Sobre el epígrafe III: Derecho a la protección de datos
En los entornos digitales, los datos son la piedra angular que posibilita la realización de la totalidad de actividades. Al carecer de la dimensión física, en este tipo de entornos, la relación entre personas (sociales, económicas, etc.) se realiza a través de representaciones de ellas mismas: éstos son los datos, descripciones o representaciones de un evento, persona u objeto, o en los términos del Reglamento Europeo de datos: “cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual” (art. 2.1 del Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo de 13 de diciembre de 2023).
Ya, en 2006, el matemático británico Clive Humby acuñó la frase “los datos son el nuevo petróleo”, queriendo relevar la importancia de esas representaciones para el desarrollo económico y las cifras que se hacen constar en el Estudio sobre el Mercado de Datos en Europa (2021-2023) así parecen confirmarlo: el valor de la economía de datos, que mide el impacto global del mercado de datos en la economía en su conjunto, superó los 544 000 millones de euros en 2023 para la UE-27, con un crecimiento del 9,3 % respecto al año anterior. La tendencia positiva de crecimiento de la economía de datos se confirma por el valor del mercado de datos en 2023 para la UE-27, que muestra una tasa de crecimiento superior a la del gasto total en TI, con un 11,1 % interanual, alcanzando los 82 000 millones de euros.
En cuanto a la oferta y la demanda, se estima que los proveedores de datos superarán las 238 000 unidades en la UE-27 en 2023, con un crecimiento del 9,2 % interanual. Los usuarios de datos también aumentaron en 2023, superando las 604 000 unidades y registrando un crecimiento del 3,5 % respecto al año anterior. Los ingresos generados por los proveedores de datos aumentaron un 9,3% hasta alcanzar casi 93 000 millones de euros en la UE27, y Alemania, Francia e Italia muestran la mayor proporción de ingresos por datos por país, representando juntos dos tercios de los ingresos por datos en la Unión Europea.
Los datos son entonces un gran activo para las organizaciones, que los usan con distintos fines: conocer a los clientes, predecir el impacto de una campaña sobre su comportamiento, definir los productos y servicios en función a lo que se sabe de los consumidores, entre otros. De los datos se extrae la información y, con base en la misma, se toman decisiones estratégicas: vender, comprar, qué vender o comprar, cuándo hacerlo. Entre más y mejor información se use en la toma de decisiones, menor es el riesgo de equivocarse y esa posibilidad es muy importante para las empresas que desean evitar, a toda costa, pérdidas o reducciones en sus utilidades. Con el propósito de acertar, las empresas compran bases de datos (conjuntos de datos estructurados -organizados- o no) de proveedores, recaudan ellas mismas datos de fuentes originarias y generan sus propios datos (datos inferidos).
Las administraciones también usan los datos para mejorar sus decisiones y ofrecer mejores servicios a los ciudadanos. En este caso, no se persigue un ánimo de lucro, sino una acción administrativa más eficaz y eficiente que garantice el disfrute de los derechos, lo que implica que, en este escenario, el error no sólo impacta en las finanzas públicas, sino en la garantía de los derechos.
Sean cuales fueran las motivaciones, lo cierto es que los datos y la información que de ellos se extrae son esenciales para las organizaciones, para la consecución de sus objetivos. A medida que la sociedad de la información se va consolidando y extendiendo, los datos van adquiriendo mayor valor y es necesario que el Derecho defina las reglas para su generación y explotación.
La normativa de protección de datos que se expondrá brevemente en este comentario, a propósito de la remisión que hace la Carta a este cuerpo normativo, responde a una dimensión de este fenómeno. Contiene un conjunto de reglas para obtener y explotar una tipología concreta del conjunto de datos disponibles: los datos personales, aquellos que permiten identificar a su titular y, en esa medida, están vinculados a su identidad, personalidad y dignidad.
Es muy importante comprender que la normativa de protección de datos personales solo se ocupa de una parcela de las relaciones que se generan en los entonos digitales: aquella que se establece entre el titular del dato personal, el que lo recauda y usa, definiendo la finalidad de esta acción (responsable) y el encargado (o terceros), que es quien materialmente realizan las acciones técnicas que permiten explotar los datos. El resto de relaciones entre quien genera el acto, hecho o información que es objeto de representación y aquellos que obtienen y la usan, están regidos por otras normas, por ejemplo, el Reglamento de datos, ya mencionado, define las condiciones para la recolección y uso de los datos recogidos por los productos conectados, aquellos dispositivos cuya función es recoger y gestionar datos, tales como los asistentes virtuales (Alexa de Amazon), los relojes inteligentes (smartwatch), entre otros y su objetivo principal consiste en que quien adquiera estos bienes conozca sus características (qué datos recoge y cómo lo hace) y pueda disponer de sus datos.
El Reglamento de mercados digitales (Reglamento (UE) 2022/1925 sobre mercados disputables y equitativos en el sector digital) por su parte, intenta evitar que las grandes plataformas tecnológicas (Google, Meta, etc.) abusen de su posición y obtengan ventajas injustificadas a partir de su tamaño e importancia. El Reglamento de mercados digitales protege a los consumidores, a los sujetos que emplean los servicios de las grandes plataformas, pero también a otras empresas que compiten en el mercado digital.
El Reglamento de Servicios Digitales (Reglamento (UE) 2022/2065 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE) tiene por objeto crear un entorno en línea más seguro para los consumidores y las empresas de la Unión Europea (UE), con un conjunto de normas diseñadas para proteger a los consumidores y sus derechos, definiendo claramente las responsabilidades de las plataformas en línea y las redes sociales en el desarrollo de su actividad (p.ej. qué derechos tiene un consumidor cuando adquiere un bien o servicio en la red), así como, sus obligaciones para evitar la desinformación..
También en cuanto al funcionamiento del mercado de datos, el Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, se ocupa de establecer que los datos electrónicos distintos de los datos personales pueden ser tratados libremente en toda la UE, prohibiendo las restricciones en cuanto al lugar donde pueden almacenarse o tratarse.
La ley de gobernanza de datos (Reglamento (UE) 2022/868) busca aumentar la disponibilidad de datos de calidad, fijando las condiciones para su reutilización, esto es, para su uso con distintas finalidades, siempre que estén protegidos los derechos de sus titulares.
Finalmente, el Reglamento de inteligencia artificial (Reglamento (UE) 2024/1689) pretende fijar las condiciones para que el desarrollo de estas técnicas (que se alimentan de datos), resulte compatible con el sistema de valores imperante: es una norma que intenta equilibrar la innovación con el disfrute de los derechos.
De lo anterior pueden extraerse conclusiones necesarias para la comprensión del apartado de la Carta que se comenta:
No siempre que se habla de datos se alude a los datos personales: hay otra gran cantidad de datos que también son objeto de regulación.
Europa ha expedido un conjunto de normas sobre los datos, que rigen en el territorio de los 27 países. La intención es promover el desarrollo del mercado de datos desde la oferta, impulsando su puesta a disposición (reutilización) y evitando que los Estados establezcan restricciones para el movimiento de datos no personales. Desde el lado de la demanda, la regulación buscar reforzar la confianza de los ciudadanos de la Unión que saben que sus derechos como consumidores, al igual que en el mercado físico, están protegidos, que la innovación va a embridarse, en el sentido de que no va a permitirse que la técnica avasalle a las personas. Y, finalmente, también intenta proteger a las empresas, en especial de las acciones abusivas que eventualmente puedan desarrollar otras organizaciones.
¿Quién puede ejercer este derecho?
Sólo las personas físicas tienen derecho a solicitar la protección de sus datos personales; esto quiere decir que las empresas no pueden ejercitar los derechos recogidos en el Reglamento Europeo de datos personales (Reglamento 2016/679, en adelante, RGPD), ni en la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en lo sucesivo, LOPDPGDD).
¿Qué se protege?
Esencialmente el RGPD y la LOPDPGDD protegen el derecho a controlar el uso de los datos que nos identifican, la denominada “libertad informativa”. La Constitución de 1978, en su art. 18.4 fue pionera en reconocer que la informática, los sistemas informáticos, pueden perturbar o impedir que las personas controlemos nuestra información. Ese derecho a controlar lo que se conoce sobre nosotros, se distingue, tempranamente, del derecho a salvaguardar nuestra intimidad, bajo el entendido que éste (la intimidad) es un derecho que posibilita la reacción ante intromisiones ilegítimas (derecho de reacción), mientras que libertad informativa dota a su titular de derechos de acción: conocer quién tiene nuestros datos, qué hace con ellos, etc. (STC 254/1993, de 20 de julio, F.J. 7; STC 143/1994, de 9 de mayo, F.J. 7 y STC 292/2000, FJ 2º).
Para hacer efectivo el derecho a la libertad informativa, tanto el RGPD, como la LOPDPGDD reconocen diferentes facultades al titular de los datos: el derecho a conocer quién tiene sus datos y para que los usa (acceso e información), derecho a oponerse al tratamiento de los datos (siempre argumentando el motivo de oposición), derecho a que los datos reflejen realmente los hechos, actos o situaciones que les conciernen (rectificación), derecho a que una vez se cumpla la finalidad para la que fueron recogidos y tratados, se eliminen (cancelación), el derecho a hacer uso de los datos tratados por una plataforma o sistema en otra (portabilidad) y la posibilidad de oponernos a que los datos se usen, entre otros, en sistemas decisorios automatizados (en los que no interviene una persona), si el resultado del sistema genera efectos jurídicos o equiparables.
Esos derechos se ejercitan en un marco de principios que rigen las actividades de tratamiento (toda operación que se realice sobre los datos): (1) legitimidad: siempre debe haber una fuente de legitimación, una razón que justifique que alguien conozca y use nuestros datos. Esa motivación puede ser diversa: podemos consentir que se usen, reconocer que son necesarios para celebrar un contrato u otra relación jurídica, aceptar que hay obligaciones legales o funciones públicas que justifican su utilización; (2) limitación de la finalidad: la clave de bóveda de todo el sistema de protección es el propósito de la utilización. La entidad que define el propósito es a quien debemos dirigirnos para ejercitar nuestros derechos (responsable del tratamiento), la finalidad marca el tipo y cantidad de datos que se necesitan (minimización de datos), el tiempo que pueden utilizarse (limitación de tiempo), fija los parámetros para saber si es lícito que se le da otro uso (finalidad ulterior); (3) calidad de los datos: al ser simples representaciones, los datos deben reflejar fielmente la realidad física, por ese motivo, han de estar actualizados y corresponderse con los hechos y actos actuales; (4) integridad y confidencialidad: el responsable debe garantizar que la información, así como los datos de la que se extrae, está completa, es una representación real, exacta y fidedigna del hecho o circunstancia de la que da cuenta y es tratada de forma tal que se impida el acceso no autorizado a la misma. Finalmente, el RGPD y la LOOPDPGDD obligan al responsable a cumplir las exigencias del ordenamiento y a estar en capacidad de demostrarlo: este el objeto del principio de responsabilidad proactiva.
¿Por qué es importante este derecho?
Contar con herramientas jurídicas que nos permitan controlar nuestra información personal es indispensable para ejercer y proteger nuestra identidad, para garantizar nuestra dignidad como seres humanos, que debemos ser tratados por los demás como lo que somos y no como un simple reflejo de lo que nos representa. El sistema jurídico nos dota de los instrumentos para que ejerzamos un control férreo sobre nuestra información, pero, obviamente, éstos sólo son eficaces si somos conscientes de su existencia, les damos valor y los utilizamos adecuadamente.
Uno de los grandes desafíos en los entornos digitales es que seamos conscientes de lo que pasa, de la existencia de este mercado de datos personales que posibilita que nuestras decisiones estén condicionadas, dirigidas. Entre más se conoce de nosotros, más vulnerables somos ante acciones de manipulación, desplegadas por distintas entidades en todos los ámbitos en los que nos relacionamos: comerciales (adquirimos bienes y servicios que no necesariamente necesitamos o que no contemplamos originalmente adquirir, como resultado de la utilización de un algoritmo -de un conjunto de reglas- que nos hace recomendaciones, que motiva el seguimiento de las acciones desarrolladas por otras personas), sociales (reforzamos nuestras creencias, perdiendo capacidad crítica, con información que se nos ofrece como resultado del análisis de nuestros posicionamientos o preferencias), políticos (se dirige nuestro posicionamiento político usando lo que se conoce de nosotros: nuestras preocupaciones, miedos, necesidades, inquietudes). En suma, entre más revelemos de nosotros, menor es nuestra capacidad de decidir libremente lo que queremos. Lo más inquietante de este asunto, es lo poco concienciados que estamos sobre este fenómeno, o la poca importancia que le atribuimos: cedemos ante la inmediatez, a la facilidad, a la comodidad, sin reparar en los efectos de nuestras decisiones. Prescindimos de realizar gestos simples como gestionar el uso de las cookies (dispositivos que almacenan nuestros datos cuando navegamos en una página web) con tal de obtener rápidamente la información, de facilitar la toma de decisiones, sin pararnos a pensar cuál será el destino de nuestros datos, quién se beneficia de ellos y cómo se emplearán. El Derecho hace posible que tengamos ese espacio de decisión, está en nuestras manos el hacerlo.
¿Cuáles son los límites para el ejercicio del derecho?
El derecho a contralar la información personal enfrenta varios límites, sobre todo en el plano de la legitimidad o licitud del uso: con carácter general, podemos saber quién tiene nuestros datos o para qué los usa, pero no necesariamente podemos oponernos a que lo haga. Por ejemplo, si una norma prevé que una administración debe tener acceso al dato y emplearlo, no podemos impedirlo, si ese interés prevalece sobre el nuestro, tal y como debe sernos explicado, a menos que la administración esté ejercitando una potestad de inspección o verificación, evento en el que no cabe oposición; tampoco podemos hacerlo si hay un interés legítimo que justifica su uso, como por ejemplo, cuando el empleador nos requiere nuestros datos bancarios para ingresarnos la nómina, o el responsable actúa en cumplimiento de un deber legal.
¿Qué pasa si el derecho no se ejercita regularmente?
Hay dos perspectivas desde las que se puede abordar este tema: si el titular del dato no ejercita su derecho, el sistema jurídico no le ofrece una protección por defecto. Es necesario que el titular sea consciente de la situación y haga uso de los medios de defensa que le otorga el ordenamiento.
Si el titular ejercita alguna de sus facultades de manera irregular (en el sentido de no ajustada al ordenamiento), la protección del Derecho no se activa: por ejemplo, si se opone a un tratamiento, pero no aduce un interés legítimo, no puede disfrutar de esta protección.
Ventajas e inconvenientes de la digitalización para el disfrute de los derechos:
✅ Los entornos digitales y los desarrollos tecnológicos han revaluado la información. Los datos personales siempre han sido importantes (de ahí que el Convenio 108 del Consejo de Europa, que constituye un instrumento internacional pionero, se suscribió en 1981) y su obtención y utilización se protege, tanto en el medio físico, como en el digital. Sin embargo, los avances tecnológicos y la propia dinámica social han hecho posible que la información disponible se incremente de forma exponencial y se use con múltiples finalidades, por ello el entorno digital es el escenario, por excelencia, para ejercitar este derecho.
❌ Como sucede tratándose del ejercicio de otros derechos, los entornos digitales, al ser transnacionales, dificultan la eficacia de las acciones de protección. Es cierto que el RGPD ha querido superar este escollo, establecido que, con independencia de dónde esté ubicado el responsable del tratamiento, si usa datos personales de residentes en la UE debe acatar las normas, pero los límites territoriales de la jurisdicción restringen su operatividad.
¿Cuál es el papel de los poderes públicos?
Los poderes públicos están obligados a respetar y facilitar el ejercicio del derecho a la protección de datos. Desde la primera vertiente, las administraciones han de observar la normativa cuando utilicen datos de los ciudadanos y, el propio legislador, cuando establezca una norma que permita un tratamiento, ha de verificar previamente que esta previsión es proporcionada: resulta idónea para alcanzar el objetivo, es necesaria (no hay otro medio menos perturbador de la libertad informativa) y proporcionada (adecuada al fin).
Para facilitar el ejercicio de este derecho, se ha instituido, la Agencia Española de Protección de Datos Personales, una autoridad pública independiente que vela por el respeto de los derechos: conoce de las denuncias de los titulares de los datos y ejercita, si es del caso, la potestad sancionadora; realiza inspecciones para verificar el cumplimiento de la normativa y pone a disposición de los responsables y encargados, guías, recomendaciones y modelos que les facilitan ajustar su comportamiento a las previsiones normativas.
¿Cómo está regulado el ejercicio del derecho?
La normativa de protección de datos personales está integrada por el RGPD y la LOPDPGDD, así como la normativa específica que garantiza la libertad informativa en las redes y servicios de comunicaciones electrónicas (Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector). Esta última norma protege, por ejemplo, a los usuarios de telefonía móvil, de que sus datos de localización que conocen los operadores móviles sean compartidos con terceros.
¿Qué medidas se han adoptado para garantizar su ejercicio?
A nivel regulatorio, una de las medidas que se han adoptado para garantizar la salvaguardia de los derechos, es la definición de recomendaciones por las autoridades de protección de datos de los países de la UE (Comité Europeo de Protección de Datos -CEPD), que deben seguir los responsables y encargados de tratamiento de datos https://www.edpb.europa.eu/edpb_es. Esta función preventiva y de promoción de derechos, también es desarrollada por la Agencia Española de Protección de datos Personales a través, entre otros, del canal prioritario para denunciar la presencia en Internet de fotografías, vídeos o audios de contenido sexual o violento cuya difusión ilícita pone en grave riesgo los derechos y libertades o la salud física y/o mental de las personas afectadas, los canales para presentar denuncias, las herramientas de simulación que permiten saber si es necesario que se cumplan exigencias específicas del RGPD para los responsables (como el deber de realizar evaluaciones impacto a la privacidad), entre otros.
Para saber más puede verse:
Cotino Hueso, L. & Reilly, M. B. (2022). Derechos y garantías ante la inteligencia artificial y las decisiones automatizadas. Thomson Reuters Aranzadi.
Davara Rodríguez, M. Á., & Davara Fernández de Marcos, E. P. (2020). El Reglamento Europeo de Protección de Datos y la LOPDGDD: todo lo que necesitas saber. Wolters Kluwer (Madrid, España).
Kuner, C., Bygrave, L., Docksey, C., & Drechsler, L. (2020). The EU general data protection regulation: a commentary. Update of Selected Articles (May 4, 2021).
Llaneza, P. (2019). Datanomics: Todos los datos personales que das sin darte cuenta y todo lo que las empresas hacen con ellos. Deusto.
Piñar Mañas, J. L. (2016). Reglamento general de protección de datos: hacia un nuevo modelo europeo de privacidad.
Autoría:
Juanita Pedraza Córdoba
Universidad Carlos III de Madrid
Derecho Público del Estado
Instituto Pascual Madoz