Philipp E. Fischer: “Una regulació nacional tradicional ja no pot garantir per si sola un nivell adequat de protecció del dret fonamental a la protecció de dades en escenaris de fluxos transfronterers de dades personals”

Els avenços tecnològics han permès que es multipliquin de manera exponencial les transferències internacionals de grans quantitats de dades de manera efectiva i a baix cost. Aquesta capacitat té importants implicacions econòmiques, però també legals, en aspectes com ara el dret a la privacitat i protecció de dades. Philipp Eberhard Fischer, jurista i Senior Manager de Deutsche Telekom amb 14 anys d’experiència en aquest àmbit, ha centrat els seus últims anys de recerca en els aspectes legals dels fluxos transfronterers de dades personals (FTDP). Aquest treball, dut a terme en el context del Doctorat de Societat de la Informació i el Coneixement, ha donat lloc a la seva tesi doctoral, dirigida per Miquel Peguera Poch, catedràtic dels Estudis de Dret i Ciència Política i subdirector de recerca de la UOC. El 12 de febrer de 2024, Philipp va defensar la seva tesi al campus de la UOC i va obtenir la màxima qualificació Excellent cum laude, amb International Mention.

Amb el títol One law to rule them all? Strengthening global legal certainty for transborder flows of personal data, la tesi analitza amb perspectives interjurisdiccionals l’actual “mosaic regulador” global per als FTDP i les importants diferències entre els marcs legals a Europa, els EUA, la regió d’Àsia-Pacífic (APAC), la Xina i les organitzacions internacionals. Proposa una intervenció reguladora que harmonitzi les regulacions nacionals, supranacionals, i internacionals existents sobre protecció de dades i que redueixi les restriccions al lliure flux de dades personals amb l’objectiu de protegir els drets fonamentals, però també amb el propòsit que l’economia digital operi de manera eficient i brindi beneficis en totes les regions. Actualment, l’investigador està treballant en l’adaptació de la tesi per a la seva publicació com a monografia en l’editorial Springer.

Quines són les dificultats per regular els fluxos transfronterers de dades personals?

L’estat actual de la digitalització ha permès passar d’espais típicament separats en esferes socials i àrees econòmiques a un entorn de dades massives, caracteritzat per la disponibilitat, flexibilitat i escalabilitat de dades, i fins i tot per sistemes d’intel·ligència artificial que permeten explotar dades personals per a categorització i perfilat social. Amb tot això s’ha produït un enorme augment dels FTDP. La innovació tecnològica influeix així en l’ús de dades personals en sectors privats i públics, i afecta els interessats les dades personals dels quals estan en joc.

La ubicació de les dades i les fronteres nacionals han anat perdent importància de manera gradual per al tractament de les dades. A més, el context territorial dels FTDP sovint és poc clar, la qual cosa dificulta rastrejar si han tingut lloc fluxos transfronterers de dades personals o si les dades s’han tractat només en servidors nacionals. La tecnologia actual fa que la ubicació física de les dades sigui pràcticament irrellevant, igual que la nacionalitat dels interessats i el país d’origen de les dades. La ubiqüitat i la virtualitat de les activitats de processament de dades personals han portat a un nombre gairebé il·limitat de bases de dades governamentals i no governamentals, i de responsables d’FTDP.

De quina manera estan regulats els FTDP en l’actualitat?

Malgrat els desenvolupaments en els marcs legals dels Estats Units i dels països de l’APAC (dominats per la definició de regles a la Xina), durant la meva recerca he comprovat que la protecció de dades continua sent un fenomen modelat per influències europees, especialment la del Reglament General de Protecció de Dades (RGPD). El marc normatiu europeu és el més desenvolupat fins avui. S’han aconseguit també millores significatives en la Convenció 108 amb l’adopció de la Convenció 108+ del Consell d’Europa. L’RGPD i la Convenció 108+ contemplen els mateixos principis de protecció de dades i garanties essencials.

D’altra banda, el cos de normes en el catàleg internacional de drets fonamentals amb àmbit d’aplicació més ampli és el Pacte Internacional de Drets Civils i Polítics (ICCPR, per les seves sigles en anglès), un desenvolupament de les declaracions establertes en la Declaració Universal dels Drets Humans (DUDH). L’article 17 de l’ICCPR, mitjançant la seva interpretació pel Consell de Drets Humans de l’Organització de Nacions Unides (ONU), inclou la protecció de les dades personals com un element de la protecció de la privacitat. No obstant això, l’ICCPR és insuficient per protegir els drets dels interessats en relacions verticals. Això es deu al fet que una violació del pacte només pot al·legar-se contra un estat que sigui part del pacte. Per tant, els interessats han de determinar quin estat és responsable de la violació, quelcom que actualment no és possible en escenaris de fluxos transfronterers de dades personals.

Dins de l’àmbit de l’Organització Mundial del Comerç (OMC), l’Acord General sobre el Comerç de Serveis (AGCS) només té un paper en l’avaluació de les restriccions permeses o no permeses en el lliure flux de dades. Les recomanacions sobre directrius que regeixen la protecció de la privacitat i els fluxos transfronterers de dades personals (directrius de l’OCDE de 2013) tenen un abast més limitat que les regles de l’OMC i no són vinculants. Per tant, fins avui, només hi ha un instrument que introdueix normes de protecció de dades legalment vinculants i amb abast internacional, que és la Convenció 108+.

En aquest sentit també parles de l’existència d’un “mosaic regulador mundial”. A què et refereixes i quines repercussions té?

Els legisladors van començar a detectar la necessitat de protegir les dades personals en la dècada de 1960. Avui es planteja el desafiament d’identificar fins a quin punt certs conceptes legals de la protecció de dades, a vegades basats en principis i nocions centenàries, encara són aplicables en l’era digital. Des de 1973, les nacions de tot el món han promulgat lleis de protecció de dades a una taxa mitjana de tres lleis nacionals noves per any. No obstant això, el ritme legislatiu difícilment pot fer front a la velocitat a la qual evoluciona la tecnologia. Els estats adopten mesures per intentar equilibrar els interessos nacionals (especialment els de seguretat nacional, ordre públic i sobirania) amb el lliure flux de dades personals i les garanties per als interessats. Moltes nacions ja tenen legislació integral de protecció de dades, d’altres la tenen en alguns sectors, i n’hi ha unes altres que no tenen regulacions de protecció de dades de cap mena. Les lleis que analitzo en la tesi són de manera explícita o implícita vinculants, ja sigui per mitjans unilaterals, bilaterals o multilaterals, i es basen en la geografia o organització. El resultat que observem és una fragmentació reguladora a escala mundial.

Aquesta situació genera incertesa legal i contrasta amb el fet que el desenvolupament global del dret de protecció de dades avança en un procés interdependent en el qual les forces en joc (tecnologia, economia, sociologia i política) interactuen entre si. Això complica el comportament legal de les empreses multinacionals i pot tenir conseqüències negatives per al progrés de l’economia digital que opera a escala mundial. Moltes jurisdiccions s’estan adaptant constantment a circumstàncies noves. Les concepcions canviants de la moral social també creen, entre altres coses, pressió incremental per al canvi. El sistema legal i la dimensió sociològica de la formació de la voluntat social estan en comunicació mútua, però amb un factor de retard en comparació amb la dimensió tecnològica.

La situació actual ha portat al fet que l’establiment d’estàndards tecnològics globals es converteixi en un nou camp de batalla per al tecnonacionalisme, la qual cosa implica més proteccionisme, i amenaça així l’objectiu general d’harmonització que plantejo en la meva proposta d’intervenció legislativa. Això em porta al problema central identificat en aquesta tesi, que és el dilema entre el lliure flux de dades i les restriccions al flux de dades. L’objectiu d’un lliure flux de dades personals es manifesta en tots els instruments reguladors rellevants examinats en la meva tesi. Al mateix temps, no obstant això, han augmentat les mesures reguladores per restringir aquests fluxos. Aquestes mesures redueixen la competència, augmenten la complexitat reguladora, perjudiquen la innovació i frenen el creixement econòmic. Són, en última instància, una paradoxa, perquè les crides a una major sobirania en un moment en què les tecnologies disruptives requereixen un major enfocament internacional estan obstaculitzant la cooperació per resoldre problemes emergents.

Quina solució proposes en la tesi per harmonitzar aquest mosaic?

Una regulació nacional tradicional ja no pot garantir per si sola un grau adequat de protecció del dret fonamental a la protecció de dades en escenaris d’FTDP. La millor opció és una combinació sofisticada de normes en el pla del dret internacional. Aquestes normes han de tenir com a objectiu harmonitzar els drets existents i fer-los el més uniforme possible. Això no requereix una reorganització fonamental del dret internacional, sinó més aviat un contingut definit i un procés d’establiment de regles. En el meu treball mostro que les lleis nacionals i supranacionals han de complementar-se amb una perspectiva de dret internacional públic, especialment quan es tracta d’una transferència necessària de sobirania des de l’àmbit nacional o supranacional fins a l’àmbit internacional, la qual cosa és necessària, almenys en part, per a l’harmonització en l’àmbit internacional. Això fa que el meu enfocament sigui principalment de dalt cap a baix (top-down), encara que amb un fort reconeixement d’elements de baix cap a dalt (bottom-up). Quant a la intensitat de l’harmonització, aposto per un efecte vinculant de la intervenció, alhora que persegueixo un grau d’uniformitat òptim.

D’altra banda, suggereixo que l’enfocament necessari per regular les forces en joc esmentades és la governança integrada (blended governance) en lloc d’un enfocament estrictament basat en la llei. Això m’ha portat a examinar quatre enfocaments de resposta diferents: enfocaments tecnològics com les tecnologies de millora de la privacitat (privacy enhancing technologies); el possible paper de les forces del mercat i d’altres mecanismes basats en el mercat; una resposta centrada en l’ésser humà i el dret fonamental a la protecció de dades; així com enfocaments legals tradicionals i no tradicionals per coordinar o donar forma a altres mecanismes de governança. Postulo que la base per a aquesta intervenció reguladora hauria de ser el contingut normatiu de la Convenció 108+.

Quin tipus de processos s’haurien de dur a terme per a regulació global? Quins passos caldria seguir per aconseguir-la?

Crec que la regulació dels FTDP hauria de desenvolupar-se al més aviat possible pel que fa al dret internacional, i convertir-se en una espècie de dret mundial sota la supervisió d’organitzacions internacionals sòlides amb jurisdicció pròpia. Al meu entendre, és possible arribar a una solució amb la introducció de normes legals de dret internacional a partir d’un consens sobre un nivell adequat de protecció de dades personals. Per aconseguir un consens global, s’han considerat dos instruments coneguts en la ciència política i transferibles al problema legal d’aquesta tesi: la convergència ascendent i la convergència descendent.

També utilitzo els conceptes de regulació intel·ligent (smart regulation) i millor regulació (better regulation), sent aquest últim concepte un punt central de referència per a la política reguladora en l’OCDE o la Unió Europea (UE). Específicament he optat per seguir l’estructura d’avaluació d’impacte normatiu (RIA, per les sigles de Regulatory Impact Analysis), extreta del dret de la UE. La raó és que una RIA millora la qualitat de la nova legislació i garanteix una revisió contínua i coherent de la llei per aconseguir els objectius de l’acció legislativa de la manera més efectiva i eficient possible.

Quines són les majors dificultats per aconseguir aquesta regulació global?

Encara que la Convenció 108+ proporciona la base més plausible per a la regulació desitjada, cal fer adaptacions per assolir un consens sobre la intervenció normativa de l’ONU. En nom de l’assoliment d’aquest consens, suggereixo que la clàusula “en una societat democràtica” utilitzada en diverses regulacions nacionals, supranacionals i internacionals s’ometi, o almenys s’adapti. Crec també que, per aconseguir una normativa de protecció de dades centrada en l’ésser humà, és a dir, basada en els drets fonamentals, haurien d’establir-se relacions cooperatives amb països com ara la Xina, a pesar que, en defensa dels seus interessos nacionals, encara fan servir clàusules massa vagues en les seves lleis nacionals de protecció de dades. També he identificat que la intervenció hauria de ser un tractat intencional vinculant, organitzat, amb efecte directe, autoexecutable i unificador basat en un enfocament monista.

En aquest sentit, en la intervenció normativa és indispensable introduir elements de dret dur (hard law) o de dret tou (soft law) (seguint l’enfocament de governança integrada) segons si l’escenari de l’FTDP té lloc entre estats que són parts en la intervenció (estats inclosos), entre estats inclosos i estats no inclosos (no parts en la intervenció), o només entre estats no inclosos. Dins de l’àmbit de la intervenció, les normes serien harmonitzades, madures i se centrarien en l’ésser humà. En aquest sentit, s’aplicarien principalment components de hard law, com el flux lliure general de dades personals, l’enfocament de responsabilitat posterior i el principi de prohibició de mesures de localització de dades. En canvi, en un escenari de TFPD amb relacions externes, la solució hauria de consistir més aviat en components de soft law. Això s’aplica en particular als objectius específics de confiança, innovació i cooperació, i dins d’aquest últim a la interoperabilitat.

Com a mecanisme de transferència, s’hauria d’utilitzar l’enfocament condicional basat en garanties (conditional on safeguards), accessible per a empreses de totes les dimensions i no només específiques d’un sector, ja que això permet una major flexibilitat. No obstant això, es necessiten diverses excepcions per permetre que països com la Xina, sota certes condicions, protegeixin interessos legítims. L’abast general del mecanisme de transferència hauria de permetre restriccions al flux de dades per a certs tipus de dades subjectes a condicions basades en la lògica de la seguretat nacional, l’ordre públic i la sobirania, inclosa l’aplicació de la llei, però cap restricció per a dades personals sensibles. No obstant això, aquest objectiu legítim de política pública hauria de sotmetre’s a la prova de necessitat conforme a l’art. XIV de l’AGCS. La intervenció normativa hauria d’incloure tots els principis i garanties essencials del marc europeu. De fet, un avantatge principal de la Xina és que constitueix un sistema ben elaborat i coherent, gairebé de nivell tan alt com el del marc europeu. Els fluxos de dades amb finalitats d’aplicació de la llei podrien estar coberts per un compromís per millorar les ordres europees de recerca (OEI) i tractats d’assistència jurídica mútua (MLAT, per les seves sigles en anglès Mutual Legal Assistance Treaties) i un llenguatge model per a nous MLAT.

Quines institucions haurien de liderar aquesta regulació global?

Encara que una solució a esfera internacional en el marc de l’ONU s’allargaria molt en el temps i podria ser vetada per algun dels membres del Consell de Seguretat, sostinc que la intervenció hauria de ser iniciada per l’ONU. Això hauria de fer-se en un entorn controlat, específicament en un sandbox o espai regulador experimental. El Consell de Drets Humans de les Nacions Unides hauria de ser l’òrgan consultiu per a la intervenció, i l’autoritat interpretativa i d’execució a confiar-se a un nou Tribunal Internacional de Justícia per a Assumptes del Ciberespai, amb sucursals regionals, en lloc d’optar per una millora dels procediments d’arbitratge internacional. L’ONU hauria de treballar de manera multilateral per aconseguir una major convergència ascendent i descendent dels principis de protecció de dades i de les garanties essencials de protecció de dades a tot el món.

Al mateix temps, l’ONU hauria d’utilitzar mecanismes de transferència per salvaguardar els drets de protecció de dades i ajudar els operadors econòmics en la transferència de dades personals a països les lleis dels quals no garanteixin una protecció adequada segons el nou instrument regulador. Aquestes eines també haurien d’utilitzar-se per facilitar encara més la cooperació entre les agències de supervisió i aplicació de la llei de l’ONU i els seus socis internacionals, de manera similar al procediment dels articles 60 i 63 de l’RGPD. L’ONU hauria de promoure l’harmonització d’alts nivells de protecció de dades en l’àmbit internacional per millorar la cooperació en l’aplicació de la llei, contribuir al lliure comerç i desenvolupar una protecció centrada en l’ésser humà en l’àmbit dels FTDP.

Com veus les possibilitats que s’aconsegueixi en un futur pròxim? 

Un enfocament centrat en l’ésser humà, com el que proposo, és típic de les tradicions legals euroatlàntiques, però és aliè, per exemple, a la tradició legal xinesa, que està centrada en la unitat, o a les tradicions legals de règims autoritaris com ara Rússia o algunes nacions de l’Orient Mitjà o l’Àfrica, que es basen en lleis i institucions centrades en el governant. No estic en posició de jutjar si l’enfocament euroatlàntic és millor o superior als altres, però puc afirmar una discrepància fonamental en aquests fonaments culturals. En conseqüència, sóc escèptic sobre la possibilitat que a curt termini es pugui establir una solució reguladora internacional basada en la confiança, que pugui integrar-se en un instrument funcional del dret internacional. En efecte, encara que sigui extremadament trist dir-ho, en l’actualitat podria ser més probable que un enfocament de protecció centrat en l’ésser humà i en el dret fonamental, la privacitat de les dades sorgeixi més d’incentius comercials que d’un consens entre nacions.

En qualsevol cas, crec que la Realpolitik també és necessària per aconseguir un acord internacional sobre els FTDP. S’ha parlat molt de la política de seguretat digital recentment, però la qualitat del debat encara no està al nivell al qual hauria d’estar. La qüestió dels FTDP, crucial per a una societat digital en funcionament, encara no és prou compresa per la societat en el seu conjunt. Això es deu al fet que la nostra comprensió de la seguretat encara està modelada per mesures de protecció pensades per a un món territorial. Mentre que al segle xx es tractava d’organitzar i assegurar relacions d’1 a n nombre de persones, al segle xxi es tracta d’estructurar i assegurar relacions d’n a n persones, ara incloses en xarxes. La falta de comprensió de la seguretat en aquest nou escenari pot portar-nos a buscar la seguretat en mesures que no la poden proporcionar, i que podrien posar en perill la integritat de la nostra societat digital. El que necessitem és una Realpolitik Digital que miri les amenaces reals, eviti els missatges abstractes d’amenaça a la protecció de dades fets sense avaluar de manera adequada el grau regulador. Això requereix la capacitat de la Realpolitik per distingir entre estructures canviants i immutables, i l’habilitat per reconèixer els temps en què el canvi és possible i crec que el moment de començar aquest canvi hauria de ser ara.