Philipp E. Fischer: «Una regulación nacional tradicional ya no puede garantizar por sí sola un nivel adecuado de protección del derecho fundamental a la protección de datos en escenarios de Flujos Transfronterizos de Datos Personales»

Los avances tecnológicos han permitido que se multipliquen exponencialmente las transferencias internacionales de grandes cantidades de datos de forma efectiva y a bajo coste. Esta capacidad tiene importantes implicaciones económicas, pero también legales, en aspectos como el derecho a la privacidad y protección de datos. Philipp Eberhard Fischer, jurista y Senior Manager de Deutsche Telekom con 14 años de experiencia en este ámbito, ha centrado sus últimos años de investigación en los aspectos legales de los Flujos Transfronterizos de Datos Personales (FTDP). Este trabajo, realizado en el marco del Doctorado en la Sociedad de la Información y el Conocimiento, ha dado lugar a su tesis doctoral, dirigida por Miquel Peguera Poch, catedrático de los Estudios de Derecho y Ciencia Política y subdirector de investigación de la UOC. En febrero de 2024, Fischer defendió su tesis en el campus de la UOC y obtuvo la máxima calificación Excellent Cum Laude, con International Mention.

Con el título ‘One law to rule them all? Strengthening global legal certainty for transborder flows of personal data’, la tesis analiza desde perspectivas interjurisdiccionales el actual “mosaico regulatorio” global para los FTDP y las importantes diferencias entre los marcos legales en Europa, EE.UU., la región de Asia-Pacífico (APAC), China y las organizaciones internacionales. Propone una intervención regulatoria que armonice las regulaciones nacionales, supranacionales, e internacionales existentes sobre protección de datos y que reduzca las restricciones al libre flujo de datos personales con el objetivo de proteger los derechos fundamentales, pero también con el propósito de que la economía digital opere de manera eficiente y brinde beneficios en todas las regiones. Actualmente, el investigador está trabajando en la adaptación de la tesis para su publicación como monografía en la editorial Springer.

¿Cuáles son las dificultades para regular los flujos transfronterizos de datos personales?

El estado actual de la digitalización ha permitido pasar de espacios típicamente separados en esferas sociales y áreas económicas a un entorno de Big Data, caracterizado por la disponibilidad, flexibilidad y escalabilidad de datos, e incluso por sistemas de inteligencia artificial que permiten explotar datos personales para categorización y perfilado social. Con todo ello se ha producido un enorme aumento de los FTDP. La innovación tecnológica influye así en el uso de datos personales en sectores privados y públicos, afectando a los interesados cuyos datos personales están en juego.

La ubicación de los datos y las fronteras nacionales han ido perdiendo paulatinamente importancia para el tratamiento de los datos. Además, el contexto territorial de los FTDP a menudo es poco claro, lo que dificulta rastrear si han tenido lugar flujos transfronterizos de datos personales o si los datos se han tratado solo en servidores nacionales. La tecnología actual hace que la ubicación física de los datos sea prácticamente irrelevante, al igual que la nacionalidad de los interesados y el país de origen de los datos. La ubicuidad y la virtualidad de las actividades de procesamiento de datos personales han llevado a un número casi ilimitado de bases de datos gubernamentales y no gubernamentales, y de responsables de FTDP.

¿De qué manera están regulados los FTDP en la actualidad?

A pesar de los desarrollos en los marcos legales de los Estados Unidos y de los países del APAC (dominados por la definición de reglas en China), durante mi investigación he comprobado que la protección de datos sigue siendo un fenómeno moldeado por influencias europeas, especialmente la del Reglamento General de Protección de Datos (GDPR). El marco normativo europeo es el más desarrollado hasta la fecha. Se han logrado también mejoras significativas en la Convención 108 con la adopción de la Convención 108+ del Consejo de Europa. El GDPR y la Convención 108+ contemplan los mismos principios de protección de datos y garantías esenciales.

Por otro lado, el cuerpo de normas en el catálogo internacional de derechos fundamentales con ámbito de aplicación más amplio es el Pacto Internacional de Derechos Civiles y Políticos (ICCPR), un desarrollo de las declaraciones establecidas en la Declaración Universal de Derechos Humanos (UDHR). El Artículo 17 del ICCPR, a través de su interpretación por el Consejo de Derechos Humanos de la Organización de Naciones Unidas (ONU), incluye la protección de los datos personales como un elemento de la protección de la privacidad. Sin embargo, el ICCPR es insuficiente para proteger los derechos de los interesados en relaciones verticales. Esto se debe a que una violación del Pacto solo puede alegarse contra un Estado que sea Parte del Pacto. Por lo tanto, los interesados deben determinar qué Estado es responsable de la violación, algo que actualmente no es posible en escenarios de flujos transfronterizos de datos personales

Dentro del ámbito de la Organización Mundial del Comercio (OMC), el Acuerdo General sobre el Comercio de Servicios (AGCS) solo juega un papel en la evaluación de las restricciones permitidas o no permitidas en el libre flujo de datos. Las Recomendaciones sobre Directrices que rigen la Protección de la Privacidad y los Flujos Transfronterizos de Datos Personales (Directrices de la OCDE de 2013) tienen un alcance más limitado que las reglas de la OMC y no son vinculantes. Por lo tanto, hasta la fecha, solo existe un instrumento que introduce normas de protección de datos legalmente vinculantes y con alcance internacional, que es la Convención 108+.

En este sentido también hablas de la existencia de un “mosaico regulatorio mundial”. ¿A qué te refieres y qué repercusiones tiene?

Los legisladores comenzaron a detectar la necesidad de proteger los datos personales en la década de 1960. Hoy se plantea el desafío de identificar hasta qué punto ciertos conceptos legales de la protección de datos, a veces basados en principios y nociones centenarias, aún son aplicables en la era digital. Desde 1973, las naciones de todo el mundo han promulgado leyes de protección de datos a una tasa promedio de tres leyes nacionales nuevas por año. Sin embargo, el ritmo legislativo difícilmente puede hacer frente a la velocidad a la que evoluciona la tecnología. Los estados adoptan medidas para intentar equilibrar los intereses nacionales (especialmente los de seguridad nacional, orden público y soberanía) con el libre flujo de datos personales y las garantías para los interesados. Muchas naciones ya tienen legislación integral de protección de datos, otras la tienen en algunos sectores, mientras que otras no tienen regulaciones de protección de datos de ningún tipo. Las leyes que analizo en la tesis son explícita o implícitamente vinculantes, ya sea por medios unilaterales, bilaterales o multilaterales, basadas en la geografía u organización. El resultado que observamos es una fragmentación regulatoria a nivel mundial.

Esta situación genera incertidumbre legal y contrasta con el hecho de que el desarrollo global del derecho de protección de datos avanza en un proceso interdependiente en el que las fuerzas en juego (tecnología, economía, sociología y política) interactúan entre sí. Esto complica el comportamiento legal de las empresas multinacionales y puede tener consecuencias negativas para el progreso de la economía digital que opera a nivel mundial. Muchas jurisdicciones se están adaptando constantemente a nuevas circunstancias. Las cambiantes concepciones de la moral social también crean, entre otras cosas, presión incremental para el cambio. El sistema legal y la dimensión sociológica de la formación de la voluntad social están en comunicación mutua, pero con un factor de retraso en comparación con la dimensión tecnológica.

La situación actual ha llevado a que el establecimiento de estándares tecnológicos globales se convierta en un nuevo campo de batalla para el tecnonacionalismo, lo que implica más proteccionismo, amenazando así el objetivo general de armonización que planteo en mi propuesta de intervención legislativa. Esto me lleva al problema central identificado en esta tesis, que es el dilema entre el libre flujo de datos y las restricciones al flujo de datos. El objetivo de un libre flujo de datos personales se manifiesta en todos los instrumentos regulatorios relevantes examinados en mi tesis. Al mismo tiempo, sin embargo, han aumentado las medidas regulatorias para restringir tales flujos. Estas medidas reducen la competencia, aumentan la complejidad regulatoria, perjudican la innovación y frenan el crecimiento económico. Son, en última instancia, una paradoja, porque los llamamientos a una mayor soberanía en un momento en que las tecnologías disruptivas requieren un mayor enfoque internacional están obstaculizando la cooperación para resolver problemas emergentes.

¿Qué solución propones en la tesis para armonizar este mosaico?

Una regulación nacional tradicional ya no puede garantizar por sí sola un nivel adecuado de protección del derecho fundamental a la protección de datos en escenarios de FTDP. La mejor opción es una combinación sofisticada de normas en el plano del derecho internacional. Estas normas deben tener como objetivo armonizar los derechos existentes y hacerlos lo más uniformes posible. Esto no requiere una reorganización fundamental del derecho internacional, sino más bien un contenido definido y un proceso de establecimiento de reglas. En mi trabajo muestro que las leyes nacionales y supranacionales deben complementarse con una perspectiva de derecho internacional público, especialmente cuando se trata de una transferencia necesaria de soberanía desde el nivel nacional o supranacional hasta el nivel internacional, lo cual es necesario, al menos en parte, para la armonización a nivel internacional. Esto hace que mi enfoque sea principalmente de arriba hacia abajo (top-down), aunque con un fuerte reconocimiento de elementos de abajo hacia arriba (bottom-up). En cuanto a la intensidad de la armonización, apuesto por un efecto vinculante de la intervención, a la vez que persigo un nivel óptimo de uniformidad.

Por otro lado, sugiero que el enfoque necesario para regular las fuerzas en juego mencionadas es la gobernanza integrada (Blended Governance) en lugar de un enfoque estrictamente basado en la ley. Esto me ha llevado a examinar cuatro enfoques de respuesta diferentes: enfoques tecnológicos como las Tecnologías de Mejora de la Privacidad (Privacy Enhancing Technologies); el posible papel de las fuerzas del mercado y de otros mecanismos basados en el mercado; una respuesta centrada en el ser humano y el derecho fundamental a la protección de datos; así como enfoques legales tradicionales y no tradicionales para coordinar o dar forma a otros mecanismos de gobernanza. Postulo que la base para esta intervención reguladora debería ser el contenido normativo de la Convención 108+.

¿Qué tipo de procesos se tendrían que llevar a cabo para regulación global? ¿Qué pasos habría que seguir para lograrla?

Creo que la regulación de los FTDP debería desarrollarse lo antes posible a nivel del derecho internacional, convirtiéndose en una especie de derecho mundial bajo la supervisión de organizaciones internacionales sólidas con jurisdicción propia. En mi opinión, es posible alcanzar una solución mediante la introducción de normas legales de derecho internacional a partir de un consenso sobre un nivel adecuado de protección de datos personales. Para alcanzar un consenso global, se han considerado dos instrumentos conocidos en la ciencia política y transferibles al problema legal de esta tesis: la convergencia ascendente y la convergencia descendente.

También utilizo los conceptos de Regulación Inteligente (“Smart Regulation”) y Mejor Regulación (“Better Regulation”), siendo este último un punto central de referencia para la política regulatoria en la OCDE o la Unión Europea (UE). Específicamente he optado por seguir la estructura de Evaluación de Impacto Regulatorio (RIA, por las siglas de Regulatory Impact Analisys) tomada del derecho de la UE. La razón es que una RIA mejora la calidad de la nueva legislación y garantiza una revisión continua y coherente de la ley para lograr los objetivos de la acción legislativa de la manera más efectiva y eficiente posible.

¿Cuáles son las mayores dificultades para lograr esta regulación global?

Aunque la Convención 108+ proporciona la base más plausible para la regulación deseada, es necesario realizar adaptaciones para alcanzar un consenso sobre la intervención normativa de la ONU. En aras del logro de dicho consenso, sugiero que la cláusula «en una sociedad democrática» utilizada en diversas regulaciones nacionales, supranacionales e internacionales se omita, o por lo menos se adapte. Creo también que, para alcanzar una normativa de protección de datos centrada en el ser humano, es decir, basada en los derechos fundamentales, deberían establecerse relaciones cooperativas con países como China, a pesar de que, en defensa de sus intereses nacionales, aún emplean cláusulas demasiado vagas en sus leyes nacionales de protección de datos. También he identificado que la intervención debería ser un tratado intencional vinculante, organizado, con efecto directo, autoejecutable y unificador basado en un enfoque monista.

En ese sentido, en la intervención normativa es indispensable introducir elementos de derecho duro (Hard Law) o de derecho blando (Soft Law) (siguiendo el enfoque de gobernanza integrada) según si el escenario de FTDP tiene lugar entre Estados que son Partes en la intervención (Estados incluidos), entre Estados incluidos y Estados no incluidos (no Partes en la intervención), o solo entre Estados no incluidos. Dentro del ámbito de la intervención, las normas serían armonizadas, maduras y centradas en el ser humano. En este sentido, se aplicarían principalmente componentes de hard law, como el flujo libre general de datos personales, el enfoque de responsabilidad posterior y el principio de prohibición medidas de localización de datos. En cambio, en un escenario de TFPD con relaciones externas, la solución debería consistir más bien componentes de soft law. Esto se aplica en particular a los objetivos específicos de confianza, innovación y cooperación, y dentro de este último a la interoperabilidad.

Como mecanismo de transferencia, se debería utilizar el enfoque condicional basado en garantías (conditional on safeguards), accesible para empresas de todos los tamaños y no solo específicas de un sector, ya que esto permite una mayor flexibilidad. Sin embargo, se necesitan varias excepciones para permitir que países como China, bajo ciertas condiciones, protejan intereses legítimos. El alcance general del mecanismo de transferencia debería permitir restricciones al flujo de datos para ciertos tipos de datos bajo condiciones basadas en la lógica de la seguridad nacional, el orden público y la soberanía, incluida la aplicación de la ley, pero ninguna para datos personales sensibles. Sin embargo, dicho objetivo legítimo de política pública tendría que someterse a la prueba de necesidad conforme al Art. XIV del AGCS. La intervención normativa debería incluir todos los principios y garantías esenciales del marco europeo. De hecho, una ventaja principal de China es que constituye un sistema bien elaborado y coherente, casi de nivel tan alto como el del marco europeo. Los flujos de datos con fines de aplicación de la ley podrían estar cubiertos por un compromiso para mejorar las Órdenes Europeas de Investigación (OEI) y Tratados de Asistencia Jurídica Mutua (MLATs, por sus siglas en inglés Mutual Legal Assistance Treaties) y un lenguaje modelo para nuevos MLATs.

¿Qué instituciones tendrían que liderar esta regulación global?

Aunque una solución a nivel internacional en el marco de la ONU podría llevar mucho tiempo y podría ser vetada por alguno de los miembros del Consejo de Seguridad, sostengo que la intervención debería ser iniciada por la ONU. Esto debería hacerse en un entorno controlado, específicamente en un sandbox o espacio regulatorio experimental. El Consejo de Derechos Humanos de las Naciones Unidas debería ser el órgano consultivo para la intervención, y la autoridad interpretativa y de ejecución confiarse a un nuevo Tribunal Internacional de Justicia para Asuntos del Ciberespacio, con sucursales regionales, en lugar de optar por una mejora de los procedimientos de arbitraje internacional. La ONU debería trabajar de manera multilateral para lograr una mayor convergencia ascendente y descendente de los principios de protección de datos y de las garantías esenciales de protección de datos en todo el mundo.

Al mismo tiempo, la ONU debería utilizar mecanismos de transferencia para salvaguardar los derechos de protección de datos y ayudar a los operadores económicos al transferir datos personales a países cuyas leyes no garanticen un nivel adecuado de protección según el nuevo instrumento regulatorio. Estas herramientas también deberían utilizarse para facilitar aún más la cooperación entre las agencias de supervisión y aplicación de la ley de la ONU y sus socios internacionales, de modo similar al procedimiento de los artículos 60 y 63 del GDPR. La ONU debería promover la armonización de altos niveles de protección de datos a nivel internacional para mejorar la cooperación en la aplicación de la ley, contribuir al libre comercio y desarrollar una protección centrada en el ser humano en el ámbito de los FTDP.

¿Cómo ves las posibilidades de que se consiga en un futuro cercano? 

Un enfoque centrado en el ser humano, como el que propongo, es típico de las tradiciones legales euroatlánticas, pero es ajeno, por ejemplo, a la tradición legal china, que está centrada en la unidad, o a las tradiciones legales de regímenes autoritarios como Rusia o algunas naciones del Medio Oriente o África, que se basan en leyes e instituciones centradas en el gobernante. No estoy en posición de juzgar si el enfoque euroatlántico es mejor o superior a los demás, pero puedo afirmar una discrepancia fundamental en estos fundamentos culturales. En consecuencia, soy escéptico acerca de la posibilidad de que a corto plazo se pueda establecer una solución reguladora internacional basada en la confianza, que pueda integrarse en un instrumento funcional del derecho internacional. En efecto, aunque sea extremadamente triste decirlo, en la actualidad podría ser más probable que un enfoque de protección centrado en el ser humano y en el derecho fundamental la privacidad de los datos surja de incentivos comerciales que de un consenso entre naciones.

En cualquier caso, creo que la Realpolitik también es necesaria para alcanzar un acuerdo internacional sobre los FTDP. Se ha hablado mucho sobre la política de seguridad digital recientemente, pero la calidad del debate aún no está al nivel al que debería estar. La cuestión de los FTDP, crucial para una sociedad digital en funcionamiento, aún no es suficientemente comprendida por la sociedad en su conjunto. Esto se debe a que nuestra comprensión de la seguridad todavía está moldeada por medidas de protección pensadas para un mundo territorial. Mientras que en el siglo XX se trataba de organizar y asegurar relaciones de 1 a n número de personas, en el siglo XXI se trata de estructurar y asegurar relaciones de n a n personas, ahora incluidas en redes. La falta de comprensión de la seguridad en ese nuevo escenario puede llevarnos a buscar la seguridad en medidas que no la pueden proporcionar, y que podrían poner en peligro la integridad de nuestra sociedad digital. Lo que necesitamos es una Realpolitik Digital que mire las amenazas reales, evitando los mensajes abstractos de amenaza a la protección de datos realizados sin evaluar adecuadamente el nivel regulatorio. Esto requiere la capacidad de la Realpolitik para distinguir entre estructuras cambiantes e inmutables, y la habilidad para reconocer los tiempos en que el cambio es posible y creo que el momento de comenzar dicho cambio debería ser ahora.