En la primera parte, ya publicada, de este artículo, me referí a la limitada eficacia de diversos instrumentos normativos para la protección de datos, pero también reconozco que el impulso a los lineamientos y cuerpos reglamentarios más sólido viene de la Unión Europea. Se trata de un colectivo de Estados, de un proceso de intercambio de acuerdos en torno a las decisiones y el rumbo en esa materia. En ellos, participan tres de los estados más poderosos e influyentes de la región—y a nivel global—, que forman parte del G7 y el G8: Alemania, Francia e Italia.

El Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés) se ha convertido en un hito para la sanción estricta ante el procesamiento indebido de datos. El GDPR es un instrumento regional que retoma contenido y experiencia de instrumentos previos y, sobre todo, es una norma regional legitimada con y por la participación de diversos estados. El GDPR se hizo en Bruselas, sede del Parlamento Europeo, la Comisión Europea y el Consejo de la Unión Europea.

Sí, vamos al efecto Bruselas. Este efecto es un sabido concepto desarrollado por la Profesora Anu Bradford. El efecto Bruselas se refiere a que las reglas y regulaciones nacidas en Bruselas han penetrado muchos aspectos de la vida económica dentro y fuera de Europa mediante el proceso de globalización regulatoria unilateral. Este proceso ocurre cuando un Estado es capaz de externalizar sus normas más allá de sus fronteras mediante mecanismos de mercado, lo que resulta en la globalización de estándares. Los estándares europeos se convierten en estándares globales sólo cuando los beneficios de adherirse a un estándar global son mayores que los beneficios de tomar ventaja de estándares más laxos en jurisdicciones más indulgentes.

Mientras más grande es el mercado del país importador con normas más estrictas, en relación con la indulgencia del mercado del país exportador, es más factible el efecto Bruselas. Los estándares globales emergen sólo cuando las corporaciones optan voluntariamente por cumplir con un solo estándar determinado por el regulador más estricto. En el caso del GDPR y algunos de los instrumentos que le precedieron, han tenido influencia en normas internas de privacidad en alrededor de 120 países.

Esto no es una loa a Europa; se trata de identificar que estos esfuerzos y valores normativos se pueden convertir en un eje para equilibrar sectores y prácticas, además de recuperar el tiempo perdido en la construcción de bases de datos, dada la opacidad evidenciada a nivel global. En este sentido, habría que pasar de un efecto Bruselas de facto que pueda derivar en proteccionismo a una extensión planificada y acordada globalmente de los principios y normas europeas. Veamos por qué y cómo.

La Unión Europea es un mercado con una población de cerca de 500 millones de personas, muchas de ellas con los mayores ingresos per cápita a nivel global, que contribuye con un 25% de los ingresos de Facebook y Google. En este contexto, las grandes empresas del sector han adoptado los estándares del GDPR, pues los servicios digitales, como señala la Profesora Bradford, son habitualmente indivisibles y les resulta muy oneroso ofrecer servicios diferentes a los que ofrecen en Europa, ante el estricto marco regulatorio. 

Facebook, después del escándalo de Cambridge Analytica de 2016, ya reconoce a Europa como la principal fuente de regulación. Los más altos directivos de Alphabet (la empresa matriz de Google) y de Microsoft han visitado Bruselas para observar e intentar moldear las regulaciones que emanan de Europa. Tienen que ser las disposiciones europeas en las que intenten intervenir por el efecto Bruselas; basta observar los marcos normativos, por ejemplo, en Estados Unidos: apenas el año pasado empezó a operar la Ley de Privacidad del Consumidor de California, inspirada en GDPR. Tendrían los estándares de APEC y las disposiciones del T-MEC.

Hay que considerar que, ante la hegemonía de los gigantes tecnológicos en los mercados, los datos se van a convertir en la base para determinar si una compañía es dominante y si ha abusado de su poder de mercado. Hoy, el 80% del procesamiento de datos y análisis de la nube se da en centros de datos e instituciones de cómputo centralizadas.

Vale la pena considerar la normatividad europea como base de un trabajo co-regulatorio de acuerdo global. Esto es clave para enfrentar oligopolios y prácticas monopólicas en el mundo de los datos, más aún en atención a la opacidad y el tiempo perdido al identificar su paradero. Conviene la posición de Europa como mercado, pues si hay unión y aceptación de una regulación global en países del continente americano, Asia—con la dificultad que representaría China—y, tal vez, África—sobre todo ante el crecimiento cotidiano de nuevos usuarios de Internet—, el mercado de 500 millones que representa Europa se podría triplicar. Así quedaría de lado la alternativa de los gigantes tecnológicos de diferenciar su oferta para Europa respecto del resto del mundo. Inclusive favorecería la inclusión de participantes en el mercado global.

Veamos a qué me refiero por autorregulación para este propósito. De forma muy básica, me refiero a autorregulación como la posibilidad de que operadores económicos, socios, organizaciones no gubernamentales o asociaciones adopten lineamientos comunes entre ellos mismos. La Directiva 95/46/CE define a un código de autorregulación como un conjunto de normas de protección de datos que se aplican a una pluralidad de responsables del tratamiento, que pertenecen al mismo sector industrial y cuyo contenido es determinado por los miembros del propio sector.

En el contexto de globalización del uso de datos, es clara la insuficiencia del proceso tradicional de elaboración de normas basadas en las jurisdicciones nacionales con cortes locales, que aplican normas locales. La indivisibilidad de los servicios digitales hace complejo pensar en un sistema normativo uniforme en cada país. De ahí la propuesta de autorregulación que se ha pensado ya desde hace unos años.

La autorregulación más purista, es decir, en la que sólo las compañías fijan sus estándares, ha resultado insuficiente y para ello basta observar los casos de corporaciones estadounidenses como Facebook, Wells Fargo, Under Armor, etc. El siguiente paso sería la co-regulación, es decir, un modelo que combine la legislación con instrumentos autorregulatorios basados en la ley. La base normativa para esta co-regulación global está en el GDPR y en el Convenio 108+, el segundo alineado con la primera, cuyo artículo 27 ya contempla que, por la naturaleza transfronteriza de los flujos de datos, busca la adhesión de países y organizaciones internacionales. La clave es que ambas disposiciones tratan la protección de datos como derecho fundamental, lo que le da el carácter general a la necesidad de protección más allá de los intereses de las empresas, para generar confianza en los usuarios.

Hay que pensar en un órgano global legitimado que vigile el cumplimiento de los compromisos adquiridos tras la aceptación del marco co-regulado, así como los mecanismos de sanción en los que no haya influencia de ningún Estado.

Recuperar el tiempo perdido en la protección de datos es necesario para que el Ángel de la Historia, empujado por el progreso, no vea más ruinas ante los desarrollos de Inteligencia Artificial.