"La rigidez de las normativas de privacidad está frenando el desarrollo de 'apps' contra el virus"

ALICANTE. Las numerosas iniciativas tecnológicas puestas en marcha, o al menos ideadas, para ayudar a controlar la expansión del coronavirus o la movilidad de la ciudadanía suelen chocar con las normativas de protección de la privacidad vigentes en los países de la Unión. El socio responsable del área de Legaltech en el despacho alicantino Devesa & Calvo Abogados, Juan José Cortés, analiza en esta entrevista el freno que, en su opinión, supone la concepción excesivamente rígida de la defensa de la privacidad para el desarrollo de apps que permitirían mejorar la lucha contra la pandemia.

-La tecnología está llamada a jugar un papel relevante para combatir la pandemia de la covid-19, pero se suscitan muchos recelos por sus implicaciones en lo relativo a nuestra privacidad y datos personales.

-Y no solo. Comenzaría, si me lo permite, con aquella célebre frase de ¡Es la economía, estúpido! que Bill Clinton espetó a Bush hijo en su carrera a la Presidencia. A la vista del actual escenario de desencuentro entre los desarrolladores de las llamadas covapps (las apps que deben servir de ayuda a la lucha contra esta pandemia) y aquellos que deben regular cómo se aplican mundo real, podríamos traer a colación la frase de Clinton para subrayar la enorme transcendencia que el debate entre los avances de la tecnología y los derechos y libertades a los que debe supeditarse tiene no solamente, como es el caso, en la vida de las personas, sino también en todo un sistema económico globalizado.

-¿Sucede una vez más que los avances van por delante de la norma, como en tantos otros campos?

-Habida cuenta la orden SND 404/2020 del Ministerio de Sanidad promulgada el pasado 11 de mayo, mucho me temo que, efectivamente, la historia se repite nuevamente y se insiste en el error de no querer entender las bondades de la tecnología. O peor, no intentar armonizar su aplicación con los posibles riesgos para las personas con motivo de esa puesta en práctica. Es una postura habitual en los reguladores de nuestra vieja (camino de 'jurásica') Europa, perdida en innumerables comisiones e infinitas agendas para afrontar una crisis cuya única variable conocida tiene que ver con la palabra 'velocidad'.

-¿No tiene Europa un Reglamento de Protección de Datos personales que se encarga de regular estas cuestiones cuando surge el debate al que se refería?

-Así es. La covid-19 ha sido, desafortunadamente, la primera oportunidad para comprobar la solidez de sus preceptos ante grandes retos, la capacidad de armonización de los principios y reglas que deben regular el tratamiento de datos personales en el ámbito de la Unión europea. Y nos hemos dado la primera en la frente. Resulta que, en el análisis de riesgos para la privacidad de estas soluciones tecnológicas, cada país está actuando por su cuenta en relación con las autorizaciones, prohibiciones o limitaciones del uso. Lo que, como se imaginará, ayuda muy poco cuando el problema traspasa fronteras a la velocidad de un Airbus. Este solo hecho delata otra grave problemática, que es la esencia que subyace a la creación de la propia norma: el enfrentamiento de dos modelos o sistemas jurídicos totalmente opuestos, el continental y el anglosajón. Mientras éste último defiende marcos de flexibilidad y adaptabilidad al entorno cambiante, el primero hipoteca el desarrollo técnico y económico con viejas premisas de dogmática jurídica, dejándose llevar por una especie de parálisis por el análisis que ciertamente debería ser contestada con más firmeza por los sectores de la industria y la innovación, a mi juicio.

-¿Excesiva burocracia?

-Visto lo visto, parece ser que la forma en que se enfrenta nuestro sistema legal a los dilemas entre el desarrollo tecnológico y los riesgos derivados del mismo es dar un paso atrás. Lejos de buscar soluciones que las propias normas posibilitan, como las que, en este caso el GDPR propone sobre la base de la proactividad, con principios claros y ciertamente potentes como la privacidad desde el diseño y por defecto, todavía hoy (con más de 100.000 víctimas mortales) seguimos discutiendo sobre las eventuales amenazas en sesiones a lo largo y ancho de la Unión, convocando el próximo comité de expertos sobre la materia y eso sí, mientras, cada uno va haciendo camino, no sea que se quede el último.

-Volviendo al debate, ¿con el reglamento europeo en la mano, el uso de estas apps sería viable?

-A ver, el propio Comité Europeo de Protección de Datos afirma que el reglamento tiene previsto dar cabida al uso de estas herramientas tecnológicas en razón de la salud pública, para la protección de intereses vitales de los propios afectados, lo que justifica el tratamiento de estos datos personales de salud, biométricos, de geolocalización, rastreo o trazabilidad. Pero a la hora de la verdad los distintos países esgrimen una serie de variopintas argumentaciones sobre riesgos de seguridad y privacidad que, aunque atendibles, directamente hacen temer el fracaso de cualquier solución técnica. Y lo peor, no se establece, ni se insinúa siquiera, de qué manera deberían implementarse tales herramientas para cumplir con el GDPR. La triste verdad es que algunos moriremos por contagio pero, eso sí, con nuestra privacidad intacta. Y mientras, nuestros herederos luchando con Google o Facebook para suprimir la huella digital que hemos ido dejando al suscribirnos a cientos de apps gratuitas, que nos rastreaban en mayor medida que la app que ahora se propone. Volviendo al eslogan de Clinton, las empresas desinvertirán en el desarrollo de las tecnologías que no alberguen expectativas de implementación práctica y, en consecuencia, generen negocio. ¿Tanto cuesta entender que el principal motor de la investigación sigue siendo el mercado?

-¿Cuál sería la solución a este embrollo, desde su punto de vista?

-Sinceramente, creo que valdría mucho la pena poner el talento jurídico a trabajar, al igual que los ingenieros, para intentar entender, como exige el propio GDPR al tratar la figura del delegado de protección de datos (DPO), la tecnología para poder realizar una evaluación de riesgos de privacidad, que aun desde la óptica privacy first permita el desarrollo de tecnologías que pueden salvar vidas. Y no quedarnos en ser los hombres del banderín rojo que únicamente advierten de peligros que no saben cuantificar y lo peor, qué otros mayores riesgos dejan sin afrontar de manera colateral. Es la economía, estúpido.

-Y al final, ¿qué se está haciendo al respecto?

-La respuesta a todo ello en España ha sido una nueva orden de Sanidad del pasado 11 de mayo que efectivamente ataca el problema del siglo XXI, una pandemia global vírica que se mueve a la velocidad del transporte más rápido en que puedan coincidir dos personas, pero con técnicas del siglo pasado. Se ha activado el plan de los 'rastreadores de positivos', una legión de detectives amateurs con lápiz, papel y teléfono en mano para luchar contra el virus y los burócratas de las autoridades de control.