La crisis sanitaria del Covid-19 lo ha cambiado todo, y ha hecho incluso tambalear los cimientos de nuestra civilización. Las largas horas en casa durante el confinamiento, seguidas de la llamada “nueva normalidad”, han provocado que durante los últimos tres meses los ciudadanos hayamos cambiado nuestra rutina, nuestra forma de relacionarnos con los demás, de comunicarnos, de trabajar, etc.
Sin embargo, las publicaciones en prensa sobre las medidas para luchar contra la pandemia (apps de rastreo, uso de cámaras térmicas para acceder a establecimientos, pasaportes sanitarios en empresas, etc.), así como el escándalo generado por el uso de aplicaciones de reconocimiento facial como Clearview AI, han generado que muchos ciudadanos se pregunten dónde están los límites de su privacidad personal y quieran resolver cuestiones tan esenciales cómo quiénes tienen nuestros datos personales, para qué los usan y si podemos recuperar el control.
Esas mismas reflexiones me las planteé yo mismo en más de una ocasión y puedo asegurar al lector que, en ocasiones, el proceso para resolver esas cuestiones puede convertirse en todo un enigma o, incluso, en una película de terror.
Pero vayamos por partes. Primero de todo debemos saber definir qué se entiende por dato personal. Según la definición establecida en la normativa europea de protección de datos, el Reglamento General de Protección de Datos (RGPD), “se trata de toda información sobre una persona física identificada o identificable” y añade “cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
Así pues, observamos que prácticamente todo aquel dato que directa o indirectamente pueda llegar a identificar a una persona física tendrá la consideración de dato personal. En la práctica esto abarca un sinfín de opciones, desde los más obvios como pasaporte o documento nacional de identificación, número de la seguridad, social, fotografías, videos, huellas dactilares, reconocimiento facial, direcciones de correo electrónicos, números de teléfono, matrículas de vehículos… hasta otros no tan conocidos por el público general pero sí por la industria y el mundo del marketing digital como direcciones IP, direcciones MAC, cookies, SDK, píxel… incluso todo un conjunto de datos que individualmente no identifican directamente a una persona concreta, pero analizándolos en su conjunto sí.
Al final, uno llega a la conclusión de que la forma más sencilla de responder a la pregunta es planteándose la misma cuestión a la inversa: ¿qué no se considera un dato personal? Ahora sí, la respuesta es todos aquellos datos que no permitan la identificación -directa o indirecta- de una persona física. O dicho de otro modo, los datos anónimos. Si bien no es el objeto de este artículo profundizar sobre los procesos de anonimización, animo a todo aventurero que sienta curiosidad, a que revise las publicaciones que las autoridades nacionales y europeas de protección de datos han escrito sobre este asunto.
Ahora que sabemos qué se considera dato personal, debemos identificar cuál es su encaje en el ordenamiento jurídico. A nivel europeo, la protección de los datos personales tiene la consideración de derecho fundamental y, por consiguiente, aparece expresamente recogida en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea (2010/C 83/02) desarrollada en el RGPD, aplicable a todos los Estados Miembros de la Unión Europea y el Espacio Económico Europeo. A nivel nacional, la protección de datos aparece regulada en el artículo 18.4 de la Constitución Española, en la sección de derechos fundamentales, como el derecho a la vida, integridad física y moral, la libertad ideológica, religiosa y de culto, etc. y desarrollada en la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
Así pues, observamos que la protección de los datos personales no es una cuestión baladí, sino que se trata de un derecho fundamental y, por tanto, aquí es cuando surge la primera reflexión: si se trata de un derecho fundamental ¿por qué recibimos llamadas comerciales que no hemos solicitado o comunicaciones comerciales de empresas que desconocemos? Tras más de una década especializado en el sector de la privacidad, debo decir que, si bien la respuesta no es blanco o negro, a mi juicio es debido a tres cuestiones principales: la constante evolución tecnológica que siempre se adelanta a la normativa, la carencia de una regulación europea uniforme y la falta de concienciación de la sociedad sobre la importancia y valor de sus datos.
Desde mi humilde punto de vista, el error desencadenante fue la regulación de la protección de datos mediante Directiva 95/46/CE (y no mediante Reglamento), pues ello provocó que los Estados miembros introdujeran sus propias interpretaciones y desarrollos en la transposición interna de la normativa europea, a pesar de los esfuerzos del Grupo de Trabajo del Artículo 29, organismo europeo independiente que, desde el año 1997 hasta la aplicación del RGPD el 25 de mayo de 2018, intentó armonizar la interpretación del texto normativo europeo a través de opiniones y guías. Este factor, junto con opiniones dispares de las autoridades de control, propició la aparición de una aplicación no uniforme de la normativa europea entre los propios Estados miembros, creando en ocasiones, verdaderas aberraciones jurídicas que, vistas con perspectiva, otorgaban poca seguridad jurídica a un derecho fundamental.
A todo esto debemos sumarle el contexto tecnológico y social de las últimas décadas, es decir, una evolución tecnológica potenciada por el creciente uso de internet, la aparición de medios digitales, redes sociales, smartphones, cookies, etc. Todo este caldo de cultivo propició la aparición de dudosas prácticas comerciales que en España contravenían la LOPD 15/1999 y su posterior reglamento de desarrollo, y que la Agencia Española de Protección de Datos (AEPD) frenaba a base de procedimientos sancionadores con interpretaciones fundamentadas en consentimientos expresos o tácitos.
Pero si hay algo que pronto aprendieron los players tecnológicos de la época fue de la importancia y el valor de los datos personales. Aquí el referente es Google. De hecho, el gigante tecnológico es el claro ejemplo de cómo un proyecto universitario que nació en un garaje con la “simple” misión de ofrecer resultados de búsquedas en internet, se ha convertido en el gran titán que es hoy en día: ofreciendo servicios gratuitos. A cambio, obtienen los datos personales de los usuarios que, junto con los datos de uso del servicio, permite segmentar y ofrecer publicidad personalizada. Por este motivo su catálogo de servicios gratuitos no ha hecho más que crecer a lo largo de los años: buscador de internet, correo electrónico, calendario, traductor, app de navegación con datos de tráfico a tiempo real, cookies analíticas, plataforma de blog, videos en streaming, aplicaciones de ofimática, sistema operativo Android, el navegador Chrome y un largo etcétera.
En mi opinión, el RGPD ha marcado un antes y un después. Gracias a esta normativa, la Unión Europea ha dado un giro de 180 grados para adaptarse al contexto social, económico y tecnológico actual y convertirse en un marco normativo referente a nivel mundial e inspirador de regulaciones en otros países (CCPA en el estado de California, LGPD en Brasil, y proyectos de modificación en Méjico, Argentina, Chile o Perú).
Cabe recordar que unos de los ejes vertebradores del Reglamento europeo es equilibrar la balanza entre las personas físicas y las entidades (privadas o públicas), tal y como prevé expresamente el considerando 7: “Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.”
Así pues, el RGPD ha ampliado el catálogo de derechos que las personas físicas podemos reclamar frente a las entidades para recuperar el control de nuestros datos (acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento), incluyendo el derecho a percibir indemnizaciones económicas por los daños y perjuicios sufridos.
A este respecto, el Supervisor Europeo de Protección de Datos (EDPS) ha animado en diversas ocasiones a la Comisión Europea a tomar iniciativas políticas que inspiren el desarrollo de modelos de negocio económicamente viables para facilitar el uso de plataformas basadas en la tecnología PIMS (por las siglas en inglés de “Personal Information Management Systems”), con el objetivo de permitir a los usuarios reclamar sus derechos de protección de datos y, a las entidades, la gestión y atención de dichas reclamaciones.
