Ricard Martínez Martínez
Director de la Cátedra de privacidad y Transformación Digital Microsoft. Universitat de Valencia
En pocas ocasiones se ofrece al mundo de la academia la posibilidad de abordar el futuro con plena libertad formal. Los procedimientos propios de nuestro oficio, obligan a empelar una metodología de análisis muy precisa. Así la llamada ciencia jurídica debe ser tributaria del rigor metodológico en el examen de las fuentes prestando atención al marco normativo, la jurisprudencia y la doctrina y, en nuestro ámbito especializado al llamado soft-law que generan las autoridades de protección de datos. Por otra parte, en no pocas ocasiones, somos prisioneros del último tema de actualidad, del último asunto que haya conmovido a la opinión pública o de aquellos asuntos de los que podamos extraer cualquier procedimiento práctico aplicable al ejercicio profesional.
Sin embargo, el libro que tiene el lector en sus manos plantea un reto particularmente distinto. Nos propone abordar desde la perspectiva de la experiencia «la protección de datos que nunca te han contado ». Sin duda, se trata de un reto provocador. En primer lugar, porque en no pocas ocasiones el ejercicio profesional en nuestro ámbito dista mucho de ser agradecido. Se trata de un oficio en el que con no poca frecuencia nos convertimos en mensajeros de malas noticias, indeseados auditores, o consejeros que, sometidos a la excelencia que comporta la llamada protección de datos desde el diseño y por defecto, exigimos un sobreesfuerzo a las organizaciones en las que nos integramos. Nadie dijo que la garantía de este derecho fundamental fuese algo necesariamente sencillo. Huiremos, en la medida de lo posible de narrar los padecimientos. Se adoptará una estrategia discursiva que, renunciando bajo ciertas condiciones al rigor formal de la academia, no orillará el abordaje de un conjunto de cuestiones sustanciales que están provocando a nuestro juicio, una singular transformación del derecho fundamental a la protección de datos, de las condiciones de su aplicación, y particularmente del enfoque que deberíamos adoptar en el inmediato futuro.
1. El territorio de los pioneros
De maestros como Miguel Ángel Davara Rodríguez aprendimos que el derecho «a» y «de» la protección de datos presenta siempre un horizonte abierto e infinito, un paisaje que constantemente se escapa hacia el oeste y obliga a una exploración permanente: es sin duda un territorio para pioneros. Y de la trayectoria profesional del doctor Davara pueden obtenerse valiosas lecciones. Resulta particularmente destacable, como además de haber impulsado los estudios y la formación en esta materia en nuestro país, demostró con el ejemplo que el rigor en lo jurídico debe complementarse siempre con un conocimiento profundo de la realidad práctica y con la formación científico-técnica. Su actividad docente, investigadora y profesional coherente con estos valores mostró y seguirá mostrando el camino a seguir frente a aproximaciones meramente academicistas.
Todos somos herederos del esfuerzo académico de investigación de la «informática» que a lo largo de los años 60-70 del pasado siglo abordaron lo que se dio en llamar ius-cibernética, área del Derecho relacionada con la informática, cuyo alcance resulta particularmente indefinido. Preocupaba entonces la automatización, la robotización, el uso de la tecnología como instrumento al servicio del Derecho y sobre todo las repercusiones de las tecnologías de la información en los derechos fundamentales. En este último ámbito el hábeas data, la libertad informática, la informational privacy o la autodeterminación informativa adquirieron sustantividad. Si en el plano internacional Alan Westin. Jon Bing o Stefano Rodotá fueron nuestros referentes, en el nacional resulta ineludible la cita de Antonio Enrique Pérez Luño, Pablo Lucas Murillo de la Cueva y Miguel Ángel Davara Rodríguez que sentaron los fundamentos de la materia en nuestro país.
Hoy el derecho a protección de datos se enfrenta a territorios de frontera en los que la valentía del pionero resulta esencial. Es muy sencillo, y particularmente beneficioso para ganar prestigio en redes sociales acudir a verdades de sentido común. El lector, conoce muchas de estas verdades evidentes: «tratar datos es esencialmente peligroso», «la garantía del derecho a la protección de datos de cada individuo debe siempre prevalecer», «el Estado, por definición, es un riesgo cuando trata datos», «las compañías únicamente aspiran a comprar y vender nuestros datos… Sin embargo, ni esas afirmaciones de sentido común son completamente ciertas, ni una aproximación puramente defensiva al tratamiento de datos de carácter personal puede ser productiva para el tipo de sociedad hacia la que caminamos.
2. Retos de futuro
Definir los retos para la protección de datos comporta un esfuerzo significativo de naturaleza prospectiva. En el pasado enfrentamos la eclosión de la videovigilancia, las redes sociales, los smartphones , del Cloud o de Big Data y la Inteligencia Artificial. Hoy, en una primera aproximación y de modo no exhaustivo, podemos identificar distintos factores que van a marcar y definir los próximos años.
2.1. Evolución científica y tecnológica
Desde el punto de vista de la tecnología y la investigación resulta conveniente realizar una distinción entre la evolución de los sistemas de información, la investigación en sentido estricto y la consideración de tecnologías específicas.
2.1.1. Sistemas de información
Los sistemas de información tienden a estar soportados «on cloud » mediante soluciones de mercado que implican una sofisticación en los tratamientos de datos en todas en todos los ámbitos. Así, en un futuro inmediato incluso una pequeña y mediana empresa va a tener a su disposición sofisticados medios de tratamiento que les van a permitir procesos de datos que con anterioridad se encontraban al alcance exclusivamente de las grandes corporaciones (1) .
Por otro lado, esta disponibilidad de recursos para el almacenamiento y procesado de datos se combina con el desarrollo tecnológico de la Internet de los objetos, de los servicios de aplicaciones que funcionan en con el soporte del smartphone o con las posibilidades que ofrecen las aplicaciones de analítica de datos. Ello conduce a la conformación de ecosistemas de tratamiento caracterizados por:
— Una multiplicidad de fuentes de información propia o ajena.
— Un entorno de tratamiento de datos con una doble dimensión relativa al despliegue de las funciones normales de negocio de la organización, pero también orientada a la analítica de datos para múltiples propósitos.
— La posibilidad, de proyectar sobre los repositorios de datos distintas herramientas de Deep Learning y Machine Learning , APIs, o soluciones decisionales de Business Intelligence e IA.
Ello implica, el nacimiento de ecosistemas complejos capaces de tratar datos de modo muy sofisticado. Pero, además, dotados de herramientas para combinar conjuntos de datos de múltiples procedencias capaces de generar nuevos datos personales ya sea como resultado del análisis, ya sea mediante su integración con los datos no personales que pueden ofrecer información contextual, ambiental, climática o socioeconómica relevante y capaz de afectar a la esfera de privacidad y derechos de las personas.
2.1.2. La investigación y la tecnología
La investigación implica un marco de tratamiento de datos que ha sido regulado de manera insuficiente por el RGPD. En este sentido, es conocido que el artículo 5 de la norma considera compatibles los usos con fines de investigación y su articulado permite amparar tales fines en el consentimiento o en el despliegue de misiones de interés público entre otros. El sistema lo cierra el artículo 89 RGPD que si bien manifiesta, al igual que la exposición de motivos una preferencia por la anonimización y la pseudonimización, deja en manos de los ordenamientos jurídicos nacionales la regulación de las condiciones de uso de los datos con fines de investigación que en todo caso deberá incluir garantías adicionales.
Se suele identificar la investigación con la investigación científica básica y solemos dejar de lado la investigación aplicada a la que usualmente denominamos transferencia. Sin embargo, adquiere cada vez una mayor relevancia. El entorno sanitario nos ha mostrado hasta qué punto las tareas de investigación destinadas a mejorar la calidad asistencial y por tanto ordenadas a usos primarios de los datos está adquiriendo una relevancia crucial para todas las organizaciones. En este sentido, no es suficiente el marco de las condiciones de tratamiento de datos con fines de investigación limitado por la disposición adicional decimoséptima de la LOPDGDD al estricto entorno de la investigación en salud. Como señala la Carta de Derechos Digitales (2) , es necesario contar con un marco jurídico susceptible de ofrecer condiciones y garantías de los derechos de las personas y a la vez confiable para la investigación y el desarrollo de tecnología que implique el tratamiento de datos personales. En directa relación con ello, los sandboxes están llamados a cumplir con una función esencial y las experiencias obtenidas en el sandbox financiero (3) pueden resultar cruciales para el despliegue de este tipo de esfuerzos.
Por otra parte, un modo usual de predecir el avance tecnológico consiste en acudir al llamado Hype Cycle de Gartner en la medida en la que esta metodología plantea una visión de las tecnologías en fase de desarrollo y las sitúa atendiendo a las expectativas, su grado de madurez, consolidación y generalización (4) . Los resultados del Hype Cycle de 202 (5) demuestran la necesaria atención de la Agencia Española de Protección de Datos a cuestiones como (6) :
— Tecnologías y Protección de Datos en las AA.PP.
— Medidas para minimizar el seguimiento en internet.
— Equívocos con relación a la identificación y autenticación biométrica.
— Recomendaciones para el despliegue de aplicaciones móviles en el acceso a espacios públicos.
— Introducción a las tecnologías 5G y sus riesgos para la privacidad.
— Adecuación al RGPD de tratamientos que incorporan Inteligencia Artificial y Requisitos para Auditorías de Tratamientos que incluyan IA.
Sin embargo, este es un esfuerzo que requiere de un mantenimiento constante en régimen de observatorio y el debate sobre el metaverso así lo acredita .
2.2. Transformación digital nacional y europea
2.2.1. Estrategia digital europea
La Estrategia Digital Europea (7) viene acompañada por un conjunto de políticas públicas e iniciativas legislativas llamadas a producir un profundo impacto sobre el derecho fundamental a la protección. Así la Estrategia contempla acciones en 10 campos:
1. Inteligencia artificial.
2. Estrategia europea de datos.
3. Estrategia industrial europea.
4. Informática de alto rendimiento.
5. Ley de Mercados Digitales.
6. Ley de Servicios Digitales.
7. Ciberseguridad.
8. Capacidades digitales.
9. Conectividad.
10. Identidad Digital Europea.
Entre estas 10 acciones destaca la Estrategia Europea de Datos que busca convertir la UE en líder de una sociedad impulsada por los datos. Se señala que la creación de un mercado único de datos permitirá que estos fluyan libremente por la UE y entre sectores, en beneficio de las empresas, los investigadores y las administraciones públicas. Ello implica conseguir que las personas, las empresas y las organizaciones estén capacitadas para tomar mejores decisiones a partir del conocimiento que aportan los datos no personales, que deben estar a disposición de todos. Entre otras cifras se prevén:
— Un incremento del 530 % del volumen global de datos de 33 zetabytes en 2018 a 175 zetabytes.
— Un valor de la economía de los datos en la EU27 de 829.000 millones frente a 301 000 millones de euros (2,4 % del PIB de la UE) en 2018.
— Un potencial de 10,9 millones de profesionales de los datos en la EU27 frente a 5,7 millones en 2018.
— Un 65 % de población de la UE con competencias digitales básicas frente al 57 % en 2018 (8) .
Pero paralelamente esta estrategia supone un conjunto de decisiones que afectarán a tratamientos de datos personales en áreas como la investigación y, particularmente la salud. De ahí que, por ejemplo, la Comisión impulse la creación de un Espacio Europeo de Datos de Salud como una de las prioridades para el período 2019-2025.
2.2.2. Transformación digital en España
El Plan de Recuperación, Transformación y Resiliencia aprobado por el Consejo de Ministros (9) se configura como instrumento fundamental para el desarrollo de los fondos europeos de recuperación Next Generation EU y supone, en palabras del Gobierno «el impulso más importante de la reciente historia económica de España». El Plan movilizará cerca de 70.000 millones de euros de transferencias del Mecanismo de Recuperación y Resiliencia con el fin de impulsar la recuperación y lograr el máximo impacto contra-cíclico. El Plan se estructura en torno cuatro transformaciones que el Gobierno ha situado desde mediados de 2018 en el centro de la estrategia de política económica: la transición ecológica, la transformación digital, la igualdad de género y la cohesión social y territorial. Estos cuatro ejes se proyectan en diez políticas palanca, de gran capacidad de arrastre sobre la actividad y el empleo:
1. Agenda urbana y rural y lucha contra la despoblación, y desarrollo de la agricultura.
2. Infraestructuras y ecosistemas resilientes.
3. Transición energética justa e inclusiva.
4. Una administración para el siglo XXI.
5. Modernización y digitalización del tejido industrial de la pyme, recuperación del turismo e impulso a una España nación emprendedora.
6. Pacto por la ciencia y la innovación. Refuerzo a las capacidades del Sistema Nacional de Salud.
7. Educación y conocimiento, formación continua y desarrollo de capacidades.
8. Nueva economía de los cuidados y políticas de empleo.
9. Impulso de la industria de la cultura y el deporte.
10. Modernización del sistema fiscal para un crecimiento inclusivo y sostenible.
Estas decisiones permean profundamente la estructura empresarial del País y así en el documento «21 iniciativas estratégicas de país para la recuperación y transformación de la economía española (10) », la CEOE presenta el esfuerzo de la principal patronal para el desarrollo de España.
Por otra parte, el Plan España Digital 2025 incluye cerca de 50 medidas agrupadas en diez ejes estratégicos con los que se impulsará el proceso de transformación digital del país, de forma alineada con la estrategia digital de la Unión Europea, mediante la colaboración público-privada y con la participación de todos los agentes económicos y sociales del país (11) . Los 10 ejes estratégicos son los que siguen:
1. Conectividad digital. Garantizar una conectividad digital adecuada para toda la población, promoviendo la desaparición de la brecha digital entre zonas rurales y urbanas, con el objetivo de que el 100% de la población tenga cobertura de 100 Mbps en 2025.
2. Seguir liderando el despliegue de la tecnología 5G en Europa e incentivar su contribución al aumento de la productividad económica, al progreso social y a la vertebración territorial. Se fija como objetivo que en 2025 el 100% del espectro radioeléctrico esté preparado para el 5G.
3. Reforzar las competencias digitales de los trabajadores y del conjunto de la ciudadanía. Se pondrá especial énfasis en las necesidades del mercado laboral y en cerrar la brecha digital en la educación. El objetivo es que en 2025 el 80% de las personas tengan competencias digitales básicas y que la mitad de ellas sean mujeres.
4. Reforzar la capacidad española en ciberseguridad. Se busca disponer de 20.000 especialistas en ciberseguridad, Inteligencia Artificial y datos en 2025 gracias, entre otros aspectos, al polo de actividad empresarial que supone el entorno del Instituto Nacional de Ciberseguridad (INCIBE).
5. Impulsar la digitalización de las Administraciones Públicas, particularmente en ámbitos clave como el Empleo, la Justicia, o las Políticas Sociales mediante la actualización de las infraestructuras tecnológicas. En 2025, el 50% de los servicios públicos estarán disponibles a través de app móvil y se simplificará y personalizará la relación de la ciudadanía y las empresas con las Administraciones.
6. Acelerar la digitalización de las empresas, con especial atención a las micropymes y a las start-ups. Se fija como meta que al menos el 25% del volumen de negocio de las pymes provenga en 2025 del comercio electrónico.
7. Acelerar la digitalización del modelo productivo mediante proyectos tractores de transformación digital en sectores económicos estratégicos como el Agroalimentario, Movilidad, Salud, Turismo, Comercio o Energía, entre otros. Estos proyectos tienen como meta una reducción del 10% de las emisiones de CO2 por efecto de la digitalización de la economía en 2025.
8. Mejorar el atractivo de España como plataforma audiovisual europea para generar negocio y puestos de trabajo, con una meta de incremento del 30% de la producción audiovisual en nuestro país para el año 2025.
9. Transitar hacia una economía del dato, garantizando la seguridad y privacidad y aprovechando las oportunidades que ofrece la Inteligencia Artificial con el objetivo de que, al menos, el 25% de empresas usen Inteligencia Artificial y Big Data dentro de cinco años.
10. Garantizar los derechos en el nuevo entorno digital, y en particular, los derechos laborales, de los consumidores, de los ciudadanos y de las empresas. En este ámbito se fija como objetivo la elaboración de una carta de derechos digitales.
Y ello se acompaña de planes específicos:
▪ Plan Nacional de Competencias Digitales
▪ Plan Digitalización Administraciones Públicas
▪ Plan Digitalización de Pymes
Si a las estrategias digitales europea y nacional unimos las distintas estrategias autonómicas en materia de digitalización e Inteligencia Artificial se entenderá hasta qué punto las condiciones de cumplimiento normativo en protección de datos y el acompañamiento a los sectores público y privado serán un pilar para la transformación de España a lo largo del próximo lustro.
2.3. Retos jurídicos
Además del RGPD, la Estrategia Digital Europea comporta el desarrollo de un conjunto de normas funcionales a la garantía de los derechos fundamentales, junto con la generación de un contexto de libre circulación de los datos en la UE e incentivos para el desarrollo de entornos que permitan el desarrollo de estrategias de analítica de datos para fines de interés público mediante la «Estrategia Europea de Datos».
La estrategia europea de datos busca convertir la UE en líder de una sociedad impulsada por los datos. La creación de un mercado único de datos permitirá que estos fluyan libremente por la UE y entre sectores, en beneficio de las empresas, los investigadores y las administraciones públicas.
Las personas, las empresas y las organizaciones deben estar capacitadas para tomar mejores decisiones a partir del conocimiento que aportan los datos no personales, que deben estar a disposición de todos (12) .
De entre las distintas iniciativas particularmente significativas desde el punto de la protección de datos, debemos destacar la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la gobernanza europea de datos (Ley de Gobernanza de Datos) (13) . Esta norma propone alcanzar un nivel adicional en la reutilización de los datos del sector público encontrando vías que permitan resolver los problemas derivados de la garantía de distintos derechos como el derecho fundamental a la protección de datos o los derechos de propiedad intelectual. El enfoque de los repositorios de información debe ordenarse a resolver desde la tecnología y la gobernanza los problemas relacionados con la garantía de los derechos:
(6) Existen técnicas que permiten realizar análisis, respetando la privacidad, en las bases de datos que contienen datos personales, como la anonimización, la seudoanonimización, la privacidad diferencial, la generalización, o la supresión y la aleatorización. La aplicación de estas tecnologías de protección de la privacidad, junto con enfoques globales de protección de datos, debería garantizar la reutilización segura de los datos personales y los datos comerciales confidenciales con fines de investigación, innovación y estadísticos. En muchos casos, esto implica que la utilización y la reutilización de los datos en este contexto solo puedan realizarse en un entorno de tratamiento seguro creado y supervisado por el sector público. A nivel de la Unión, existe experiencia con estos entornos de tratamiento seguros que se utilizan para la investigación sobre microdatos estadísticos al amparo del Reglamento (UE) n.o 557/2013 de la Comisión 39. En general, en la medida en que se trate de datos personales, su tratamiento debe fundamentarse en una o varias de las condiciones de tratamiento previstas en el artículo 6 del Reglamento (UE) 2016/679.
Desde el punto de vista del diseño, la Propuesta apuesta por la creación de organismos del sector público a los que se atribuyen funciones de intermediación ordenadas a la consecución de ciertos principios y objetivos:
— Definir condiciones jurídicas, técnicas, y de seguridad y confiabilidad para esta reutilización adicional.
— Desplegar un papel determinante de los proveedores de este tipo de servicios en la transformación de la economía.
Finalmente, además de proponer soluciones equivalentes en el sector privado, la Propuesta incorpora una filosofía de donación de datos que puede rendir particulares resultados en ámbitos como la investigación en salud. En conclusión, la Propuesta de Reglamento de Gobernanza de Datos plantea la posibilidad de creación de organismos de intermediación que pongan a disposición de la sociedad datos más allá del marco general de reutilización del sector público, en condiciones de seguridad, confiabilidad y con un modelo que, bajo ciertas condiciones puede permitir la financiación de los costes asociados al desarrollo de la propia plataforma y a su sostenibilidad.
Asimismo, resulta relevante la Propuesta de Reglamento por el que se establecen normas armonizadas en materia de inteligencia artificial (14) . Esta norma, da por sentado y como precondición el cumplimiento del RGPD. No obstante, existen elementos de valor añadido que serán con toda seguridad de necesaria consideración. En primer lugar, los datos personales o la interacción con datos personales puede desplegarse en toda la cadena de valor que es capaz de desplegar una IA.
— Análisis de datos.
— Prestación de servicios de valor añadido en distintos ámbitos:
• Automatización de procesos
• Soporte a procesos decisionales
• Generación de modelos, productos y servicios que repercuten sobre las personas {personalización, atención automática (bots), prevención, predicción y atención sanitaria, gestión de flujos (personas, vehículos, movilidad etc.)}.
• Definición e implementación de políticas públicas.
• Auxilio a decisiones organizativas y empresariales.
— Generación de nueva información y servicios en procesos de aprendizaje dirigido o no dirigido.
En realidad, la cadena de valor de la IA es en estos momentos impredecible. Lo que, en cambio, es perfectamente identificable son los valores y principios de cumplimiento normativo que deben aplicarse inspirados en los derechos fundamentales:
— Cumplimiento normativo desde el diseño, tal y como propone desde su párrafo I la Carta de Derechos Digitales.
— Diseño centrado en el ser humano y en la garantía de su dignidad y derechos fundamentales.
— Control y supervisión humanas.
— Garantía de equidad y proscripción del sesgo y la discriminación.
— Robustez técnica y seguridad.
— Sostenibilidad ambiental.
— Transparencia, no sólo en términos de protección de datos, sino entendida como apertura al escrutinio público, la rendición de cuentas y la explicabilidad (15) .
La propuesta de Reglamento centra sus objetivos en el enfoque basado en el riesgo:
(16) Debe prohibirse la introducción en el mercado, la puesta en servicio o el uso de determinados sistemas de IA destinados a alterar la conducta humana que es probable que provoquen perjuicios físicos o psicológicos. (… ) Su prohibición no debe impedir la investigación relacionada con esos sistemas de IA con fines legítimos, siempre que tal investigación no implique usar el sistema de IA en cuestión en relaciones entre seres humanos y máquinas que expongan a personas físicas a perjuicios, y siempre que se lleve a cabo con arreglo a las normas éticas reconocidas para la investigación científica.
(17) Los sistemas de IA que proporcionan calificaciones sociales de personas físicas para su uso con fines generales por parte de las autoridades públicas o en representación de estas pueden tener resultados discriminatorios y abocar a la exclusión a determinados grupos. Pueden menoscabar el derecho a la dignidad y la no discriminación y los valores de igualdad y justicia. (… ).
(18) Se considera que el uso de sistemas de IA para la identificación biométrica remota «en tiempo real» de personas físicas en espacios de acceso público con fines de aplicación de la ley invade especialmente los derechos y las libertades de las personas afectadas, en la medida en que puede afectar a la vida privada de una gran parte de la población, provocar la sensación de estar bajo una vigilancia constante y disuadir indirectamente a los ciudadanos de ejercer su libertad de reunión y otros derechos fundamentales. Además, la inmediatez de las consecuencias y las escasas oportunidades para realizar comprobaciones o correcciones adicionales en relación con el uso de sistemas que operan «en tiempo real» acrecientan el riesgo para los derechos y las libertades de las personas afectadas por las actividades de aplicación de la ley.
(19) En consecuencia, debe prohibirse el uso de dichos sistemas con fines de aplicación de la ley, salvo en tres situaciones enumeradas de manera limitativa y definidas con precisión en las que su utilización es estrictamente necesaria para lograr un interés público esencial cuya importancia es superior a los riesgos.
En esta materia, como ha señalado la AEPD en las guías sobre cumplimiento del RGPD y la auditoria de sistemas de IA, un adecuado entendimiento de la protección de datos debería operar como catalizador para lograr el objetivo de desarrollar una IA robusta, confiable, inclusiva y centrada en el ser humano y en la garantía de sus derechos.
2.4. Ciberseguridad
El Reglamento General de Protección de Datos define una aproximación a la seguridad, y por ende a la ciberseguridad, que implica ineludiblemente un diseño centrado en el análisis de riesgos y en su caso, en la evaluación de impacto en la protección de datos. La idea esencial, el mensaje claro que sin duda lanza el Reglamento es que sin seguridad no puede existir una garantía adecuada de la privacidad. Por ello, el RGPD sitúa la seguridad entre los principios del artículo 5. Además, supera el tradicional marco de valores que integra la confidencialidad, la integridad, y la disponibilidad, para incluir el concepto de resiliencia. Esto tiene un significado crucial, significa que las organizaciones que tratan datos, y los propios tratamientos, deben ser capaces de sobreponerse, incluso a eventos de naturaleza catastrófica.
Complemento indispensable de la estrategia reglamentaria en esta materia, lo constituyen las notificaciones de violaciones de seguridad, que han ocupado de manera particularmente intensa a la División de Innovación Tecnológica de la AEPD. En este sentido, tal y como reflejan las Memorias del regulador, la notificación de violaciones de seguridad y su evaluación es entendida como verificación de la diligencia, como remedio y propuesta de actuación, antes que como procedimiento sancionador. Ello implica una aproximación adecuada y ordenada a la consecución de lo que sin duda son objetivos de la normativa en la materia, esto es, proporcionar confianza, robustez y una metodología que empodere a las organizaciones para ser capaces de hacer frente a los retos que la seguridad de la información les plantea.
Sin embargo, queda mucho camino por desplegar. Debe subrayarse, que la ciberseguridad está alcanzando una dimensión particularmente estratégica en la medida en la que se trata de un fenómeno complejo en el cual los agentes generadores de ataques se multiplican de modo significativo. Así, a los ataques cuyo origen se encuentra en el tradicional hacking o cracking, debemos sumar la aparición en el último decenio de bandas organizadas que hacen de la ciberdelincuencia su objeto de negocio. En el último período las amenazas vinculadas a las estrategias de ciberguerra de determinados estados ocupan un lugar privilegiado. En este sentido, el diagnóstico de ENISA es contundente (16) . En primer lugar, de abril de 2020 a julio de 2021 las 9 principales amenazas identificadas son:
1. Ransomware;
2. Malware;
3. Criptojacking;
4. Amenazas relacionadas con el correo electrónico;
5. Amenazas contra los datos;
6. Amenazas contra la disponibilidad y la integridad;
7. Desinformación – desinformación;
8. Amenazas no maliciosas;
9. Ataques a la cadena de suministro.
Por su parte en su informe de 2021 el CCN-CERT (17) rubrica en su resumen ejecutivo «Récord de incidentes de seguridad, digitalización forzosa e incertidumbre: las claves de 2020». En este sentido, el informe destaca el papel de los llamados «Actores Estado» respecto de los que señala:
En los últimos años, los Estados han sido uno de los principales actores de la amenaza, y han evolucionado su actividad para alinearse con los objetivos políticos de los países donde operan. De hecho, implicando un cambio de tendencia, en el último año el 90% de los objetivos han sido contra organismos públicos, ONG y entidades de políticas sociales o asuntos internacionales.
Por sectores, han sido objetivos prioritarios de los actores Estado o grupos patrocinados por estos aquellos vinculados a los actuales conflictos y problemáticas globales, como la crisis sanitaria o el escenario multipolar de política internacional, entre otros. Estos han sido los principales sectores de interés:
— Gubernamental
— Defensa
— Industria armamentística
— Salud e industria farmacéutica
— Centros de investigación
— Tecnologías de la información y las comunicaciones
— Energía
— Telecomunicaciones
— Inversión financiera
— Comercio internacional
En este sentido, asistimos, a una manifiesta desconfianza de la Unión Europea en relación con los ataques que se vienen recibiendo desde otros países. Se trata de intervenciones de las unidades de ciberguerra formales o informales asociadas a potencias que atacan recursos e infraestructuras críticas. Y es precisamente este último elemento, el que nos debe conducir a una reflexión estratégica. Nuestras administraciones públicas cuentan con recursos significativos:
— La metodología MAGERIT por la Administración General del Estado (18) .
— El despliegue normativo del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS).
— Las guías (19) y herramientas (20) proporcionadas por el Centro Criptológico Nacional.
Este conjunto integra uno de los modelos mejor acabados en cuanto a estándares y certificaciones de seguridad. Sin embargo, el grado de implantación por sus principales destinatarios, esto es, por las Administraciones Públicas, resulta relativamente bajo y manifiestamente insatisfactorio y, en la mayor parte de los casos afectan a sistemas o subsistemas de información y/o servicios determinados. Por ello, resulta urgente adoptar decisiones estratégicas que impulsen la dimensión de protección de datos del Esquema Nacional de Seguridad, así como las condiciones que garanticen su plena aplicación no sólo por las Administraciones Públicas directamente, sino por los proveedores de servicios que tratan de datos en su condición de encargado del tratamiento.
2.5. Gobernanza y ética en los ecosistemas de tratamiento de datos
Un elemento añadido a las técnicas habituales en protección de datos deriva de la necesidad de definir procedimientos de evaluación del impacto ético de la analítica de datos o del uso de la inteligencia artificial. Esta metodología, y las garantías y obligaciones que conlleva deberían ser objeto de estudio, compartición y evaluación por los sectores concernidos. Para llevar a cabo la evaluación se han desarrollado al menos dos herramientas. Una metodología de análisis simplificada «UMINF 21.03 (21) ». Y la más sofisticada y compleja herramienta Assessment List for Trustworthy Artificial Intelligence (ALTAI) (22) . Esta herramienta traslada los principios definidos por el Grupo de expertos de Alto Nivel de la Comisión Europea en sus Directrices éticas para una IA fiable (23) cuyos elementos se definen así:
(15) La fiabilidad de la inteligencia artificial (IA) se apoya en tres componentes que deben satisfacerse a lo largo de todo el ciclo de vida del sistema:
1. la IA debe ser lícita, de modo que se garantice el respeto de todas las leyes y reglamentos aplicables;
2. también ha de ser ética, es decir, asegurar el cumplimiento de los principios y valores éticos; y, finalmente,
3. debe ser robusta, tanto desde el punto de vista técnico como social, puesto que los sistemas de IA, incluso si las intenciones son buenas, pueden provocar daños accidentales.
Para ello, los sistemas de IA deben estar centrados en el ser humano, apoyándose en el compromiso de su uso al servicio de la humanidad y del bien común, con el objetivo de mejorar el bienestar y la libertad del ser humano. El Grupo de Expertos de Alto Nivel concibe cuatro principios éticos principales en términos de «imperativos éticos». Estos son:
— El principio del respeto de la autonomía humana.
— El principio de prevención del daño.
— El principio de equidad.
— El principio de explicabilidad.
El documento analiza siete factores que permiten una IA fiable respecto de cada uno de los cuales incluye una chekclist de verificación.
1. Acción y supervisión humanas.
2. Solidez técnica y seguridad.
3. Gestión de la privacidad y de los datos.
4. Transparencia.
5. Diversidad, no discriminación y equidad.
6. Bienestar social y ambiental.
7. Rendición de cuentas.
El Grupo de Expertos de Alto Nivel establece una lista no exhaustiva de evaluación de la fiabilidad de la IA para poner en práctica la IA fiable. Esta evaluación del impacto ético debería aplicarse al entorno de desarrollo de aplicaciones de IA y a las solicitudes de acceso y uso de la información. La interacción entre el Reglamento General de Protección de Datos, la norma nacional y los distintos modelos de análisis ético resultará estratégico en el diseño de modelos de gobernanza de los repositorios de datos que a buen seguro surgirán en la Administración y en el sector privado.
3. De la limitación de la informática a la transformación digital: un cambio de paradigma
Este escenario nos obliga a repensar nuestra aproximación al derecho fundamental a la protección de datos. Fruto del esfuerzo de los «pioneros» la Constitución Española de 1978 en su artículo 18.4 establece que «ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». Nuestra Constitución, se alinea con la Constitución Portuguesa de 1976 que, además de consagrar el derecho fundamental a la protección de datos, en su artículo 35, prohibió los identificadores únicos para evitar los cruces de datos y el control estatal.
Se trató de una respuesta funcional al despegue de la informática en el contexto de los estados totalitarios en el período de posguerra mundial, del macartismo y de la Guerra Fría. Será en el período de 1960 a 1980 cuando la doctrina más reconocida reivindique un nuevo derecho subrayando el profundo impacto que la evolución tecnológica podría producir en la esfera de libertades de las personas. Paralelamente, iniciativas parlamentarias como el Younger Committee’s Report de 1973 en Gran Bretaña, acompañarán acciones legislativas que cristalizarán en leyes como la Ley del Land de Hesse de 1970, la Privacy Act de 1974 en EE.UU o las leyes de Suecia (1973) o Francia (1978). En este período, en el ámbito regional europeo, el Consejo de Europa dictará primero sendas recomendaciones sobre ficheros públicos y privados que culminarán en el Convenio 108/1981 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
En los años 80-90 la transición al ordenador personal e internet marcará la necesidad de abordar no sólo la garantía de los derechos frente al Estado, sino también los tratamientos procedentes del sector privado. Por otra parte, la aparición de las redes sociales y el despegue de las posibilidades de los smartphones consolidarán el modelo de negocio dominante en Internet: la monetización de la privacidad. Paralelamente, los atentados del 11 de septiembre de 2001, y la aprobación de normas como la USA Patriot Act o la Directiva de conservación de datos en las telecomunicaciones, la acción de los estados en la lucha antiterrorista monopolizará la preocupación de la doctrina y de las organizaciones de defensa de los derechos fundamentales. Si sumamos a ello la generalización de la videovigilancia, la labilidad de la privacidad en una sociedad líquida o transparente, los riesgos para las libertades asociados al tratamiento de nuestra información personal siguieron incrementándose.
A lo largo de casi medio siglo este escenario de riesgo ha definido y modulado profundamente la posición de la doctrina y la legislación en relación con la garantía de nuestros derechos fundamentales frente al tratamiento. Tanto en el imaginario social, como en la aproximación filosófica y jurídica a esta materia se ha consolidado una posición netamente defensiva en relación con la informática que en ocasiones deriva en la manifestación de una oposición frontal o en una desconfianza absoluta sobre ciertos tratamientos que pudieran realizar tanto el sector público como el privado. En este sentido, la única opción viable para garantizar nuestros derechos no podría ser otra que una constante escalada regulatoria.
Sin embargo, el último decenio viene anunciando un cambio de paradigma. La combinación de las posibilidades que ofrece la computación en la nube, quien sabe si en breve la computación cuántica, y las herramientas de analítica de datos alimentan nuevos modos de explotar los datos para los sectores público y privado. La más evidente, consiste en como la inteligencia artificial de propósito singular. Si sumamos la sensorización de la Internet de los Objetos y la conectividad que facilitarán la redes 5G, nuestro mundo se abre a una nueva fase de innovación disruptiva, la llamada Cuarta Revolución.
En este contexto, cabe plantearse, cuál es el sentido que deberíamos dar a la limitación constitucional de los usos de la informática. A nuestro juicio, la Unión Europea en su estrategia digital ha definido una aproximación muy precisa que implica un salto cualitativo fundamental. La UE apuesta por un diseño del tratamiento de la información desde una aproximación centrada en el ser humano y en la garantía de sus derechos fundamentales, pero a la vez fomenta las posibilidades de utilización directa y de reutilización de todo tipo de información. Resulta bastante evidente que el proceso de transformación digital acelerada comporta necesariamente la analítica de datos no personales, personales, y anonimizados y la definición de entornos de tratamiento confiables. Para ello, se ha diseñado un ecosistema normativo que se describió más arriba que requiere de entidades capaces de garantizar adecuadamente nuestros derechos.
La conclusión es obvia, el Espacio Europeo de Datos no puede funcionar desde la aproximación defensiva clásica. La garantía de los derechos fundamentales es irrenunciable, pero, a partir de ahora debería descansar en la protección de datos desde el diseño y por defecto. El tratamiento de datos exigirá un enfoque centrado en el análisis de riesgos y en la definición de las condiciones que los eliminen, mitiguen o controlen. Pero no sólo en ello, sino en el despliegue de una panoplia de medios tecnológicos bien definidos entre los cuales descuellan las PET, Privacy Enhancing Technologies, y las técnicas que erigen la seguridad y la trazabilidad en el centro del sistema. El «código», como ya señalara Lessig se erige en un instrumento indispensable para la garantía de los derechos.
Este estado de cosas, exigirá tanto al sector público como al sector privado, dotarse de altas capacidades para el abordaje ético, jurídico, y tecnológico necesarios para el despliegue de los nuevos entornos de explotación de la información. Y este es un esfuerzo que sólo puede ser conjunto, desde el diálogo y la concertación y desde un profundo conocimiento de la materia. La Ley española, adelantó este escenario en 2018 atendiendo a quienes en sede parlamentaria reivindicamos un modelo seguro para la investigación con datos en salud centrado en la definición de entornos tecnológicos confiables y soportados por modelos de responsabilidad jurídica y gobernanza de los datos. Hoy, España es sin duda el entorno más favorable del conjunto de la Unión para la investigación y para el nacimiento de nuevas ideas de innovación en salud digital al servicio del bien común. Ello, además, debería estimular una transformación de este sector y acrecentar su confiabilidad y competitividad. El premio de la Agencia Española de Protección de Datos a nuestra investigación aplicada al Proyecto HealthData29 demuestra que, además, es un escenario de alta calidad en la garantía de los derechos.
El conjunto de planes ordenados a la transformación digital de nuestro país va a ser altamente dependiente del cumplimiento normativo en esta materia, y ello exigirá sin lugar a dudas, de un abordaje tan garantista como sofisticado. Poco antes de su muerte, en el contexto del Conversatorio sobre Derechos Digitales, Stefano Rodotá alertó una vez más sobre el impacto de las tecnologías de la información y las comunicaciones en nuestras libertades. El espíritu de su obra seminal «Tecnologie e diritti» sigue vivo y exige que seamos capaces de definir el escenario de una tecnología concebida desde los derechos humanos, garante de los mismos, y al servicio del bien común.
Así, por ejemplo, impulsado por la Unión Europea dentro del marco de Horizon 2020 el proyecto EUHubs4Data ofrece mediante convocatorias públicas, servicios de analítica de datos de inteligencia artificial para pymes. Véase https://www.iti.es/proyectosidi/euhubs4data/
Disponible en https://www.lamoncloa.gob.es/presidente/actividades/Documents/2021/140721-Carta_Derechos_Digitales_RedEs.pdf
La Agencia Española de Protección de Datos ha definido una hoja de ruta básica en la materia. Disponible en https://www.aepd.es/es/node/46113
Véase https://www.gartner.es/es/insights/hype-cycle-innovacion .
DAWSON, PHILIP (2021). 2021 Hype Cycles: Innovating Delivery Through Trust, Growth and Change . Disponible en https://www.gartner.es/es/insights/hype-cycle-innovacion
Pueden obtenerse las correlativas guías o informes de la Agencia Española de Protección de Datos en https://www.aepd.es/es/guias-y-herramientas/guias
Disponible en https://ec.europa.eu/commission/presscorner/detail/en/fs_20_278
Disponible en https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_es#cifras-previstas-para-2025
Disponible en https://www.lamoncloa.gob.es/presidente/actividades/Paginas/2020/espana-puede.aspx
Disponible en https://www.ceoe.es/es/ceoe-news/ceoe-tv/video/21-iniciativas-estrategicas-de-pais-para-la-recuperacion-y-transformacion
Disponible en https://portal.mineco.gob.es/ca-es/ministerio/estrategias/Pagines/00_Espana_Digital_2025.aspx
https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_es
Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la gobernanza europea de datos (Ley de Gobernanza de Datos. COM/2020/767 final. Disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A52020PC0767
Propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establecen normas armonizadas en materia de inteligencia artificial (Ley de Inteligencia Artificial) y se modifican determinados actos legislativos de la Unión (COM/2021/206 final).
MARTÍNEZ, Ricard (2019). Inteligencia artificial desde el diseño. Retos y estrategias para el
cumplimiento normativo. Revista Catalana de Dret Públic , (58). 64-81. https://doi.org/10.2436/rcdp.i58.2019.3317
ENISA Threat Landscape 2021 . Disponible en https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021
CCN-CERT IA-13/21 Ciberamenazas y Tendencias. Edición 2021. Disponible en https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/6338-ccn-cert-ia-13-21-ciberamenazas-y-tendencias-edicion-2021-1/file.html
Puede consultarse la última versión: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT v3). Disponible en https://www.ccn-cert.cni.es/en/gestion-de-incidentes/lucia/23-noticias/551-nueva-version-de-magerit.html
Véase https://www.ccn-cert.cni.es/guias.html
Véase https://www.ccn-cert.cni.es/soluciones-seguridad.html
Véase UMEA UNIVERSITY. An abbreviated assessment list to support the Responsible Development and Use of AI . Disponible en https://webapps.cs.umu.se/uminf/index.cgi?year=2021&number=3
Disponible 08/12/2021 en: https://digital-strategy.ec.europa.eu/en/library/assessment-list-trustworthy-artificial-intelligence-altai-self-assessment
HIGH-LEVEL EXPERT GROUP ON AI. Ethics Guidelines for Trustworthy AI . Disponible 08/12/2021 en: https://digital-strategy.ec.europa.eu/en/policies/expert-group-ai