente hubiera sido más denso, un terremoto normativo o jurisprudencial se avecinaba.
El 14 de junio se publicaban las «Enmiendas aprobadas por el Parlamento Europeo el 14 de junio de 2023 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión (COM(2021)0206 – C9-0146/2021 – 2021/0106(COD)». Y en ella dos nuevos considerandos determinantes:
Enmienda 6
Propuesta de Reglamento
Considerando 2 bis (nuevo)
(2 bis) Habida cuenta de que la inteligencia artificial a menudo se basa en el tratamiento de grandes volúmenes de datos y los muchos sistemas y aplicaciones de IA para el tratamiento de datos personales, conviene que el presente Reglamento se fundamente en el artículo 16 del TFUE (LA LEY 6/1957), que consagra el derecho de toda persona física a la protección respecto al tratamiento de los datos de carácter personal y prevé la adopción de normas para la protección de las personas en relación con el tratamiento de datos personales.
Nótese que esta expresa declaración de intenciones resulta particularmente significativa al invocar como base de legitimación competencial y fundamento del nuevo reglamento la atribución de un mandato expreso en los tratados de garantizar el derecho fundamental a la protección de datos.
Enmienda 7
Propuesta de Reglamento
Considerando 2 ter (nuevo)
(2 ter) El derecho fundamental a la protección de los datos personales está garantizado, en particular, por los Reglamentos (UE) 2016/679 (LA LEY 6637/2016) y (UE) 2018/1725 y la Directiva 2016/680 (LA LEY 6638/2016). La Directiva 2002/58/CE (LA LEY 9590/2002) protege, además, la vida privada y la confidencialidad de las comunicaciones, también estableciendo condiciones para la conservación de los datos personales y no personales en los equipos terminales y el acceso desde estos a los datos. Estos actos jurídicos constituyen la base para un tratamiento de datos sostenible y responsable, incluso cuando los conjuntos de datos incluyan una combinación de datos personales y no personales. El presente Reglamento no pretende afectar a la aplicación del Derecho de la Unión vigente que regula el tratamiento de datos personales, incluidas las funciones y competencias de las autoridades de supervisión independientes competentes para vigilar el cumplimiento de dichos instrumentos. El presente Reglamento no afecta a los derechos fundamentales a la vida privada y a la protección de datos personales tal como han sido establecidos en el Derecho de la Unión en materia de protección de datos y privacidad y consagrados en la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) (en lo sucesivo, «Carta»).
Esta declaración, esto es, la voluntad expresa de no interferir ni generar conflictos normativos admite, incluso obliga a una lectura proactiva, por lo demás obvia. Los instrumentos del RGPD, y singularmente los principios fundamentales de su artículo 5, el análisis de riesgos para los derechos, la evaluación de impacto relativa a la protección de datos, la protección de datos desde el diseño y por defecto o una adecuación de los valores de resiliencia, resultan un referente material y metodológico ineludible para el desarrollo de la inteligencia artificial. Por ello cobra un valor cualitativo singular el conjunto de guías desarrolladas por la Agencia Española de Protección de Datos y, particularmente la guía sobre Requisitos para Auditorías de Tratamientos que incluyan IA. Este es sin duda una esfuerzo aterrizado y escrito de modo funcional a la óptica o las necesidades del desarrollador. Por otra parte, es fundamental entender que el desarrollo de sistemas de IA no excluye los valores de la protección de datos incluso cuando no exista un tratamiento de datos personales. En primer lugar, porque si se opta por un entrenamiento de conjuntos de datos anonimizados el origen de los datos, la prueba de su tratamiento legítimo y las garantías de calidad que ofrece el RGPD incorporan un valor sustancial. De otra parte, cuando estos sistemas repercutan en la esfera de derechos de las personas existe una altísima probabilidad de que se generen nuevos datos, incluso cuando el punto de partida pudieran ser datos de otro tipo como los datos ambientales, geofísicos, químicos etc.
Esta última cuestión, conduce nuestro hilo de pensamiento hacía otro aspecto estratégico: los Espacios Europeos de Datos. En este ámbito el esfuerzo legislativo más avanzado es la Propuesta de Reglamento del Espacio Europeo de Datos de Salud. En esta materia la Presidencia Sueca publica un informe sobre el progreso de la tramitación cuyas principales conclusiones, cuyo contenido evidencia un esfuerzo significativo de trabajo por parte de los Estados Miembros, concretado en el primer semestre de 2023 en la revisión de los Capítulos I y IV a IX. El resumen, que declara intenciones pero no ofrece un texto, apunta a una completa reestructuración de la regulación de los usos secundarios que alcanzan a la redefinición de los criterios para el acceso a datos, delega en los Estados los criterios que rigen las relaciones de acceso directo con las entidades titulares de los datos, así como a la redefinición de los supuestos de corresponsabilidad que al parecer desaparecen y se precisan (2) . Para finalizar, apuntaremos un párrafo singular:
In Chapters V to IX, which focus on horizontal provisions such as additional actions, governance and deferred application, the Presidency strengthened the requirements and established a clearer link with the GDPR (LA LEY 6637/2016) for obtaining EU funding. In the articles related to the transfer of electronic health data to third countries, the Presidency changed the term ‘non-personal data’ to ‘anonymous data’, as it seemed more appropriate when referring to natural persons.
En primer lugar, hay un claro aviso para las universidades y los receptores de fondos de investigación: sin GDPR (LA LEY 6637/2016), o con un GDPR inadecuado «no hay dinero». Y, honestamente, se trata de una excelente noticia. Por otro lado, no es aventurado augurar que la gestión de las transferencias internacionales de datos ofrecerá tantos o más problemas como en el Reglamento General de Protección de Datos (LA LEY 6637/2016).
En nuestra opinión, esta norma presenta riesgos muy serios. En distintos foros en los que se ha discutido la versión de la Comisión se expone por los expertos en privacidad como si de una ley vigente se tratase. Este es un error gravísimo sin el menor género de dudas. La filosofía general de la Comisión en el planteamiento de esta norma se aleja significativamente de la metodología de protección de datos desde el diseño y por defecto, en realidad de cualquier metodología de diseño. Cuando una persona delegada de protección de datos se enfrenta al uso secundario de datos de salud, en primer lugar, debe dejar vagar libremente el talento y la creatividad del personal investigador. Cercenar el talento, limitar la investigación desde protección de datos constituye un error trágico con consecuencias desastrosas. Sencillamente, una vez definido el diseño inicial del proyecto este somete a un juicio primario de legalidad y proporcionalidad. Y si lo que se propone supera el filtro entran en juego todas las herramientas de análisis de riesgos y diseño en un proceso de una intensa iteración. Y ese, exactamente ese y no otro, es el método que debería haber seguido esta Propuesta cuyo texto dista mucho de la realidad de los usos secundarios.
De hecho, se parte de una asunción que difícilmente puede compartirse: «los problemas de protección de datos están resueltos en RGPD» y el modelo de «data altruism» se remite a Data Governance Act. Nada más lejos de la realidad. Los problemas no los ha resuelto en absoluto el Reglamento General de Protección de Datos (LA LEY 6637/2016), los ha agravado y no poco. La anonimización no se concibe del mismo modo en cada país, de hecho, puede afirmarse que la anonimización ni existe, ni está, ni se la creen en Alemania. Los usos prospectivos están sujetos a controles muy exigentes en países como Italia o Francia. Es más, diseñar un uso secundario retrospectivo de datos de salud es viable con un enorme sacrificio, plantearse estudios longitudinales o estudios prospectivos con centenares de miles de datos es un esfuerzo imposible. De hecho, uno a veces se ve obligado a tratar de entender bajo qué condiciones una autoridad de protección de datos exige garantías sobre el consentimiento para el uso de datos de personas fallecidas.
Así que, además, de seguir con atención la evolución de la norma haríamos muy bien en preguntarnos sobre su calidad y repercusión. Y, en un análisis más fino, si es capaz de resolver problemas y balancear el bien común y los derechos individuales. La deriva apuntada por la privacidad en COVID, el enfoque radicalmente liberal-individualista de las autoridades de protección de datos europeas, no permitiría sostener el avance en el uso secundario de estos datos. Además, siendo este el primer espacio de datos objeto de regulación, la apuesta es sin duda significativa.
Por otra parte, no podemos confiar en una concepción genesíaca de las leyes. Por mucho Reglamento del Espacio Europeo de Datos de Salud que se apruebe las cosas no suceden sin inversión. ¿Seremos capaces de proveer un adecuado nivel de servicio en tratamientos transfronterizos mediante federaciones de espacios de datos con nodos locales y analítica centralizada? ¿Garantizará un pequeño hospital la disponibilidad? ¿Cómo puede garantizar un sistema público de salud con una sola persona delegada de protección de datos para toda una comunidad autónoma el alto nivel de gobernanza jurídica que se exige? ¿Y el diseño de entornos seguros será viable? Los Organismos de Acceso a Datos, además de autoridad decisoria, ¿serán proveedores de servicios de tratamiento? Y ni una sola respuesta a esta pregunta será útil si no existe una infraestructura técnica y de gobernanza que debe construirse desde hoy. Al menos, la Agencia Española de Protección de Datos y ENISA han oteado el horizonte y se han puesto a trabajar. Así, que este verano olvide Vd. la literatura y plantéese seriamente leer por ejemplo: «Aproximación a los espacios de datos desde la perspectiva del RGPD»; «Ingeniería de compartición de datos personales» o «La adopción de técnicas de seudonimización. El caso del sector sanitario»
Para finalizar sobre el Data Privacy Framework permita el lector que no avancemos conclusiones. De hecho, podría ser el momento para vaticinios o augurios. En el día de su publicación Max Schrems afirmó que el nuevo marco era una copia de viejos principios. No compartimos necesariamente su opinión. Sin embargo, existe un hecho evidente. Desde el punto de vista de la justicia material por mas órganos de control y asistencia que se creen en EEUU la cuestión no va a mejorar. Un consumidor puede demandar a un proveedor norteamericano en el juzgado de lo civil de su pueblo. ¿Cómo va a evaluar desde un punto de vista material un juzgador europeo un proceso que parece obligar a litigar en EE.UU. respecto de un dato que se trató desde la Unión Europea? En mi opinión, el elemento nuclear subyacente es otro: ¿garantiza EE.UU. nuestros derechos fundamentales en los tratamientos vinculados a la inteligencia? ¿Ha variado en algún aspecto sustancial el marco jurídico habilitante para invadir la esfera de privacidad de los ciudadanos no norteamericanos? Si la respuesta es negativa, la Comisión haría bien tomar buena nota de la acción del Tribunal de Justicia de la Unión Europea como juez de constitucionalidad en lo que se refiere a los artículos 7 (LA LEY 12415/2007) y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007). En este sentido, Digital Rights Ireland parece una buena relectura para el verano.