Cambio de paradigma en la protección de datos de carácter personal y su interrelación con la sociedad digital

Resumen

La investigación tiene por objeto profundizar en el análisis de las abruptas transformaciones que ha experimentado el derecho fundamental a la protección de datos de carácter personal en el seno de las Administraciones públicas en los últimos tiempos, ante la paulatina incorporación y aplicación del recurso tecnológico en las diferentes actuaciones administrativas. La dificultosa tarea plantea un detallado viaje por los distintos hitos jurídicos que han contribuido al alumbramiento de un derecho fundamental fuertemente administrativizado, con el propósito de dar cuenta de las dispares y profundas transformaciones que este instituto jurídico ha sufrido fruto del transcurso del tiempo y de las sucesivas oleadas digitalizadoras, las cuales han forzado su reinvención en numerosas ocasiones, a medida que se incrementaba el catálogo de amenazas y nuevos desafíos. No obstante, como habrán comprobado el presente estudio no está concebido para realizar una simple revisión del estado del arte de la cuestión. Fruto de este anhelo, la tesis doctoral huye expresamente de los cómodos esquemas empleados con carácter general para acometer el análisis de este derecho fundamental, con el firme propósito de servir a un loable objetivo, que no es otro que el de contribuir modestamente, como diría RUBÍ NAVARRETE, Adjunto a la Dirección de la Agencia Española de Protección de Datos, a «favorecer el conocimiento de las trincheras de la protección de datos de carácter personal». Por esta razón, no nos limitamos únicamente a examinar el más de un siglo que separa la formulación teórica primigenia de la protección de la vida privada elaborada por WARREN y BRANDEIS, del poderoso Reglamento General de Protección de Datos o del esperado Paquete Digital Europeo. Así pues, la investigación que hoy defendemos, imbuida quizá por ese espíritu humanista que imprime el estrecho contacto con las aulas del Estudio salmantino, pretende traspasar los muros universitarios y ofrecer una relectura, desde el prisma de los procesos de digitalización y modernización de las Administraciones públicas, eminentemente práctica y actualizada de un derecho fundamental que está llamado a ser el instituto básico para la plena eficacia y garantía del conjunto de derechos y libertades fundamentales reconocidos constitucionalmente, erigiéndose además como la piedra angular del Estado social y democrático de Derecho ante la (r)evolución digital. Defender abiertamente esta premisa exige huir conscientemente de la visión buenista que envuelve el análisis del fenómeno de la transformación tecnológica de nuestras sociedades entre una gran parte de la doctrina iuspublicista, ya que si bien es cierto que la apresurada transición digital de las estructuras sociales y económicas está dibujando innumerables ventanas de oportunidad para el conjunto de la población, no es menos cierto que esta rápida incursión de las tecnologías disruptivas ha evidenciado la urgente necesidad de contar con un solido marco ético y jurídico que permita regular las ventajas, potencialidades y riesgos que entraña la (r)evolución digital, situando la dignidad de la persona en el centro de cuantos esfuerzos metodológicos se destinen a la búsqueda de soluciones normativas innovadoras que permitan caminar hacia la consecución del ansiado humanismo tecnológico. Esta apremiante cuestión exige una minuciosa labor jurídica orientada no solamente a la articulación de garantías que permitan salvaguardar la plena vigencia y efectividad del elenco de derechos fundamentales ya reconocidos, sino también la identificación de reformas legales necesarias, así como de aquellas lagunas jurídicas que requieran una regulación adicional para otorgar seguridad jurídica, elemento indispensable que debe vehicular cualquier intento de fomento de la innovación digital. A tal fin, nuestra investigación se encuentra dividida en cuatro grandes capítulos, los cuales están engarzados de tal manera que permiten atesorar no solamente un profundo conocimiento del derecho fundamental de la protección de datos de carácter personal, sino también identificar las nociones esenciales del sustrato tecnológico que subyace bajo la etiqueta de IA, así como de los procesos de digitalización y datificación experimentados por las Administraciones públicas, al objeto de poder deslindar con claridad los numerosos impactos que la tecnificación de la acción administrativa, en primer término, y la automatización y el recurso a la inteligencia artificial en el momento actual están ocasionando sobre la esfera privada de los particulares. Se pretende, por tanto, abordar tres grandes cuestiones examinadas por la doctrina hasta la fecha de forma desagregada, dispersión solamente alterada por algunos estudios puntuales sobre la materia realizados por extraordinarios académicos de la talla de PIÑAR MAÑAS. Así, en el Capítulo primero analizamos el tránsito de los primeros instrumentos internacionales en materia de protección de datos de carácter personal a la configuración de un verdadero ordenamiento europeo de la privacidad. Para ello, en primer término, se realiza un sucinto análisis de aquellos textos normativos internacionales que contribuyeron a sentar las bases y principios esenciales del actual sistema europeo de tutela jurídica de la protección de la privacidad para acto seguido, detenernos en el estudio pormenorizado de todos y cada uno de los instrumentos normativos que han contribuido al avance, perfeccionamiento y posterior consolidación del derecho a la protección de datos de carácter personal en el continente europeo, escenificando la transfiguración de esta garantía, la cual pasa de ser una simple exigencia más para el correcto funcionamiento del mercado común europeo a convertirse en un derecho fundamental autónomo, tal y como se desprende del art. 8 de la Carta de Derechos Fundamentales de la Unión Europea. Especial mención requiere el análisis del actual marco normativo europeo de privacidad, presidido por el todopoderoso Reglamento General de Protección de Datos, entre cuyas numerosas innovaciones sobresalen la irrupción de la responsabilidad proactiva, la sustancial ampliación de los derechos subjetivos de los interesados, la preponderancia de la privacidad desde el diseño y por defecto, la instauración del registro de actividades de tratamiento o la introducción de la figura del delegado de protección de datos, las cuales han traído consigo un verdadero giro copernicano en la regulación de la materia que ha terminado removiendo los cimientos del tradicional esquema de cumplimiento normativo al que plácidamente estaban acostumbradas las Administraciones públicas. También aparecen reflejados en este trabajo algunos hitos normativos posteriores, cuya vinculación con la esfera de la protección de datos está más que justificada. Nos estamos refiriendo a la Directiva (UE) 2019/1024, relativa a los datos abiertos y la reutilización de la información del Sector público y al Reglamento (UE) 2022/868, relativo a la gobernanza europea de datos, los cuales generan un buen número de interrogantes desde el prisma de la privacidad, toda vez que representan una serie de concesiones en favor del mercado único digital que pueden desdibujar los contornos propios del modelo europeo de protección de datos personales. Más relevantes e innovadoras resultan las reflexiones esbozadas acerca del carácter poliédrico del sistema europeo de protección de datos, donde se incide en dos elementos vehiculares que representan, a nuestro buen saber y entender, el núcleo irreductible de la actual regulación contenida en el RGPD. Nos estamos refiriendo, como no podía ser de otra manera, al principio de responsabilidad proactiva y al enfoque de riesgo, premisas que permiten diseñar un marco normativo flexible, capaz de adaptarse y resistir al fenómeno de la obsolescencia normativa que imprime la vertiginosa transformación tecnológica. También se reflejan en este epígrafe una serie de importantes reflexiones acerca del futuro del sistema europeo de protección de datos de carácter personal, a la luz de la aprobación de diversos instrumentos que darán cobertura al esperado Paquete Digital Europeo. Finalmente, se examina en este primer capítulo la fuerza expansiva del RGPD, el cual está ejerciendo una fuerte influencia en el contexto internacional como motor de modernización de diversas legislaciones. Con la finalidad de evidenciar la relevancia de este «efecto Bruselas», se acomete el análisis del espacio iberoamericano de protección de datos, la creación de la mayor área mundial de flujos de datos seguros tras la adopción de la Decisión de adecuación de Japón y el estudio de la Ley de Protección de la Información Personal de la República Popular China, la cual, sorpresivamente, guarda una extraordinaria similitud con el RGPD. Revisada la configuración del poderoso ordenamiento europeo de privacidad, dedicamos el Capítulo segundo de nuestra investigación a hacer lo propio con el esquema normativo nacional de protección de datos de carácter personal, destacando sus numerosas fortalezas, sus deficiencias y márgenes de mejora, mediante la propuesta de una serie de ideas-fuerza que deberían tenerse en cuenta en la futura revisión de los instrumentos jurídicos encargados de ordenar la cuestión, de la mano de la experiencia acumulada por la Agencia Española de Protección de Datos, la cual se esconde tras buena parte de las innovaciones jurídico-administrativas que han situado a nuestro modelo de protección de datos personales a la cabeza de la Unión Europea. Para ello, en primer término, se realizan una serie de consideraciones acerca de la importante y vanguardista referencia a la informática introducida en la Constitución española de 1978 para, acto seguido, profundizar en el carácter jurisprudencial del nacimiento de la protección de datos personales como derecho autónomo. Seguidamente, centramos nuestra atención en el estudio del entramado de normas impulsado por nuestro legislador con el propósito de dar desarrollo al derecho fundamental a la protección de datos de carácter personal, examinando al detalle los avances que presenta cada norma con respecto a su predecesora, y deteniendo nuestra mirada en la novísima Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Asimismo, encuentran cobijo en este segundo capítulo dos importantes y novedosas propuestas para el futuro de la protección de datos de carácter personal. En primer lugar, destaca la fervorosa defensa de la inclusión de la dimensión de protección de datos personales en la iniciativa legislativa, mediante la modificación de la ordenación que da cobertura jurídica a la memoria de análisis de impacto normativo, con el propósito de incluir un estudio sistematizado del impacto que en el derecho fundamental a la protección de datos personales de los interesados ejercerán los distintos tratamientos de datos previstos en los diferentes instrumentos legislativos impulsados. No obstante, conviene precisar que nuestra pretensión no se limita única y exclusivamente a incorporar la dimensión de la protección de datos de carácter personal en la estructura y contenido de la MAIN sino también a publicitar las garantías específicas que resulten de dicho análisis, mediante la inclusión en el propio texto articulado de un precepto concreto relativo a la protección de datos de carácter personal. En segundo lugar, destaca la urgencia de articular garantías jurídicas efectivas que permitan dotar de efectividad al elenco de nuevos derechos digitales reconocidos a propósito de la promulgación del Título X LOPDGDD y la adopción de la afamada Carta de Derechos Digitales, los cuales si bien es cierto que constituyen un ejemplo extraordinario de la conveniencia de avanzar en el establecimiento de un conglomerado de derechos que permitan garantizar la subordinación de la tecnología al individuo y preservar la dignidad de la persona frente al imperio de la digitalización, no cuentan con fórmulas de intervención administrativa tangibles que permitan impulsar verdaderamente una digitalización humanista efectiva. En el Capítulo tercero, dedicado al análisis de los nuevos confines de la protección de datos de carácter personal se realiza un importante esfuerzo por desenmarañar los requerimientos técnicos que sustentan el avance de la inteligencia artificial y las decisiones automatizadas. Para ello, se examinan, en primer término, las diferentes oleadas digitalizadoras de la sociedad, prestando especial atención a fenómenos tales como el machine learning, el deep learning o el procesamiento del lenguaje natural y sus múltiples manifestaciones. También se acomete el estudio del ciclo de vida de las herramientas de inteligencia artificial y se esbozan una serie de premisas esenciales para garantizar la adecuación al RGPD de aquellos tratamientos de datos personales que empleen estas novedosas invenciones. De igual forma, se aborda el creciente protagonismo de la ética digital, incidiendo en la necesaria «reserva de humanidad», la conveniencia de combatir los sesgos algorítmicos y las dificultades y potencialidades propias de la explicabilidad de la inteligencia artificial. También se incluyen un buen número de reflexiones acerca de la gestión del riesgo para los derechos y libertades fundamentales de la ciudadanía, prestando especial atención a la afectación que los sistemas algorítmicos ocasionan en el concreto ámbito de la privacidad, la quiebra del principio de no discriminación, la erosión de la tutela judicial efectiva o en la alteración del binomio libertad-seguridad. La gobernanza algorítmica es otro de los temas de estudio que se incardinan en este capítulo tercero, cuyo reflejo trasciende el establecimiento de límites y controles a la inteligencia artificial, contemplando además el protagonismo que posee la Agencia Española de Protección de Datos ante la algoritmización de la sociedad y el diseño de nuevas garantías institucionales frente al avance de la transformación digital. De igual forma, se acomete el estudio de los nuevos instrumentos normativos en materia de inteligencia artificial, para lo cual se realiza un estudio comparado de la Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de Inteligencia Artificial y otras iniciativas internacionales destinadas a embridar el despliegue de esta poderosa tecnología, como son las Opiniones orientativas sobre el fortalecimiento de la gobernanza integral de los algoritmos del servicio de información de Internet adoptadas por la República Popular China y la Ley de Responsabilidad Algorítmica de Estados Unidos. Como cierre de nuestra tesis doctoral, se dedica el Capítulo cuarto a dilucidar la situación que atraviesa la protección de datos de carácter personal en el seno de las distintas Administraciones públicas, haciendo especial énfasis en el cambio de paradigma que supone, así como en las ventajas, potencialidades y desafíos que entraña la creciente proliferación de procesos de automatización y el exponencial recurso a la inteligencia artificial dentro del Sector público, extremo que justifica los esfuerzos destinados a conocer el funcionamiento de esta poderosa solución tecnológica en el capítulo inmediatamente anterior. A tal fin, se examina el marco normativo que ha guiado la transformación digital de las Administraciones públicas durante los últimos decenios, con el propósito de identificar, en primer término, las deficiencias e incongruencias propias del proceso de despliegue de la administración electrónica y, acto seguido, las carencias que laten en el corazón de la vacua e insuficiente regulación que en nuestros días está dando pie al impulso de la administración automatizada sin las debidas garantías para los ciudadanos o administrados. Asimismo, se intenta clarificar la repercusión que la transformación digital de las Administraciones públicas ocasiona en la esfera privada de la ciudadanía, lo que nos lleva a destacar la importancia capital que ostentan la información y los datos personales como principal activo del poder público, al tiempo que se profundiza en los usos que las Administraciones públicas hacen tanto de las decisiones automatizadas como de otro conjunto de importantes y variadas tecnologías (cookies y tecnologías de seguimiento, redes sociales, cloud computing, big data, Blockchain y tecnologías de riesgo distribuido, metaverso, etc.). Pero sin lugar a dudas, el pasaje más relevante de este capítulo es el relativo al estudio de lo que hemos denominado como «régimen de (ir)responsabilidad de las Administraciones públicas en materia de protección de datos», donde mediante el análisis exhaustivo de las más de quinientas resoluciones sancionadoras impuestas durante la última década por la Agencia Española de Protección de Datos a las instituciones públicas se analizan los perniciosos efectos que la excepción al régimen general de responsabilidad y la problemática del apercibimiento de las autoridades públicas están propiciando en nuestros días, se dibujan los contornos del necesario reconocimiento de la responsabilidad patrimonial de las Administraciones públicas frente a la vulneración de los derechos de la privacidad de los particulares y se identifican los principales desafíos pendientes de abordar para garantizar la correcta tutela de la protección de datos personales en el seno de las Administraciones públicas. Para finalizar, se incorporan una serie de valiosas reflexiones acerca de los riesgos que comporta la transformación digital del Sector público desde el prisma de la ciberseguridad y su estrecha relación con la privacidad. Bajo la premisa de que sin protección de datos personales no existe ciberseguridad se acomete la revisión de la génesis y evolución de la ciberseguridad en la Unión Europea, la conveniencia de fortalecer la Estrategia de Ciberseguridad española y la actuación de los elementos institucionales que velan actualmente por la seguridad e integridad de los sistemas de información del poder público, en un contexto marcado por el creciente impacto de las amenazas híbridas y la transformación del modelo tradicional de seguridad. Con todo ello, aún a riesgo de la rápida obsolescencia a la que está expuesta la presente investigación, fruto de la celeridad con la que se suceden los acontecimientos en el ámbito tecnológico y la hipertrofia normativa que caracteriza este concreto ámbito del ordenamiento jurídico, creemos estar en disposición de afirmar que la presente tesis doctoral ofrece una visión completa no solo del estadio regulatorio en el que se encuentra actualmente la tutela jurídica de la protección de datos de carácter personal y su implantación en el ecosistema de Administraciones públicas, sino también de identificar y ofrecer respuestas innovadoras que permitan revertir sus principales deficiencias, al tiempo que contribuye a vislumbrar los principales desafíos y la senda por la que transitará este importante instituto jurídico en los años venideros, cuestiones todas ellas que justifican la extensión de la obra y que dan buena cuenta del desafío normativo al que nos enfrentamos como sociedad, pues como recuerda CARISSA VÉLIZ, «[e]s demasiado tarde para impedir que se desarrolle la economía de los datos, pero no es demasiado tarde para recuperar nuestra privacidad. Nuestros derechos civiles están en juego. Las decisiones que tomemos sobre la privacidad hoy y en los próximos años moldearán durante décadas el futuro de la humanidad».