El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) ha supuesto un cambio definitivo en la forma de proteger la privacidad. Cuando se cumplen ya cuatro años desde su publicación (dos desde su fecha de aplicación, el 25 de mayo de 2018) y cientos de guías, orientaciones y resoluciones después, seguimos todavía desentrañando los secretos de una norma inmensa, que ha venido a emancipar a empresas y ciudadanos. Una norma que trata de responder a una nueva realidad, compleja y diversa, y que, por tanto, refleja también esa diversidad y complejidad.
Los conceptos que sostienen el GDPR son tan generosos que parecen mutar, igual que este terrible virus que nos mantiene encerrados en nuestras casas, y evolucionar en función del signo de la realidad y, en efecto, esta podría ser, de hecho, su principal virtud.
Si las normas suelen llegar tarde, el GDPR no ha sido la excepción. Ha nacido en un mundo donde algunas corporaciones han convertido al individuo en producto y cuentan con una semblanza detallada de cada uno de nosotros. Poco podemos hacer en esa lucha contra el poder que esa información otorga y que de alguna forma hace sombra al de los propios Estados. Un mundo de Estados, quizá obsoleto, que trata de mantenerse en pie y gestionar la transformación social, económica y política propiciada por la tecnología.
Pero es precisamente esa capacidad de mutar, esa flexibilidad del GDPR, construido sobre principios y obligaciones de resultado (por contraposición a las de medios) y sobre el concepto de gestión del riesgo, la que (no sin que nos acerquemos a veces al oscuro abismo de la incertidumbre jurídica) puede permitirnos recuperar parte del terreno perdido. Y es que la realidad cambia a tal velocidad hoy en día que sólo normas que doten a los ciudadanos y a las instituciones de reglas para la resolución de problemas, y no de las propias soluciones, conseguirán seguirle el pulso a ese proceso de cambio.
Si algo está demostrando la crisis de la COVID19 es que precisamos de presupuestos jurídicos dúctiles y permeables a las necesidades de la sociedad. Un empleado no tiene por qué revelar si es seropositivo a su empleador, pero sí debe informarle acerca de si presenta síntomas o se le ha diagnosticado por coronavirus. El propio Estado ha decidido llevar a cabo, por razones de interés general y para proteger la salud de todos, tratamientos de datos para los que, en otras circunstancias (ni siquiera bajo el velo de la anonimidad de los datos, puesto constantemente en cuarentena por las autoridades de control por otra parte), habría necesitado contar con la aquiescencia de los afectados.
Algunos excesos conocidos durante la última década, latrocinios en toda regla contra la libertad de todos, nos han conducido a una sociedad temerosa y desconfiada. Las autoridades de protección de datos, en su afán por protegernos contra un enemigo prácticamente invisible, empiezan a confundir conceptos como confidencialidad o intimidad con el de privacidad. La propia Agencia Española de Protección de Datos lleva el ámbito material de aplicación del GDPR hasta extremos muchas veces cuestionables.
Por otra parte, aunque las empresas han realizado enormes esfuerzos para adaptarse a las exigencias de este nuevo paradigma, salvando honrosas excepciones, en su mayoría están aún lejos de haber consolidado el cambio cultural y de comportamiento que sería deseable.
La transformación digital, la conversión de productos en servicios, la incorporación de la tecnología a la cadena de producción en todos los sectores de la actividad pública y privada, que tiene su ancla en el conocimiento del cliente, del paciente, del empleado, del administrado, y que ya no es cuestión de cuota de mercado o eficiencia sino de pura supervivencia, conduce irremediablemente al tratamiento intenso y masivo de datos personales. Iniciativas como la de la Organización Mundial del Comercio para alcanzar un estándar internacional que garantice el flujo internacional de la información, incluida la información de carácter personal, es solo un ejemplo de la trascendencia de los datos, insumo esencial de la nueva sociedad hacia la que cabalgamos a lomos del corcel más rápido de la historia.
El GDPR representa una enorme oportunidad para llevar a cabo esa transformación, siempre que se aplique bien. Sin embargo, resulta necesario que la propia sociedad entienda las bondades de este nuevo sistema. Es imprescindible desprenderse de verdad del control sobre los datos personales en sí mismos para controlar la legitimidad de su tratamiento. Perder el miedo a lo que podemos hacer con esa información y establecer marcos de uso compartido obligatorio de los mismos en pos de un mundo más eficiente, más sostenible, más libre y más seguro. La función de los Estados y de los supervisores, y también, por qué no, la de asesores y consultores, debe ser ayudar a las empresas y a los ciudadanos en esa transición.
Deja un comentario