1. INTRODUCCIÓN
El concepto de privacidad de datos personales no es nuevo, y de forma inferida nos lo podemos encontrar integrado dentro del concepto de neutralidad de redes telegráficas en 1860 procedente de la U.S. federal law (Pacific Telegraph Act of 1860). La Pacific Telegraph Act indicaba que cualquier mensaje recibido o emitido desde los sistemas telegráficos debía durante todo su procedimiento gozar de una total imparcialidad en la transmisión de datos, no pudiendo realizar cambio alguno ni almacenamiento de los mismos. La única excepción se encontraba en los mensajes trasmitidos por el gobierno, los cuales son precursores de las actuales notificaciones que realiza la administración moderna. Asimismo, nos encontramos otros preceptos similares en 1888 en Almon Brown Stroger, respecto a los sistemas de telefonía y la prohibición de vender datos a competidores comerciales por parte de las compañías de teléfonos que realizaban labores de telecomunicaciones (Richman, 2007)
Los datos que se mueven por la red en la actualidad difieren mucho de esos originales de 1860 y son ingentes e impresionantes en cuanto a datos absolutos se refiere. El número total de documentos que se generan cada segundo entre toda la red asciende a un total de 6.826.667 de documentos, unos 5.184.000.000.000 documentos diarios, solo en documentos sin contar otro tipo de archivos. Pero la realidad que tenemos alrededor es más profunda porque detrás de cada archivo que se sube a la red, éste contiene una gran cantidad de datos explotables adicionales en forma de metadatos, como hemos indicado en capítulos anteriores. Por ello como avance debemos indicar sin lugar a dudas que la protección no sólo debe quedarse en la superficie con un tratamiento de datos puros absortos de vida más allá; sino de profundizar en como dichos datos afectan a otros campos del derecho (World Internet Users Statistics and 2019 World Population Stats, 2019).
Pero, si miramos más allá y consultamos otro tipo de datos que se suben a la red, tenemos que cada 24 horas se envían mas de 400 millones de mensajes por Twitter. Por otro lado en Facebook se crean más de 3500 millones de publicaciones con más de 500.000 Gb de información vinculada a esos posts en 24 horas. Además de lo anterior también a modo de ejemplo subimos alrededor de 30 millones de fotografías a la red y mandamos casi 300.000.000.000 (trescientos mil millones) de correos electrónicos diarios, todo ello cada 24 horas (Estadísticas de Internet 2020, 2020).
Los datos indicados anteriormente en cifras absolutas son datos que nos rodean en una cuantía que realmente supera con creces a lo que podemos creer que realmente alcanzan, porque en 2020 la estadística de datos generados por ciudadano calculada en base a 2019 es que cada persona generará diariamente un total de 146 gigas de información (Bit, 2020). La capacidad de generación de datos se va a ir duplicando cada año debido a los diferentes gadgets basados en el Internet Of Things (IOT), todos ellos movidos gracias a sistemas basados en algoritmos avanzados o sistemas de "Inteligencia Artificial" como comercialmente los llaman, aunque con una realidad tecnológica bien diferente.
Los datos de los ciudadanos y sus empresas son un valor fundamental que debe proteger todo esta-do democrático. La cantidad de información generada debido al IOT y a todos los gadgets y sistemas tecnológicos creados entorno a este, junto con las tecnologías que ya podemos llamar tradicionales y que llevamos en nuestro smartphone, es inimaginable. El valor que contiene esa información y la protección que se debe otorgar a la misma debe ser un derecho que se articule como pilar básico social y un derecho fundamental debería a regular en todos los países y entidades supranacionales; como por ejemplo la Unión Europea.
La gestión de los datos es otro aspecto importante legalmente debido a la falta de univocidad regulatoria internacional. La gestión de datos se usa como vía de explotación económica o administrativa por parte de los recaptadores de datos que son tanto empresas como administraciones públicas.
La falta de una regulación homogénea que permita una correcta transferencia internacional de datos o un mismo nivel de protección a los mismos en cualquier país es un problema legal que se está comenzando a dar desde hace algún tiempo. La legislación respecto a la protección de datos en la Unión Europea, la cual tiene como pilar básico el RGPD o Reglamento General de Protección de Datos, no es la misma que en Estados Unidos, el cual no tiene una norma federal equivalente al RGPD y su regulación es caótica y parca en derechos en comparativa con el RGPD. La imposibilidad de mostrar una equivalencia protectora normativa es el principal problema de la protección de datos en la nueva sociedad de la información a las que nos enfrentamos.
La explotación de datos procedentes de sistemas basados en IOT e Inteligencia Artificial mediante la metodología del Data Mining y algoritmos avanzados, es una constatación que puede suponer una grave lesión para los derechos de los ciudadanos en lo que a su privacidad se refiere. La falta de univocidad normativa equivalente entre ordenamientos jurídicos que permita otorgar una correcta protección independientemente de por donde "viajen" los datos o de si un sistema jurídico estatal se basa en el Common Law o el Civil Law, es una carencia a corregir.
El principal problema radica en la velocidad con la que viajan los datos y se tratan, y la multitud de países por los que pueden pasar y ser tratados, con diferentes legislaciones y el caos normativo en-marañado difícil de clarificar existente que permita reclamar un mismo nivel de protección de datos a un usuario por cada dato que envía a la red. La falta de esa univocidad normativa genera un estado de indefensión actual que vamos a estudiar, comparando la regulación legal del tratamiento a la gestión y protección de datos respecto al sistema legal de Estados Unidos y de la Unión Europea y por extensión sus estados miembros.
La última novedad en lo que respecta a la protección de datos entre países que efectúan transferencias internacionales de datos es la Sentencia que dictó el Tribunal de Justicia de la Unión Europea para el Asunto C-311/18 - Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems (Caso Schrems). El Asunto C-311/18 anula la Decisión 2016/1250 que daba cobertura legal a la protección que otorgaba a los datos en transferencia internacional por el Escudo de la privacidad UE-EE.UU. (Privacy Shield) y considera válida la Decisión 2010/87 de la Comisión relativa al uso de las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países (Comité Europeo de Protección de Datos, 2020).
Teniendo en cuenta todo lo anterior y partiendo de los antecedentes aquí indicados, los objetivos del presente capítulo radican en explicar primero el actual panorama jurídico respecto a la regulación del tratamiento de los datos privados o llamados personales obtenidos a través archivos transmitidos a través las redes en perspectiva al ordenamiento jurídico de la Unión Europea y de Estados Unidos. Por otro lado en segundo lugar se va a analizar individualmente las regulaciones actuales existentes en materia de protección de datos privados o personales en el ordenamiento jurídico de la Unión Europea y el de Estados Unidos, para posteriormente ponerlo en perspectiva al punto de vista jurídico obtenido en el objetivo primero. La finalidad del objetivo segundo es analizar las situaciones jurídicas actuales en dos grandes grupos poblacionales respecto a la protección de datos y como se tratan dichos datos respecto a la privacidad de los mismos en concurrencia con la legislación donde se encuentren explotados dichos datos. Asimismo en tercer lugar se quiere realizar una vez expuestos los dos objetivos anteriores un análisis de la situación a futuro que debería encaminar el legislador de la Unión Europea y Estados Unidos y los déficits tanto técnicos como jurídicos que adolece tras identificar el riesgo jurídico que corren los usuarios respecto a la custodia, tratamiento y finalidad de sus datos. Por otro lado para finalizar como cuarto objetivo, se va a realizar una labor de análisis global a modo de conclusiones a fin de localizar las posibles incongruencias entre la regulación actual y el factor riesgo existentes respecto a la génesis principal que es el ámbito de aplicación de la protección de datos y la necesidad de una univocidad normativa internacional en materia de tratamiento de datos. Tras realizar dicho análisis, se terminará concluyendo cual es la realidad jurídica de todo ello y la situación actual de auge de la inteligencia artificial, el data mining como protagonistas de vertebración para la explotación de la protección de datos.
Por ello, la metodología empleada para el presente capítulo es una metodología basada en la investigación analítica. Por ello, el desarrollo que se va a presentar a continuación se basa en una investigación jurídico-proyectista con naturaleza propositiva y bajo un sistema que emplea fundamental-mente un método inductivo-comprensivo con diferentes momentos en los que se usará una metodología hipotético-deductiva para el análisis de ciertas partes. La pretensión metodológica jurídico-proyectista propositiva tiene su principal finalidad conseguir averiguar la evolución del marco jurídico de la protección de datos respecto a su génesis teorética en perspectiva al objetivo a proteger que son los datos de las personas y la causa de los déficits protectores.
Por otro lado, existe la necesidad de entablar un hilo argumental entre los retos jurídicos originarios en lo que respecta la necesidad originaria de la que partió la necesidad iusnaturalista de la protección de datos en lo que respecta su ordenación jurídica y la capacidad real evolutiva. Todo ello permitirá tras un análisis pormenorizado esbozar una imagen a futuro que permita mediante un análisis de método inductivo-comprensivo encontrar conclusiones. Por ello, teniendo en cuenta lo anterior, este análisis nos permitirá entender si la actual situación de protección de datos hacia los ciudadanos y su posible evolución encaja con la evolución natural real de la explotación de datos de usuarios y su peligro respecto a la privacidad de los mismos y los dos diferentes ordenamientos jurídicos analizados, teniendo en cuenta la necesidad de concurrencia hacia una normativa armonizada internacionalmente. Asimismo, mediante la metodología inductivo-comprensiva e hipotético-deductiva se analizarán los diferentes ordenamientos jurídicos y su construcción a la luz de la hermenéutica jurídica. Para tras ello finalizar con una conclusión de todo lo analizado que nos permita arrojar luz sobre el actual panorama jurídico y la eficiencia protectora respecto a las necesidades actuales y las necesidades pasadas basadas en su origen.
2. CONCEPTOS
El flujo lógico conceptual para poder explicar científicamente el estudio que se está realizando pasa por definir una serie de conceptos según la transversalidad y uso que van a tener los mismos a lo largo de la vida de un dato. En primer lugar, se va a definir que es la privacidad de datos o datos personales para posteriormente definir que es una transferencia internacional de datos, tras lo cual veremos que para el caso de ciertas empresas junto con la transferencia internacional de datos existirá el Blinding Corporate Rules o Normas Corporativas Vinculantes. Asimismo posteriormente veremos los conceptos que complementan a los anteriores, una vez transferidos los datos, su regulación jurídica, la cual actualmente será el sistema de cláusulas contractuales de la Unión Europea para el caso de datos desde la Unión Europea a terceros países. Por otro lado se definirá el Privacy Shield, recientemente derogado en el cual en capítulos posteriores analizaremos su derogación y la sentencia que lo efectúa.
La privacidad de datos o datos personales se define según el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD) como la información existente con capacidad de identificación asociada a una persona física a la cual se le denomina interesado. El interesado se considerará identificado directa o indirectamente a través de un identificador asociado a dicho interesado (RGPD, 2016).
Por otro lado, nos encontramos con el concepto de Transferencia Internacional de Datos Personales o de Datos Privados. La Transferencia Internacional de Datos según el RGPD será aquella transferencia de datos personales cuyos datos van a ser tratados tras su transferencia a un tercer país
u organización internacional. Todo ello siempre que ese tercer país u organización internacional respete las disposiciones del RGPD y el encargado del tratamiento cumpla con todas las condiciones establecidas tanto en referencia al RGPD como en concreto a las transferencias internacionales de datos. Todo ello tiene la finalidad de asegurar que los datos tratados en esos países diferentes al país de origen del ciudadano donde se recabaron los datos tienen un nivel de protección al mismo nivel que el garantizado por el Reglamento General de Protección de Datos (RGPD, 2016).
El RGPD establece que para poder realizarse dichas transferencias, ese tercer país, territorio o sectores específicos donde se vayan a tratar debe cumplir una serie de requisitos, como ser un estado de derecho con una legislación desarrollada en materia de protección de datos que permita acceder a los mismos sistemas de protección que el RGPD, que ostente autoridades de control independientes en materia de protección de datos y tenga firmados compromisos y tratados internacionales con carácter jurídico vinculante a todas las partes en dicha materia de protección de la privacidad. El hecho de necesitar los requisitos que acabamos de mencionar de forma sucinta, y que se encuentran recogidos en el artículo 45 del RGPD, resultará de ayuda para analizar la situación de Estados Unidos, respecto a las condiciones del RGPD y si realidad legal.
Otro concepto que necesitamos definir y que no siempre entrará a concurrir con el resto que estamos definiendo es el de las Blinding Corporate Rules o Normas Corporativas Vinculantes. Las Normas Corporativas Vinculantes son un compromiso contractual que asume el responsable o el encargado del tratamiento de datos para el caso de transferencias internacionales de datos a terceros países o organizaciones internacionales mediante el cual se comprometen a respetar una serie de normas. Todo ello teniendo en cuenta que se aplican a grupos empresariales o uniones de empresas dedicadas a actividades económicas conjuntas y que tengan sede en el lugar donde se recaban los datos y sede en el lugar donde se traten que será ese tercer país o organización internacional.
Las Clausulas Contractuales de la UE o Standard Contractual Clauses (SCC) son otro de los conceptos a tener en cuenta, pero este difiere de los anteriores en que entra en funcionamiento de forma paralela a los anteriores. Por ello la transferencia internacional de datos tiene dos apartados jurídicos, el primero de requisitos; donde se encuentran los conceptos de transferencia y conceptos básicos como la privacidad de datos (Estructura jurídica externa) y uno segundo de regulación jurídica de dichas transferencias internacionales de datos (Estructura jurídica interna) que es la más importante de todas y donde existen más déficits jurídicos de todo tipo.
La Decisión de la Comisión de 5 de febrero de 2010, así como la Decision 2001/497/EC y la Decision 2004/915/EC regulan el contenido relativo a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo es la que regula las Cláusulas Contractuales de la Unión Europea. Las cláusulas contractuales se convierten en un contrato obligatorio que se tiene que suscribirse, y es vinculante, entre un responsable de tratamiento (ubica-do en la Unión Europea) y un encargado de tratamiento (ubicado en un tercer país). La finalidad no es otra que mediante esas cláusulas contractuales ofrecer las garantías mínimas y necesarias para el respeto a la protección de la vida privada y los derechos y libertades fundamentales de los ciudadanos de la Unión Europea respecto a sus datos. El objeto es establecer un marco jurídico protector para la transferencia internacional de datos por el exportador de datos al importador de datos de los datos personales de un tercer país. Por ello la Comisión de 5 de febrero de 2010 cita textualmente como marco jurídico al que afecta esta norma lo siguiente:
"A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos."
Por ello y a efectos tener conocimiento del marco teórico de las Standard Contractual Clauses (SCC)
se dividen en dos grupos (Commission, 2020).
Transferencia de responsable de tratamiento ubicado en la Unión Europea a responsable ubicado fuera de la Unión Europea o su espacio económico.
- Decision 2001/497/EC
- Decision 2004/915/EC
Transferencia de responsable de tratamiento ubicado en la Unión Europea a encargado de tratamiento ubicado fuera de la Unión Europea o su espacio económico.
- Decision 2010/87/EU
La verdad es que ni el RGPD, ni las tres Decisiones mencionadas de la Comisión Europea no van más allá de establecer una obligación de firmar un contrato de compromiso entre dos partes, supeditando a las mismas que se protegerán los datos, nada más. Las normas mencionadas no desarrollan absolutamente nada a nivel técnico, ni mencionan nada tecnológico, simplemente una cobertura legal genérica, pero nada de regular servidores, data mining, metadatos o gestión cruzada de datos entre otros. La regulación jurídica se entiende inferida, pero es inexistente y evidencia una gran inseguridad jurídica para los ciudadanos; y estamos hablando cuando los datos se transfieren desde Europa, si se captan directamente desde otros países la inseguridad jurídica para los ciudadanos crece de forma exponencial.
El contenido de estas normas y su eficacia jurídica respecto a la privacidad de datos o Data Privacy en base a su objetivo básico y en referencia al desarrollo del IOT y la Inteligencia Artificial lo ve-remos desarrollado de forma más pormenorizada más adelante.
El Privacy Shield es el último de los conceptos a definir para comenzar a realizar un análisis de derecho comparado entre los marcos regulatorios de protección de datos personales o datos privados entre los Estados Unidos y la Unión Europea. El Acuerdo del Privacy Shield establecía un marco regulador general previo al RGPD y complementario a ese en materia de protección de datos. El Privacy Shield era obligatorio para poder realizar transferencias internacionales de datos desde la Unión Europea. Las empresas de Estados Unidos debían de obtener un certificado que les acreditara el cumplimiento de ese acuerdo y garantizar una serie de derechos a los ciudadanos dueños de esos datos para que en caso de petición de los mismos, en 45 días fueran resueltas (Voss, 2016). No obstante fue derogado por el Tribunal de Justicia de la Unión Europea en el Asunto C-311/18 - Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems (Caso Schrems).
3. SITUACIÓN JURÍDICA ACTUAL DE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS EN ESTADOS UNIDOS Y LA UNIÓN EUROPEA
El análisis de la situación jurídica actual de la privacidad y la protección de datos en Estados Uni-dos y la Unión Europea, viene precedido en primer lugar para poder contextualizarlo jurídicamente de forma correcta por explicar la diferencia entre civil law y Common Law.
Los países donde el ordenamiento jurídico es el Common Law son Estados Unidos, India, Reino Unido, Canadá, Nueva Zelanda, Austrália, Sudáfrica, Hong Kong, Singapur y Malasia entre otros (Hilda, 2008). El total de países del Common Law suman un total de alrededor de dos mil millones de ciudadanos. Situándolos en el segundo lugar tras el civil law como sistema legal.
Por ello ,cabe resaltar que, en el Common Law, su sistema legal se basa principalmente en las decisiones que los tribunales adoptan en referencia a un caso concreto, los tribunales generan preceden-tes legales vinculantes a futuro hasta que otra sentencia posterior no diga lo contrario. Por norma general no existen codificaciones legislativas y solo acts o bills, que pretenden regular el tráfico administrativo de ciertos aspectos, o derechos muy esenciales y básicos necesarios para una correcta paz social. Asimismo está prácticamente todo permitido mediante contrato sino está prohibido. La diferencia principal frente el civil law es evidente, en el civil law la principal fuente del derecho es la legislación y las codificaciones, quedando el sistema judicial no como productor de legislación sino herramienta para solucionar conflictos legales (World Bank Group, 2016).
Partiendo de lo anterior, podemos contextualizar la situación jurídica con una perspectiva más coherente y correcta jurídicamente, entendiendo las diferencias y valorando las posibles armonizaciones necesarias ante el panorama tecnológico respecto al tratamiento de datos privados o datos personales y más con el Data Mining, la IOT y la Inteligencia Artificial.
Por lo que respecta a la Unión Europea, existe en materia de protección de datos personales una codificación a nivel europeo con regulación legislativa tanto a nivel europeo como de sus estados miembros. El RGPD en su Capítulo VI de "Autoridades de Control Independientes" en la Sección 1 sobre "Independencia" el artículo 51 establece que cada Estado miembro tendrá la obligación de crear una o varias autoridades de control públicas e independientes que tengan como finalidad la supervisión del RGPD para cumplir el objetivo de proteger los derechos y libertades fundamentales de los ciudadanos y facilitar la libre circulación de datos personales en la Unión Europea (RGPD, 2016).
Sin embargo en los Estados Unidos, partiendo de la base de que no existe ninguna legislación en materia de protección de datos como tal a nivel federal aplicable a todos sus estados, nos tenemos que remitir a la Privacy Act de 1974. La Privacy Act de 1974 establece en ella un código de prácticas para el tratamiento de la información que el gobierno recopila de sus ciudadanos mediante los diferentes registros de las Agencias Federales. La Privacy Act de 1974 establece buenas prácticas para la recopilación, mantenimiento, uso y difusión de información sobre individuos. La Privacy Act de 1974 prohíbe la divulgación de datos procedentes de registros públicos de Agencias Federa-les sobre una persona sin el consentimiento por escrito de la misma (Department of Justice, 2020).
La legislación fuera del ámbito del control propio gubernamental no establece nada más a nivel Federal sobre protección de datos ni públicos ni de carácter privado o particular, no existe ninguna legislación como tal. Asimismo, tampoco crea de ese modo, ninguna Agencia o entidad para proteger los datos tal y como desde el civil law si se obliga a crearse.
A pesar de ello, eso no significa que no exista una autoridad similar a la establecida para la protección de datos en la Unión Europea en los Estados Unidos. El equivalente más cercano aunque no tiene los mismos sistemas de protección ni herramientas legales para proteger a los ciudadanos como sucede en la Unión Europea y sus estados miembros, al ser Estados Unidos un sistema de common law, sería la Federal Trade Commission (Comisión federal de comercio)
Insistiendo que el sistema jurídico no tiene las mismas "reglas del juego" que en la Unión Europea y no existe una legislación equivalente a la RGPD sino sólo legislaciones parciales de sectores económicos o comerciales concretos, podemos explicar que es la Federal Trade Commission. La Federal Trade Commission es un organismo independiente bipartidista o colegiado como se diría en el Civil Law. El organismo actúa desde 1924 y uno de sus objetivos es la protección a los consumidores deteniendo las prácticas desleales, engañosas o fraudulentas en el mercado. La Federal Trade Commission realiza investigaciones y demanda a compañías o personas físicas que infringen la legislación existente que ahora veremos que es parcial y lo más importante, desarrollan reglas propias que publican con el fin de garantizar un mercado sin mala praxis.
Se organizan en Burós, concretamente la Division of Privacy and Identity Protection dentro del Buró de Protección del Consumidor es la encargada de supervisar los problemas relacionados con la privacidad del consumidor, el robo de identidad y la seguridad de la información. El objetivo es hacer cumplir los estatutos y las reglas publicadas por la Federal Trade Commission dentro de su jurisdicción. La Division of Privacy and Identity Protection tiene capacidad para establecer sanciones a las empresas que incumplan sus diferentes reglas publicadas entorno a la seguridad de la in-formación del consumidor. El objetivo es que exista un comercio limpio y justo, teniendo en cuenta y como dato decisivo, que sólo entra a investigar o sancionar si hay un menoscabo o perjuicio directo para un consumidor de un producto o servicio ("Federal Trade Commission", 2020).
La Federal Trade Commission con sus Dictámenes y Resoluciones de conflictos presentados ante su jurisdicción está sentando una serie de precedentes que posteriormente ante denuncias en los tribunales están consiguiendo que los jueces dicten sentencias en base a ellos. Por lo tanto la Federal Trade Commission consigue de forma indirecta generar legislación que otorgue cierta protección a nivel federal mediante el sistema judicial entorno a la protección de datos (Solove & Hartzog, 2013).
Por todo lo anterior, podríamos concluir que si existe una autoridad de control en Estados Unidos respecto a la seguridad de la información. La capacidad protectora y supervisora de dicha entidad Federal Trade Commission es parcial si la comparamos con las autoridades de la Unión Europea. Pero a pesar de ello, tenemos que entender la idiosincrasia del sistema del common law y focalizarlo según el sistema legal existente allí. La protección no puede ser igual sino existe normativa otorgada federal para ello y sólo reglas o estatutos que indican como proceder en el ámbito del tratamiento de datos, aunque estos si sean vinculantes a nivel federal. La limitación de carácter comercial es un dato a tener en cuenta respecto a la Federal Trade Commission y las agencias equivalentes europeas. No obstante, existen otros organismos y legislaciones en este caso federales que en otros aspectos supervisan también el tratamiento de datos, como el caso de la protección de la privacidad de menores en Estados Unidos a través de COPPA, los datos de los seguros médicos mediante HIPAA o los datos en materia de cumplimiento fiscal mediante FATCA (Group, 2020).
Pero, como los Estados Unidos son un sistema federal los diferentes estados, en los últimos años están desarrollando legislaciones que superan ampliamente a la Federal Trade Commission. Por ejemplo Vermont ha aprobado leyes para exigir una mayor transparencia a quienes tratan con in-formación personal de los usuarios. Por encima de todas destacan tres, la del estado de California, CCPA o California Consumer Privacy Act, la Massachusetts Data Privacy Law y la New York Pri-vacy Act. Las dos últimas se encuentran en una fase muy avanzada en sus camaras legislativas.
Ley de privacidad de datos de california CCPA aprobada desde 2018 es la primera legislación ya aprobada de todo los Estados Unidos que confiere a los ciudadanos del estado de California el con-trol total sobre cómo se usa su datos personales en Internet. Por ello, es asimilable de entrada en muchos aspectos al Reglamento General de Protección de Datos (RGPD) de la Unión Europea.
Por ello, cabe destacar que tanto la CCPA como el GDPR otorgan a los consumidores derechos ARCO, de acceso, rectificación, cancelación u oposición. La única limitación diferenciadora sería que para el caso del RGPD, éste permite a los consumidores el derecho a corregir o rectificar datos personales incorrectos, mientras que la CCPA no lo hace. El RGPD también requiere el consentimiento explícito y sin embargo la CCPA solo requiere un consentimiento tácito mediante un aviso de privacidad disponible en el sitio web que recabe los datos (Varonis, 2020).
Si procedemos a analizar algo más a fondo la CCPA en comparación con la GPDR de la Unión Europea, su objetivo se basa en extender la protección de la privacidad del consumidor a Internet. La CCPA es la legislación de privacidad de datos centrada en Internet más completa de los EE. UU. y no tiene ningún equivalente a nivel federal. Asimismo, la CCPA establece un procedimiento de solicitud de derechos "ARCO" para los consumidores llamados DSAR para los datos en poder de las empresas. Por otro lado la CCPA introduce por primera vez en Estados Unidos un concepto algo indeterminado jurídicamente sobre lo que se considera "dato personal" al indicar que sería el dato capaz de asociarse con un usuario directa o indirectamente.
Por lo que respecta al Data Mining y algoritmos de Inteligencia Artificial, la CCPA introduce el concepto de "datos de identificadores probabilísticos". La CCPA establece que la combinación de datos que dan una probabilidad superior al 50% de identificar a un usuario serán tratados de la misma manera que un identificador con datos 100% identificados (Data Guidance & Future of Privacy Forum, 2020).
Pero no todo acaba ahí, con la reciente aprobación en California de la California Privacy Rights Act (CPRA), el 3 de noviembre de 2020, se ha dado el paso a una nueva regulación complementaria del CCPA, el cual es más técnico. El CPRA ha dado un paso hacia una legislación más vinculada a la protección de los datos personales de los ciudadanos desde un punto de vista más directo, siendo en muchos aspectos muy similar en cuanto a definiciones y derechos protegidos con la GPDR. La similitud de contenidos es tal que se ha creado la primera Agencia de Estadounidense de protección de datos, en este caso con competencias en California, la California Privacy Protection Agency (CPPA). La CPPA tiene plenos podemos administrativos, ejecutivos y jurisdicción para implementar el CPRA y exigir el cumplimiento del CCPA (WireWheel, 2020).
La falta de respuesta por parte del gobierno federal de los Estados Unidos a la necesidad de una protección real de los datos de los ciudadanos, está dando como consecuencia una nueva generación de normas y futuras agencias de protección de datos que irán surgiendo en los diferentes estados. La realidad nos muestra que el Common Law en ciertos campos se queda anticuado y no permite na correcta protección del derecho a la privacidad de los ciudadanos. El camino hacia una convergencia jurídica similar al GDPR es el futuro horizonte. La protección de los derechos privados de los ciudadanos en una sociedad tecnificada sin una regulación clara está llevando a los Estados Unidos, a regular la protección de datos al estilo civil law en su totalidad, creando un precedente jurídico, como sucede en el estado de Louisiana el cual no se rige por el Common Law sino por el civil law, no siendo los jueces quienes tienen capacidad legisladora, sino únicamente su parlamento.
Por otro lado, tenemos a la Massachussets Data Privacy Law, que es la Ley de Privacidad de Datos con número de propuesta S-120. La S-120 es muy similar en contenidos al CCPA, pero con la diferencia que los ciudadanos no necesitan sufrir una pérdida de dinero o propiedad como resultado de una infracción para denunciar una violación de protección de datos, es un híbrido del CCPA y el CPRA, pero con menos alcance que el CPRA (Act relative to consumer data privacy, 2019).
Por último, tenemos a la New York Privacy Act o propuesta S5642 de Nueva York, actualmente pendiente de aprobación en su parlamento. La propuesta S5642 contiene características distintivas de la CCPA. Pero a diferencia de California y Massachussetts, la ley de Nueva York tiene un derecho de acción privada que permite a los ciudanos la rectificación de datos personales inexactos, acercándola en espíritu y corpus iuris a la GPDR de la Unión Europea (NY privacy act, 2020).
Tras ver el estado actual del ordenamiento jurídico de los Estados Unidos en materia de Protección de datos, podemos ver con seguridad, el estado precario donde se encuentra enmarcada la protección jurídica a los datos privados o datos personales de los ciudadanos. El caos normativo que genera el sistema legal que existe, con la actual velocidad en la que evoluciona la protección de datos y la gestión de datos, provoca inseguridad hacia los ciudadanos, al no tener una normativa clara y uniforme para todo el país. Por otro lado aunque algunos estados están dando pasos, solo son tres estados los que lo están dando y solo uno el que realmente tiene algo en vigor con ciertas similitudes legales al GPDR.
4. INTELIGENCIA ARTIFICIAL E IOT RESPECTO PROTECCIÓN DE DATOS EN ESTADOS UNIDOS Y LA UNIÓN EUROPEA
La actual regulación jurídica del data privacy o datos privados o personales respecto a como el IOT junto con la inteligencia artificial extraen datos de la red y las aplicaciones para luego explotar dichos datos gracias al Data Mining, es prácticamente inexistente. La regulación jurídica de la Unión Europea tal y como vimos en capítulos anteriores es muy escasa y no cita en ningún caso ningún concepto relacionado técnicamente con Inteligencia Artificial o IOT.
La problemática jurídica principal en este caso viene dada por la falta de estructuración jurídica que permita vertebrar dichas tecnologías aplicadas a la privacidad de los datos personales o privados de los ciudadanos europeos. El hecho de que la norma europea sólo haga escasas referencias al perfila-do de datos y lo permita en gran parte gracias a su apartado de exclusiones es algo que perjudica legalmente en demasía a los ciudadanos cuyos datos están circulando por la red. Nos estamos refiriendo al articulo 24 del citado RGPD. El artículo 24 del RGPD establece que los interesados en un procedimiento o proceso contractual o cualquier otro procedimiento administrativo o contractual que esté pendiente de una decisión entre un interesado y un tercero empresa privada o pública; la decisión sobre ese proceso no se podrá basar exclusivamente sólo en el contenido conseguido tras la elaboración de perfiles. No obstante en el mismo artículo 24 del RGPD en su apartado 2, se indican una serie de excepciones al perfilado de datos personales o privados. La excepción recogida en su número a) proporciona una gran amplitud de posibilidades a las que acogerse para autoexceptuarse de la no exclusividad de basarse en perfilados de datos para poder basarse precisamente en ellos para decidir un contrato identificando al completo al usuario al basarse en otros aspectos personales ajenos a la relación contractual pendiente de resolución.
La normativa de la Unión Europea por tanto, no habla ni de metadatos, ni de Data Mining, ni de Inteligencia Artificial y tampoco de IOT y como todos estos elementos deben jurídicamente interactuar respecto a la explotación de datos personales. La posibilidad de realizar explotaciones avanza-das de datos y quedarse en la superficie es como si una normativa en materia de seguridad arquitectónica se quedara en que no se caiga un edificio, sin entrar a regular nada más. La Unión Europea actualmente está haciendo eso respecto a la protección de datos personales con esas herramientas de explotación; protegiendo un concepto general pero no desagregando el mismo jurídicamente.
La regulación jurídica para la casuística jurídica de los Estados Unidos respecto a la misma materia, no es muy diferente que la de la Unión Europea. La perspectiva legal, partiendo de un paradigma jurídico generado por el sistema del Common Law, es el principal escollo. Además la escasa regulación federal, totalmente fraccionada y dispersa no regula absolutamente nada de esas nuevas técnicas, herramientas y sistemas de explotación.
Por otro lado si cabe mencionar que la CCPA del estado de California si tiene algo más desarrollado la cuestión de perfilado y elaboración de perfiles, estableciendo en la norma en un valor del 50% en referencia al perfilado de datos a la hora de que el tratamiendo de datos de un ciudadano se pueda considerar como anónimo sin comunicación al mismo o con comunicación. Pero a pesar de esa restricción, lo cual denota un atisbo de regulación tecnojurídica del Data Mining, no hay nada que vaya más allá y se queda solo ahí. Aunque cabe recordar que sólo es en un estado y no supone tampoco un gran avance respecto al RGPD y, teniendo en cuenta el déficit normativo en el resto de aspectos, no compensa la balanza de protección a la privacidad. Con todo, nos encontramos con que la regulación jurídica de los Estados Unidos carece de regulación respecto al IOT, Inteligencia Artificial y Data Mining como en la Unión Europea.
5. CONCLUSIONES
La Inteligencia Artificial, las conexiones automatizadas con entornos virtuales de IOT e IORT (Internet of Robotic Things) que usen metodologías de Data Mining para explotar datos para posteriores usos comerciales o gubernamentales no es sólo una realidad percibida sino una constatación fáctica de lo que está llegando a nuestra sociedad. El Privacy Shield fue un intento de la Unión Europea de constituir un precedente internacional de acuerdo para la protección global de la protección de datos. El escollo jurídico de interferir en posibles competencias estatales de los estados miembros de la Unión Europea con sus regulaciones ha conllevado a la anulación del Privacy Shield por el Tribunal de Justicia de la Unión Europea. A todo ello le tenemos que sumar la falta de técnica jurídica de sus legisladores, ya que eso fue otro de los errores que precipitó la caída del acuerdo.
La actual realidad social de nuestro planeta necesita una regulación urgente en materia de explotación de datos personales e Inteligencia Artificial, IOT y Data Mining. Los datos serán la nueva moneda de cambio en una economía en transformación por las crisis económicas actuales. La personalización de venta de productos, la negación de contratación de servicios, el perfilado a tiempo real de ciudadanos por sus gobiernos son sólo una posibilidad minúscula dentro del infinito sistema de combinaciones que se pueden explotar con los datos personales de todo el mundo. El perfilado vital de datos privados de los ciudadanos es un peligro jurídico, que puede desnaturalizar el hecho por el que nació el derecho; la protección social de nuestros sistemas democráticos. Los ciudadanos deben ser protegidos con herramientas que permitan la elección individual de cada uno del destino de sus datos y que venden, ceden o donan, en lo que datos se refiere a terceros o gobiernos. La imposición de una situación de anarquía jurídica solo conlleva inseguridad jurídica.
No podemos dejar que la tecnología siga avanzando sin control jurídico previo a su puesta en servicio, de la misma forma que un coche debe cumplir unas medidas técnicas en su construcción para luego posteriormente poder realizar inspecciones, la protección de datos respecto al IOT, la inteligencia artificial y el Data Mining es lo mismo. El campo del Digital Forensics es un campo al que el derecho debería de mirar, preparando un nuevo sistema legal que ampare las nuevas tecnologías implementando tecnologías de Digital Forensics que nos permitan auditar con seguridad el empleo de los datos de nuestros ciudadanos.
Asimismo, se debe impulsar el establecimiento de un convenio internacional para la protección de datos personales y privados. El establecimiento de un convenio internacional permitiría independientemente del sistema jurídico de cada país, la existencia de un marco común para todos los países del mundo que daría cobertura legal al tráfico planetario de datos con total seguridad. No obstante, para ello, no podemos olvidarnos del concepto jurídico de public servants, sirvientes públicos. Los public servants son el pilar sobre el que todo legislador se debe afianzar para configurar un futuro tecnificado libre de oscuras sombras que permitan conocer de quien no quieren, su vida privada. Pero para ello antes necesitamos realizar políticas de concienciación ciudadana respecto al reto que nos enfrentamos, para que todos tomen conciencia. La realidad nos muestra una falta de formación en la administración respecto a todas estas tecnologías.
George Washington dijo que la motivación de servicio público es el principal concepto que debe motivar los estudios modernos de la administración pública, puesto que sus raíces filosóficas ahondan en la ilustración, alentando a la sociedad a explorar el significado y el propósito de sus esfuerzos presentes y futuros, puesto que un ciudadano que haya aprendido a pensar por sí mismo se esforzará por perpetuar la administración. La educación de los servidores públicos está indisolublemente ligada a una educación más amplia de todos sus ciudadanos, solo una ciudadanía capaz de razonar podría tener una comprensión básica de las complejidades inherentes al gobierno de una democracia. Solo una ciudadanía bien educada podría tener libertad y un gobierno eficaz y como consecuencia, una educación que prepare a los futuros servidores públicos para que apliquen sus conocimientos enseñados a la protección de la sociedad usando la razón y el conocimiento de base empírica aprendido (Cook, 2014).
BIBLIOGRAFÍA
Bit, G. (2020). ¿Cuántos datos se producen en un minuto?. Business-intelligence.grupobit.net. Re-trieved 11 November 2020, from https://business-intelligence.grupobit.net/blog/cuantos-datos-se-producen-en-un-minuto.
Commission, E. (2020). Standard Contractual Clauses (SCC). Comisión Europea - European Commission. Retrieved 12 November 2020, from https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_es.
Comité Europeo de Protección de Datos. (2020). Comité Europeo de Protección de Datos (CEPD) - 34.ª sesión plenaria: Schrems II, Interacción entre la DSP II y el RGPD y carta al diputado al Par-lamento Europeo Ďuriš Nicholsonová sobre el rastreo de contactos y la interoperabilidad de aplica-ciones.
Commonwealth of Massachussetts. Act relative to consumer data privacy (2019). https://malegislature.gov/Bills/191/SD341.
Cook, S. A., & Klay, W. E. (2014). George Washington and Enlightenment Ideas on Educating Future Citizens and Public Servants. Journal of Public Affairs Education, 20(1), 45-55.
Data Guidance, & Future of Privacy Forum. (2020). Comparing privacy laws: GDPR v. CCPA [Ebook] (1st ed.). Retrieved 13 November 2020, from https://fpf.org/wp-content/uploads/2018/11/GDPR_CCPA_Comparison-Guide.pdf.
Department of Justice. (2020). Privacy Act of 1974. Justice.gov. Retrieved 13 November 2020, from https://www.justice.gov/opcl/privacy-act-1974.
Estadísticas de Internet 2020. (2020). Retrieved 23 October 2020, from https://www.cualhost.com/recursos/estadisticas-de-internet/
Federal Trade Commission. Federal Trade Commission. (2020). Retrieved 12 November 2020, from https://www.ftc.gov.
Group, G. (2020). Data Protection 2020 | Laws and Regulations | USA | ICLG. International Com-parative Legal Guides International Business Reports. Retrieved 13 November 2020, from https://iclg.com/practice-areas/data-protection-laws-and-regulations/usa.
Hilda, H. (2008). El Common Law. Retrieved 13 November 2020, from https://derecho.laguia2000.com/parte-general/el-common-law.
The New York State Senate. NY privacy act (2020).
Richman, D. (2007). A Short Heard 'Round the World Wide Web: Comcast Violates "Net Neutrali-ty". Media Law Bulletin. Retrieved 11 November 2020, from http://www.sdma.com/files/Publication/e078fa3a-8b3c-4bf5-b384-734f26afc9b3/Presentation/PublicationAttachment/ab2b71fb-ec17-47cf-aef1-7eb8bbb7073f/media_law-12_dec_2007.pdf.
Solove, D., & Hartzog, W. (2013). The FTC and the New Common Law of Privacy. SSRN Electro-nic Journal. https://doi.org/10.2139/ssrn.2312913
Unión Europea. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos-personales y a la libre circulación de estos datos y por el que se deroga la directiva 95/46/ce(reglamento general de protección de datos) (2016)
Varonis. (2020). Complete Guide to Privacy Laws in the US | Varonis. Inside Out Security. Retrie-ved 13 November 2020, from https://www.varonis.com/blog/us-privacy-laws/.
Voss, W. G. (2016). European union data privacy law reform: General data protection regulation, privacy shield, and the right to delisting. The Business Lawyer, 72(1), 221-234.
WireWheel. (2020). CPRA vs CCPA vs GPDR. How the Difference Impacts Your Data Privacy Operations [Ebook]. WireWheel. Retrieved 13 November 2020, from https://wirewheel.io/wp-content/uploads/2020/11/WireWheel-GDPR-vs-CCPA-vs-CPRA-Cheat-Sheet.pdf.
World Bank Group. (2016). Características Claves entre los Sistemas de Common Law y Derecho Civil | Public private partnership. Ppp.worldbank.org. Retrieved 13 November 2020, from https://ppp.worldbank.org/public-private-partnership/es/asociaciones-publico-privadas/ley-regulacion/common-law-derecho-civil.
World Internet Users Statistics and 2019 World Population Stats. (2019). Retrieved 18 February 2020, from https://www.internetworldstats.com/stats.htm
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación