Conexiones beethik: entrevista a Josep Maria Bosch

Josep M BoschAsesor jurídico de La Unió (Asociación de Entidades Sanitarias y Sociales) y experto en la protección de datos. Socio en Bosch Soler Advocats.

Redactor del Código Tipo de Protección de Datos de La Unió.


1. ¿Qué te sugiere el concepto de ética de la responsabilidad radical, especialmente en el contexto de excepcionalidad en el que nos encontramos?

Seguramente no es la mejor manera de empezar esta entrevista, pero no soy especialmente amante de adjetivar los conceptos claves que nos han de conducir como individuos o comunidades; no creo que haya una ética o una responsabilidad radicales y otras moderadas.

Por lo tanto, si se me permite que me libere del adjetivo, ética y responsabilidad en la misma frase me sugieren compromiso. Las organizaciones deben tener una razón de ser, una misión, y los valores a través de los que la ejecutan (el «cómo» hacen las cosas) deben contemplar implícita o explícitamente una orientación al compromiso con sus equipos, con el entorno y con la comunidad.

Podemos conectarlo con el momento de excepcionalidad: los profesionales de los centros sanitarios han dado un ejemplo de lucha y sacrificio durante los momentos más duros de la crisis sanitaria, y lo han hecho a pesar de complejidades y dificultades de abastecimiento conocidas (falta de material de protección, condiciones laborales duras acumuladas en años…); pero han estado allí, en primera línea, porque son profesionales comprometidos, que trabajan en organizaciones comprometidas. Esta ha sido una de las lecciones de la ética de la responsabilidad que hemos vivido las últimas semanas.


2. Nos encontramos en un momento en el que el tratamiento de los datos, especialmente los sanitarios vinculados a la pandemia que estamos viviendo, adquiere una relevancia clave. ¿Cómo podemos encontrar un equilibrio, desde una perspectiva ética, entre el derecho a la intimidad y la protección de los datos personales y la gestión de la seguridad pública?

Hace años, un experto en protección de datos iniciaba una conferencia diciendo que éste era un derecho «pijo», del que solo nos ocupamos cuando tenemos las necesidades básicas resueltas. Hoy en día, creo que la óptica de la población ha mejorado, y empezamos a situar la privacidad de nuestros datos en un lugar preeminente de la escala de valores. Durante la pandemia, además, la «digitalización» de nuestra cotidianidad nos ha hecho reflexionar aún más sobre el valor de nuestros datos.

Pero la situación actual nos ha demostrado que el peor enemigo para los derechos fundamentales es el miedo. Nos hace bajar los umbrales de exigencia y tolerar limitaciones de derechos de manera acrítica. Si el miedo se vincula a lo que más apreciamos (la vida, la salud) los ciudadanos nos debilitamos ante las organizaciones (y aquí, es irrelevante que hablemos de sector público o privado).

Para equilibrar los intereses en juego, hay que saber cuáles son: una parte la conocemos (la salud y la seguridad públicas), pero ¿y la otra? La autodeterminación informativa. Yo decido sobre mis datos y entre todos tenemos que determinar qué casos son las excepciones. Puede sonar retórico, pero pondré un ejemplo sin salir del ámbito de la salud: hace 30 años parecía impensable -me atrevería a decir intolerable- que un paciente rechazara un tratamiento que podía curarlo, pero hemos avanzado bastante en términos de bioética como para normalizar una decisión de este tipo.

La manera como explicamos lo que ha pasado es determinante: algunos todavía dicen que, durante la pandemia, la legislación de protección de datos ha quedado en suspenso, lo que no es cierto; otros preferimos explicar que se ha seguido aplicando de acuerdo con sus propias previsiones para situaciones de alarma sanitaria. Ni es lo mismo, ni nos conviene confundirlo. Puede ser un primer paso.


3. Recientemente Genís Roca nos decía que «necesitamos recuperar la sensación de control sobre nuestros datos» ¿Qué condiciones deben darse para poder recuperar la confianza de la sociedad en la gestión de los datos más sensibles?

Si me permitís, primero la negativa y luego la positiva. Cuando abrimos el navegador y vemos permanentemente anuncios de productos sobre los que hemos buscado información, la sensación de fragilidad es tan abrumadora que podemos tender a sentirnos derrotados en una lucha desigual. Este es el camino de la resignación, individual y colectiva.

Hay que saber, sin embargo, que hay mecanismos sencillos para ejercitar nuestros derechos. Los tenemos al alcance, no cuestan dinero, están a un clic y, ejercitados adecuadamente, nos pueden devolver la confianza individual en el control de nuestra información. A la vez, podemos generar un efecto de bola de nieve en la comunidad. Solo es necesario normalizar el hábito de ejercer nuestros derechos.


4.. Se dan casos de mala gestión de los datos, por falta de conocimiento y conciencia o, en algunos casos, de manera intencionada. ¿Quién puede sacar «provecho» de una mala gestión o un mal uso de nuestros datos? ¿Cómo lo podemos evitar?

En el sector sanitario y social, que es lo que yo conozco más, la mayoría de los casos de lo que denominçais mala gestión de datos no solo tienen que ver con falta de conciencia de esta mala gestión, sino que a menudo responden a la voluntad de prestar un mejor servicio a cambio de reducir las cautelas. No conozco ninguna infracción en estos sectores que haya reportado beneficios al infractor. Esto no lo hace menos grave pero, ciertamente, le quita el elemento de voluntariedad.

Quien quiere sacar provecho de la gestión de datos de forma ilegal es todo aquel que usa técnicas delincuenciales o que están en la frontera del delito: malas prácticas comerciales, phishing, malware


5. Desde La Unió, a través del Código Tipo, acompañáis desde hace más de 18 años a las entidades del sector sanitario y social en la aplicación de la normativa de protección de datos, colaborando de forma activa para alcanzar unos grados de cumplimiento relevante. ¿Por qué esta apuesta? ¿En qué consiste?

Esencialmente por dos razones: la primera es que la ley debe cumplirse, eso es obvio, pero en un escenario regulador nuevo -hablamos de la Ley de Protección de Datos de 1999-, era necesario que un sector de los más importantes en cantidad y calidad de gestión de datos personales de alta sensibilidad (salud y social) tomara conciencia de lo que decíamos antes: la autodeterminación informativa. En esto, está mal decirlo, hemos sido muy efectivos, mucho más que cualquier sanción. Y tenemos una parte de responsabilidad en que muchos centros en Cataluña cuenten con profesionales muy militantes en la protección de datos.

Y la segunda tiene mucho que ver con la complejidad que supone gestionar datos en sistemas de salud y sociales, y no solo por la materia, sino por el hecho catalán, es decir, la existencia de redes públicas con varios titulares. La normativa estatal no contempla esta singularidad. En todo caso, había que gestionar conocimiento sectorial y ponerlo al servicio del cumplimiento de la norma. Aquí, también, hemos sido unos buenos acompañantes de las entidades sanitarias y sociales de Cataluña.


6. Recientemente habéis dado un paso más, haciendo hincapié en la «Gobernanza ética de los datos» en el Código de conducta. ¿Qué significa llevar a cabo una gobernabilidad ética de los datos? ¿Qué implica para una entidad del sector sanitario y social?

Es un paso adelante y necesario. Las entidades de los sectores sanitario y social no solo han de gestionar los datos de manera legal, sino que tienen que hacerlo con una visión ética: tratamos datos de personas en situación de debilidad -por enfermedad o dependencia- y tenemos que hacer un paso adelante para preservar sus derechos, especialmente porque cuando entramos en contacto con ellas, a menudo su preocupación es otra. La vulnerabilidad del paciente del centro sanitario o del usuario del centro social nos obliga a ser más cuidadosos con sus datos, es un imperativo ético.


7. Por último, en tres palabras, ¿qué significa para ti incorporar la ética en la toma de decisiones?

Aceptar que lo que hay que hacer no siempre tiene que ser lo que quisieras.