RGPD datos soberanía definiciones

El RGPD no es un escudo de soberanía

Se invoca el RGPD como prueba de independencia digital. Esto supone confundir un derecho de las personas con una política industrial. Dos preguntas, dos respuestas y un nudo que hay que desatar.

·7 min de lectura

En las reuniones de los comités, el razonamiento surge como un reflejo. «Cumplimos con el RGPD, por lo tanto somos soberanos». La frase tranquiliza, pero es falsa. El RGPD protege a las personas contra los abusos en el tratamiento de sus datos. No dice nada sobre tu dependencia de un proveedor, nada sobre el origen de tu infraestructura, nada sobre la legislación extranjera que pueda prevalecer sobre la suya. Son dos cuestiones distintas. Se confunden porque comparten una palabra, «datos», y porque la palabra «soberanía» ha pasado a servir de envoltorio para todo lo relacionado con el ámbito digital europeo.

Pongamos ambos temas uno al lado del otro, sin cargar uno en detrimento del otro.

Qué hace exactamente el RGPD

El Reglamento (UE) 2016/679, que entró en vigor en mayo de 2018, tiene un objetivo concreto: proteger a las personas físicas en lo que respecta al tratamiento de sus datos personales. No se trata ni de un texto sobre infraestructuras ni de una política industrial. Es un derecho de las personas, acompañado de obligaciones para quienes tratan sus datos.

Por lo que respecta a las personas, establece derechos exigibles: acceso, rectificación, supresión, portabilidad, oposición y limitación. Puedes exigir que te digan qué datos tienen sobre ti, que los corrijan, que los supriman o que te los entreguen en un formato reutilizable. Por parte de las organizaciones, impone obligaciones al responsable del tratamiento —quien decide los fines— y al encargado del tratamiento —quien trata los datos por cuenta del primero—. Todo tratamiento debe basarse en uno de estos seis fundamentos jurídicos: el consentimiento, la ejecución de un contrato, una obligación legal, la salvaguarda de intereses vitales, una misión de interés público o el interés legítimo. Fuera de estos seis supuestos, el tratamiento es ilícito.

Dos principios estructuran el resto. La minimización: solo se recogen los datos necesarios para la finalidad declarada, nada más, por si acaso. La limitación de las finalidades: un dato recogido para un uso no puede utilizarse libremente para otro. A esto se suman la obligación de seguridad, la notificación de las violaciones en un plazo de setenta y dos horas y la evaluación de impacto para los tratamientos de riesgo. Este es el ámbito de aplicación. Es coherente, exigente y está totalmente orientado a la protección de la persona.

Lo que no hace

Nada de lo que se incluye en este ámbito afecta a la soberanía industrial o tecnológica. El RGPD no prohíbe AWS, Azure ni Google Cloud. Regula la forma en que se tratan los datos personales en estas plataformas, exige garantías, pero no dice a quién hay que comprar la infraestructura. Una empresa puede alojar la totalidad de sus sistemas en un hiperescalador estadounidense y seguir cumpliendo plenamente la normativa, siempre que respete las bases legales, el principio de minimización y las obligaciones de seguridad.

El reglamento no crea ninguna oferta local. No financia ningún centro de datos, no propicia la aparición de ningún proveedor europeo ni reduce en absoluto la dependencia del continente respecto a un puñado de actores extranjeros. Esa no es su función, y atribuirle esa intención es malinterpretar el texto.

Tampoco prohíbe las transferencias de datos fuera de la Unión. Las regula. Una transferencia a un tercer país es lícita si se basa en una decisión de adecuación, en cláusulas contractuales tipo o en normas de empresa vinculantes. Regular no es impedir. Los datos europeos circulan, de forma legal, hacia jurisdicciones en las que la legislación local difiere de la nuestra.

Y tampoco resuelve la cuestión de la CLOUD Act. Este texto estadounidense de 2018 autoriza a las autoridades de Estados Unidos a exigir los datos en poder de una empresa sujeta a su jurisdicción, independientemente de dónde estén almacenados. El RGPD opone sus propios requisitos a esta exigencia, pero no anula la vinculación jurídica del operador. El conflicto de leyes sigue intacto. El cumplimiento del reglamento no hace desaparecer la aplicación de una legislación extranjera sobre su proveedor.

¿De dónde viene la confusión y por qué persiste?

La confusión tiene un origen lógico. El RGPD es la normativa digital europea más conocida, la que más atención mediática recibe y la única que los directivos citan de memoria. Cuando se busca un símbolo de la autonomía digital del continente, es este el que se impone, a falta de otro referente tan visible. Europa ha legislado donde otros se conformaban con condiciones generales: se ha confundido esta ventaja normativa con una ventaja de poder.

Este desliz se ha alimentado del vocabulario. Al llamar «soberanía de los datos» al control de su tratamiento, se ha dado a entender que proteger los datos equivalía a sustraerlos de cualquier influencia extranjera. El marketing se encargó del resto. Mostrar el cumplimiento del RGPD se ha convertido en un argumento de tranquilidad, y esa tranquilidad se ha transformado en una promesa implícita de independencia. La confusión persiste porque conviene: permite marcar una casilla de soberanía sin cambiar nada en la infraestructura.

Las dos cuestiones que hay que separar

Hay que mantener dos líneas de pensamiento distintas y aceptar que no se solapan. El cumplimiento del RGPD es una cuestión de protección de las personas: ¿se tratan sus datos de forma lícita, leal, con las bases legales adecuadas y las garantías pertinentes? La dependencia de la infraestructura es una cuestión de soberanía industrial: de quién dependemos para que funcionen nuestros sistemas, a qué legislación está sujeto ese proveedor, si podemos cambiarlo sin tener que reescribirlo todo.

Estos dos ejes son ortogonales, y las cuatro combinaciones existen en la realidad. Se puede estar en conformidad y ser dependiente: una pyme que cumple perfectamente con la normativa, alojada íntegramente en un hiperescalador sujeto a la CLOUD Act. Se puede estar en incumplimiento y ser soberano: una administración que aloja sus datos en una infraestructura certificada como SecNumCloud, pero que recopila datos sin base jurídica y descuida los derechos de las personas. Se puede ser ambas cosas, o ninguna de ellas. El único caso imposible es aquel que el discurso dominante da por sentado: que el cumplimiento normativo conllevaría la soberanía. No es así.

El caso Schrems II lo ha demostrado sin ambigüedades. En 2020, el Tribunal de Justicia de la Unión Europea invalidó el Privacy Shield, el acuerdo que regulaba las transferencias a Estados Unidos, alegando que la legislación estadounidense en materia de vigilancia no garantizaba una protección equivalente. El cumplimiento formal ya no bastaba, porque la legislación extranjera se imponía sobre los datos a pesar de todas las garantías contractuales. El problema que se puso de manifiesto no era un defecto en el tratamiento: era una cuestión de jurisdicción y de dependencia. El RGPD sirvió para poner de manifiesto el problema de la soberanía. Nunca fue el instrumento capaz de resolverlo.

Para el directivo, la conclusión es clara. El cumplimiento del RGPD es necesario y no es negociable. Pero el mero hecho de marcar esa casilla no dice nada sobre su dependencia de la infraestructura, ni sobre la legislación que pueda imponerse a su proveedor. Se trata de dos frentes, dos presupuestos, dos decisiones. Confundirlos es creer que uno está resuelto al ocuparse únicamente del otro.

Fuentes

  • Reglamento (UE) 2016/679 (RGPD), texto oficial
  • CNIL, fichas sobre los fundamentos jurídicos, la minimización y las transferencias fuera de la UE, cnil.fr
  • TJUE, sentencia Schrems II, asunto C-311/18, 16 de julio de 2020
  • CLOUD Act (Estados Unidos, 2018)
  • Comité Europeo de Protección de Datos (CEPD), recomendaciones sobre las transferencias internacionales