Volver a página de inicio

El siglo XXI nos ha acompañado en cada década con escenarios disruptivos. La primera anunció la transformación del world wide web hacía el comercio y la web2.0. En la segunda asistimos a la emergencia de las redes sociales y las aplicaciones móviles que junto con el cloud y el big data revolucionaron el ecosistema tecnológico económico, político y social. Algunas tecnologías añosas, como la inteligencia artificial, y emergentes, la Internet de los Objetos, han estallado en la década presente acompañadas de la evolución de las tecnologías ligadas a la conectividad y el procesamiento de datos. En el horizonte de la Unión Europea los Espacios de Datos, el Programa de la Década Digital Europea, la inversión multimillonaria de Next Generation y un paquete normativo intensísimo tratan de embridar a la economía de la transformación digital y la IA desde nuestra concepción del Estado Social y Democrático de Derecho.

El Día Europeo de la Protección de Datos no debería ser una conmemoración autosatisfecha de los logros alcanzados ya que seguimos muy lejos del óptimo necesario. Lo peculiar del caso, y eje central de nuestra reflexión, consiste en que la experiencia adquirida conduce a soluciones que si no se dimensionan adecuadamente podrían conseguir como resultado un bloqueo significativo para el desarrollo de soluciones basadas en datos.

La protección de datos se planteó como una suerte de supra-ordenamiento constitucional desde el que interpretar y aplicar el conjunto del derecho. Curiosamente el esquema mecanicista del consentimiento junto con una interpretación asistemática desconectada de otros instrumentos normativos facilitó la aparición de un mercado de buscadores y redes sociales con altas capacidades de procesar datos sobre la base de un mero cumplimiento formal. Es más, con un debilitamiento significativo de derechos conexos y esenciales como el derecho a la propia imagen, la intimidad y el secreto de las comunicaciones.

Sin embargo, y esta es sin duda la paradoja mayor, cuando reaccionamos y estamos empezando a resolver estos problemas lo hacemos sin acabar de entender los que se avecinan y sin una estrategia clara en las políticas públicas de acompañamiento. Hoy necesitamos tratar datos, hacerlo de forma masiva y con tecnologías disruptivas. Pero esto sucede en un contexto normativo muy complejo y de imposible manejo sin el compromiso de los profesionales y sin políticas públicas de apoyo.

Si se repasan las normas se apreciará que hablar del RGPD como norma única es limitado ante un código de legislación digital creciente. Así, el Reglamento de Datos y el EHDS transforman el derecho a la portabilidad y atribuyen nuevas facultades de control. El altruismo de datos en la Ley de Gobernanza de Datos se propone como el nuevo paraíso de la compartición. El Reglamento de Servicios Digitales promete liberarnos del profiling y la manipulación ideológica y el Reglamento de inteligencia artificial define una ingeniería de procesos al servicio de nuestros derechos.

Y ello, nos conduce a una paradoja. Primero, quienes poseen músculo humano y financiero para «cumplir» no son las PYMEs europeas. Segundo, ante el coste regulador muchas ideas innovadoras morirán antes de nacer. Finalmente, los estándares de cumplimiento imposible fomentan los incentivos para apostar en la ruleta del riesgo regulatorio. Las administraciones, porque no hay consecuencias. Y el sector privado, porque sencillamente sabe contar. Y las cifras son claras de modo que las posibilidades de que se presente una denuncia y esta prospere son muy bajas.

Es aquí donde un entendimiento dinámico del derecho fundamental a la protección de datos se impone como una necesidad ineludible. La esencia de la legislación de la Unión Europea ha pivotado siempre sobre dos valores esenciales y en absoluto contradictorios que además deben ser leídos en un orden muy preciso. Primero, la UE busca garantizar la libre circulación de datos en el Mercado Interior para promover nuestro desarrollo social y económico poniendo los datos al servicio del ser humano. En segundo lugar, el uso de los datos encuentra en la garantía de los derechos fundamentales no sólo el límite sino el cauce adecuado para su mejor expresión. En nuestra opinión la lectura de estos dos elementos axiológicos que dan vida y sentido a la celebración del 28 de enero no ha sido debidamente balanceada.

Si en lugar de promover una aplicación armonizada de ambos nos centramos únicamente en un valor limitador, cuya venta social a la opinión pública es extraordinariamente lucrativa para los campeones de la privacidad, generamos grandes riesgos para nuestra sociedad. El resultado de esta estrategia convierte al regulador y al profesional de la protección de datos en un responsable del tratamiento al resolver los problemas que se presentan mediante soluciones binarias del tipo prohibido/permitido. Y este enfoque constituye una traición a los valores de la Unión Europea y un pobre entendimiento de la protección de datos desde el diseño y por defecto.

Sus consecuencias son muy evidentes, se encuentran a la vista de todos y ahora han sido documentadas en el informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe). Desde la experiencia se aprecia mejor si cabe la naturaleza del problema y sus consecuencias. En primer lugar, se ha generado un sentido común de prohibición cuyos efectos son demoledores. En realidad, afrontamos dos escenarios. Por un lado, la investigación y la innovación se realiza desde el más puro desconocimiento del marco legal cuando es altamente dependiente de instituciones públicas no sujetas a régimen sancionador alguno. Sin embargo, existe un efecto todavía mucho más perverso: la autocensura. Curiosamente cuando sí existe una cierta conciencia sobre la existencia del RGPD las personas innovadoras suelen poner la venda antes que la herida y, o bien restringen su capacidad creativa sin explorar todas las posibilidades, o bien renuncian a su sueño empresarial en España emigrando a otras latitudes y entornos empresariales menos hostiles.

En segundo lugar, la garantía del derecho fundamental a la protección de datos desde posiciones autoritativas no sujetas a control jurisdiccional puede plantear riesgos sistémicos para nuestra economía y sociedad. Una sola guía de una autoridad de protección de datos puede hundir la economía de un país. Veamos un ejemplo: el Dictamen 05/2014 del Grupo de Trabajo del Artículo 29 sobre técnicas de anonimización. Su resultado es evidente: los datos anonimizados, por sorprendente que les suene, están sujetos al RGPD y la anonimización es una operación imposible. Esta es la lectura en muchos países y la cuestión que se dirime ante el Tribunal de Justicia de la Unión Europea en estos días.

Si esta tesis se mantiene, la economía de la inteligencia artificial en la Unión Europea debería cerrar. Sin embargo, puede alcanzarse un nivel de anonimización de facto más que razonable gracias a la tecnología. Puede hacerse mediante una combinación de espacios seguros de tratamiento, controles y compromisos jurídico-formales de quienes generan o usan conjuntos de datos y la intermediación del software (computación multiparte, encriptación homomórfica o privacidad diferencial). Ahora bien, ninguna de las técnicas propuestas por el GT29, incluida la agregación o la generación de datos sintéticos resuelve por sí misma una cuestión central: alcanzar una anonimización irreversible equivalente al borrado puede reducir la variedad, volumen, diversidad y calidad del conjunto de datos. Este estado de cosas o bien los hace inservibles para el desarrollo de la inteligencia artificial o bien incorpora graves riesgos para valores esenciales como la explicabilidad, la exclusión del sesgo. Además, puede causar graves diferencias entre los resultados obtenidos en la fase de diseño y prototipado y el funcionamiento real del sistema cuando sea masivamente alimentado con datos.

Visto lo anterior, hay que hacerse una pregunta muy sencilla: cuándo por carencia de conjuntos de datos adecuados un determinado servicio de IA en salud se desarrolle en Estados Unidos o China y salve vidas, ¿lo vamos a comprar? La respuesta es tan evidente que el esfuerzo de escribirla es sencillamente ridículo. Precisamente por ello se impone un enfoque dinámico en todos los ámbitos.

En este sentido, es el momento de confesar públicamente una herejía. En mi primera sesión de trabajo con cualquier grupo intensivo en investigación o innovación les prohíbo pensar en protección de datos. La mente humana y la creatividad deben explorar e imaginar todos los mundos posibles. Sólo cuando la idea nace empezamos a trabajar en ella aplicando el enfoque de riesgo y el cumplimiento normativo desde el diseño en todas las fases. Es un esfuerzo extenuante y doloroso de constante reajuste de los procesos a la legalidad. Mi tarea no es otra que impedir cualquier ilegalidad, pero, salvado este obstáculo, apoyar y servir al equipo para que las cosas sucedan y los objetivos se alcancen.

Y, por complicado que sea manifestar nuestra opinión, la honestidad académica nos obliga a reconocer que una parte del riesgo regulador para el futuro de nuestra economía reside en el autismo autoritativo de más de una autoridad de protección de datos. Incluso cuando desarrollan un trabajo de alta excelencia, la ausencia de diálogo y consenso nos pone en riesgo. Y lo mismo sucede con la investigación universitaria cuando desconoce la realidad material. El único modo de alcanzar los objetivos de la Unión Europea de transformación de la economía desde el mundo digital y la IA consiste en alcanzar consensos viables sobre cómo ajustar los sistemas al marco normativo. Los estándares técnicos y las certificaciones se crean por comités de trabajo con participación de todas las voces posibles y aún así no siempre alcanzan sus objetivos. Confundir la garantía de un derecho fundamental con la imposición autoritativa de criterios de excelencia teórica inalcanzable produce un efecto demoledor. Incrementa los costes reguladores, los hace inasumibles para las PYMEs y provoca la huida del talento y la inversión.

Hay mucho camino por recorrer y no pocas metodologías que cambiar. La protección de datos desde el diseño y por defecto debe ponerse al servicio de la economIA promoviendo una marca UE confiable, segura y garante de los derechos fundamentales. Espero que a nuestras lectoras y a nuestros lectores el 28 de enero les encuentre trabajando sobre como gobernar la protección de datos garantizando derechos y, a la vez, siendo capaces de procesar información al servicio de nuestra sociedad, de nuestra prosperidad y del bien común.