Walter Benjamin, el crítico literario alemán de origen judío, escribió sobre la obra Angelus Novus de Klee, "Tiene los ojos desorbitados, la boca abierta y las alas tendidas. El ángel de la historia debe tener ese aspecto. Su rostro está vuelto hacia el pasado. En lo que para nosotros aparece como una cadena de acontecimientos, él ve una catástrofe única, que arroja a sus pies ruina sobre ruina, amontonándolas sin cesar. El ángel quisiera detenerse, despertar a los muertos y recomponer lo destruido. Pero un huracán sopla desde el paraíso y se arremolina en sus alas, y es tan fuerte que el ángel ya no puede plegarlas. Este huracán lo arrastra irresistiblemente hacia el futuro, al cual vuelve las espaldas, mientras el cúmulo de ruinas crece ante él hasta el cielo. Este huracán es lo que nosotros llamamos progreso."
La intención de esta referencia al ángel de la historia es pensarnos en la posición de ese ángel frente a las condiciones para la protección de datos. Situémonos como él, viendo hacia atrás lo que se ha hecho para la protección jurídica de datos, en específico, respecto de las cuatro décadas más recientes en las que las tecnologías digitales se han convertido en ejes del desarrollo de la vida social.
El primer atisbo sería uno de cuerpos normativos e instituciones. Algunos hitos serían las Directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE) que regulan la protección de la privacidad y el flujo transfronterizo de datos personales, de 1980; el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, de 1981; la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; el Marco de Privacidad del Foro de Cooperación Económica Asia Pacífico, APEC, de 1999; los Principios del Puerto Seguro del año 2000—siete principios acordados entre los Estados Unidos y la Unión Europea para la transferencia de información personal identificable desde la Unión Europea hacía Estados Unidos—; las directrices de la Red Iberoamericana de Protección de Datos de 2007; la Propuesta Conjunta para la Redacción de Estándares Internacionales para la protección de la Privacidad, en relación con el Tratamiento de Datos de carácter personal, acogida favorablemente por la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad celebrada el 5 de noviembre de 2009 en Madrid; Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos de 2012; el Reglamento General del Protección de Datos de 2016; y el Convenio 108+ que moderniza el Convenio 108 de 1981.
Esta memorabilia legal parece maravillosa, pero, si desde la perspectiva del ángel analizamos cómo se ha reflejado en la vida social para la protección de ese derecho, estos instrumentos, entendiendo que unos son antecedentes de otros, han sido poco o nada efectivos. Los más recientes son los que entienden la protección de los datos respecto de su valor en relación con la forma en que se interpretan en el contexto de las tecnologías digitales.
El instrumento más reciente y efectivo ha sido el Reglamento General de Protección de Datos (RGPD, o GDPR, por sus siglas en inglés), aprobado en 2016 y cuya aplicación comenzó en mayo de 2018. Mediante él, el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea.
En 2019 ya se aplicaron multas millonarias bajo las disposiciones de este instrumento: a la empresa British Airways con 204 millones de euros, por incumplir el artículo 32 del GDPR. En el caso, los atacantes robaron información personal de cerca de 500 mil clientes de la aerolínea.
A Marriott International una multa de 110 millones de euros también por incumplir el artículo 32. En el caso se descubrió que los datos personales de hasta 327 millones de clientes habían sido sustraídos. Los atacantes habían tenido acceso a los datos del hotel desde 2014. La investigación de la Oficina del Comisionado de Información reveló que los datos robados correspondían a unos 30 millones de residentes en 31 países del Espacio Económico Europeo.
Otra multa millonaria fue para Google por un monto de 150 millones de euros. Fue sancionada por incumplir los artículos 5, 6, 13, 14 de GDPR. La Comisión Nacional de Informática y Libertades, que es la agencia de protección de datos francesa, multó a Google por incumplimiento de las reglas acerca de la transparencia y de la ausencia de una base legal válida de procesamiento de los datos personales destinados a fines publicitarios.
Al Österreichische Post, una empresa de correos de Austria, la sancionaron con 18 millones de euros por violar los artículos 5 y 6 del GDPR. La empresa creó perfiles de 3 millones de personas con sus direcciones, preferencias personales y afiliaciones políticas. Estos perfiles se vendían a partidos políticos y otras empresas.
A Deutsche Wohnen, empresa alemana inmobiliaria, le fue impuesta una multa de 14.5 millones euros por vulnerar los artículos 5 y 25 del GDPR. El Comisionado de Protección de Datos y Libertad de Información de Berlín multó a la empresa inmobiliaria por almacenar datos personales de sus clientes durante más tiempo de lo necesario.
El uso cotidiano de Internet en los hogares de diversos países se volvió masivo hasta este siglo; sin embargo, desde la segunda mitad de los años 90 del siglo pasado, y hasta la fecha, millones de personas han registrado, intercambiado y distribuido datos personales, propios y de terceros.
Para el año 2000 casi la mitad de la población de Estados Unidos ingresaba y accedía a información mediante Internet. 16 años más tarde, tres cuartos de la población de Estados Unidos estaba en línea, en Malasia 79% de la población usaba Internet; en España y Singapur 81%; en Francia un 86%; en Canadá 91%; en Corea del Sur y Japón un 93%; en Dinamarca y Noruega 97%; Islandia encabezaba el ranking con un 98% de la población en línea. Las principales cifras en América Latina son: en México el 77% de la población urbana es usuaria de Internet, en zonas rurales es de menos del 50 por ciento; en Argentina 74% de la población tiene acceso; en Uruguay 75%, Chile 82%.
Abundemos en la dimensión: en cualquier día de los cinco años más recientes, hubo en promedio 640 mil personas más en línea por primera vez.
De acuerdo con el Foro Económico Mundial, cada día: se envían 500 millones de tweets; 294 mil millones de emails; se crean 4 petabytes de datos en Facebook; se crean 4 terabytes de datos de cada vehículo conectado; se envían 65 mil millones de mensajes por WhatsApp y se hacen 5 mil millones de búsquedas. Se estima que para 2025, se producirán 175 zettabytes.
En los 16 años referidos, más los cuatro restantes hasta la fecha, y en atención a la cifra de nuevos usuarios de Internet: ¿esos millones de personas a nivel global supieron/saben qué pasó con sus datos? ¿Fueron prudentes en su uso? ¿Qué uso les dieron los controladores (responsables), recipiendarios y procesadores (encargados)? ¿Los usuarios conocían o conocen los cuerpos normativos que hemos referido? ¿Los controladores, recipiendarios y procesadores conocían o conocen si se apegaron o apegan a las disposiciones mencionadas?
A esta ecuación hay que agregar el Internet de las Cosas. La firma Gartner calculaba que para este año habría más de 26 mil millones de dispositivos conectados.
Aquí es donde empieza la búsqueda del tiempo perdido, pues el crecimiento del número de usuarios de Internet y el intercambio, accesos y recepción de información en el período referido, se dio en paralelo a los instrumentos jurídicos y lineamientos referidos como ineficaces, y es en ese período en el que no hay certeza sobre las enormes cantidades de datos que quedaron en diversas bases de datos en la red, bases de datos que tal vez no conozcamos y que no tenemos certidumbre sobre el destino de esa información, o que incluso ya integran bases de datos de grandes empresas que se han apropiado de ellos.
Más de la mitad de la población mundial está en línea y la cifra va en aumento: ¿los nuevos usuarios tendrán conocimiento de las condiciones básicas de su derecho a la protección de datos? Los nuevos usuarios son normalmente o población joven, o personas que en los estados en los que habitan las condiciones de infraestructura, o por falta de recursos, no habían tenido acceso. Y si bien hay mayor control respecto del uso de plataformas de redes sociales, y que son los principales medios por los que la población joven se conecta (90% de jóvenes de entre 16 y 24 años de edad en los países que integran la OCDE usan plataformas de redes sociales), no es la única forma de acceder a la red. Ahí hay un vacío enorme.
Tampoco hay que olvidar que incluso el cálculo costo-beneficio en el uso indebido de datos por los gigantes del sector se convierte en eje de reflexión. El ejemplo que nos debe venir a la mente es el de Cambridge Analytica.
Insisto aquí que, al decir datos me refiero a datos personales, y que son objeto de protección como derecho fundamental.