El 26 de noviembre, en una conferencia sobre privacidad y mercados de datos celebrada en Bruselas, Joaquín Almunia, Comisario de Competencia, sugirió que las empresas que no respeten el derecho a la portabilidad de los datos, pueden verse sujetas a intervenciones basadas en la legislación antimonopolísticas europeas.

Tras advertir del riesgo que supone la recogida y análisis de datos personales a gran escala, remarcó el alto valor comercial que han adquirido los datos personales, que ahora se han convertido en la mercancía más preciada para las empresas. Como éstas pueden infringir la normativa sobre privacidad para tomar ventajas frente a sus competidores, o para restringir la entrada en el mercado de otros, ahí es donde han de entrar en acción los organismos europeos que vigilan la competencia. No basta con quedarse en la protección de datos y en la protección del consumidor.

Basta con ver los miles de millones de euros que generan gigantes como Google o Facebook, cuyos modelos de negocio giran en torno a este nuevo petróleo, para darse cuenta de que los datos personales van a ser el caballo de batalla de las cuestiones de competencia en los mercados internacionales dentro de muy poco tiempo.

No es posible abordar este análisis sin tener en cuenta los antecedentes históricos de la portabilidad de los datos. En noviembre de 2007, Chris Saadinvitó a un grupo de personas a compartir impresiones sobre este concepto, naciendo entonces el “Data Portability Project“. Se trataba de trabajar para intentar devolver a los usuarios el control sobre sus propios datos, y que pudieran disfrutar de una movilidad real de estos datos entre diferentes aplicaciones o empresas, siempre respetando la privacidad de los usuarios. No sólo participan los usuarios, sino que también los desarrolladores pueden adherirse, puesto que se trata de buscar soluciones tecnológicas para poder llevar a cabo esa portabilidad. Sin el concurso de la industria, sería imposible.

Es obligado citar la experiencia de Robert Scoble. Intentó descargar sus más de 5000 contactos de Facebook utilizando un “script”, pero esta acción violaba las condiciones de uso que había aceptado para utilizar la red social. Así queFacebook procedió a bloquear su cuenta. Al ser un blogger bastante conocido en el mundo de la tecnología, el caso tuvo amplia cobertura mediática y gran repercusión, por lo que supuso un gran impulso para el proyecto.

El 2008 se convirtió en el año de la portabilidad, y el proyecto logró las adhesiones de los grandes de la industria, como Microsoft,  Google y el mismo Facebook. Y ahora, más de 3 años después, la portabilidad de los datos nos aparece ¡y como derecho! en la propuesta de Reglamento de protección de datos. ¿Es entonces tan novedoso, y tan “europeo” como se pretende? Más bien no.

El derecho a la portabilidad aparece en el artículo 18 de la propuesta de Reglamento; ¿en qué consiste tal y como está concebido?… ¿soluciona el problema de competencia al que hace referencia Almunia?

En los pocos artículos que he leído hasta ahora los puristas del derecho están más que satisfechos porque ven en este derecho de “nuevo” cuño una ampliación o refuerzo del derecho de acceso. Pero este análisis peca de superficial. El artículo, tal cual está redactado, plantea más problemas en la práctica de los que pretende solucionar, como vamos a tener oportunidad de ver. Eso sí, en la 2ª parte.

Alexander Alvaro, Vicepresidente del Parlamento Europeo, y persona bastante influyente en los círculos de protección de datos en Alemania, propone lo que él mismo llama el Ciclo de vida de la gestión de protección de datos (Lifecycle DPM). El documento donde desarrolla este concepto está disponible en su página web, y contiene el siguiente diagrama, que lo resume:

neu-lifecycle300dpimedium

Alvaro considera que la propuesta de Reglamento se ha basado al redactarse en el marco existente de protección de datos, sin aspirar a una modernización en general, sin buscar un concepto congruente y realizable en la práctica. No se ha intentado desarrollar un modelo que permita a los consumidores confiar en los avances tecnológicos ni darles la capacidad de determinar y comprender cómo se tratan sus datos.

Si bien define este concepto más bien como “un mosaico de buenas ideas”, mantiene que es necesario establecer unas reglas estandarizadas que ayudarán a una lógica, fuerte y efectiva ejecución de éstas. Lo más difícil de conseguir, a mi entender, no es ya estandarizar procedimientos, sino lograr lo que Alvaro pretende: que este modelo incentive a las empresas a invertir en protección de datos a través de todo el ciclo de vida del tratamiento de estos datos.

La propuesta no contiene en sí misma muchas novedades respecto de lo que cualquier empresa que esté concienciada en la materia tendrá implementado, sino en la estandarización del modelo. Lo que sí que me resulta rompedor con el sistema europeo es que considere que las autoridades de control dispongan de un derecho a imponer a las empresas auditorías/controles periódicos en lugar de sanciones:

– si la empresa implicada dispone de procedimientos en funcionamiento, y causa un daño imprevisto, no ha de ser sancionada.

– si la empresa sólo tiene los procedimientos, y el daño se ha causado debido a su inaplicación, tampoco debería ser sancionada, sino ser sometida a unos controles periódicos

– y finalmente, en casos flagrantes de incumplimiento, donde ni existan procedimientos, es cuando se deberia sancionar.

Estoy de acuerdo en que los procedimientos u obligaciones en la materia se intenten estandarizar el máximo posible. Eso puede conseguirlo el Reglamento. Sin embargo, creo que no ha de ser el objetivo de las instituciones fomentar el cumplimiento de la norma a través de la relajación, cuando no total eliminación, en el ámbito de las sanciones. ¿No se trataba de un derecho fundamental? Trátenlo como tal. Si no se cumple ya ni con sanciones de por medio, ¿cómo va a cumplirse si además se eliminan? Les toca buscar el término medio, que es donde decía Aristóteles que estaba la virtud.