El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que entró en vigor en 2016, es uno de los regímenes legislativos más detallados en materia de protección de datos. Este artículo analiza dos objeciones de mentalidad libertaria a su enfoque. En primer lugar, sostengo que la noción de «derecho» adoptada en el RGPD es errónea. En segundo lugar, muestra que el RGPD no protege a los individuos de los gobiernos y corporaciones ávidos de datos. Al final, la legislación sobre protección de datos hace a las personas fuertes en teoría pero débiles en la práctica, mientras que hace a las poderosas entidades privadas y públicas débiles en teoría pero fuertes en la práctica.
Una noción errónea del «derecho»
El RGPD pretende proteger los derechos individuales fundamentales relacionados con la recogida y el tratamiento de datos personales. Entre ellos figuran el derecho de acceso, el derecho de rectificación, el derecho de supresión, el derecho al olvido, el derecho a la limitación del tratamiento, el derecho a la portabilidad de los datos, el derecho de oposición y el derecho a no ser objeto de decisiones automatizadas.
El reduccionismo libertario sostiene que los derechos humanos son derechos naturales y que los derechos naturales son derechos de propiedad. El principio de no agresión establece que toda iniciación de violencia, es decir, toda agresión contra la propiedad, es ilegítima. Sin embargo, algunos de los derechos fundamentales protegidos por el RGPD violan el principio de no agresión. Por ejemplo, una persona puede invocar el derecho al olvido para obligar a las empresas tecnológicas, como los proveedores de motores de búsqueda, a ocultar los resultados sobre ella. El RGPD parece adoptar el punto de vista de que los interesados son propietarios de sus datos personales, pero esto es discutible.
Por ejemplo, un usuario que interactúa con el hardware y el software de Google, produciendo así datos personales, no es el único propietario de estos datos porque los haya generado utilizando la infraestructura de Google. Lo mismo ocurre con cualquier dato personal que se produzca al interactuar con otras personas, tanto en línea como en persona. Además, cuando Google muestra información disponible públicamente en sus resultados de búsqueda, apenas está violando los derechos de propiedad de nadie.
Desde una perspectiva libertaria, es una gran exageración afirmar que la ley debería otorgar a los usuarios el «derecho» a obligar a las empresas a borrar datos sobre ellos, porque esto implica que estas empresas no son libres de utilizar su propiedad (su hardware y software) y la información pública como deseen. También pueden hacerse objeciones similares contra otros «derechos». El hecho de que al menos algunos de los «derechos fundamentales» protegidos por el RGPD no puedan reducirse a derechos de propiedad es muy problemático: en ausencia de derechos de propiedad bien definidos, el RGPD puede utilizarse para legalizar agresiones contra personas y entidades.
La ineficacia práctica del RGPD
El objetivo del RGPD es proteger a las personas de la explotación de los datos personales, pero como suele ocurrir con la normativa estatal, pone en peligro a las personas y favorece a las grandes empresas y gobiernos.
En primer lugar, el RGPD entiende la privacidad como un derecho fundamental, pero en la mayoría de los casos tiene que ser invocado por las personas para que se cumpla. Por ejemplo, en el caso del tratamiento automatizado de datos, se concede a los usuarios el derecho a solicitar la intervención humana antes de que se tome una decisión. Dado que la inmensa mayoría de las personas no tienen el tiempo, los recursos ni la capacidad para relacionarse activamente con las decenas o centenares de entidades privadas y públicas que tratan sus datos, esto equivale a dar carta blanca a los responsables y encargados del tratamiento en lo que respecta al tratamiento de datos en general y al tratamiento automatizado en particular.
En segundo lugar, el RGPD hace poco o nada contra el abuso de poder que puede provenir del Estado. Los derechos de privacidad de los usuarios pueden suspenderse o restringirse cada vez que exista algún tipo de problema de seguridad pública o algún tipo de interés legítimo. Por ejemplo, el considerando diecinueve del RGPD establece,
El presente Reglamento debe prever la posibilidad de que los Estados miembros, en condiciones específicas, restrinjan por ley determinadas obligaciones y derechos cuando tal restricción constituya una medida necesaria y proporcionada en una sociedad democrática para salvaguardar intereses específicos importantes, incluida la seguridad pública y la prevención, investigación, detección o enjuiciamiento de delitos o la ejecución de sanciones penales, incluida la protección contra las amenazas a la seguridad pública y la prevención de las mismas. Esto es pertinente, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios forenses.
Este tipo de cláusulas suenan atractivas, pero están llenas de palabras vacías («democracia», «intereses importantes», «seguridad pública» y similares) que se encuentran múltiples veces en el RGPD. Por un lado, se supone que las instituciones públicas deben proteger el derecho a la intimidad de las personas; por otro, las instituciones públicas pueden eximirse de las obligaciones establecidas en el RGPD por motivos de «seguridad nacional». Resulta un tanto irónico que se atribuyan tantos «derechos» a los individuos que los gobiernos y las empresas estén legalmente autorizados a anularlos de muy diversas maneras. Los reguladores no están protegiendo los datos cuando dan cabida a excepciones y se dan a sí mismos y a las empresas privadas luz verde para ignorar la privacidad de los individuos: simplemente están haciendo legales estas «excepciones».
En tercer lugar, el RGPD es muy claro al afirmar que la obligación más importante de los responsables del tratamiento, los encargados del tratamiento, los responsables de la protección de datos, el Consejo Europeo de Protección de Datos y similares es garantizar el cumplimiento del RGPD. Sin embargo, cumplir el RGPD es una cosa, y proteger los datos eficazmente es otra.
Por ejemplo, Daniel Solove señala que los requisitos de consentimiento del RGPD son ficticios porque la escala del tratamiento de datos es tan abrumadora que las personas no pueden hacer frente a cientos de avisos de privacidad. Además, se exige a las personas que actúen activamente para invocar sus derechos, algo que la mayoría de la gente no quiere ni puede hacer. Por otra parte, el RGPD establece muchos fundamentos jurídicos para el tratamiento de datos personales que no requieren el consentimiento individual, como el interés legítimo o la seguridad pública. En definitiva, mientras las entidades privadas y públicas cumplan formalmente el RGPD, no necesitan preocuparse demasiado por las preferencias individuales reales y por la protección de datos real.
La paradoja del RGPD
El RGPD se excede y se queda corto. Por un lado, se excede porque concede a las personas «derechos» que pueden utilizarse para violar la propiedad de otras entidades; la cuestión principal es que los derechos de propiedad de los datos personales no están bien definidos. Por otro lado, el RGPD se queda corto porque los «derechos de privacidad» individuales, tal y como los definen los reguladores de la Unión Europea, son una ficción que las empresas y las instituciones públicas pueden anular legalmente por diversas razones.
La paradoja del RGPD es que otorga a las personas derechos que no tienen al tiempo que socava su capacidad práctica de proteger los datos personales frente a terceros poderosos. A la inversa, a los encargados del tratamiento privados y públicos se les niegan derechos de propiedad legítimos, pero están protegidos por la ley en su misión diaria de aprovecharse de los datos personales. Sin una definición clara de los derechos de propiedad y privacidad en el ámbito de los datos personales, la normativa sólo puede generar confusión y paradojas.
