El gobierno de los datos en la sociedad digital

La realidad de hoy es muy diferente de cuando se reguló la protección de datos por primera vez en España. Desde entonces, la sociedad se ha ido adaptando a la revolución tecnológica hasta llegar a la inteligencia artificial.

Esta revolución responde a una realidad: la capacidad de extraer los datos que generan cada acción humana y cada hecho que afecta a la sociedad, por un lado, y la de analizar y aprovechar, por otro, estos datos que, cuando se refieren a una persona singular, son personales y, en cualquier otro caso, no personales.

Sean personales o no, los datos despiertan un enorme interés económico, porque de ellos dependen la innovación y el desarrollo. Así lo manifestó la Comisión Europea en febrero de 2020, mediante la comunicación Una estrategia europea en materia de datos, dirigida al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones. En ella describe el proyecto político necesario para que Europa no pierda su lugar en la carrera digital.

Los datos despiertan un enorme interés económico, porque de ellos dependen la innovación y el desarrollo

La Estrategia identificó tres aspectos a preservar: los valores y libertades europeos, la lealtad y competitividad en el mercado y en la economía, y la sociedad abierta, democrática y sostenible.

Los dos primeros contaban ya con alguna norma de desarrollo: el Reglamento General de Protección de Datos (RGPD) de 2016, el Reglamento de Libre Circulación de Datos No Personales de 2018 y la Directiva de Datos Abiertos y la Reutilización de la Información del Sector Público de 2019.

Posteriormente, se han aprobado las restantes normas que completan este desarrollo, como son los reglamentos: de Servicios Digitales, de Mercados Digitales y de Gobernanza de los Datos (2022), el Reglamento de Datos (2023) y el Reglamento de Inteligencia Artificial (2024). En conjunto, pueden contarse más de 12 normas que regulan el desarrollo de la economía digital y que sirven de fundamento para la inteligencia artificial, que es la cúspide de toda la política.

El conjunto demuestra que el RGPD no es una norma aislada, sino una pieza esencial para el desarrollo digital de la sociedad europea, y que, por tanto, exige que la Agencia Española de Protección de Datos atienda por su interés general. El RGPD no se limita solo a proteger el derecho fundamental del individuo, sino que también garantiza la libre circulación de los datos y establece los mínimos para el equilibrio necesario para el desarrollo de Europa.

Además, las dos normas que principalmente regulan el acceso por terceros a los datos (sean o no personales) para la investigación y la innovación, los reglamentos de Datos y de Gobernanza de Datos fomentan las cesiones altruistas de los datos, como una modalidad del derecho de portabilidad, que también asegura el RGPD, y las garantías de respeto de la voluntad de la persona que los originó.

Esta circunstancia resulta crucial para delimitar las competencias de la AEPD, que tiene que intervenir en toda la actividad que afecta a los datos y, concretamente, en la organización de los espacios comunes europeos de datos (ECED) que los alojarán, para asegurar el respeto de la voluntad y criterios de los individuos que los aportan, asimismo, en la alimentación de los ECED, para preservar la intimidad de las personas, y en el acceso por los destinatarios de los datos, para asegurar el respeto de la finalidad establecida por el individuo, y en los desarrollos de los algoritmos que fundamentan la inteligencia artificial (IA), que no contengan de sesgos contrarios a la voluntad, ni del interesado ni de quien se somete a la decisión automática.

A este respecto, los sesgos son una amenaza para la convivencia democrática cuando sirven para producir desinformación mediante la IA generativa y para distribuir estos contenidos entre los más vulnerables. En ambos casos, el uso de los datos infringirá, con toda probabilidad, la voluntad del interesado, así como los principios de transparencia y de finalidad del tratamiento, que establecen tanto el RGPD como los reglamentos de Datos y de Gobernanza de Datos.

Una de las mejores prácticas que se ha identificado para afianzar la idoneidad de la innovación y el desarrollo son los bancos de prueba (sandbox) seguros y controlados, en cuyos testeos y conclusiones intervienen las autoridades de control, y que permiten su colaboración con los desarrolladores de herramientas y estructuras de actividad para asegurar el cumplimiento de todos los principios de las nuevas normas. Es importantísimo vincular a la AEPD en este sistema de testeos preliminares.