LOPD, sin derechos digitales

El pasado 6, Día de la Constitución, coincidió que se publicó en el BOE una norma clave en nuestra sociedad moderna, tan manipulable y dependiente de lo tecnológico, la Ley Orgánica 3/2018, de protección de Datos Personales y garantía de los derechos digitales (LOPDgdd), parte también del bloque de constitucionalidad. La manipulación política usando redes sociales está (sin menospreciar otros factores) detrás del ascenso a los gobiernos de Polonia, Hungría o Austria de fuerzas claramente poco democráticas, o de la poco antes impensable elección como Presidente de los Estados Unidos de América del Norte de un millonario excéntrico. La Unión Europea no sabe bien qué hacer con estos países, pero sí ha sido muy clara en combatir la generación de perfiles de usuarios, y esa es en el plano político la aportación más clara del Reglamento General de Protección de Datos (RGPD).

Sorprendentemente, los primeros pasos del RGPD está teniendo poca trascendencia con respecto al funcionamiento de redes sociales que basan su modelo económico en la generación y explotación económica de perfiles de usuario. Por su parte la nueva LOPDgdd ha sido recibida con alarma en lo que modifica de la Ley electoral, señalándose que permite crear perfiles políticos de los usuarios, interpretación poco plausible por cuanto la LOPD ha de interpretarse en el marco del RGPD europeo, que claramente los prohíbe. Sin embargo, sí hay cuestiones verdaderamente preocupantes donde poner el foco, y es precisamente en la parte de “garantías de derechos digitales”, que seguidamente abordo.

Aportación de la LOPD, que pasa probablemente desapercibida dada la poca claridad de la redacción, es su artículo 82 titulado “derecho a la seguridad digital”. Cuando la ley dispone que “los usuarios tienen derecho a la seguridad de las comunicaciones que transmitan y reciban a través de internet” ¿no está consagrando como un derecho el uso de la única tecnología capaz de dar esa seguridad, el cifrado? A mi entender, sin duda. No hay experto en seguridad que no niegue la importancia de firmar y de cifrar las comunicaciones, y debe ser uno de los contenidos de esa educación básica en tecnologías de la información que a partir del pasado día 7 exige la ley en todas las etapas educativas y como contenido en las pruebas de acceso a la función pública. Soy consciente de que cifrar se asocia a cosas oscuras… como los cuchillos a los asesinatos; pero estos como aquellos tienen otros muchos usos, y si nadie quiere mandar datos de tarjetas de crédito sin cifrar por la red ¿por qué no proteger nuestra información personal, que es un valor jurídico superior al patrimonial?

Nada novedoso resulta el principio de neutralidad de la red, pero éste consigue ahora una protección fuerte, cuasiconstitucional. Que la red sea neutral quiere decir que el proveedor fija el precio de la conexión de red, y el usuario hará con ella lo que quiera, será libre de usar los servicios de la sociedad de la información que desee. No hacerlo así fomenta que sólo los servicios patrocinados por grandes empresas sean accesibles. Hoy en día hay operadores que ofertan tarifas especiales para usar determinadas redes sociales: es un ejemplo de falta de neutralidad en la red. El legislador deja claro que desea garantizar el acceso universal. La neutralidad persigue no dejar sin sentido al derecho de acceso, y por eso no se puede abaratar el acceso a las redes sociales comerciales, porque lo que se estaría haciendo es castigar la red “libre”, entendida por no comercial.

¡Ah!, pero ¿existe una red “libre”? Sí, existen al menos unas redes (por hablar sólo de redes sociales) con un funcionamiento claramente distinto, como Diaspora (tipo Facebook), Mastodon (microblog tipo Twitter), o Jabber (uso análogo a WhatsApp), que poco o nada tienen que envidiar a las comerciales. Se trata de redes distribuidas, en la que ninguna empresa tiene el control de los datos, no hay un nodo central al que todos los usuarios se conectan. Como en telefonía, funcionan las llamadas entre distintos operadores, porque usan unos mismos protocolos. Son precisamente los protocolos abiertos (que forman parte del concepto de neutralidad) lo que permite luchar contra la concentración informativa. En estas el usuario es dueño de sus datos y decide si sólo los comparte con usuarios del mismo nodo, con otros nodos seguros, o con la totalidad de la red. Finalmente se caracterizan por no ser comerciales, en ellas es evitable la generación de perfiles de usuario, ya que el usuario elige su proveedor, con su política de protección de datos.

Los nodos gratuitos son hoy por hoy montados por entusiastas, asociaciones u otros colectivos que los ofrecen a un uso público. También hay empresas que los ofertan con servicios de pago. Cabe pensar, además, que haya nodos gratuitos patrocinados por empresas con cesión de datos análogos a las actuales redes sociales al uso (eso sí, no centralizados ni tan masivo), y también que la administración pública ofrezca dichos servicios, como hiciera en otro tiempo con el correo electrónico. Sin embargo, no parece que esas políticas estén entre las “políticas de impulso de los derechos digitales” enumeradas por la nueva ley en su artículo 97, lo que considero una clara deficiencia de la norma. El artículo 97 parece ir orientado a financiar con dinero público el acceso a la internet que existe, sin emprender acciones para fomentar su neutralidad e interoperabilidad, y sin éstas es imposible asegurar los derechos digitales que la ley enumera.

Se obliga a los padres a cuidar de que sus hijos “hagan un uso equilibrado y responsable de los dispositivos digitales y de los servicios de la sociedad de la información a fin de garantizar el adecuado desarrollo de su personalidad y preservar su dignidad y sus derechos fundamentales”, pero es difícil encontrar un dispositivos que no traiga preinstalada redes sociales cuestionables en los términos referidos en ese artículo. Un padre responsable simplemente no encontrará en el mercado un dispositivo apto para su hijo. Al mismo tiempo “el sistema educativo garantizará la plena inserción del alumnado en la sociedad digital y el aprendizaje de un uso de los medios digitales que sea seguro y respetuoso con la dignidad humana, los valores constitucionales, los derechos fundamentales y, particularmente con el respeto y la garantía de la intimidad personal y familiar y la protección de datos personales”. ¿Cómo se va a realizar esa plena inserción en la sociedad digital? ¿Con dispositivos que traen preinstaladas las redes tóxicas? ¿Es esa la inserción en la sociedad digital que se pretende?

La clave está en impedir que los dispositivos que compramos traigan preinstalados programas que no se puedan eliminar por el usuario medio y que informen al fabricante o a terceros sobre los gustos y prácticas de los usuarios, lo hagan mediante software de redes sociales o cualquier otra técnica. Tampoco deberían traer un único repositorio no desinstalable, que suelen llamar “market” pero que no cumple las más mínimas exigencias del mercado libre, generando de hecho mercados cautivos para cada vez bienes y servicios más heterogéneos. Recuérdese cómo se obligó en su día a Microsoft, por prácticas monopolísticas, a permitir desinstalar su navegador Internet Explorer, distribuido con su sistema operativo. Dicha regla es previa a las que la ley incorpora, y necesaria para su implementación. Piénsese que a día de hoy controlan el software de muchos coches, de televisiones, neveras, accesos, y, por supuesto, del móvil y muchos canales de compra y de pago mediante dicho dispositivo. Saben todos mis gustos, con quién y a dónde voy, mis rutinas, mis planteamientos vitales, mis debilidades,... y no puedo elegir el proveedor, me viene preinstalado… No lo saben porque consienta, lo saben porque no tengo alternativa.

Está muy bien que ciertos derechos reciban el rango de orgánicos que su entronque constitucional requiere, pero se hace sin claridad suficiente, y con un tratamiento muy parcial, al punto de servir a la protección de los derechos digitales tanto como pueden protegernos hoy nuestros móviles. Mientras el control de mis dispositivos tecnológicos lo tenga una empresa (no elegida por mí) y no yo, mis derechos digitales serán puro papel mojado.