La irrupción de Internet ha creado la necesidad de una tercera generación de regulaciones sobre protección de datos. No se trata de volver la espalda a las dos primeras generaciones, sino de proporcionar un nivel adicional de protección, manteniendo inalteradas las medidas ya introducidas. La primera generación estaba principalmente basada en la naturaleza de los datos, en esencia, en si eran sensibles y si afectaban al dominio privado de los individuos. La autodeterminación informativa fue entonces equiparada con la prohibición de procesamiento de dichos datos, y se englobó en el artículo 8 de la Convención Europea de Derechos Humanos. La segunda generación se ocupaba no sólo de la protección de datos personales, sino también del modo en la que su procesamiento podría modificar el equilibrio de poder entre los procesadores de información y los sujetos de ese procesamiento. La autodeterminación informativa fue así extendida para ajustar este equilibrio mediante la garantía de que dicho procesamiento permanecería transparente y se restringiría el derecho a procesar datos sobre terceros.
El exponencial manejo de datos personales al que estamos expuestos y el uso de las nuevas tecnologías multiplica la cantidad de datos y de los individuos capaces de acceder a ellos, incrementa el poder de aquellos que las recopilan y procesan, y rompen fronteras. Otro implicado, es el terminal o la red, interviene ahora entre el individuo y el controlador de datos. La autodeterminación informativa reclama una medida de control sobre este implicado.
Palabras Clave: Autodeterminación, regulación, protección de datos.
Introducción
Los proveedores de acceso a internet, móviles y otros operadores telefónicos, son los responsables de informar al público sobre los riesgos asociados al uso de redes, informando sobre tecnologías amenazadoras de la privacidad y de ofrecer acceso a aplicaciones apropiadas para favorecer la privacidad. Estos proveedores de acceso tienen un papel central, ya que actúan de guardabarreras entre los usuarios y la red. Por lo tanto, se les pide informar a los usuarios sobre medios técnicos que puedan usar legítimamente para reducir el riesgo para la seguridad de datos y comunicaciones, emplear procedimientos apropiados y tecnologías disponibles, con preferencia a aquellos que han sido certificados, para proteger la privacidad de las personas afectadas, especialmente mediante la garantía de la integridad y confidencialidad de los datos, además de la seguridad física y lógica de la red e informar a los usuarios de internet sobre los modos de usar sus servicios y pagar por ellos de forma anónima. Los suscriptores deberían tener acceso a una línea directa que les permitiese informar sobre violaciones a la privacidad, y los proveedores deberían suscribirse a un código de conducta que les obligase a bloquear el acceso a sitios web que no alcanzasen a cumplir con los requisitos de protección de datos, sin importar dónde esté localizada la página web.
Además, los fabricantes y desarrolladores de equipamiento y programas, así como aquellos responsables del trazado de estándares técnicos y protocolos usados en la transmisión de información de la red, deberían garantizar que sus productos o estándares cumplen con la ley y adoptar medidas de seguridad apropiadas.[1] Quizás, en la misma línea, debamos ampliar el alcance de la protección con respecto a los datos cubiertos por las legislaciones de privacidad. Las nuevas tecnologías hacen progresivamente posible el procesamiento de datos en relación con individuos, no, como en el caso tradicional, mediante datos relacionados a su identidad legal como el nombre o dirección, sino mediante un punto de anclaje o incluso un objeto (llamado inteligencia ambiente) asociado. Los datos generados por cookies, al igual que los generados por las etiquetas RFID incrustadas en la ropa o en productos, no hacen necesariamente referencia a un individuo, sino que, como permiten contactar e incluso tomar decisiones respecto de una persona, la persona tras el terminal en el caso de las cookies o la persona poseedora de la ropa o los productos en el caso de RFID, debe estar sujeta a determinada protección. Los terminales en el amplio sentido deben convertirse en herramientas tecnológicas totalmente transparentes para aquellos que las tienen y las usen.
[1] Ver la opinión de la Comisión Belga nº 34/2000 sobre comercio electrónico y protección de datos.