Europa no debe perder el tren de liderar la tecnología al servicio de la humanidad

Hace unos días un mensaje de Twitter, esa red donde sigo pese a cuestionarme los valores que aquí expondré, me ha hecho reflexionar sobre la actitud del intelectual y las TICs. Fue un mensaje de Borja Adsuara (@adsuara), que me dejó pensando por qué un candidato a presidir la Agencia Española de Protección de Datos se declara desconocedor de cómo funciona uno de los servicios de la sociedad de la información más recurrentes, las analíticas de Google. No me pareció creíble.

No me lo creo: usted sabe y no quiere posicionarse. Porque de lo que pide opinión no es nada que pertenezca a una ciencia oculta y complicada. Dice que no se posiciona sobre si el servicio de analíticas de Google incumple el Reglamento General de Protección de Datos, y en particular si exporta datos indebidamente fuera del territorio de la Unión, y (poco más o menos) que eso es cosa de los técnicos. Me explicaré.

Un jurista no es nada sin los hechos. Es como un médico que sabe de medicinas y protocolos (leyes) pero no diagnosticar. La ciencia jurídica se proyecta sobre la realidad, y un jurista para ofrecer soluciones, para hacer su trabajo, tiene que conocer el objeto del mismo. Si se dedica a inmigración, conoce la realidad social sobre la que trabaja; si a reclamaciones de hipotecas, tendrá que saber hacer algunos cálculos; y si trabaja con temas tecnológicos, tendrá que saber cómo funcionan los servicios en la red, que no son nubes sino grandes centros de datos con cientos o miles de servidores, que los conectan cables, y que unidos por esos cables se identifican entre ellos y por internet usando por lo general un identificador único llamado “dirección ip”. Si además conoce su trabajo se habrá preocupado por ver cuando menos informes de estadísticas de uso de los servicios, y logs de muy diversos servicios de red, y habrá visto que no es solo la ip, sino el sistema operativo, el software utilizado para la conexión, y otra mucha información la que se maneja en cualquier servidor. Como me consta que sabe de protección de datos, no dudará en reconocer que esa información son datos personales. Si hay información personal obtenida como consecuencia de un servicio administrativo, esa información no puede usarse para nada distinto... La legitimación no es (ni puede ser) el consentimiento del ciudadano, porque al ciudadano usar ese servicio le es impuesto; la alternativa a no querer ceder los datos no puede ser no acceder al servicio administrativo. En definitiva, la Administración no puede usar ese tipo de servicios porque no puede ceder esos datos. Si además estudia la política de uso de esos datos. verá que Google puede usarla para mejorar su servicio y otros servicios de la empresa... Ya lo tiene... Introducen la información obtenida de un servicio público en su negocio de manipulación inteligente basada en data mining agresivo. Pero el Sr. Adsuara además es bueno, y sabe que para poder hacer la mitad de todo eso se necesitan unos estudios de evaluación de impacto, unos acuerdos con unos contenidos mínimos, pruebas y garantías que acrediten la privacy by default. ¿Dónde queda todo eso en las implementaciones de nuestra Administración?

La mayoría de los juristas no se quieren meter en este fregado, y puedo entenderlo: nadie lo paga, te excluyes del mercado, no resulta políticamente conveniente, o vaya usted a saber. Desconozco absolutamente las razones del Sr. Adsuara, que acostumbra a compartir su opinión, aunque imagino que es difícil abstraerse de haber sido propuesto en el pacto PP-PSOE como candidato a segundo de la AEPD, y encontrarse ahora con el proceso selectivo que el acuerdo político se saltaba. Pero no me diga que no opina de lo que no sabe, porque esto no es una ciencia oscura. Es clarito y evidente, es lógica... y al alcance de todos.

Sí y mil veces sí, la Administración incumple al usar esos servicios (la pregunta no es si Google cumple). Es un caso muy parecido al que ha hecho que la AEPD haya abierto recientemente expediente frente a la Consejería de Justicia Gobierno de Canarias [2] por usar ese tipo de servicios (el uso de un acortador de direccione que “se queda” con la información de todo el que intente acceder al servicio enlazado, y además el enlace no funciona y llevan tres meses sin arreglarlo desde que les avisara).

Lo menos importante es que se haga sin acuerdo de exportación de datos que, puestos a pensar, a ver... Todo comienza por una asociación, Noyb, que demanda a la Administración por el uso de Google Analytics. ¿Noyb es esa asociación austriaca montada por un tal Schrem? ¿El mismo que con su acción frente al Tribunal de Justicia de la Unión Europea tumbó el Acuerdo de Puerto Seguro que permitía a exportación de datos a Estados Unidos? ¿Y cuando la Comisión negocia con EEUU un nuevo acuerdo (Escudo de Privacidad) vuelve a tumbarlo en una segunda sentencia conocida como Schrem II porque el Derecho norteamericano no cumple los estándares europeos? ¿Y ahora que la comisión no se atreve ya a negociar nuevos acuerdos sale (la comisión) con que si usted conviene determinados términos será conforme al Derecho de la Unión? A ver, de igual lo que digan los términos jurídicos escritos por los más eminentes juristas: las normas que rigen esos servicios no cumplen, y no van a cumplir no solo porque estén bajo la mirada y uso del poder político, sino muy especialmente porque no hay garantías en lo que puedan o no hacer las empresas bajo la legislación norteamericana con esos datos.

Y aquí el precedente de conductas contrarias a nuestras normas sí debe ser usado para no seleccionar al contratista que sistemáticamente demuestra una absoluta falta de respeto a la protección de los datos personales.

No es posible que nada de lo que hasta aquí he escrito le sea novedoso al Sr. Adsuara. Es posible inventar otra excusa, poner un pero, un matiz a alguno de los frentes abiertos. Pero serán eso, artificios. De los servicios del capitalismo salvaje de la vigilancia (Google, Yahoo, Hotmail, WhatsApp, Facebook, Youtube, etc...) se puede casi decir, por simplificar, que son ilegales en Europa, y dicho con rigor, que tienen difícil encaje en nuestra normativa y su uso por la Administración Pública es siempre contrario a Derecho. Para no andar con tapujos le pongo un simple ejemplo: si usted comparte mi número de teléfono con WhatsApp sin pedirme permiso (y lo hace si tiene WhatsApp y me graba en su móvil), está lesionando mi intimidad. O todos aceptamos ceder, o no puede usarse. El modelo tecnológico de esas empresas no encaja en nuestras normas, pero hay empresas y sistemas que cumplen, y no son precisamente peores tecnológicamente. Ese es el reto de las empresas TICs europeas. Eso es uno de los valores que podemos ofrecer al mundo, y además es bueno para Europa, hasta para su economía.

No escondamos más esta trascendente cuestión. Saber cómo funciona una red no es hoy de especialistas. Envolverlo en el oscurantismo medieval de una ciencia al alcance de pocos no es de nuestra época, aunque sea en estos tiempos cuando se puede negar lo evidente y lo racional, al menos si se tienen los suficientes followers. Por eso es preciso que los candidatos inmersos en el proceso de renovación de la AEPD se pronuncien (conozco la europeísta apuesta del Sr. Cervera en el Diario de Sevilla, como no podía ser de otro modo con su bagaje). Por eso ese silencio (tan generalizado, no se tome esto como una cuestión personal) me resulta incómodo, y me parece poco comprometido. Quien deba suceder en la presidencia y adjuntía de la Agencia deben ser defensores convencidos del espíritu del Reglamento europeo, deben posibilitar esa oportunidad para España y Europa. No sólo está en juego el futuro de muchas empresas punteras europeas, sino nuestros valores y la misma democracia.