Establecer qué es la protección de datos en unas pocas líneas no es tarea fácil.
El concepto de protección de datos está próximo a las ideas de intimidad, privacidad, o de esfera más personal, como reserva de un ámbito de nuestra vida (íntima o privada) del que excluimos a otros.
Pero, al mismo tiempo, el concepto de protección de datos comprende más ámbitos o es más transversal en su objeto que la intimidad y la privacidad.
Definición de protección de datos
Es evidente la cercanía a la intimidad, a la privacidad, a la libertad individual, pero la definición de protección de datos no puede dejar a un lado los términos de identidad, o de identificación.
Los datos personales son «toda información sobre una persona identificada o identificable» (artículo 4.1 del RGPD)
Es difícil, por tanto encontrar una rama del Derecho tan transversal o que toque a tantas situaciones como la hace la protección de datos.
Afecta la protección de los datos personales a toda una galaxia de relaciones con relevancia jurídica que se dan a diario en nuestras vidas: empresarios y empleados, sistema sanitario y pacientes, bancos y clientes, aseguradoras y tomadores de seguros, universidades y alumnos, empresas de recobro y deudores, administraciones públicas y administrados, agencias de marketing directo y prospectos, páginas y servicios web y sus respectivos usuarios, etc, etc.
Pero asumiendo esa diversidad de dimensiones conceptuales, ¿qué es la protección de datos?
Hoy parece unánime el criterio de definir la protección de datos como un derecho autónomo, con “personalidad” propia y vigencia independiente de otros conceptos similares de lo que quizás la protección de datos era un satélite o un vehículo.
Un derecho separado de aquellos otros derechos fundamentales a cuyo abrigo nació la protección de los datos personales: la intimidad personal y familiar, el secreto de las comunicaciones y de la correspondencia, la inviolabilidad del domicilio, la limitación del uso de la informática…
Y ese derecho, autónomo y fundamental, a la protección de datos personales versa sobre la acción de “protección” no sobre los “datos” en sí.
Eso nos llevaría al tema de si realmente, como individuos, somos titulares de los datos o solo ostentamos ciertas potestades de disposición sobre los mismos, tema que quizás mereciera un tratamiento en capítulo apartado.
Privacy y Privacidad
¿Es lo mismo protección de datos que privacidad?
Para buena parte de los normativistas de la lengua española, “privacidad” es un extranjerismo o anglicismo, una importación del término “privacy” que en inglés aparece ligado a términos de “intimacy”, “closeness”, “familiarity”, “nearness”.
La principal objeción que algunos planteaban a la introducción del término “privacidad” en la lengua española es que esos significados o ideas estaban ya expresados por el término “intimidad” o el de “vida privada”.
Cuando el diccionario de la RAE admitió la palabra, quedó fijado el siguiente significado de privacidad: “ámbito de la vida privada que se tiene derecho a proteger de cualquier intromisión”.
El Cambridge Dictionary define “privacy” como “someone’s right to keep their personal matters and relationships secret”. Y la segunda acepción dice “the state of being alone”.
Es decir, hoy en día “privacidad” tiene un significado bastante parejo o casi similar al que tiene el término “privacy” en la lengua inglesa.
Aparece la idea de “derecho”. Un derecho encaminado a proteger la vida privada de la “intromisión” de otros.
Y en este sentido “privacidad” se acerca más a “protección de datos”. En determinados foros de la práctica jurídica se les considera sinónimos o, al menos, términos con significado muy similar.
Pero seguimos entendido que la “protección de datos” es más transversal y expansiva en su significado que la privacidad.
La protección de datos abarca más derechos que el derecho al secreto y a esa reserva. Mientras tanto, la “privacidad” sigue manteniendo ciertos vínculos con la “intimidad”, es decir, con el ámbito más reservado -o solitario- del individuo.
En la propia expresión “protección de datos” hay implícita una acción, o varias acciones. La acción o las acciones de “proteger” o de “protección”, que es el nuevo en derecho en sí mismo, y no tanto un derecho sobre los datos.
Protección de datos e intimidad
Entendemos por intimidad, en sentido estricto, el “ámbito más reservado de una persona o de una familia”.
Solo a los amigos más cercanos o a los familiares más próximos le contamos nuestras “intimidades”. Y frecuentemente nunca se cuentan a nadie.
En el círculo de la intimidad se encierran aquellos pensamientos o sentimientos, deseos, etc que quedan en el ámbito de más estricta reserva del individuo. Los secretos más profundos.
Hay un sentido algo más general de la “intimidad”, como “vida privada” , ámbito de actuación no público de los individuos que transcurre en la morada, en el domicilio, en la propia casa.
Si adoptamos este sentido más comprensivo o genérico de la “intimidad”, un poco más amplio que la mera soledad de los pensamientos, anhelos, sentimientos, inclinaciones y deseos, ésta, la intimidad, es un valor que se consolida con la llegada del Humanismo, del individualismo.
Pero ese valor de la “intimidad”, incluso en la era del liberalismo, era visto más como un imperativo ético o una regla de convivencia que como un derecho.
Realmente no surge esa preocupación por proteger jurídicamente la intimidad hasta que el capitalismo y el mercantilismo emprenden acciones de recolección “masiva” de datos.
Datos personales necesarios para identificar mejor las preferencias de los individuos y, en este sentido, poder dirigir con más éxito las propuestas comerciales, cada vez más invasivas de los ámbitos donde las personas se sentían resguardadas.
La necesidad de protección de la mirada ajena hacia todo aquello que ocurre puertas adentro del domicilio privado, en el ambiente familiar, se refleja muy bien en el artículo doctrinal de los juristas norteamericanos Warren y Brandeis.
Dicho artículo, “The right to privacy” (1890), ya recoge ideas tan imperecederas como “la casa de cada hombre es su castillo” o una primera aproximación al concepto amplio de “intimidad” como un “derecho a ser dejado en paz” (right to be let alone) que ya había utilizado también Thomas Cooley.
Sin esta evolución de la protección de la intimidad quizás hoy no estaríamos hablando de la protección de datos de carácter personal.
Esa inquietud por proteger los ámbitos reservados de la personalidad se incrementan cuando surgen en escena los tratamientos automáticos y en serie de datos personales.
Las tarjetas perforadas.
Posteriormente la informática y los ordenadores personales.
Hoy el Big Data, la minería de datos y el machine learning, o el perfilado de usuarios sin intervención humana y a través de inteligencia artificial.
Es decir, la necesidad de protegerse de los potenciales malos usos implícitos en los avances tecnológicos y en las exhaustivas herramientas en que dichos avances se traducen, que pueden tener un gran impacto en derechos como la igualdad, la libertad, la dignidad, etc, podría considerarse el principal origen de la protección de datos.
Con esa preocupación por la tecnología invasora de la intimidad, surgirá la primera jurisprudencia, la cual abrirá el camino a las primeras leyes de protección de datos.
Protección de datos e identidad
También a lo largo del siglo XX, con la generalización y el perfeccionamiento de los tratamientos automatizados de datos, se incrementa la preocupación de la humanidad por proteger los datos que permitan identificar a las personas.
Identificar a las personas, tanto en el sentido de localizar unívocamente a una determinada persona frente a las demás.
Pero también identificar, en el sentido de poder conocer y utilizar – al servicio de determinados fines- todo aquello que conforma la personalidad del individuo identificado con el fin de establecer pautas de clasificación o segmentación de personas.
Este sentido de la protección de datos personales ligado a los mecanismos de defensa contra la identificación (recordemos, como localización, pero también como detección de las coordenadas idóneas para perfilar y establecer tipologías de individuos), se verá potenciado con la aparición de internet.
Y, ligado a este evento y al propio devenir de la red, relacionaremos la protección de datos con el surgimiento de la identidad digital y con la necesidad de proteger la propia huella digital, el rastro que vamos dejando incluso inconscientemente en el mundo online (datos y metadatos).
Y en este sentido, veremos que el concepto de protección de datos en internet se aproxima a las ideas de ocultación de la identidad, de anonimato, y de protección de la información a través de medidas de seguridad cibernética (ciberseguridad).
Protección de datos como secreto profesional
Mucho antes de la aparición de las tecnologías de automatización y procesamiento de datos personales, ya existían ciertas normas sobre el uso adecuado de la información como parte de la actuación ética y responsable de determinados profesionales u oficios: los médicos y su juramento hipocrático, el deber de secreto de notarios y abogados, el secreto de confesión de los sacerdotes etc.
Ese secreto deontológico y profesional (o religioso) aún está presente en esos términos en nuestros tiempos, ligado en mayor o menor medida a la intimidad y a datos sensibles: datos de salud física o psíquica, datos de confesión, datos de condenas administrativas o penales, etc.
El concepto de protección de datos avanzó más parejo a la idea de confidencialidad que a la de secreto profesional.
Y sin embargo la diligencia que exigimos a quienes traten nuestros datos personales cuando les exigimos confidencialidad, integridad y disponibilidad, es de la misma calidad que el secreto que confiábamos obtener de esos profesionales de la salud, de la abogacía, del oficio religioso.
Es decir, hay una dimensión de la protección de datos relativa a la exigencia de celo y de medidas para que los datos personales no salgan del estricto ámbito de actuación (profesional, administrativo, sindical, sanitario, religioso, etc) donde hemos autorizado, confiado o delegado su tratamiento.
En definitiva, una óptica de la protección de datos relativa a un poder preciso de disposición de la información por parte del titular de la misma, así como a unos derechos accionables que permiten hacer efectivo ese poder dispositivo.
Protección de datos como derecho fundamental
Los derechos de la personalidad no siempre han sido merecedores de protección jurídica.
Hay que esperar a comienzos del siglo XX para encontrar el caldo de cultivo adecuado.
Es entonces cuando se empieza a considerar a la intimidad como un derecho con sustantividad propia, digna de señorío y de disposición, precisamente para poder definir y defender un ámbito de exclusión y de no injerencia de los demás, incluyendo a los poderes públicos.
Las dimensiones de la protección de datos mencionadas en el primer constitucionalismo europeo (Weimar, etc) no tienen tanto que ver con la protección de la información personal frente al tratamiento automatizado de los datos cuanto con otras: el derecho a no declarar sobre las creencias religiosas o el derecho de los funcionarios sobre el propio expediente personal.
La intimidad fue reconocida en la Declaración Universal de los Derechos Humanos de la Asamblea General de las Naciones Unidas de 1948, de la siguiente manera: “nadie será objeto de injerencias arbitrarias en su vida privada”.
Y en ese artículo 12 iba implícita la obligación de los poderes públicos de proteger esos ámbitos.
Sin embargo, el avance de los sistemas electrónicos de recopilación y tratamiento de datos, también de los dispositivos de vigilancia, captación de imagen y voz, interceptación de comunicaciones, la realización de tests de personalidad para incorporarse a puestos de trabajo “por medio de los cuales se llega hasta auscultar las profundidad íntimas del alma” como escribió el Papa Pío XII, hacen que los ciudadanos entiendan que el bien jurídico de la “intimidad” sigue en abierto y creciente peligro.
La jurisprudencia constitucional norteamericana de finales de los años 60 y el constitucionalismo europeo del siglo XX ya consideran la intimidad (y la faceta de la misma como protección de datos) como un derecho fundamental.
Se dice que es entonces cuando la protección de datos adquiere “la mayoría de edad”.
Protección de datos en la ley
¿Cuándo llega la protección de datos a los Parlamentos y está en el centro del debate político?
Como hemos visto hasta el momento, la necesidad de proteger la información personal como bien jurídico ha requerido una evolución histórica.
Hitos de esa evolución: la consideración de la intimidad como fundamento de la libertad y de la dignidad personal; una vuelta doctrinal y jurisprudencial hacia el reconocimiento de los derechos de la personalidad; y, por supuesto, la necesidad de controlar los usos de las nuevas herramientas de recopilación y tratamiento automatizado (y masivo) de datos.
La primera Ley que reconoce el derecho de protección de datos, cuando la citada evolución culmina, es la Datenschutzgesetz de 1970 del land de Hesse en Alemania.
En la década de las 70, siguiendo la estela de la Ley de Hesse, se promulgarán en Europa diversas leyes de protección de datos. Igualmente, la protección de datos se consolidará como derecho fundamental en las constituciones europeas de esa década.
En América, la primera ley de protección de datos se promulga en el año 1974: la Data Privacy Act estadounidense.
Protección de Datos y Constitución española de 1978
Nuestra constitución recoge la protección de datos tal como la hemos visto hasta ahora y la dota del carácter de derecho fundamental.
Sin embargo no se recoge como tal la expresión “protección de datos”
El literal del artículo 18.4 es como sigue:
La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.
En nuestra constitución la protección de datos aparece vinculada al control del uso de las tecnologías (la informática, que era la tecnología preponderante en la época del constituyente español), control tecnológico (informático) al servicio de los derechos de los ciudadanos: no solo el derecho al honor y el derecho a la intimidad (que se citan expresamente) sino todos los demás:
La protección de datos consagrada como un vehículo para proteger, transversalmente, los derechos de los interesados.
¿Protección de datos o protección de personas?
El Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 enero 1981, configura la protección de datos tal y como ha llegado a nuestros días.
El Convenio 108 tiene como fin garantizar a toda persona física el respeto de sus derechos y libertades fundamentales, y en especial de su derecho a la vida privada, respecto al tratamiento automatizado de sus datos personales.
La clave es que se trata de proteger a las personas, cada vez más inermes ante el uso incontrolado de datos que les afectan.
Se dice en el Convenio que “en la sociedad moderna, gran parte de las decisiones que afectan a los individuos descansan en datos registrados en ficheros informatizados”. Recordemos que esa era entonces la gran amenaza para la esfera privada.
Pero también el Convenio indica que para reforzar la protección de los datos personales, los Estados podrán aplicar lo dispuesto a los datos de carácter personal que no fueran objeto de un tratamiento automatizado.
En el propio Convenio y en toda la actividad de divulgación del mismo ya se insiste en la expresión “protección de datos de carácter personal” o en la de “protección de datos” solamente.
La progresiva “elipsis” de lo relativo a la persona en la expresión “protección de datos” no debe suponer una errónea asunción de que lo efectivamente protegido no son tanto los datos como los individuos titulares de derechos sobre esos datos.