Se trata sin duda de una buena noticia. Por primera vez el conjunto de los Estados de la Unión se regirá por una única norma, corrigiéndose las significativas asimetrías existentes desde 1995 hasta hoy. Por otra parte, este marco regulador trata de aproximarse a las necesidades de Internet en sus distintas manifestaciones. Sin embargo, las constantes remisiones a posibilidades de desarrollo estatal podrían truncar la recién nacida homogeneización normativa.

La futura norma combina luces y sombras. En sentido positivo consolida un modelo que sitúa a la protección de las personas como valor preeminente intentando a la vez desarrollar un campo de juego viable para la libre circulación de datos en el territorio de la Unión. Muchos son los elementos destacables más allá del llamado derecho al olvido.

En primer lugar, se cierra el debate relativo a la aplicación de la “ley europea”. Se aplicará nuestra norma si se ofrecen bienes o servicios o si se pretende un control de comportamiento que tenga lugar en la Unión. Y ello implica que cualquier proceso de registro gratuito que suponga intercambio de privacidad por servicios, -como las redes sociales-, o si se descarga una aplicación móvil que analice nuestro comportamiento deberá respetar nuestra normativa. Además, la portabilidad nos libera de la cautividad de perder información si cancelamos nuestra suscripción.

Por otra parte, se refuerzan las exigencias de comportamiento ético y responsable. No basta con tratar datos, es obligatorio diseñar esos tratamientos pensando en privacidad, es obligatorio limitar el tratamiento de tales datos a los mínimos imprescindibles, y hay que articular procedimientos que acrediten que se cuenta con medidas para cumplir con la ley. Y no solo esto, si una organización sufre una incidencia de seguridad, y ello afecta seriamente a nuestros derechos, se tiene la obligación de informar.

Se acabó por tanto el descubrir por los periódicos que los datos de nuestra tarjeta fueron robados. En tercer lugar, aparece la figura del delegado de protección de datos, un profesional obligatorio en las administraciones públicas y en aquellas entidades que traten masivamente datos personales, o cuando estos sean particularmente sensibles como en el ámbito de la salud. 

Interrogantes sobre la normativa

Sin embargo, la normativa no está exenta de sombras, dudas o interrogantes. La primera de ellas deriva de la extrema lentitud en su aprobación y de un constante proceso de rebaja en las expectativas. Ello de algún modo puede afectar a su actualización, aunque la experiencia demuestra cómo la adaptabilidad de este sector del Derecho es altísima. Por otra parte, la norma diseña un complejo sistema de cooperación entre autoridades de protección de datos personales. Preocupa a los expertos cómo vamos a ser capaces de pasar de un modelo asimétrico, con diversos niveles de intensidad inspectora y sancionadora, a un modelo coordinado y coherente.

Por último, la nueva normativa presenta una fortaleza-debilidad en su régimen sancionador. Cada Estado miembro podrá establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a autoridades y organismos públicos, con lo que sin duda podría mantenerse la injusta situación nacional en la que las administraciones carecen de incentivos para cumplir.

Por otra parte, una interpretación estricta de una normativa con multas de hasta 20 millones de euros -o el 4% de la facturación de una compañía- podría operar como un freno al desarrollo tecnológico. La política de vigilar y castigar, tan eficaz en los años 90, debe ser actualizada a los tiempos.

Los habitantes de la Unión Europea somos titulares de un derecho fundamental a la protección de datos crucial para la garantía de nuestras libertades en la sociedad red. Hoy somos más libres, somos mejores al disponer de un marco normativo aparentemente sólido. Sobre el legislador y las autoridades de protección de datos recaerá la responsabilidad de ser algo más que meros garantes de derechos. Si el desarrollo tecnológico no se armoniza con la privacidad, si enfrentamos uno y otro, y si tenemos la tentación de sacrificar el desarrollo en el altar de la privacidad, seremos más pobres, seremos menos eficientes y seremos menos competitivos, Si, por el contrario, apostamos por un desarrollo que no contemple la privacidad como valor genético, seremos menos libres. El diálogo y la interacción entre ambos valores resulta, pues, ineludible.