Compartimos con ustedes un artículo publicado el día de hoy en la página web de Enfoque Derecho, publicación virtual de THEMIS-Revista de Derecho.
privacidad
Hay 13 puestos etiquetados privacidad (esta es la página 2 de 2).
¿Es caro guardar un secreto?
La Constitución reconoce el derecho de las personas a que sus datos personales sean tratados con reserva. En desarrollo de este mandato constitucional, tenemos un cuerpo normativo disperso que intenta proteger este derecho mediante el establecimiento de diferentes obligaciones a los agentes que de una u otra forma almacenan información personal. Durante los últimos años, sin embargo, es común sentir que con el avance de las tecnologías de la información nuestra información personal está más expuesta que nunca. A través de un rápido cruce entre Google Latitude, Uber Twitter, Facebook o la información de red que posee cualquier operador móvil, resulta sencillo determinar la ubicación exacta de una persona, lugares que frecuenta y preferencias de consumo. El panorama se hace un poco más complejo si añadimos los registros médicos, tributarios o bancarios. ¿Acaso ya perdimos la privacidad o estamos a punto de? ¿Por qué sentimos esto si estamos aparentemente protegidos por un cuerpo normativo?
Un artículo aparecido la semana pasada en Forbes se hace la misma pregunta y ensaya una respuesta: la consecuencia del cúmulo de normas y obligaciones impuestas regulatoriamente a los agentes que manipulan información privada es la ineficiencia. La regulación es tal que su implementación termina por ser excesivamente costosa para los mismos y, además, comporta costos también para los propios sujetos protegidos por la norma, quienes se vuelven insensibles a las numerosas advertencias que se le presentan. Por sobretodo, es un costo que no redunda en el bienestar social porque finalmente seguimos estando expuestos.
De un lado, tenemos el impacto alegadamente negativo que tienen las normas que protegen la privacidad. Todos los agentes que, de una u otra forma manejan información privada de terceros se ven obligados a cumplir con estas normas. Este cumplimiento acarrea un costo para el agente: honorarios de abogados, preparación y firma de acuerdos sobre privacidad con sus usuarios, presentación de informes periódicos sobre las medidas implementadas. A mayor regulación, mayores costos. Para Lee Gomes de Forbes, estos costos representan una externalidad negativa para el agente porque éste carece de razones de mercado para guardar reserva sobre esta información: de no existir una regulación que le prohibiese utilizar con otros fines la información a la que tiene acceso, lo haría. Esta primera constatación, se señala, es la que nos hace buscar la eficiencia a través de regulación y no del mercado.
Por otro lado, todos quienes alguna vez hemos contratado un servicio en el que tuvimos que autorizar a manipular nuestra información personal (abrir una cuenta de correo electrónico, participar en una promoción comercial o sacar un teléfono móvil) hemos tenido en frente cláusulas sobre confidencialidad de la información, autorización de ciertos usos de la misma, entre otros. ¿Cuándo fue la última vez que leímos alguna de esas cláusulas sobre el manejo de la información privada? Lee Gomes cita el ejemplo de una asociación de repostería que, debido a una brecha de seguridad ocurrida en sus sistemas, tuvo que enviar miles de cartas a sus asociados advirtiéndolos sobre el hecho. Los costos involucrados en ello podrían llegar a poner en riesgo la estabilidad de la asociación misma. Su conclusión es la siguiente: la montaña de papeles y cláusulas que la regulación obliga a firmar a las personas cuyos datos son utilizados consiguen exactamente el efecto inverso al deseado, los vuelve insensibles al tema. Nos hubiésemos preocupado si hace veinte años hubiese una suerte de comunidad de amigos por correspondencia en la que los administradores de la misma, y la mayoría de sus usuarios, puedan conocer tus gustos personales, amigos, actividades sociales y tener acceso a todas nuestras fotos. Hoy, estamos tan acostumbrados que vemos este nivel de exposición como natural. En ese sentido, la excesiva regulación deviene en ineficiente.
Aunque también podría argumentarse que resulta igualmente costoso para las empresas y para los usuarios no establecer claramente las condiciones en las que se manipulará la información cedida en el marco de la prestación del servicio. Las empresas terminan con una oferta menos atractiva por lo incierto del tratamiento y los usuarios, por la misma razón, pueden verse expuestos a molestos correos publicitarios o llamadas de telemárketing, entre otros. Esto podría hacernos pensar, contra lo señalado por el artículo de Forbes, que la no asunción de estos costos representan suficiente incentivo para los agentes como para buscar una autorregulación.
No sé si en todos los países exista un mercado tan maduro como para preocuparse por una autorregulación sobre el manejo de datos. Quizás esté subestimando a los consumidores informados. Además, como señala Bruce Schneier, este esquema de incentivos para la autorregulación solo funcionaría para aquellas empresas que directamente recopilan datos de los usuarios, y no para agentes como centrales de riesgo que precisamente negocian con esta información. Es importante, sin embargo, volvernos sensibles a la importancia de contar con un cuerpo único de normas que permitan alcanzar cierta eficiencia en el manejo de datos personales. Schneier aproxima algunas sugerencias: (i) buscar una regulación más amplia y simple, antes que una restrictiva y compleja; (ii) regular por resultados antes que por métodos; y, (iii) penalidades lo suficientemente altas para incentivar el cumplimiento. La necesidad de un solo cuerpo normativo que actúe como marco general se vuelve, en este panorama, imperante. Pero quién lo sabe, quizás uno de estos días hasta nos damos con la sorpresa de que por fin salió la la Ley de Protección de Datos Personales.
APEC y la privacidad en el Perú
Hoy por la mañana estuvimos en la tercera ronda de reuniones preparatorias que con motivo de la reunión principal de APEC a llevarse a cabo en el mes de noviembre en nuestro país, se vienen desarrollando en Lima. La sesión que nos convocó fue la de privacidad co-organizada por OSIPTEL donde quizás el anuncio mas importante fue el que hiciera la Ministra de Justicia, Rosario Fernandez, en el discurso de apertura de la charla, donde indicó que el Proyecto de Ley de Protección de Datos Personales, que dormía el sueño de los justos hace aproximadamente cuatro años y que incluso se encuentra en un link roto en la web del Ministerio aquí, pronto verá la luz ya que actualmente se encuentra en el despacho del Consejo de Ministros. Es importante resaltar los esfuerzos desplegados por la Oficina de Asesoría Jurídica del Ministerio de Justicia durante la gestión del Presidente Toledo por difundir el debate y promover la discusión alrededor del tema.
Sin embargo la pregunta de fondo es ¿que implica tener una ley de protección de datos personales? o, en todo caso, ¿para qué nos sirve una ley de protección de datos personales?
Intentaremos ser breves y claros en nuestra explicación. Existen dos modelos que han intentado otorgar protección a los datos personales a nivel mundial: el estadounidense y el europeo. El primero se apoya en mecanismos de autorregulación a través del sector privado, es decir, se confía en el buen criterio adoptado por las empresas para el tratamiento de datos personales. El segundo, de corte más proteccionista, postula la necesidad de desarrollar un cuerpo normativo y establecer la creación de una autoridad que persiga y sancione a los infracciones que establece la norma en relación con el tratamiento de datos personales, considerado un derecho fundamental. El Proyecto de Ley peruano se enmarca dentro del segundo modelo, el europeo. Es más, la norma peruana tiene una redacción casi idéntica a una de las normas más restrictivas de la Unión Europea: la Ley Orgánica de Protección de Datos española y su Reglamento, cuyo cumplimiento es supervisado por la Agencia de Protección de Datos Española. Cabe precisar que dicha entidad cuenta con amplias facultades normativas y sancionadoras habiendo impuesto multas bastante elevadas a empresas españolas que infringen la normativa de datos personales (ver aquí el reciente pronunciamiento de dicha agencia en torno a la utilización de datos personales a través de páginas como YouTube).
Probablemente el lector se esté preguntando ¿no existe acaso una norma que regule el tema en el Perú? En el Perú existen normas sectoriales que regulan, por ejemplo, el secreto bancario o el secreto de las telecomunicaciones. Sin embargo, no existe una ley general que otorge una protección integral a los datos personales en línea con la tendencia internacional.
Entonces ¿como nos sirve una ley general de protección de datos personales? No es novedad decir que en el Perú se trafican datos personales a diestra y siniestra. Una breve caminata por el Jr. Wilson y una búsqueda en Google con los términos «datos personales» y «jr. wilson» confirman nuestra afirmación. Sin embargo recurrir al Derecho como solución salvadora al problema puede (como usualmente ocurre) resultar insuficiente si la regulación no es sensata y moderada.
Tal como se encuentra planteado, el Proyecto de Ley peruano establece en buena cuenta que nadie puede utilizar ni explotar ningún dato personal sin el consentimiento previo y expreso de su titular. Asimismo la norma crea un registro de bases de datos y regula determinadas condiciones en que se debe lleve a cabo el tratamiento de datos personales. Si la ley entrara en vigencia, cada vez que suscribamos un contrato con una empresa de telecomunicaciones o un banco, dichas entidades deberán informarnos expresamenet cual será la utilización que darán a nuestros datos personales. Si mas adelante queremos acceder a ellos (derecho de acceso), la empresa se encontrará obligada a facilitarnos dicha información. Asimismo si los datos reportan algún error, la empresa se encuentra obligada a rectificarlo (derecho de rectificación).
Sin duda una regulación excesivamente proteccionista puede terminar limitando el flujo de información en nuestra sociedad y las opciones que tenemos los consumidores en el mercado para adquirir bienes y servicios. Sin embargo, ello no justifica la inexistencia de iniciativas legislativas que intenten regular la problemática planteada. Eso sí, de manera sensata y siempre de la mano de medidas que sancionen drástica y efectivamente a quienes trafican y malutilizan nuestros datos personales.