El pasado 7 de mayo de 2023, a propósito de la novena edición del Congreso de la Asociación Profesional Española de la Privacidad (APEP), que se celebró en Málaga, mi ciudad de origen, tuve la fortuna de compartir mesa y mantel con José Luis Piñar Mañas, que fue un magnífico director de la Agencia Española de Protección de Datos (AEPD) y sigue siendo uno de los mayores expertos en protección de datos de nuestro país e Hispanoamérica. De manera totalmente informal y distendida, José Luis y yo estuvimos cambiando impresiones sobre el estado de la protección de datos en la UE y me llamó poderosamente la atención que estábamos de acuerdo prácticamente en todo, una circunstancia que quizás se pueda achacar a nuestra amistad de muchos años, pero también probablemente a la circunstancia, que ambos comentamos entre risas, de que llevamos ya demasiado tiempo trabajando en esta disciplina.
José Luis y yo coincidimos en lo exitoso que había sido el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), para la protección de datos y para la Unión Europea en general, pero también en que algunas interpretaciones o aplicaciones de la ley han demostrado ser demasiado extremistas o inflexibles, lo que, lejos de ayudar, perjudica bastante nuestra disciplina. José Luis dijo que cuando algo es demasiado rígido acaba por romperse, y yo, la verdad, no puedo estar más de acuerdo con él.
Por citar sólo un ejemplo, cada vez que tengo que llamar por teléfono a un proveedor de servicios, lo cual ya es de por sí bastante tedioso y rallante en lo desagradable por ir asociado a esperas, cuando no a un mal servicio, me enervo mucho al tener que soportar la parrafada interminable sobre protección de datos. Si eso me ocurre a mí, que llevo trabajando en protección de datos casi veinticinco años y es mi pasión, no quiero ni pensar lo que sentirán la gran mayoría de nuestros conciudadanos. Yo me pregunto: ¿es esto verdaderamente necesario?, ¿no se podría hacer de otra manera? Como mínimo se podría acortar mucho la información. Me imagino que las empresas insertarán estas largas frases o parrafadas por temor a sanciones por parte de la AEPD, por lo que me pregunto si la AEPD no debería emitir una circular aclarando que se puede lograr el mismo objetivo sin robar tanto tiempo a nuestros ciudadanos.
Los más puristas me perdonarán si utilizo una gran parte de este espacio que tan generosamente me cede La Ley para hacer un poco de autocrítica, pero es que, en mi modesta opinión, los profesionales de la protección de datos de la UE debemos de sacar pecho de lo mucho que se ha conseguido en estos últimos años, lo que referiré a continuación, pero también debemos reflexionar sobre las cosas que se pueden y que se deben de mejorar. En el fondo y en la forma.
Empezando por lo mucho que se ha conseguido, yo creo que existe unanimidad en que el RGPD ha sido un gran éxito para Europa. Este servidor público, que como administrador de la Comisión Europea tuvo el privilegio de redactar el primer informe de aplicación de la ya extinta Directiva 95/46/EC, a comienzos de este siglo, puede dar fe de que el Reglamento ha llevado a la protección de datos a un nivel que los redactores de la Directiva no podían ni siquiera imaginar. Además, en eso que se ha venido en denominar «el efecto Bruselas», el RGPD ha trascendido con creces nuestras fronteras y se ha convertido en un estándar internacional de facto, con más de 150 países del planeta con legislación inspirada en nuestro reglamento europeo.
Se podrían llenar muchas páginas describiendo las bondades de este reglamento europeo, pero quizás la más importante de todas, en mi modesta opinión, es que ha contribuido decisivamente a generalizar una cultura de protección de datos tanto entre los responsables del tratamiento como entre los ciudadanos que, ahora sí, conocen bastante bien sus derechos. Los expertos en cambio y desarrollo organizacional nos dicen que lo más difícil es siempre cambiar la cultura de una organización y con el RGDP yo creo que hemos conseguido un verdadero cambio cultural para nuestras organizaciones, asociando, posiblemente para siempre, la protección de datos con la cultura de la buena gestión empresarial, las buenas prácticas o la buena administración.
Otro gran acierto del legislador europeo ha sido anclar el reglamento en una serie de principios innovadores que dotan de gran flexibilidad al ecosistema, aunque, como explicaré un poco más adelante, algunos de estos principios todavía no habrían calado suficientemente entre algunos operadores y entre algunos responsables de la supervisión. Principios del reglamento tales como la responsabilidad proactiva, la evaluación basada en el riesgo o la privacidad por diseño y por defecto, son auténticas gemas del derecho europeo, que no estaban presentes en la anterior Directiva y que van a seguir teniendo mucho recorrido en normas posteriores, como en el futuro Reglamento sobre Inteligencia Artificial.
Otro aspecto en el que el RGPD ha supuesto un gran avance ha sido en el capítulo de la armonización de las atribuciones y potestades de las autoridades de supervisión, así como en la creación de fórmulas concretas para hacer posible la colaboración efectiva entre las autoridades nacionales. La transformación del viejo Grupo de Trabajo del Artículo 29 de la Directiva en un organismo europeo, el Comité Europeo de Protección de Datos, ha sido un paso muy importante para europeizar la aplicación de la protección de datos, aunque todavía queda bastante camino por recorrer como comentaré más adelante.
Así pues, el balance del RGPD, a los cinco años de su entrada en vigor, es claramente positivo, pero como lo cortés no quita lo valiente, permítanme que haga un poco de autocrítica también siguiendo el mismo orden argumental empleado para las alabanzas. De esta manera, como dice el refranero castellano, puedo dar una de cal y otra de arena.
Resulta maravilloso comprobar la admiración que suscita el RGPD en el mundo entero, algo que yo, por mi trabajo, puedo disfrutar en primera persona cada vez que recibo una invitación para participar (en línea, por supuesto) en conferencias sobre protección de datos que se celebran en todos los rincones del planeta. En lo que va del año 2023, sin ir más lejos, he tenido el privilegio de explicar el enfoque europeo sobre protección de datos personales en lugares tan lejanos, geográfica o culturalmente, como Japón, Australia, Nueva Zelanda (a las doce de la noche, por cierto), en Georgia o en Uganda, por no mencionar los países hispanoamericanos en los que ya he perdido la cuenta de las muchas veces que han pensado en mí para hablar sobre el RGPD. Al mismo tiempo, la lista de países considerados adecuados por parte de la Comisión Europea sigue siendo raquítica y la saga de acuerdos con los Estados Unidos anulados por el Tribunal de Justicia de la UE amenaza con ofrecernos pronto una tercera temporada (véase la reciente resolución del Parlamento Europeo instando a la Comisión Europea a no firmar el acuerdo de Puerto Seguro III o Privacy Framework). Yo me pregunto si esta insistencia pertinaz hacia el purismo a ultranza es verdaderamente la mejor opción, y si no deberíamos aumentar el foco sobre las cosas que compartimos en lugar de las que nos diferencian. De esta manera, los países que creemos en la democracia, el estado de derecho y la protección de los derechos de las personas podríamos hacer más piña frente a aquellos que, claramente, no comparten nuestros valores y nuestros principios.
En cuanto al avance de la cultura de la protección de datos, sin negar los progresos que se han conseguido, que son evidentes, tengo la impresión de que las autoridades de control y los profesionales de la protección de datos en general no hemos sabido explicar de manera óptima por qué nuestra disciplina es tan importante para un desarrollo tecnológico sostenible y respetuoso con las personas. Hemos mejorado el nivel de cumplimiento de la legislación, de eso no hay ninguna duda, y la proliferación de delegados de protección de datos en las empresas y en las administraciones públicas es la mejor prueba de ello, pero, en líneas generales, muchos responsables empresariales y algunos responsables públicos, siguen considerando a la protección de datos como una especie de molestia asociada a la burocracia. No lo dirán en público, como es lógico, pero es frecuente oír estas cosas en conversaciones informales y privadas. Yo me pregunto si una aplicación demasiado rígida de la legislación por parte de algunas personas no podría estar detrás de este fenómeno. Hay todavía muchos que piensan que el buen delegado de protección de datos es el que pone muchas trabas y dificulta al máximo el tratamiento de los datos personales cuando lo cierto es que esto se da de bruces con la realidad tecnológica de nuestro tiempo.
Tengo la impresión de que muchos operadores todavía no han interiorizado que la protección de datos no va sólo sobre garantizar el ejercicio de derechos por parte de las personas cuyos datos son objeto de tratamiento, lo cual es importante sin lugar a dudas, sino también de que los datos fluyan y circulen bien, es decir, que se usen óptimamente cuando sean útiles para los fines legítimos de las empresas y de las administraciones públicas, con el debido cuidado y atención por supuesto, pero lo importante es que los datos circulen. Es por eso que después de la aprobación del RGPD hemos visto la proliferación de nuevos reglamentos encaminados precisamente a esto, a que los datos circulen, como el Reglamento sobre Gobernanza de Datos, o el Reglamento de Datos, o el Reglamento del Espacio Europeo de Datos de Salud. Se dice y se repite hasta la saciedad que ninguno de estos nuevos reglamentos enmienda la plana al RGPD, pero si están ahí es porque los datos no fluyen como debieran y existen fundadas razones para temer que esto podría estar afectando la competitividad de las empresas europeas o las políticas públicas de nuestras administraciones.
Por eso, estoy tan de acuerdo con lo que dijo José Luis Piñar en nuestra cena, eso de que cuando algo es demasiado rígido acaba por romperse, que es lo mismo que oí decir muchas veces a Giovanni Buttarelli, cuando decía aquello de que debemos ser extremadamente firmes en la defensa de los principios del Reglamento pero flexibles y pragmáticos en su aplicación en la práctica. Pensemos por ejemplo en la propuesta del Espacio Europeo de Datos de Salud. Flaco favor estaríamos haciendo a nuestra salud, que al fin y al cabo es lo más importante para todos, si permitimos que una aplicación demasiado rígida del RGPD eche por tierra lo que es, indudablemente, una buena idea para avanzar hacia un verdadero mercado interior en el ámbito sanitario, dotar a nuestros investigadores de buenas herramientas para hacer su trabajo y fortalecer la competitividad de una de las industrias en las que Europa sigue siendo líder en el mundo.
Pasando ya a lo referente a las autoridades de protección de datos, permítanme que ahonde un poco en la autocrítica. De nada sirve crear por ley entidades a las que se confieren extensos poderes si a la hora de la verdad carecen de unos mínimos recursos para ejercitar dichos poderes o de una mínima independencia para ejercitar sus funciones como es debido. Tampoco ayuda el que cada cual actúe por su cuenta en un enfoque nacional o localista que se da de bruces con la realidad de corporaciones internacionales que operan más allá de las fronteras de un solo país. El RGPD, como reglamento europeo de directa aplicación, acabó con la existencia de veintisiete leyes nacionales diferentes, lo cual está muy bien, pero que esta única ley siga siendo interpretada y aplicada por veintisiete autoridades nacionales diferentes no conduce a resultados óptimos.
Es cierto que el Comité Europeo de Protección de Datos, con las competencias conferidas por el legislador, y gracias a la labor incansable de su eficiente secretariado y de muchos empleados de las autoridades nacionales, suple hasta cierto punto esta especie de pecado original del RGPD, pero lo que no se puede ni se debe hacer es negar lo evidente, y es evidente que alguna clase de centralización en la toma de decisiones para supuestos de clara dimensión europea o internacional conduciría sin lugar a dudas a una mejor aplicación del RGDP. Nadie niega las ventajas de la proximidad con el ciudadano ni aboga por la supresión de las entidades nacionales, que son y seguirán siendo muy necesarias, pero al igual que tenemos un Banco de España y un Banco Central Europeo, no veo por qué no podríamos tener, más temprano que tarde, una Agencia Española de Protección de Datos y una Agencia Europea de Protección de Datos.
Es lo que yo suelo denominar en mis intervenciones públicas como el coste de la no-Europa y, francamente, en un escenario internacional tan difícil y competitivo en el que otras regiones del planeta acortan rápidamente las distancias con nuestro bloque e incluso empiezan a superarnos, el coste de la no-Europa resulta cada vez menos justificable.
En conclusión, y enlazando con el título de esta columna, el RGPD ha sido un gran éxito que ha llevado a la protección de datos a niveles impensables hace sólo una década. Por tanto, un poco de autocrítica es seguramente una buena idea. Nuestro edificio es sólido y envidia para el mundo entero, así que no veo por qué no podríamos abrir alguna que otra ventana, sin comprometer sus cimientos o su habitabilidad, para facilitar el cumplimiento de la ley y para mejorar la cooperación internacional con aquellas regiones y países que comparten nuestros valores democráticos. Debemos mirar al futuro y evolucionar hacia un mundo en transformación digital en el que la inteligencia artificial y la conectividad mundial son ya una realidad.
El RGPD fue concebido con neutralidad tecnológica y con gran capacidad para adaptarse a los tiempos y a los nuevos retos, por tanto, huyendo en todo momento de un enfoque dogmático, nostálgico, tecnofóbico o catastrofista, aprovechémonos de este magnífico reglamento europeo para seguir abogando, como un faro que proyecta su luz al mundo entero, por una tecnología sostenible y centrada en el ser humano.