La llei europea de dades és caòtica

Les nostres dades estan amenaçades. Després de la filtració d’Equifax i de l’ús indegut, per Cambridge Analytica, del perfil de més de 87 milions d’usuaris de Facebook, sembla que totes les nostres dades personals corren perill. I cada vegada són més les informacions nostres que es capturen, s’emmagatzemen i es processen en dispositius intel·ligents, com ara termòstats, càmeres de vigilància per a nadons, fanals amb connexions de wifi i sensors de trànsit.

El 25 de maig la Unió Europea començarà a aplicar la regulació més exhaustiva mai elaborada sobre el que es pot fer amb les dades personals. El reglament general de protecció de dades (RGPD) donarà als ciutadans més control sobre la seva informació personal i, alhora, obligarà els que processen dades dintre de la UE a assumir la responsabilitat de protegir-les. Gràcies a l’RGPD, els europeus tindran dret a la portabilitat de dades (per exemple, els usuaris les podran transferir d’una xarxa social a una altra) i no estaran subjectes a decisions basades en el tractament automatitzat de dades (es prohibeix, per exemple, l’ús d’un algoritme per rebutjar candidats a un lloc de treball o denegar un préstec). Pel que sembla, els advocats creuen que la nova llei pot substituir un internet controlat per empreses per una democràcia digital.

Només hi ha un problema: ningú acaba d’entendre aquest reglament general de protecció de dades.

La llei és d’una complexitat sorprenent. Després de tres anys d’intenses pressions polítiques i conflictives negociacions, el Parlament Europeu va publicar un esborrany, al qual es van presentar unes 4.000 propostes d’esmena, cosa que reflecteix la divergència dels interessos en joc. Les empreses, els governs i les institucions acadèmiques processen les dades personals, però les apliquen amb finalitats diferents.

Hi ha un altre motiu que explica la complexitat i l’ambigüitat d’aquesta normativa: les qüestions que s’hi tracten, sovint plantejades com a temes jurídics i tècnics, també impliquen valors. Els 28 estats membres de la UE tenen experiències històriques i actituds diferents sobre la recopilació de dades. Als alemanys, que recorden l’ús eficaç i letal que els nazis van fer de la informació, no els inspira gaire confiança que el govern o les empreses recopilin dades personals. En canvi, els ciutadans dels països nòrdics ho associen al funcionament d’uns potents sistemes de protecció social.

Per tant, el reglament és intencionadament ambigu com a resultat d’una sèrie de concessions. Es compromet a relaxar les restriccions sobre els fluxos de dades i, alhora, permet als ciutadans controlar les seves dades personals; pretén promoure el creixement econòmic europeu i protegir alhora el dret a la privacitat. Se centra en uns principis generals i passa per alt les possibles diferències entre les tecnologies actuals i les futures.

Però aquests principis generals no sempre coincideixen amb les pràctiques actuals en aquest camp. El reglament exigeix als que processen dades personals que assumeixin la responsabilitat de limitar-ne la recopilació i processament al que és estrictament indispensable per a una finalitat específica, i els prohibeix altres usos. D’entrada, sembla una bona idea, però, per exemple, l’aprenentatge automàtic -una de les àrees de recerca més actives en l’àmbit de la intel·ligència artificial, aplicada a la publicitat selectiva, els cotxes autònoms i moltes més coses- necessita dades per fer uns sistemes informàtics capaços de prendre decisions que no es poden especificar prèviament, i que tampoc es poden derivar de les dades originals ni explicar després del fet.

El 2017, un any després que s’aprovés el reglament, vaig entrevistar a Suècia científics, informàtics, juristes, advocats, especialistes en ètica i activistes. Em vaig assabentar que molts dels científics i informàtics que s’hauran d’atenir a la llei la consideren incomprensible. Dubten que es pugui arribar a complir mai del tot.

Un expert de la plataforma nacional sueca de bioinformàtica comenta: “Sovint ens preguntem «¿I què en diu la llei, d’això?», i no ho sap ningú”. O com ha dit un científic responsable de les instal·lacions informàtiques d’una important universitat: “L’RGPD diu, si fa no fa, que «hi ha d’haver un nivell adequat de seguretat» i coses per l’estil. D’acord, però ¿què vol dir, això?”

Molts dels principis generals de la llei, tot i evitar fer referència a tecnologies concretes, es basen en hipòtesis ja obsoletes en matèria de tecnologia. Un professor de dret em va explicar el concepte de portabilitat de dades que presideix l’RGPD: “Queda molt clar, crec, que s’imaginaven una empresa que té les dades emmagatzemades físicament en algun lloc, del qual el ciutadà té dret a treure-les”. Però en l’era del big data i dels serveis al núvol, poques vegades trobem les dades en un únic lloc.

El que realment vol dir aquest reglament ho decidiran potser els tribunals europeus en el que segurament serà un procés dilatat i confús.

Tot i així, l’RGPD no és una causa perduda. Necessitem normes sobre les dades. Però els marcs legals, sobretot si són llargs, complexos i ambigus, no poden ser l’únic ni tan sols el principal recurs que ha de guiar la gestió quotidiana de la protecció de dades. Si l’objectiu final és canviar l’ús que es fa de les nostres dades personals, cal investigar més a fons qui i com les recopila, i com pren les decisions sobre la seva protecció. Els responsables polítics s’han de basar en aquests estudis per elaborar una normativa pràctica i fonamentada en l’experiència.

Al cap i a la fi, unes directrius pragmàtiques i comprensibles per als professionals del sector contribuiran molt més a protegir les nostres dades personals que no una llei que promet canviar internet però no sap explicar de quina manera.