¿Cómo es que a día de hoy todavía nos sigue costando cumplir con las normas de protección de datos? Cómo puede ser, a pesar de que hace ya más de 25 años que convivimos con ellas en nuestro ordenamiento jurídico y de que por su transversalidad prácticamente no haya ámbitos legales y sociales en los que no despliegue su efecto.

Disponemos de regulación específica en materia de privacidad o protección de datos[1] desde la LORTAD de 1992[2]. Hemos conocido varios reglamentos como por ejemplo el 993/1999[3] que convivió incluso con la LOPD de 1999[4], o el RD 1720/2007[5] que la desarrolló casi ocho años después. Ahora, además, tenemos una norma europea[6] común para todos los países miembros, superando la legislación mediante meras directivas[7] y también una nueva LOPD[8].

Además, nuestro reglamento europeo (RGPD o GDPR), por el peso –comercial y político- específico de la UE en el mundo, afecta más allá de las fronteras locales de la Unión[9] y viene además actuando de facto como una norma estándar en materia de protección de datos que incluso los gigantes del otro lado del charco se esfuerzan en cumplir[10] (o al menos en que parezca que lo hacen).

Si alguien no ha asumido todavía que el presente y el futuro se juegan en el entorno digital y que los datos (personales o no) y, por extensión, la privacidad es una de las claves en el desarrollo que nos queda por delante, es mejor que se baje de la nave.

Sin embargo, a pesar de todo esto, nos sigue costando cumplir con estas normas. Y ya no sólo para aplicar medidas de seguridad concretas a nivel organizativo o técnico, sino a la hora de entender y aplicar los principios en los que se inspiran las normas de protección de datos. Por ejemplo: la lealtad o la licitud en el tratamiento de datos, el respeto en la aplicación de la finalidad para la que fueron recogidos o el uso proporcionado de los datos meramente necesarios (en este último caso además podríamos hablar de lo fútil y poco rentable que es recopilar datos de forma excesiva por ignorancia y sin saber sacarles provecho realmente).

Esto ocurre, en mi opinión, porque las organizaciones todavía no han asumido que los datos que manejan no son suyos. Son un activo de las organizaciones sí, pero no son suyos. Perdemos de vista que los datos son del titular. Sí, siguen siendo míos y suyos (de quienes están leyendo esto).

En numerosas ocasiones, directivos y técnicos ya no es que se pierdan este objetivo de vista, sino que en ningún momento este aparece siquiera en el horizonte. Quienes toman las decisiones dejan, de comportarse como titulares de datos para pasar a comportarse como poseedores de datos que deben exprimir y utilizar, buscando la forma en que las normas les molesten lo menos posible en su tarea.

¿Pero por qué ocurre esto? ¿Por qué tanto las personas que forman parte del proceso de decisión en las empresas como aquellas encargadas de llevar a cabo esas decisiones son capaces de abstraerse de tal forma de su propia condición de titulares de datos?

Se produce, en mi opinión, por una falta de empatía por parte de aquellos que manejan datos hacia las personas a las que identifican esos datos. Es decir, carecemos de empatía por la privacidad.

Esta falta de empathvacy o empativicidad, como le llamaré a partir de ahora, se manifiesta de dos formas:

1.- La mayoría de las organizaciones continúan sin ver el valor de usar los datos de una forma racional y con respeto a estas normas. Continúan, en muchos casos, intentando encontrar la forma de engañar tanto a la norma como a los titulares de datos para poder hacer lo que mejor les convenga, tratando de rentabilizar el esfuerzo económico y técnico que les ha supuesto tener esa información. Se confunde pues el coste requerido para obtener la información con la idea de su propiedad, como si los datos de las personas fuesen un elemento más de la cadena productiva de las organizaciones y no una parte inseparable de nuestra personalidad como individuos.

2.- Otras tantas organizaciones –y Gobiernos- sí encuentran el valor de los datos, pero su core pasa por no respetar las libertades y derechos de las personas[11], ya sea de forma consciente o no, por ejemplo, mediante el desarrollo de algoritmos[12] que pueden ser erróneos o manipulables en función de determinados intereses, o en función también de nuestra propia ignorancia al aplicar por defecto las creencias del sistema. 

Estas dos formas de expresar la falta de empathvacy o empativicidad confluyen en la paradoja de la propiedad sobre nuestra información personal. Por una parte, las organizaciones ven nuestra información personal como una propiedad suya que deben y quieren explotar. Y, por otra parte, los individuos carecemos de la consciencia de que precisamente la información personal es una propiedad del individuo sobre la que deberíamos tener plena capacidad de disposición.

Solo siendo conscientes de este concepto de propiedad sobre nuestra información personal podremos articular los medios para protegerla frente a aquellos que, aprovechando la tecnología, el mercado y la regulación legal, transaccionan con ella en su beneficio propio.

Parece seguro que en la era digital y en la era de los algoritmos la falta de empathvacy o empativicidad, sea cual sea su origen, afecta al tablero en el que se juega la partida de las libertades y derechos fundamentales de las personas. Porque la protección de datos, aunque voluntariamente hayamos cedido en ella para pagar servicios en la sociedad de la información y disfrutar de unas supuestas ventajas en nuestra vida (compartir nuestras vacaciones o el crecimiento de nuestros hijos -en una esfera que se escapa a nuestro control- o recibir las mejores ofertas en base a nuestras preferencias), sigue siendo un derecho fundamental que opera no solo en nuestro ordenamiento jurídico[13] sino a nivel global en un mundo sin fronteras.