Daniel Jove Villares

El Reglamento General de Protección de Datos (RGPD), además de ser el buque insignia del conjunto de normativas que dan forma al ecosistema europeo del dato, es, en cierto modo, una versión beta del modelo regulatorio con el que la Unión Europea pretende dar forma al espacio digital. Por ello, comprender la lógica que preside la regulación del derecho a la protección de datos resultar de utilidad, no solo por lo que pueda aportar respecto de la cognición del derecho fundamental concreto, sino para entender mejor el Reglamento de Inteligencia Artificial de la Unión Europa (RIA), pues muchas de sus características, como la proactividad, la prevención o la atención al riesgo como criterio determinante, se ensayaron primeramente en la normativa de protección de datos. Tomando esto en consideración, así como ciertas lecciones derivadas de la evolución regulatoria que nos ha traído hasta el momento actual, quisiera compartir algunas reflexiones que, aunque discutibles, pretenden contribuir al amplio debate suscitado en torno a la IA, tanto respecto de su regulación como respecto a la eventual articulación de “un auténtico “derecho a la inteligencia artificial”” (Presno Linera).

El proceso evolutivo que ha seguido el derecho a la protección de datos demuestra que, cuando el contexto y la realidad sobre la que se proyecta el derecho es cambiante, no deben establecerse conclusiones definitivas. Que en un momento dado no exista un derecho, por ejemplo, por considerar que la protección se consigue a través de las facetas o manifestaciones de otros preexistentes, no permite excluir que, con el tiempo, termine consolidándose como un derecho autónomo. El proceso de diferenciación entre la intimidad y la protección de datos es un buen ejemplo.

Si ello es así, ¿cómo saber cuándo se está ante un derecho nuevo precisado de reconocimiento específico? Aunque la respuesta a esta pregunta es compleja y mucho más amplia, uno de los elementos determinantes es la identificación y delimitación del bien o bienes jurídicos objeto de protección. Tener clara cuál es la finalidad del derecho, y el contenido que lo caracteriza, permite determinar cuál es la mejor manera de afrontar su regulación, evita desdoblamientos innecesarios y ayuda a fijar cuál puede ser el grado de protección normativa adecuado a la realidad que se pretende salvaguardar. De ese modo, se podrá discernir si se está ante un auténtico derecho o si, por el contrario, ya existen instrumentos de protección, en cuyo caso solo habrá que incorporar nuevas facultades o facetas a derechos preexistentes.

Ante la posibilidad de reconocer un derecho a la inteligencia artificial, la experiencia del derecho a la protección de datos invita a buscar los elementos singulares que permitan determinar la existencia de finalidades no protegibles a través de los derechos preexistentes. Desde el punto de vista regulatorio, las distintas normativas que desarrollan el derecho a la protección de datos, especialmente el RGPD, ponen de manifiesto la necesidad de abordar ciertos debates que contribuirán a delinear el modelo normativo que vaya a disciplinar cada innovación o fenómeno tecnológico. En este sentido, y sin entrar en debates (necesarios) acerca del cómo y el quién se quiere que lleve a cabo la protección de los derechos (más, menos o ninguna autorregulación), parece razonable asumir que, en el espacio virtual, la personalización y la flexibilidad en las actuaciones son imprescindibles. En caso contrario, el Derecho corre el riesgo de quedarse demasiado atrás, y esa es una amenaza adicional para los derechos y las libertades que, en la medida de lo posible, se debería evitar.

En el debate acerca de apostar por una mayor o menor autorregulación, la UE parece haber adoptado, en términos generales, una posición en la que, a lo sumo, admite una cierta “autorregulación regulada”. Sin embargo, hay otro debate que no está resuelto y que, como sociedad, se deberá abordar: el de la personalización de las respuestas jurídicas. Desde un punto de vista técnico, parece que cada vez será más factible que, al igual que se ofrece publicidad personalizada, se puedan establecer medidas de protección específicas para cada situación, incluso para cada individuo. Si ese nivel de precisión en la respuesta jurídica fuese posible, si fuese viable diseñar modelos de protección a medida para cada persona, ¿deberían adoptarse? Este es un debate que, al menos respecto de ciertos derechos, va a ser necesario afrontar.

Al respecto, un factor que debe valorarse es que la personalización, probablemente, venga de la mano de la mercantilización de los derechos. En el caso de la información personal, parece evidente que cada vez es más un producto y menos un bien del sujeto. Es decir, las funcionalidades, utilidades y comodidades que el ecosistema tecnológico genera han ido erosionando la capacidad de las personas para mantener una esfera reservada, de manera que los derechos a la protección de datos o a la intimidad se han ido desvalorizando en aras del progreso. Por si esto no fuera un cambio suficientemente preocupante, se está produciendo una nueva transformación. Una que, además, están generando las mismas entidades que hicieron posible el desvalor inicial. Una transformación que consiste en ofrecer espacios de inviolabilidad a cambio de un precio o de fidelizar a los consumidores-usuarios. El proceso es abracadabrante, primero se rebaja el valor del derecho a cero y luego se vende como un valor a preservar, pero a cambio de un precio y, por el camino, ha perdido su fortaleza como derecho personal. Esta debe ser una variable a considerar cuando se debata la adopción de modelos en los que se personalicen las garantías; no es la única, ni mucho menos, pero hay que tenerla en cuenta, especialmente si se quiere realizar de manera correcta esa transición.

Por último, partiendo del modelo regulatorio, aunque con una proyección evidente en la conformación y consolidación de los derechos, debe ponerse el acento en la importancia que está adoptando el riesgo como enfoque prioritario a la hora de regular los derechos. Es cierto que el riesgo siempre ha estado presente como factor modulador de los derechos, por ejemplo, la posibilidad –el riesgo– de que otro nos mate es una causa que subyace a la existencia del derecho a la vida, pero no la única.

¿Qué ha cambiado? Que el riesgo toma el mando. Tradicionalmente, al configurar los derechos de un modo reactivo, se confiaba en que su proclamación tuviese fuerza conminatoria suficiente para evitar que el daño se produjese y, solo cuando se producía, se activaba el aparato reparador. Ahora ya no es un criterio más, sino que se ha convertido en el elemento determinante que define la regulación, al punto de decidir si algo se puede hacer o no. El ámbito de lo posible no viene determinado por el contenido del derecho o su finalidad, sino por el nivel de riesgo que se considera jurídicamente aceptable. El riesgo ha sustituido a los derechos como elemento central. Y esto entraña ciertos problemas, porque no es lo mismo que exista alguna posibilidad de que algo suceda y, en tanto esa posibilidad no se dé, no se deriven consecuencias jurídicas, a que se establezcan niveles de riesgo y que eso sea lo que determine el ámbito de lo jurídicamente posible. La concepción de la libertad y la autonomía cambia sustancialmente.

En la práctica, esto ha llevado a que el legislador ya no se conforma con establecer remedios frente a los problemas y los daños, sino que trata de anticiparse a ellos. Probablemente el resultado final no varíe mucho; por ejemplo, cuando el nivel de riesgo es inaceptable, ahí la prohibición por riesgo equivale a un modelo reactivo. En los otros casos, los niveles de riesgo equivalen a lo que podrían ser las excepciones en las que se acepta la injerencia en el derecho. Pero, en la medida en que la prevención de daños opera como un criterio superior, el enfoque es sustancialmente distinto.

Los derechos ya no se configuran por lo que son, por lo que permiten, sino que se adopta una aproximación negativa, en la que la probabilidad de que ciertos eventos se produzcan se convierte en el criterio de decisión. No es lo mismo, hago esto porque es lo que el contenido de este derecho me permite, que hago esto de este modo concreto porque existe una posibilidad más o menos cierta de que se produzca un daño. Además, al situar al riesgo en el centro, el contexto, las circunstancias, pasan a ser las condiciones de posibilidad de ejercicio de ese derecho, en lugar de variables a analizar expost en caso de que, eventualmente, se produzca el daño.

No se quiere decir que esta opción sea mala, es más, probablemente sea la adecuada. Ahora bien, ¿se opta por este modelo por convicción y porque es el más adecuado para, por ejemplo, lograr el “efecto Bruselas” o, por el contrario, se ha abrazado la opción precautoria por pura inercia, por necesidad o, quizá, por el temor y la incertidumbre acerca de lo que la evolución tecnológica pueda deparar? Sea por el motivo que sea, lo cierto es que esta decisión tiene efectos notables en la naturaleza de los derechos, pues está provocando su objetivación. Sí, los elementos subjetivos siguen ahí, por ejemplo, en el caso del derecho a la protección de datos se sigue pudiendo ejercitar las diferentes facultades que confiere (derechos de acceso, rectificación, supresión, oposición, portabilidad…); pero la garantía general del derecho, la del día a día, ya no depende de la actuación defensiva de sus titulares, sino de las medidas adoptadas por los operadores de datos, quienes se han convertido en los auténticos garantes del derecho.

Pero, ¿por qué, en contextos tecnológicos, cobra tanto peso la objetivación de los derechos?

La adopción de este enfoque pudiera ser la respuesta a la complejidad de las interrelaciones y actuaciones que se producen a través de medios digitales. Su carácter masivo, su dinamismo y la imposibilidad de estar en todo momento prestando atención a posibles injerencias en los derechos, obligan a adoptar modelos más proactivos en la protección de los bienes jurídicos de las personas. Además, también hay una razón de pragmatismo crematístico, y es que, si se dependiese del ejercicio constante de los derechos de los individuos para poder operar, se ralentizaría mucho el funcionamiento del mercado digital.

Sea por imposibilidad fáctica o por conveniencia mercantil, lo cierto es que parece bastante lógico trasladar una parte sustancial de la responsabilidad a los operadores, diseñadores y responsables, pues son los que están en condiciones de velar por el cumplimiento de la normativa. De esta manera, la principal defensa de las personas ya no serían las acciones que ellas puedan ejercitar, sino las obligaciones de protección que los otros deberán desplegar. Por lo tanto, la batalla en la defensa de los derechos habrá que darla, sobre todo, en el diseño de los deberes y las obligaciones.

Sin embargo, resulta evidente que, cuanto más se apuesta por objetivar las medidas, por trasladar la protección a la anticipación y a la responsabilidad de terceros, menos campo de acción queda para la autodeterminación personal. En este sentido, el Reglamento IA es el paradigma de la objetivación. En el RIA, las obligaciones de los operadores lo son todo. En él, el elemento subjetivo ha desaparecido prácticamente por completo. No hay facultades de acción, solo obligaciones para quienes quieran operar con sistemas de IA. Esta apuesta legislativa, tan escorada, puede estar indicando que, quizá, desde la UE no se está pensando en la IA como un derecho, sino como un producto, lo que, sin duda, es un obstáculo para la eventual conformación de un derecho a la inteligencia artificial. Que el legislador sea verdaderamente consciente de aquello que está regulando, que la IA es, o puede ser, algo más que un producto, es el paso previo y necesario para que, con el tiempo, el derecho a la inteligencia artificial pueda llegar a ser un derecho real.