El mito del consentimiento, o por qué un sistema individualista de
Anuncio
A. Daniel Oliver-Lalana* y José Félix Muñoz Soro El mito del consentimiento, o por qué un sistema individualista de protección de datos (ya) no sirve para (casi) nada RESUMEN La regla del consentimiento pertenece al núcleo del sistema de protección de datos: salvo que exista una habilitación legal, lo único que legitima un tratamiento de información personal es la voluntad libre e inequívoca de su titular —obviamente, ha de tratarse de un consentimiento informado, de modo que el titular de los datos conozca la finalidad, alcance y características principales del tratamiento—. En un plano ideal, con ello se persigue que la información sobre una persona se procese solo cuando, como y para los fines que ella quiera. De esta forma, el consentimiento es el medio que el derecho de protección de datos utiliza para proporcionar al individuo un grado razonablemente amplio de control sobre su información personal. Ahora que la remodelación del sistema de protección de datos está en ciernes, este planteamiento (consentimiento como medio básico de control) se sitúa en el centro del debate. La cuestión clave es determinar qué noción de consentimiento resulta más adecuada al incesante avance socio-tecnológico y redefinir cuál debe ser su papel dentro del sistema europeo, valorando al fin en qué medida es preciso «un nuevo modelo de protección del titular de datos personales ante la manifiesta insuficiencia» del actual —según reza uno de los bloques temáticos del congreso—.1 Pues bien, esta comunicación plantea dos tesis en relación con este debate. De una parte, argumentamos que el consentimiento, como expediente legitimador y por tanto como forma de protección del titular de los datos, es un mecanismo inadecuado, al menos en el contexto presente. Es así porque el derecho de protección de datos se articuló en su día sobre una visión individualista que de los dos elementos básicos implicados en el tratamiento de los datos: los titulares de los datos y los sistemas informáticos. Respecto a los titulares, la norma presupone individuos con tiempo y capacidad para informarse sobre cada uno de los tratamientos de datos que les conciernen, y para dar o denegar el consentimiento a los mismos. Nada que ver con la realidad de una utilización masiva de contratos de adhesión, basados en prácticas y modelos normativos que de facto cobran cierto carácter supranacional, y en la que la no otorgar el consentimiento puede suponer lisa y llanamente la exclusión de la sociedad de la información. En cuanto a los sistemas, la legislación piensa en bases de datos no compartidas, conservadas en los equipos del responsable y que, por tanto, están bajo su exclusivo control, esquema este que tiende a quedar poco a poco superado por la realidad de un contexto de computación ubicua y almacenamiento de datos en la nube. De otra parte, y como consecuencia de lo anterior, el discurso oficial sobre el control individual de la información personal que se liga a la regla del consentimiento ha acabado por convertirse en una suerte de mantra, que cubre de una pátina de engaño (ideológico) la legislación de protección de datos. Sería mejor afrontar abiertamente los cuernos del dilema. Si lo que se quiere es que el modelo de consentimiento y control sirva para algo, es necesario introducir cambios sustanciales que la industria del conocimiento y el pujante capitalismo cognitivo verán como un lastre o barrera intolerable —por no hablar del impacto en las técnicas disciplinarias generalizadas bajo el mito de la seguridad—: ahí, su argumento suele ser que la privacidad perjudica el desarrollo de las TIC, algo que nadie desea. Pero se trata de otra falacia, ya que lo que en realidad se podría ver afectado no es la mejora y progreso de la Universidad de La Rioja / Agencia Aragonesa para la Investigación y el Desarrollo (ARAID). «If it is correctly used, consent is a tool giving the data subject control over the processing of his data», «capable of keeping pace with the wide variety of data processing operations that often result from technological developments»; «if incorrectly used, the data subject’s control becomes illusory and consent constitutes an inappropriate basis for processing» (Art. 29 Data Protection Working Party, WP191, Opinion 1/2012: p. 2 y p. 36). * 1 técnica (esta es lo suficientemente flexible y potente como para adaptarse a muy distintos contextos), sino los modelos de negocio que se establecen sobre las redes telemáticas y, a la postre, los intereses de quienes las controlan. En la pugna entre el desarrollo tecno-económico y los derechos fundamentales, cuesta cada vez más encontrar un punto medio o de equilibrio. Si uno postula seriamente que toda persona debe poder controlar su destino informacional, la regla del consentimiento no sirve: necesitamos otros mecanismos de garantía, no ya individuales sino colectivos. Incluso la misma definición de información personal —limitada exclusivamente a los datos asociados a una persona física identificada o identificable— puede quedar en entredicho. Frente a las nuevas estrategias de gestión, análisis y aprovechamiento de las inmensas cantidades de datos que generamos (Big Data), haríamos bien en plantearnos si los ciudadanos no deben tener el derecho a decidir quién y cómo puede explotar la información que generan con su actividad en las redes. Ya no estamos ante una cuestión instrumental, sino ante un problema conceptual que afecta al sentido original del derecho a la protección de datos, la cosificación de la persona. No se puede partir del a priori de que los datos anonimizados no deben protegerse, como afirma la concepción individualista, ya que colectivamente también somos vulnerables. Más bien, debemos asumir que la privacidad del conjunto de los ciudadanos es un bien público y precisa de una defensa pública. Procuraremos justificar estas dos tesis básicas en tres pasos. Primero planteamos el problema del consentimiento desde un punto de vista teórico y general (1). En segundo lugar, analizaremos, a partir de los datos empíricos obtenidos en diversos estudios del Observatorio Aragonés de la Sociedad de la Información2, el lugar que el consentimiento ocupa dentro de la cultura jurídica de la privacidad (2). Cuando el consentimiento se ve en clave sociológica, su insuficiencia como núcleo del sistema queda al desnudo: muestra un carácter lábil, derivado en buena medida de que los titulares de los datos no perciben la protección de su privacidad como una prioridad entre las cada vez más numerosas y complejas acciones de autoprotección jurídica que recaen hoy sobre todo individuo. En tercer lugar, identificamos qué rasgos de los actuales sistemas de información inciden más claramente en la viabilidad del consentimiento, y el modo en que lo hacen (3). Al cuestionar la validez del modelo individualista de control y consentimiento, pero sobre todo a la hora de analizar posibles alternativas para el futuro, es preciso reflexionar también sobre las características de los sistemas de información. Evolucionamos hacia un contexto de manejo de documentos electrónicos y de proliferación de la inteligencia artificial, en el que la complejidad creciente de los tratamientos aplicados a los datos con el objetivo de adoptar decisiones que afectan a las personas hace que el derecho de información, en su actual formulación basada en el conocimiento individual, sea totalmente inoperante. Para concluir, se sugerirán posibles alternativas, teniendo en cuenta el concepto de cultura de protección de datos y los nuevos —y viejos— retos que nuestro modelo de privacidad habrá de encarar en un futuro próximo (4). En suma, el propósito de este trabajo es profundizar en la dimensión subjetiva y sociológica del consentimiento, más allá de su estudio técnico-jurídico. No puede olvidarse que el derecho de la sociedad de la información en general, y el de protección de datos en particular, es, a fin de cuentas, un derecho de “frontera”, que se está construyendo día a día, en buena medida a partir de las prácticas sociales y, a través de ellas, de los sentimientos colectivos de justicia. Por ello, la dimensión sociológica y cultural resulta crucial para entender cómo se puede proteger mejor la privacidad informativa y también para valorar cuestiones como, por ejemplo, si no nos estaremos acercando a una situación en la que la ley protegerá a ciudadanos que no lo desean ya que, en su mayoría, se encuentran a gusto “mecidos” al albur de un entorno de agentes inteligentes que manejan su información personal y toman decisiones por —y sobre— ellos. 2 J.F. Muñoz Soro y A.D. Oliver-Lalana, Derecho y cultura de protección de datos. Un estudio sobre la privacidad en Aragón, Madrid: Dykinson, 2011.
