La Unión Europea (UE) ha conformado el modelo normativo más completo para afrontar la garantía de los derechos fundamentales en la transformación digital. El marco regulador desborda con mucho el Reglamento General de Protección de Datos (RGPD) integrando un bloque de derecho digital cargado de nuevas siglas (DSA, la norma de servicios digitales; DA, de datos; y DGA, de gobernanza de datos), a la que se sumarán el Reglamento sobre el Espacio Europeo de Datos Sanitarios y la AI Act o reglamento sobre inteligencia artificial. Sin olvidar, que regulamos o estamos regulando la reutilización de datos no personales, la identidad digital, la ciberseguridad, las telecomunicaciones y los tratamientos vinculados a la seguridad y la investigación judicial y policial.

Desde distintas perspectivas se ha presentado economía y regulación como enemigos irreconciliables. Para ciertas posiciones, la UE como gigante regulador cercena toda posibilidad de investigación, innovación y emprendimiento. Para otras, toda ley es poca frente a un proceso de transformación digital puramente economicista que cosifica al ser humano y genera riesgos sistémicos para la democracia. Como al pobre Martín Romaña, a unos poco nos queda estar en el medio, reducirnos en edad y estatura y esperar que nos lluevan tortas como panes.

De una parte, resulta inadmisible el modelo de monetización de la privacidad que prosperó en las transiciones web 2.0 y 3.0 y las aplicaciones móviles. El resultado es obvio y conocido. En no pocas ocasiones la frontera entre publicidad y manipulación resulta muy difusa. Por otra parte, el impacto en nuestros menores está siendo demoledor. Por si fuera poco, aquello que nació para proporcionar eficiencia y “mejorar nuestra experiencia de usuario” ha generado riesgos individuales y sistémicos. Así, el servicio ha pasado a ser el instrumento y el humano, debidamente paquetizado y cosificado, el objeto del negocio. El algoritmo de personalización ha servido para eliminar el debate público —“la conversación”— que contribuye a enriquecer nuestra democracia, la proliferación de fake news y para generar riesgos en la economía y la democracia.

Y precisamente por ello la legislación de la UE se erige no sólo en barrera o frontera. Es mucho más. Debe ser leída en términos de gobernanza. Sin embargo, tampoco podemos aceptar un discurso de blancos y negros. Lo cierto, es que en no pocas ocasiones la ley europea y su aplicación se construye desde los despachos sin conexión con la realidad material. El RGPD no ha impedido la existencia de una compleja maraña de criterios de aplicación no siempre viables. A pesar de los esfuerzos del legislador, y del Comité Europeo de Protección de Datos, las delegaciones en la ley nacional generan graves asimetrías en sectores estratégicos como la salud. Por otra parte, el soft law de las autoridades de protección de datos define la práctica real y apenas está sujeto a más control que el que puedan generar los eventuales recursos contra resoluciones sancionadoras.

Finalmente, una parte del enfoque regulador se sustenta sobre unos cimientos particularmente débiles. Desde un punto de vista sistemático, el RGPD se erige en una suerte de ley de naturaleza constitucional. Cada pieza legislativa específica lo sitúa como referencia material en términos de jerarquía normativa. No es una buena idea. Salvo cambios de última hora, esta técnica va a hacer literalmente inviable, por ejemplo, el Espacio Europeo de Datos Sanitarios donde el marco debe ser especializado y prevalente teniendo en cuenta que ni la legislación nacional, ni la posición de las autoridades es coherente. El segundo error consiste en creer que el RGPD se aplica. No es cierto. La experiencia demuestra que existen multitud de implantaciones basadas en modelos de copiar-pegar, evaluaciones de impacto autocomplacientes y una discutible cultura de la seguridad en no pocas PYME y administraciones. Finalmente, hay que hacer autocrítica y subrayar como la figura del delegado de protección de datos en no pocas ocasiones carece de preparación y en otras se erige en protagonista, en decisor, en lugar de en instrumento.

Y, sin embargo, el modelo debería funcionar y catapultar la economía de la Unión Europea como región capaz de profundizar en una transformación digital regida por la garantía de los derechos fundamentales y la democracia. Pero, para ello las políticas públicas deben ser adecuadas. El mercado único de datos necesita empoderar los servicios de intermediación como infraestructura de gobernanza que además ayude a las pyme al adecuado cumplimiento normativo. Las autoridades de protección de datos deberían democratizar su operativa y definir directrices desde la interacción participativa y la apertura a los sectores. Los delegados de protección de datos deberían recordar que no son stopper y campeones de la privacidad y hacer su trabajo, que no es otro que hacer viables los objetivos de la organización desde la garantía de los derechos. Y las organizaciones respetar su independencia de criterio y su posición.

La cultura de protección de datos impone marcos colaborativos, eficientes y viables desde y para la realidad. No existe otra alternativa.

Ricard Martínez, director de la Cátedra de Privacidad y Transformación Digital Microsoft-Universitat de Valencia.