“Camarón que se duerme…”
Desde los años setenta, Europa ha sido el referente en materia de protección de datos personales. Desde la primera ley especial en Suecia; pasando por el Convenio de Protección de Datos de los años ochenta; por supuesto, la Directiva de 1995; y, desde hace unos pocos años, el Reglamento General de Protección de Datos Personales.
Para quienes nos especializamos en este tema sabemos la relevancia de esta norma, incluso para países latinoamericanos. No en vano, dicho Reglamento es, actualmente, el principal referente legal sobre protección de datos personales en el plano internacional.
Gracias a esa normativa, la Unión Europea está aportando una mirada más fresca respecto de un sistema jurídico que viene replicándose en el mundo desde la década del ochenta, sin mayores cambios significativos. De hecho, el reglamento de 2016 deroga la Directiva europea de 1995.
Si de enseñanzas se trata, me parece importante destacar el compromiso de la Unión Europea con esta materia. En efecto, pese a que tardaron varios años en la negociación, lograron acordar un reglamento de aplicación directa en cada uno de los Estados miembro.
Lo señalo porque, en el otro extremo del mundo, Chile demuestra su negligencia, a casi 20 años sin lograr voluntad política entre los gobiernos de turno y los parlamentarios, para dictar una nueva ley que corrija los problemas de la Ley 19.628. A la fecha seguimos abogando por una modificación sustancial que aporte mayor equilibrio para el titular de los datos, con garantías reales que nuestro legislador omitió gravemente.
En esas condiciones, me inquieta que los últimos proyectos de ley no tengan real urgencia.
Nos hemos demorado tanto que temo que el esfuerzo por corregir los defectos más graves de la ley 19.628 no esté del todo bien orientado y queden nuevos temas relevantes sin ser abordados. Por ejemplo, big data, datos de menores de edad, biometría, Internet de las cosas, cloud computing, derecho al olvido, privacidad por diseño, entre otros. Ahora bien, el proyecto en trámite algo avanza en esa línea, gracias a las últimas indicaciones (de hace más de 1 año).
Es decir, nos ha costado mucho avanzar hacia un cambio significativo de la ley 19.628 –aún sin resultados-, y ahora, que supuestamente se avanzaría con mayor decisión, lo hacemos tan lento que tal vez no queden consideradas algunas de las problemáticas más relevantes de hoy.
Solo por dar un ejemplo, uno de nuestros principales debates durante años ha sido la pertinencia o no de crear un órgano de control especializado e independiente de protección de datos, como una suerte de Superintendencia. No obstante, en el derecho comparado esto no es un tema, ya que hay consenso en que se trata de una garantía esencial e indiscutida del derecho a la protección de datos.
"En sociedades como la nuestra, en donde a ratos hay una suerte de obsesión por legislar todo, es muy legítima la opinión crítica sobre regular la tecnología".
Por eso ya es tiempo de cerrar rápidamente ese tipo de debates, tomar decisiones correctas –creando un órgano de control independiente-, y despertar, para dedicarnos a otros temas que nos demandan hoy, sobre todo, la prevención frente al tratamiento de datos personales en Internet.
Una estrategia distinta
Como los cimientos de la protección de datos personales se construyeron con solidez desde hace décadas, el nuevo reglamento europeo no se armó desde cero. Por ejemplo, consolida los principios que a esta altura podríamos calificar de clásicos (como el consentimiento informado, el respeto de la finalidad, la calidad de los datos y la seguridad), pero además destaca otros criterios y estándares más recientes, como la proporcionalidad, la portabilidad y la responsabilidad proactiva. Gracias a esa mezcla ofrece normas más apropiadas para proteger los datos en Internet, basadas en enfoques de riesgo y con una clara mirada hacia la prevención.
Esto último no es baladí. En sociedades como la nuestra, en donde a ratos hay una suerte de obsesión por legislar todo, es muy legítima la opinión crítica sobre regular la tecnología.
Evidentemente el cambio tecnológico es tan vertiginoso que el Derecho no tiene posibilidad alguna de alcanzarlo. Por el contrario, es muy probable que siempre llegue tarde y veamos a diario normas ineficaces.
No quiero decir con esto que ya no necesitemos reemplazar la ley 19.628 sobre Protección de la Vida Privada. Lo que sostengo es que la regulación que nos demos debe cambiar el énfasis. Nuestros derechos no se protegerán más únicamente por contar con leyes modernas; también se requiere intervenir en la tecnología misma con la que se tratan los datos y en la forma práctica en que se concibe el uso de éstos.
Por ejemplo, en el caso de un modelo de protección únicamente legal, si un tercero me pide autorización para recolectar mis datos y luego utilizarlos, mi consentimiento sería suficiente para dar una apariencia de legitimidad al uso que se les dé. Sin embargo, no es suficiente garantía de que la recolección de datos se hizo de buena fe, de que hubo un consentimiento realmente informado y de que no se realice un tratamiento abusivo de la información.
No olvidemos que muchas veces para la víctima de una discriminación derivada de las conclusiones que otros sacan a partir de sus datos, es prácticamente imposible vincular ese perjuicio con un tratamiento de datos determinado. ¿Por qué no consigue ese crédito que tanto necesita, pese a no tener deudas vigentes? Tal vez porque existe un listado ilegal de ex deudores que se toma en cuenta al momento de evaluar su nivel de riesgo. Sin embargo, ¿sería capaz de relacionarlo como la causa de sus males? Lo dudo.
En cambio, si junto con el consentimiento inicial se garantizara, por ejemplo, que la base de datos donde se encuentra mi información esté configurada técnicamente para enviarme reportes periódicos sobre quiénes acceden a mis datos y a quiénes se comunican, la protección sería más tangible.
Sobre este punto, las normas de protección de datos personales –entre otras, el reglamento europeo-, actualmente proponen un enfoque y filosofía muy interesante. Se trata de la "privacidad por diseño y por defecto".
Eso sí, de novedoso, nada. Desde la década de los noventa se ha ido desarrollando este enfoque de protección. Sin embargo, por estos rincones recién ahora se escucha con más frecuencia.
En términos simples, la privacidad por diseño implica poner el énfasis en acciones concretas de prevención frente al mal uso que se haga con nuestros datos. Supone que la preocupación por respetar los derechos exista al momento en que se diseña la tecnología o el modelo de negocios que utilizarán los datos y no una vez que se recibe un reclamo.
Como resultado de ello, la tecnología integraría en su diseño soluciones en las que, por defecto, cuiden la información personal. Por ejemplo, teléfonos en los que los listados de contactos se almacenen cifrados por defecto, desde el minuto en que se guardan en el dispositivo, sin necesidad de que el usuario deba proceder a encriptarlos caso a caso.
Tratándose de un modelo de negocios que recoja esta teoría, antes de operar debería determinar la información personal que efectivamente es pertinente para la finalidad del registro, de manera de no pedir más datos de los necesarios. Además, tiene que definir el tiempo de conservación de los datos y la forma en que procederá a su eliminación. En fin, puntos que rara vez se piensan al iniciar un negocio.
También es importante la privacidad por diseño cuando el servicio que presta un organismo recopila datos que facilitan la construcción de perfiles, por ejemplo, datos de consumo, de hábitos, de gustos, de localización, etc. En ese caso, según la privacidad por diseño deben existir medidas de protección durante todo el período en que la empresa utiliza los datos de sus clientes. Por ejemplo, cuando envía las cuentas para cobro de los servicios, cuando se consulta internamente la situación comercial de un cliente u otras.
De hecho, dado su rol garantista, la privacidad por diseño debería recogerse en todos los proyectos de tratamiento de datos personales que lleve a cabo el Estado, para cumplir sus funciones públicas. Por ejemplo, si se quiere implementar un sistema de reconocimiento facial para detectar personas con órdenes de detención pendientes o para búsqueda de personas desaparecidas, la aplicación no debería mostrar los rostros de todos quienes transiten por lugares públicos, deberían tener un filtro y, solo si cuadrarán los patrones configurados de búsqueda, se debería visualizar solo a ese individuo. Más caro, más complejo, sí, pero es la forma correcta.
"La Privacidad por Diseño supone que la preocupación por respetar los derechos exista al momento en que se diseña la tecnología o el modelo de negocios que utilizarán los datos y no una vez que se recibe un reclamo".
Sin duda que esta teoría eleva el estándar de protección y, con ello, demanda recursos adicionales. Por esa razón, está pensada para aquellas empresas o instituciones que efectúan tratamiento de datos personales de forma masiva y con periodicidad. Pensemos, por ejemplo, en empresas desarrolladoras de software; empresas que ofrecen servicios cloud computing; compañías que prestan servicios a un gran número de clientes; o en el caso de los órganos públicos.
Los 7 principios fundamentales de la privacidad por diseño
Por último, como esta columna pretende únicamente instalar el tema de la privacidad por diseño, quisiera cerrar con los siete principios que sustentan esta teoría, a modo de orientación para las acciones concretas que se sigan:
1. Actuar proactivamente para prevenir
Para la privacidad por diseño resulta esencial que se materialicen acciones de protección de los datos personales, de forma previa al tratamiento abusivo o a los daños que se causen. Hoy, en cambio, lo que se ve es reacción solamente.
2. Configurar la privacidad de forma predeterminada
Implica que el usuario de la tecnología no debe preocuparse de seleccionar la opción que mejor resguarda sus derechos, sino que ella vendría ya configurada. Así, entonces, si el usuario quisiera podría optar por deshabilitar medidas de protección que están por defecto y no al revés.
3. Privacidad integrada en el diseño
Significa que tanto los modelos de negocio como los sistemas de información incluyen a la protección de datos como elemento esencial y no como un anexo o una funcionalidad para clientes Premium.
4. Funcionalidad
Considerar la privacidad por diseño no pretende que con ello se sacrifiquen los objetivos que motivaron el tratamiento. Por ejemplo, si se trata de un sistema de seguridad, la protección de datos no debe impedir que sirva para tales efectos.
5. Proteger todo el ciclo de vida del dato
Las medidas de protección de los datos deben estar operativas desde antes que éstos ingresen al registro y se conservan hasta que esa información se elimina definitivamente.
6. Visibilidad y transparencia
Las prácticas de negocio y los sistemas de información bajo el modelo de privacidad por diseño deben permitir la rendición de cuentas y la verificación de las medidas de protección comprometidas.
7. Respeto del usuario titular de datos
El diseño debe pensar en las necesidades de protección de datos del usuario y no olvida que éste tiene derecho a conservar un cierto control sobre sus propios datos (autodeterminación informativa).
En suma, debemos cambiar nuestra ley 19.628 para proteger los derechos de cada uno de nosotros, frente al mal uso que se haga con nuestros datos personales. Sin embargo, no basta con cambiar ley por ley. La estrategia más inteligente consiste en tomar una actitud preventiva, interviniendo en la tecnología misma, más que aspirar únicamente a cumplir exigencias legales.
En nuestro estudio jurídico lo podemos asesorar para que sus proyectos tecnológicos de tratamiento de datos personales, respeten la privacidad desde el diseño y por defecto.
Más información aquí.