El mito del consentimiento, o por qué un sistema individualista de

Anuncio
A. Daniel Oliver-Lalana* y José Félix Muñoz Soro
El mito del consentimiento, o por qué un sistema individualista de protección
de datos (ya) no sirve para (casi) nada
RESUMEN
La regla del consentimiento pertenece al núcleo del sistema de protección de datos: salvo que
exista una habilitación legal, lo único que legitima un tratamiento de información personal es
la voluntad libre e inequívoca de su titular —obviamente, ha de tratarse de un consentimiento
informado, de modo que el titular de los datos conozca la finalidad, alcance y características
principales del tratamiento—. En un plano ideal, con ello se persigue que la información sobre
una persona se procese solo cuando, como y para los fines que ella quiera. De esta forma, el
consentimiento es el medio que el derecho de protección de datos utiliza para proporcionar al
individuo un grado razonablemente amplio de control sobre su información personal. Ahora
que la remodelación del sistema de protección de datos está en ciernes, este planteamiento
(consentimiento como medio básico de control) se sitúa en el centro del debate. La cuestión
clave es determinar qué noción de consentimiento resulta más adecuada al incesante avance
socio-tecnológico y redefinir cuál debe ser su papel dentro del sistema europeo, valorando al
fin en qué medida es preciso «un nuevo modelo de protección del titular de datos personales
ante la manifiesta insuficiencia» del actual —según reza uno de los bloques temáticos del
congreso—.1 Pues bien, esta comunicación plantea dos tesis en relación con este debate.
De una parte, argumentamos que el consentimiento, como expediente legitimador y por tanto
como forma de protección del titular de los datos, es un mecanismo inadecuado, al menos en
el contexto presente. Es así porque el derecho de protección de datos se articuló en su día
sobre una visión individualista que de los dos elementos básicos implicados en el tratamiento
de los datos: los titulares de los datos y los sistemas informáticos. Respecto a los titulares, la
norma presupone individuos con tiempo y capacidad para informarse sobre cada uno de los
tratamientos de datos que les conciernen, y para dar o denegar el consentimiento a los
mismos. Nada que ver con la realidad de una utilización masiva de contratos de adhesión,
basados en prácticas y modelos normativos que de facto cobran cierto carácter supranacional,
y en la que la no otorgar el consentimiento puede suponer lisa y llanamente la exclusión de la
sociedad de la información. En cuanto a los sistemas, la legislación piensa en bases de datos no
compartidas, conservadas en los equipos del responsable y que, por tanto, están bajo su
exclusivo control, esquema este que tiende a quedar poco a poco superado por la realidad de
un contexto de computación ubicua y almacenamiento de datos en la nube.
De otra parte, y como consecuencia de lo anterior, el discurso oficial sobre el control individual
de la información personal que se liga a la regla del consentimiento ha acabado por
convertirse en una suerte de mantra, que cubre de una pátina de engaño (ideológico) la
legislación de protección de datos. Sería mejor afrontar abiertamente los cuernos del dilema.
Si lo que se quiere es que el modelo de consentimiento y control sirva para algo, es necesario
introducir cambios sustanciales que la industria del conocimiento y el pujante capitalismo
cognitivo verán como un lastre o barrera intolerable —por no hablar del impacto en las
técnicas disciplinarias generalizadas bajo el mito de la seguridad—: ahí, su argumento suele ser
que la privacidad perjudica el desarrollo de las TIC, algo que nadie desea. Pero se trata de otra
falacia, ya que lo que en realidad se podría ver afectado no es la mejora y progreso de la
Universidad de La Rioja /  Agencia Aragonesa para la Investigación y el Desarrollo (ARAID).
«If it is correctly used, consent is a tool giving the data subject control over the processing of his data», «capable
of keeping pace with the wide variety of data processing operations that often result from technological
developments»; «if incorrectly used, the data subject’s control becomes illusory and consent constitutes an
inappropriate basis for processing» (Art. 29 Data Protection Working Party, WP191, Opinion 1/2012: p. 2 y p. 36).
*
1
técnica (esta es lo suficientemente flexible y potente como para adaptarse a muy distintos
contextos), sino los modelos de negocio que se establecen sobre las redes telemáticas y, a la
postre, los intereses de quienes las controlan. En la pugna entre el desarrollo tecno-económico
y los derechos fundamentales, cuesta cada vez más encontrar un punto medio o de equilibrio.
Si uno postula seriamente que toda persona debe poder controlar su destino informacional, la
regla del consentimiento no sirve: necesitamos otros mecanismos de garantía, no ya
individuales sino colectivos. Incluso la misma definición de información personal —limitada
exclusivamente a los datos asociados a una persona física identificada o identificable— puede
quedar en entredicho. Frente a las nuevas estrategias de gestión, análisis y aprovechamiento
de las inmensas cantidades de datos que generamos (Big Data), haríamos bien en plantearnos
si los ciudadanos no deben tener el derecho a decidir quién y cómo puede explotar la
información que generan con su actividad en las redes. Ya no estamos ante una cuestión
instrumental, sino ante un problema conceptual que afecta al sentido original del derecho a la
protección de datos, la cosificación de la persona. No se puede partir del a priori de que los
datos anonimizados no deben protegerse, como afirma la concepción individualista, ya que
colectivamente también somos vulnerables. Más bien, debemos asumir que la privacidad del
conjunto de los ciudadanos es un bien público y precisa de una defensa pública.
Procuraremos justificar estas dos tesis básicas en tres pasos. Primero planteamos el problema
del consentimiento desde un punto de vista teórico y general (1). En segundo lugar,
analizaremos, a partir de los datos empíricos obtenidos en diversos estudios del Observatorio
Aragonés de la Sociedad de la Información2, el lugar que el consentimiento ocupa dentro de la
cultura jurídica de la privacidad (2). Cuando el consentimiento se ve en clave sociológica, su
insuficiencia como núcleo del sistema queda al desnudo: muestra un carácter lábil, derivado
en buena medida de que los titulares de los datos no perciben la protección de su privacidad
como una prioridad entre las cada vez más numerosas y complejas acciones de autoprotección
jurídica que recaen hoy sobre todo individuo. En tercer lugar, identificamos qué rasgos de los
actuales sistemas de información inciden más claramente en la viabilidad del consentimiento,
y el modo en que lo hacen (3). Al cuestionar la validez del modelo individualista de control y
consentimiento, pero sobre todo a la hora de analizar posibles alternativas para el futuro, es
preciso reflexionar también sobre las características de los sistemas de información.
Evolucionamos hacia un contexto de manejo de documentos electrónicos y de proliferación de
la inteligencia artificial, en el que la complejidad creciente de los tratamientos aplicados a los
datos con el objetivo de adoptar decisiones que afectan a las personas hace que el derecho de
información, en su actual formulación basada en el conocimiento individual, sea totalmente
inoperante. Para concluir, se sugerirán posibles alternativas, teniendo en cuenta el concepto
de cultura de protección de datos y los nuevos —y viejos— retos que nuestro modelo de
privacidad habrá de encarar en un futuro próximo (4).
En suma, el propósito de este trabajo es profundizar en la dimensión subjetiva y sociológica del
consentimiento, más allá de su estudio técnico-jurídico. No puede olvidarse que el derecho de
la sociedad de la información en general, y el de protección de datos en particular, es, a fin de
cuentas, un derecho de “frontera”, que se está construyendo día a día, en buena medida a
partir de las prácticas sociales y, a través de ellas, de los sentimientos colectivos de justicia. Por
ello, la dimensión sociológica y cultural resulta crucial para entender cómo se puede proteger
mejor la privacidad informativa y también para valorar cuestiones como, por ejemplo, si no
nos estaremos acercando a una situación en la que la ley protegerá a ciudadanos que no lo
desean ya que, en su mayoría, se encuentran a gusto “mecidos” al albur de un entorno de
agentes inteligentes que manejan su información personal y toman decisiones por —y sobre—
ellos.
2
J.F. Muñoz Soro y A.D. Oliver-Lalana, Derecho y cultura de protección de datos. Un estudio sobre la privacidad en
Aragón, Madrid: Dykinson, 2011.
Descargar