¿Cuánto valen sus datos y cuánto cuestan?
La investigación y la innovación digital prometen revolucionar nuestra sociedad hasta sus cimientos
Determinar el valor de un dato personal es complicado. Malgieri y Casters señalaron en 2018 que nuestros datos de identificación poseen un valor de 5 centavos y, desde el punto de vista de los ingresos publicitarios, podrían alcanzar el dólar mensual. El estudio The future of Digital Trust publicado en 2014 señaló que los consumidores otorgaban a sus datos un valor entre 170 y 240 euros. Meta valoró los servicios sin publicidad en Instagram por 12,99 para iOS o Android debido al cambio legislativo en la UE. Visto desde los procesos de adquisición empresarial, WhatsApp se compró por más de 21.800 millones de dólares y anteriormente YouTube costó 1.650 millones. Experian estimó en 2017 que un registro médico puede valer 1000 dólares en la Dark Web, mientras que el numero de la seguridad social solo uno.
Además, el coste regulatorio es significativo. La protección de datos es un sector económico que según algunas consultoras tiene hoy un volumen de negocio 180.000 millones de dólares con una expectativa de crecimiento de 884.320 en 2037. DLA Piper estimó en 1.200 millones de euros el volumen de sanciones impuestas en 2024.
Todo apunta a un crecimiento exponencial de la información personal en circulación. Su reutilización y combinación con otras fuentes de datos promete una revolución en toda la cadena de valor gracias a la inteligencia artificial (IA). La apertura a la población de los grandes modelos de lenguaje es sólo un anuncio de lo que está por venir. La investigación y la innovación digital prometen revolucionar nuestra sociedad hasta sus cimientos. Esto sucede en un contexto sociopolítico explosivo en la que aliados norteamericanos y competidores apuestan por una aceleración en el desarrollo de la IA desde la desregulación o las políticas de Estado.
La UE propone regular para crear un mercado de datos basado en mecanismos de generación pública y/o compartición altruista, sostenido mediante una retribución de costes orientada a la sostenibilidad. Se huye del concepto de propiedad, no hay propietarios ni vendedores de datos, sino tenedores o poseedores de datos que deben proporcionar datos a un mercado de investigadores y pymes para su reutilización. El tratamiento se soporta por espacios de datos que incluyen tecnologías de descentralización, intermediación de software para proteger los derechos garantizando el control efectivo de los responsables y las personas. Sin embargo, el Informe Draghi afirma una falta de competitividad de la industria digital europea atribuible a la hiperregulación.
En el modelo UE, la reutilización de los datos personales debería ser más amplia y segura mediante anonimización. Para ello, el GT29 en su Dictamen 5/2014 requiere una anonimización irreversible. Se trata de una visión estática. Si no se acredita una anonimización suficientemente robusta, o si se prevén riesgos en el futuro genera, los datos personales se considerarán seudonimizados. ¿Existe anonimización cuando manejamos un entorno de procesamiento seguro que impida la reidentificación? Este es el enfoque del Tribunal General en el asunto T‑557/20 (JUR v. EDPS). Sin embargo, las Directrices 01/2025 sobre seudonimización del CEPD, en fase de alegaciones, afirman lo contrario lo que implica un riesgo sistémico para el modelo de economía que promueve la UE.
En primer lugar, el Reglamento de Gobernanza de Datos y el futuro Reglamento sobre el Espacio Europeo de Datos Sanitarios apuestan con claridad por la anonimización como criterio primario. La seudonimización operaría como un plan alternativo cuando aquella sea imposible. Esto conduce a justificar la presencia de un uso compatible que excluya el consentimiento o a basar los tratamientos en esta última fuente de legitimación. La posición del CEPD en sus Directrices 5/2020 sobre consentimiento impide el uso de cláusulas de carácter general incluso en la investigación científica. Esto convierte a las autoridades en árbitros que deciden el destino de la economía de la UE con un enfoque que no busca hacer viables los tratamientos sino releer la norma y el sistema económico desde su función de garantes del derecho fundamental a la protección de datos.
Así, mediante un instrumento de soft-law que no será recurrible, las autoridades de protección de datos podrían estar decidiendo el futuro de la economía digital de la UE. En este diseño, los hiperescalares norteamericanos tienen ventajas: procesos de consentimiento engrasados, cobertura del riesgo provista, han aprendido de nuestros datos y pueden permitirse abandonar nuestro mercado.
Las administraciones y las pymes europeas aplicarán el soft-law, pero les costará años desplegar sistemas eficientes, y los costes en términos de inversión en cumplimiento normativo pueden no ser sostenibles. Deberíamos reflexionar sobre cuánto nos van a costar nuestra protección de datos en términos de innovación, desarrollo y bienestar y si es una factura que nos podemos permitir ante la ceguera sistémica de las autoridades y su incapacidad de ofrecer soluciones ponderadas y viables.