Datos personales en contrabando
“¿Deme su rut, por favor?”, solicita la vendedora de una farmacia o la cajera de un supermercado. El tráfico de nuestra información personal en la era del Big Data es un tema que nos debe preocupar como sociedad, pero en Chile hay mucha falta de conocimiento todavía. Estamos en presencia de un cambio del orden de valores, que obliga a cualquier sistema jurídico a proteger la privacidad y que hoy se manifiesta más fuerte con la nueva normativa europea. Esto ha generado una onda expansiva de carácter global, de la cual este es solo un brote germinal, pero en ningún caso el último.
“Se están actualizando las políticas de privacidad de la compañía”. Es muy posible que durante los últimos meses haya recibido este tipo de mails de líneas aéreas, supermercados, empresas de software, redes sociales o toda suerte de detentador de datos personales de diversos lugares del mundo. Esto se debe a que el pasado viernes 25 de mayo (2018) entró en vigencia el Reglamento General de Protección de Datos de la Unión Europea (conocido como GDPR, por sus siglas en inglés).
Muchos se han preguntado por qué esa normativa afecta tanto a los demás países. ¿Por qué Avianca (empresa colombiana) le informa al autor de este artículo (chileno radicado en Chile) que por este cambio modificará sus criterios?
Si bien se trata de leyes que regulan el tratamiento de datos en el marco de la Unión Europea, su existencia implica reconocer un cambio cultural que refleja, entre otras cosas, un empoderamiento del ciudadano frente a los grandes conglomerados y una revalorización de los derechos individuales vinculados con la protección de una vida autónoma y sin perturbaciones. Esto parece estar generando una fuerte onda expansiva de carácter global, de la cual este es solo un brote germinal, pero en ningún caso el último.
Es decir, estamos en presencia de un cambio del orden de valores que sostiene a cualquier sistema jurídico y que hoy ve su eclosión en el contexto europeo. De una manera u otra, en diferentes países se están incorporando y protegiendo bienes y derechos vinculados con la vida privada que hace 10 ó 20 años pocas personas pensaron que podía existir. Este es un proceso que aún puede seguir profundizándose.
Pero lo más relevante de ello es la consolidación creciente a nivel mundial de un nuevo derecho fundamental: la autodeterminación informativa en relación con los datos personales, especialmente si ellos involucran el acceso a aspectos sensibles o de valor económico.
Un signo de los nuevos tiempos
Es evidente que esta normativa, y el consecuente aumento de los niveles de resguardo, ha sido fruto de un profundo debate, de una serie de experiencias parciales, y no ha estado libre de negociaciones y fuertes lobbies.
Pero ello no obsta a reconocer que es un ajuste al “signo de los nuevos tiempos”, que luego será imitado por Latinoamérica y muchas otras regiones del planeta.
La globalización de la economía está dando a los nuevos estándares del reglamento europeo un efecto adicional. Toda empresa europea con actividades en el resto del mundo deberá ajustarse a estos niveles, para no recibir sanciones y multas que virtualmente destruirían a una compañía. Ello ha llevado a muchas empresas no europeas a sumarse a estas pautas, porque es la única forma de participar en ese mercado sin riesgos.
En estos momentos, el estándar de ese continente es el más alto en el mundo. Por ello, toda empresa que anuncie un ajuste en este sentido entrega una poderosa señal a sus clientes respecto de la forma en que resguarda la información que solicita y almacena. Por ello, dado que las reglas de extraterritorialidad del GDPR alcanzan tratamientos de datos que se efectúan fuera del territorio europeo (en empresas como Google, Microsoft y Facebook, por ejemplo), aunque sus matrices y servidores estén fuera de la UE, están cambiando sus reglas de privacidad para trabajar en ese continente (y casi todas ellas lo hacen). Esto beneficia a los demás países, que no quieren verse envueltos en un escándalo judicializado sin fin.
La interconectividad y las necesidades comerciales propias de un dinámico mercado global generan homologaciones de prácticas y estándares, incluso más allá de las tradicionales facultades soberanas de los Estados, para obligar a sus nacionales por medio de leyes. Luego de internet y de la globalización efectiva de capitales y trabajos, el derecho ya no será nunca el mismo.
Hacia un nuevo paradigma
El impacto del GDPR ha sido tan grande que luego de años de debate, al fin la protección de los datos personales ha sido incorporada (12 de junio) a nuestra Constitución, como una extensión del derecho a la privacidad.
¿Por qué es tan relevante el resguardo de esta información históricamente divulgada, como las deudas comerciales o los datos médicos?
Las megabases de datos pueden permitir el acceso a la historia clínica, financiera, laboral (o la que sea) de un sinnúmero de personas, facilitando su divulgación, con el evidente daño –no solo reputacional– que ello puede significar. Muchos no querrían hacerse el test del sida (o comprar los medicamentos) si existiera un registro público de portadores o sistemas no sancionados que permitan el acceso, aún ilegal, a dicha información.
Por otra parte, es muy importante el valor comercial que esa información puede tener a nivel local, nacional e incluso transnacional. Basta pensar en los servicios de Dicom, en el “certificado de antecedentes” o en la innumerable información que laboratorios, compañías de seguros y otros agentes del negocio de la salud logran accediendo a las recetas retenidas y las compras que todos hemos hecho a lo largo de nuestra vida. Con ellas es posible generar un marketing directo, con ofertas específicas y descuentos, hasta negativas de las compañías de seguro para afiliar a una persona.
¿Qué implica el GDPR?
El Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés) da a los consumidores más poder sobre su presencia digital, incluyendo el derecho a la información sobre cómo están siendo usados sus datos, y a borrar contenido que no quieren que siga siendo visible online. Las personas tienen derecho a:
- Información sobre el procesamiento de sus datos personales.
- Tener acceso a los datos personales que manejan sobre ellas.
- Pedir que se corrijan datos personales incorrectos, inexactos o incompletos.
- Solicitar que se borren los datos personales cuando ya no sean necesarios, o si el procesarlos es ilegal.
- Oponerse al procesamiento de sus datos personales con fines de comercialización o por motivos relacionados con su situación particular.
- Solicitar la restricción del procesamiento de sus datos personales en casos específicos.
- Recibir sus datos personales en un formato legible por equipos (máquinas) y enviarlos a otro controlador (“portabilidad de datos”).
- Solicitar que las decisiones concernientes a cada uno, o que le afecten de manera significativa y que se basen en los datos personales y en procesamiento automatizado, sean adoptadas por personas y no solo por computadores. También tiene derecho, en este caso, a expresar su punto de vista y a impugnar la decisión.
Fuente: Parlamento Europeo
Leyes cavernarias
Al mismo tiempo que destacamos los riesgos asociados con la exposición de nuestros datos íntimos, en sistemas de archivos computacionales globales, también es necesario reconocer los beneficios y oportunidades de la interconectividad.
Pensemos en las megaestadísticas para el estudio de enfermedades y su control, las ventajas del marketing directo y personalizado, las plataformas comparativas de precios de servicios y productos o la posibilidad de existencia de certificados con historiales financieros. Respecto de este último punto, destaco su utilización en términos positivos (buen pagador, buen cliente, entre otros) y no negativos, como sucede en la actualidad (donde una persona que no ha trabajado nunca en su vida tiene máximo puntaje, a diferencia de alguien que ha hecho cientos de empresas y negocios, y contratado y pagado decenas de créditos, pero tiene un cheque protestado).
Lo que se requiere, por tanto, es una legislación y una institucionalidad que compatibilicen ambas necesidades, que reduzcan las posibilidades de abusos y problemas y que nos permitan gozar de sus posibilidades. El estado de la normativa nacional en estas materias es casi cavernario.
La legislación que tenemos (ley 19.628, de 1999) básicamente se refiere a la información financiera, por lo que incluso el nombre de “protección de datos personales” podría considerarse un “fraude de etiquetas”. A mayor abundamiento, la pseudorregulación que ofrece es tan precaria y obsoleta, que no cubre los flancos ni protege los derechos que debiera en forma efectiva, sino que tampoco permite el desarrollo de una industria de datos, o la instalación en el país de empresas intensivas en el uso de los mismos.
La propuesta de reforma a la ley que regula esta materia que se estudia en el Congreso Nacional no ha sabido adaptarse a la realidad con la velocidad que la era de la información y la informática lo requiere.
Ello nos ha dejado con una normativa incapaz de reaccionar, proteger o sancionar los abusos que puedan cometerse (Cambridge Analytica, por ejemplo). Ni siquiera existe un órgano garante que vigile, guíe y fiscalice el correcto uso y resguardo de nuestra información personal.
Este punto es especialmente crítico, porque la precaria cultura jurídica aún existente sobre estas materias podría llevarnos a un grave error. Para muchos, estas son un asunto de ingenieros, informáticos, estadísticos y sobre todo de casas comerciales. Al mismo tiempo, muchos siguen sin entender que la defensa de los datos personales es un aspecto de la privacidad y, por lo mismo, una limitación legítima a la libertad de expresión e información, y al principio de publicidad y acceso a la información de carácter público.
Sin entender que la protección de datos y el derecho a la información son dos caras de una misma realidad, se cometerán graves errores de diseño institucional, que generarán costos económicos importantes, inseguridad jurídica y un aumento de la litigación instrumental.
Una agencia única
Estamos conscientes de que los países (incluido Chile) requieren una agencia poderosa, respetada y autónoma, que asegure el amparo de los datos personales.
Pero tal como sucede en las naciones donde hay experiencias exitosas, dicha agencia debe fijar, al mismo tiempo, los criterios de lo que puede ser publicado y de lo que debe ser reservado, pues la frontera de ambas es la misma. En caso de entregarse a dos agencias distintas, no solo se crea innecesariamente más burocracia, sino que se generará una incertidumbre y una permanente disputa, en cada caso concreto.
Dicho con un ejemplo: es evidente que el hemisferio norte y el hemisferio sur son distintos, pero si la línea del Ecuador es fijada por dos agencias (una norte y otra sur) en forma autónoma, es seguro que habrá problemas. Parece más sano y razonable que quien trace la distinción se encargue de compatibilizar y armonizar los intereses de ambos. Que cada decisión que ordene o autorice publicar considere la protección de los datos personales y sensibles, y que cada orden de proteger información suponga también las necesidades de publicidad y el legítimo interés público, propio de cualquier sociedad democrática.
Sin entender el resguardo de datos personales como el necesario complemento de las garantías de información pública (y viceversa), ni siquiera comenzaremos a dar los pasos necesarios para ser un país con una regulación avanzada en estas materias.
Lo que debemos hacer en Chile está señalado por lo que está pasando en el contexto mundial. Por una parte, debe asegurar una óptima defensa de los datos personales que día tras día son tratados en diversos contextos y, por otra, permitir el desarrollo de las actividades económicas indispensables para la vida moderna. Es claro que la mejor forma de lograrlo es con una agencia única, tal como sucede en la mayor parte del mundo (y en Chile la única agencia preparada para hacerlo es el Consejo para la Transparencia).
Asimismo, debemos adoptar las medidas de protección para que Chile llegue a ser reconocido como un “país adecuado”, para efectos de la transferencia internacional de información privada, permitiéndonos participar en una creciente industria global. Gobiernos, empresas, personas, obtienen de ello profundos beneficios que también van asociados a riesgos que, en la medida de lo posible y razonable, queremos limitar.
El debido consentimiento
El uso desmedido y desregulado de los datos personales puede implicar complicaciones de las cuales no siempre somos conscientes. Ellas derivan, por ejemplo, del solo hecho de bajar una aplicación o entregar nuestro RUT o teléfono en un banco o farmacia. Uno de los elementos esenciales que fija el nuevo Reglamento Europeo de Protección de Datos, y que le otorgan legitimidad y licitud a su tratamiento, es el consentimiento del titular.
Uno de los más importantes desafíos a los que se enfrenta una política regulatoria es asegurar que el consentimiento que se otorga sea lo más explícito y claro posible, y que las políticas de privacidad respondan a fines genuinamente tutelares del resguardo de datos de las personas.
Europa actualizó su legislación, aunque no por ello todos los problemas han quedado resueltos. El dinamismo de estas materias requerirá ajustes y mejoras constantes.
Al mismo tiempo, es una invitación un tanto forzosa hecha al resto de los países, incluido Chile, a observar los estudios, consideraciones y debates, así como el proceso de implementación de la misma, para adoptar las buenas prácticas y evitar o corregir las que ofrezcan resultados más magros o discutibles.
El “experimento europeo” nos permitirá realizar reformas incluso más afinadas, siempre que dispongamos de la voluntad política y los recursos financieros para hacerlo posible.