Avanza la Ley de Protección de Datos Personales

Existe un género de leyes en Perú que nunca llegan a aprobarse. Entre ellas, junto a la Ley Orgánica de Bases de la Administración Pública o la Ley General del Trabajo, hasta hace unos meses descansaba la Ley de Protección de Datos Personales. El año pasado, sin embargo, saludamos con entusiasmo que por fin haya una voluntad firme desde el Ejecutivo por lograr su aprobación y se lleve la discusión al Congreso. Actualmente, el Proyecto se ha nutrido de algunos comentarios y la Comisión de Justicia y Derechos Humanos del Congreso ha emitido un dictamen favorable y publicado el texto sustitutorio [pdf], que está pendiente de discusión en el Pleno del Congreso.

Qué es y qué no es

No voy a explayarme sobre el contenido y finalidad de este Proyecto de Ley. Basta decir que, en esencia, pretende establecer la obligación legal para todo aquel agente público o privado que trate información personal (números de teléfono, correos electrónicos, entre otros) de informar y transparentar sus prácticas con el mercado. Para mayores señas, sugiero leer los varios artículos de Oscar Montezuma al respecto.

Creo que su promulgación ayudará a ordenar nuestro sistema legislativo sobre el tema y nos pondrá al nivel de nuestros socios comerciales. Actualmente, la preocupación por estos temas es absolutamente formal y no hay mayor conciencia sobre su importancia. De aprobarse, agentes públicos y privados serán más cautelosos con lo que hacen y no hacen con nuestros datos privados y la forma en la que redactan sus contratos. Intenten googlear parte de los Términos de Uso de El Comercio y se darán cuenta de que son las mismas que hay en otros cientos de páginas web. Además, dará un marco legal a una serie de iniciativas de modernización del Estado, interoperabilidad e interacción entre públicos y privados para lograr un mejor servicio al ciudadano.

Pero tampoco es que estemos descubriendo la pólvora. Como sucedió en el caso de la tristemente celebrada Ley Antispam, la promulgación de esta Ley no cambiará nada si no existe la voluntad política y la capacidad institucional de hacerla cumplir. ¿O acaso desde que tenemos una Ley Antispam dejamos de recibir SPAM? De hecho, la única sanción por SPAM impuesta en Perú demoró dos años en tramitarse ante Indecopi solo fue de 5 mil dólares. Con ese precedente, y las herramientas tecnológicas necesarias, hay un gran espacio para el incumplimiento eficiente de la norma.

De la misma forma, esta Ley es y no es lo que dice ser. Para empezar, actualmente ya es posible iniciar un poceso de hábeas data ante cualquier amenaza o violación del derecho a la privacidad de datos personales. Es decir, no viene a defendernos de nada de lo que no podamos defendernos actualmente. El propio Proyecto de Ley lo reconoce y señala que el nuevo procedimiento administrativo ante la Autoridad Nacional de Protección de Datos Personales no constituirá una vía previa. Probablemente, esta Autoridad no será más que una oficina lúgubre dentro del Ministerio de Justicia, sin una partida presupuestal propia ni mayores fondos que las multas que imponga. ¿En esas condiciones hará cumplir la norma?

La polémica con Google

Esta semana, han aparecido en varios medios las declaraciones de Pedro Less, representante de Google en Latinoamérica, manifestando su disconformidad con el Proyecto de Ley. Concretamente, lo que a Less le parece cuestionable es que se requiera del consentimiento previo y expreso por parte de cada persona respecto de las condiciones en que se tratarán sus datos. Cabe señalar que este artículo no ha sido introducido de contrabando, sino que se encuentra desde sus primeras versiones.

Artículo 13.— Alcances
(…)
13.5. Los datos personales sólo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.

Esto significa que todo sitio web que intente tratar mis datos personales (que pueden ir desde correos electrónicos hasta información sobre IPs y preferencias) deberá de contar con mi consentimiento expreso. Conforme al Código Civil, donde la ley dice expreso no puede operar un consentimiento tácito. A Google, este asunto le preocupa porque significa que necesaitará de que los usuarios hagan clic en “Aceptar” antes de que ofrezcan sus servicios de búsqueda y eso, obviamente, le quitaría toda la gracia a su servicio.

Pero las cosas no son tan malas como las pintan. Para empezar, la norma solo será aplicable a quienes realicen el tratamiento de datos personales en el territorio nacional. Es decir, ni Facebook, ni Twitter, ni Foursquare, ni ninguna empresa domiciliada legalmente y cuyos servidores están en el extranjero será obligada a cumplirla (a diferencia de la norma europea, que sí amplía su aplicación a otros territorios). En el caso de que algún sitio en Internet trate los datos en Perú, le será de aplicación el artículo 18 del propio Proyecto, que establece una excepción interesante.

Artículo 18.— Derecho de Información
(…)
Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesíbles e identificables.

Es decir, el derecho de información del usuario puede verse satisfecho con la publicación y puesta a disposición de Políticas de Privacidad accesibles e identificables en el sitio. Al existir una disposición particular para Internet, creo que se cumple el requisito de contar con una “ley autoritativa al respecto” para exceptuarnos de recabar un consentimiento expreso señalado en el Artículo 13.

En el caso particular de Google, existen dos escenarios. Los usuarios que acceden estando logueados con su cuenta Google y aquellos que acceden libremente. En el caso de los usuarios registrados, esta autorización ya se dio en forma expresa e inequívoca al aceptar las Políticas de Privacidad durante el procedimiento de registro (contrato click). Por otro lado, los usuarios que entran libremente a usar sus servicios tienen a su disposición como uno de los pocos links de la página las Políticas de Privacidad (contrato browse). Esto, en mi interpretación, también significaría cumplir con la norma. Además, según el artículo 14.8 del Proyecto, Google podría optar por anonimizar los datos recopilados de los usuarios no registrados (enmascarar el IP o disociarlo de la fecha, búsqueda, navegador y OS) y, de esa forma, no necesitar de autorización expresa del titular de los datos personales.

Tanto la ley chilena como la argentina exigen un consentimiento expreso, por lo que no veo cuál es la gran preocupación dado que Google ha establecido su operación en ambos países. El problema de permitir que basta con una autorización tácita para el tratamiento de datos personales es la posibilidad de que se cometan abusos. Si actualmente nadie lee las Políticas de Privacidad, peor sería la situación si las empresas ni siquiera están obligadas a publicarlas o informar que se hará el tratamiendo de datos. De la misma forma en que no puede haber una autorización tácita para usar mi propia imagen o voz, no puede existir una autorización tácita general para tratar datos personales. A este respecto, el nivel de protección impuesto por la ley me parece el adecuado con la flexibilidad señalada para sitios web.

Foto: Luca Cerabona (CC BY-NC-ND)

Regulación sobre datos personales y publicidad basada en identidad

Hace poco hablaba sobre el manejo de datos personales por parte de los proveedores de servicios en un mercado online cada vez más basado en la identidad y no en la privacidad de sus usuarios. Así, conforme crece la demanda de contenidos en Internet y sus aplicaciones se hacen más sofisticadas, surgen modelos de negocio cuyo ingreso se sustenta en ofrecer publicidad dirigida a grupos de consumidores específicos seleccionados utilizando la información que poseen de ellos como edad, gustos, ciudad.

En un artículo reciente, Online Advertising, Identity and Privacy, Randal Picker ensaya la teoría de que cuando la regulación establece que ciertos agentes pueden usar la información libremente y otros están sujetos a una serie de obligaciones legales para hacerlo, modificamos sustancialmente el equilibrio competitivo de un mercado. Sin embargo, precisa, eso no significa que debamos construir nuestra regulación desprotegiendo por completo a los usuarios. Por el contrario, propone diseñar un marco legal que propicie el equilibrio entre el uso de información personal con fines comerciales y el derecho de los usuarios.

En este escenario, según Picker, importa mucho dónde se coloque la regulación sobre privacidad frente a la publicidad basada en identidad y en comportamiento del usuario, al ser un mecanismo de financiamiento privilegiado. El modelo de regulación clásico, pensado para casos como el envío de publicidad no deseada, impide a las empresas utilizar la información de sus usuarios sin su consentimiento previo. Pero nuevos usos de esa información, como mostrar publicidad basada en identidad, nos hacen replantearnos este modelo si tenemos en cuenta que financia la mayoría de contenido gratuito y, cuando no lo hace, puede ser útil ver publicidad basada en su perfil (ej. las recomendaciones de compra Amazon). La pregunta es si dicho permiso debe ser un ajuste por defecto y con opción a restringirlo por parte del usuario del servicio (sistema opt-out) o un ajuste que el usuario podría implementar manualmente si lo desea (sistema opt-in).

Dos respuestas distintas

En Estados Unidos, la Federal Trade Comission ha emitido cuatro principios de autorregulación para la publicidad basada en identidad y comportamiento (como la de Facebook o la de Google, si usa mi historial de búsquedas anteriores) invocando a las empresas a transparentar sus prácticas al respecto, obtener autorización expresa siempre que se trate de datos sensibles (salud, finanzas) o cambie sus políticas y tomar las medidas de seguridad razonables para proteger los datos. Sobre la pregunta del ajuste por defecto, ha optado porque los servicios puedan usar sistemas opt-in u opt-out y que sean los usuarios quienes modifiquen sus preferencias de consumo según el sistema con el cual se sientan más cómodos. Se ha excluído expresamente de estos principios los supuestos de publicidad de la propia empresa y la publicidad contextual (AdWords) porque considera que, en estos casos, no hay potenciales brechas de privacidad.

Sigue leyendo →

De cómo nuestros datos personales salvarán la industria de contenidos

Hay algo que me llama la atención en la ficción sobre sociedades futuristas. Quizás inspiradas en la producción industrial en serie, muchas distopías previas a la masificación de Internet presentaban la sociedad del futuro con un gran tendencia a la homogenización, donde cada persona había perdido su identidad y era clasificada en grupos. (ej. El Proceso, Brave New World, 1984). Mucha de la ficción post Internet, en cambio, propone una sociedad en donde el mercado tiende a diversificar y personalizar su oferta al punto que los seres humanos han perdido toda exposición a cosas que no sean de su interés como abrir un diario o ver la televisión sin saber qué programa va a dar (ej. Minority Report, Wall-E, Idiocracy).

La principal diferencia entre ambos modelos de sociedad es la existencia de productos y servicios inteligentes: capaces de modificarse según cada usuario. Pensemos en la escena de Minority Report en donde el protagonista es recibido en una tienda de GAP por un holograma que lo llama por su nombre y le pregunta cómo le fue con su última compra. Nada muy lejano a la forma en la que Google o Youtube muestran anuncios en base a nuestro historial de búsqueda o Facebook coloca la publicidad de acuerdo con nuestros intereses, ciudad o grupo de amigos.

Los datos personales como forma de financiamiento

Otra cosa en común que tienen Google y Facebook es que son gratuitos. No nos cobran por usar el correo, ni por almacenar nuestras fotos, ni por ver videos en Youtube. Su única fuente de ingresos es la publicidad. Para cualquier anunciante, la inversión en publicidad está directamente relacionada con la posibilidad de que sea vista por su público objetivo, los clics hechos y la rentabilidad que ello le pueda generar. Si los medios en los que anuncian son capaces de asegurar que el público objetivo del anunciante verá su publicidad, el anunciante estará dispuesto a pagar más y los medios (Google o Facebook) podrán mejorar sus servicios y se asegurarán de colocar publicidad poco intrusiva. Tener acceso a la información personal de sus usuarios, por ende, no solo beneficia su negocio sino que también beneficia a sus usuarios, quienes siguen disfrutando de los servicios en forma gratuita.

Pero esto no es nada nuevo. Quien anuncia a en un concierto de Grupo 5 quiere llegar a un público distinto del que anuncia en uno de La Mente. Comprar un determinado producto o servicio revela mucha información sobre nosotros y eso le permite a un anunciante mejorar la eficacia de su publicidad. Durante los primeros años de Internet, esto era complicado porque un sitio web sabía relativamente poco sobre sus visitantes. El no saber quién y dónde verá la publicidad fue siempre una traba para el financiamiento de los servicios en línea. La materialización del sueño de una red de usuarios con nombre propio como la de Facebook, por el contrario, está permitiendo que servicios de calidad como Gmail o Twitter sean gratuitos.

De hecho, esta podría ser la solución al gran problema del financiamiento de las industrias de contenidos en Internet. Pensemos en Spotify, una aplicación que permite acceder a una biblioteca de más de ocho millones de canciones sin necesidad de descargarlas y en óptima calidad. Existe un servicio gratuito y uno de pago. El gratuito está financiado por publicidad, que se muestra en la pantalla como un banner y se escucha por veinte segundos cada cierto número de canciones. Nuevamente, la información que recolecta la empresa sobre nuestra localización geográfica, hábitos de escucha y su reciente integración con Facebook le permite subir el costo de sus anuncios y financiar su servicio retribuyendo a las discográficas y artistas. Cada vez un número mayor de servicios empiezan a ver este modelo como viable (Grooveshark, Hulu).

En un reciente artículo, Online Advertising, Identity and Privacy, Randal Picker ensaya la tesis de que cuando la regulación establece que ciertos agentes pueden usar la información libremente y otros están sujetos a una serie de obligaciones legales, modificamos sustancialmente el equilibrio competitivo de un mercado. A los argumentos de Picker y a lo que nuestro propio proceso legislativo de protección de datos personales puede aprender de este nuevo escenario dedicaré mi siguiente entrada.

Foto: Chloe Lorena ©

¿Cambiará Facebook nuestra forma de entender la privacidad?

Hemos perdido la cuenta de la cantidad de veces que Facebook ha cambiado sus políticas de privacidad. La EFF ha contado hasta seis etapas distintas entre 2005 y 2010 en las que progresivamente Facebook ha ido modificando los términos de su servicio y haciendo públicos datos inicialmente privados. El número de usuarios de su servicio, sin embargo, ha crecido exponencialmente durante ese mismo período. Se calcula que el 70% de sus usuarios entran al menos una vez al día al sitio, lo que ha puesto a la empresa en una curva ascendente que parece no tener límites. Los 800 millones de dólares en utilidades al 2009 lo confirman. Una reciente iniciativa para que la mayor cantidad de usuarios abandonen el servicio en una fecha determinada fue un rotundo fracaso. ¿Acaso la privacidad de los datos personales ha dejado de importarnos? ¿Facebook está escribiendo los estándares de privacidad que regirán esta década?

Una primera objeción a esta hipótesis: quien no quiere correr el riesgo de que sus información privada sea expuesta públicamente, se abstiene de publicarla en la red social. Completamente cierto. Quien decide hacerlo, sin embargo, no renuncia inmediatamente al control sobre sus datos sino que se sujeta a un contrato, expresado en los Términos del Servicio y la Política del Privacidad de Facebook. El problema es que este contrato de adhesión ha sido modificado unilateralmente por Facebook al punto de decir exactamente lo contrario de lo que decía hace pocos meses. La siguiente tabla incluye la primera versión de las Políticas de Privacidad y sus tres últimas modificaciones.

El día de hoy, respecto de mi Información General, puedo elegir que ciertos usuarios no la vean pero no le puedo restringir a Facebook la posibilidad de intercambiarla con otras páginas y aplicaciones. Salvo, claro, que elimine esa información de Facebook.

“La era de la privacidad ha terminado”

Pese a estos cambios, el crecimiento de Facebook en número de usuarios y visitas ha seguido. De hecho, desde que introdujo el Open Graph e hizo los cambios en abril de 2010, ganó diez millones de usuarios nuevos durante el mes siguiente y esta cifra sigue creciendo. Detrás de este fenómeno podrían existir dos tipos de causas:

Un primer grupo de usuarios de Facebook no ha comprendido bien los cambios y lo que éstos significan para su privacidad porque no los ha leído. En su versión en español, las Políticas de Privacidad de Facebook hacen más de 6000 palabras. Aunque la empresa se ha esforzado en comunicar estos cambios en forma sencilla, probablemente estos usuarios encuentren engorroso leer las Políticas de Privacidad o no lleguen a comprenderlas.
Otro grupo de usuarios, conociendo los cambios, ha seguido prefiriendo el servicio porque no les importa que dicha información sea pública. O quizás sí les importa pero valoran más el continuar perteneciendo a la red social, lo que significa que les importa poco. Sospecho que esta sería la reacción de la mayoría de usuarios del primer grupo si llegaran a conocer las Políticas.

Facebook recibió similares críticas cuando incluyó el News Feed de actividad reciente de tus contactos (¿cómo así Facebook va a empezar a comunicar mi actividad a mis contactos sin mi permiso?). Hoy en día, nadie puede concebir Facebook sin esa función y ha sido incorporada también en otras redes sociales. Es probable que lo mismo llegue a pasar con este tipo de información, pese a la presión de la Comunidad Europea y de algunos senadores estadounidenses. La gran pregunta es si Facebook está cambiando nuestros límites entre lo privado y lo público, imponiéndonos la apertura que conviene a su modelo de negocio, o si somos nosotros los que estamos desarrollando nuevas formas de relación en las que entendemos que estos datos ya son públicos y Facebook simplemente se adapta a esto.

“La era de la privacidad ha terminado” dijo en enero Mark Zuckerberg y añadió que, si inventara Facebook de nuevo, toda la información sería pública por defecto. Para Zuckerberg, de veintiséis años, los cambios en sus Políticas de Privacidad solo reflejan la nueva forma que tiene la gente de conectarse. Como ellos lo ven, sus Políticas solo se han ajustado a la dinámica del intercambio de información e interacción actual. Comunidades sustentadas en la compartición como Tumblr, Twitter y ccMixter nos han demostrado que, para muchos, el nuevo paradigma es que todos puedan usar el contenido de todos. ¿Por qué no podría darse una flexibilización similar en la privacidad? No sería la primera vez que la tecnología modifique las normas sociales.

Pero sospecho que Facebook está lejos de ser un agente pasivo en esta revolución. Henry Ford decía que, si él le hubiese preguntado a sus consumidores, ellos habrían pedido tener un caballo más veloz. La “nueva privacidad” es un producto de un sistema compuesto por: (1) la apuesta de Facebook, (2) la respuesta de sus usuarios, y (3) la regulación legal sobre privacidad. Por lo demás, nada muy distinto de la forma en la que se ajustan las condiciones en cualquier otro mercado competitivo (porque es competitivo, otra cosa es que Facebook tenga una buena cuota de mercado pero los usuarios tienen toda la chance de elegir otros servicio idénticos).

Facebook va a seguir presionando para lograr mayor apertura porque eso conviene a su negocio y dejará de hacerlo cuando sus hoy 500 millones de usuarios empiecen a abandonar su servicio o cuando el sistema legal se lo prohíba. En este tira y afloja, es importante que los usuarios comprendan a qué estamos renunciando cuando compartimos información en Facebook y pensemos si nos sentimos cómodos con ello. El sistema legal de Estados Unidos (donde se almacena la información) permite que el manejo de datos privados se regule por los términos del contrato y no intervendrá hasta que Facebook no incumpla el contrato (escenario lejano, si puede cambiarlo casi a su antojo). La interacción entre los usuarios y el sistema legal podría darse si un Estado solicita a Facebook entregarle cierta información privada y Facebook se ve obligado a revelarla (bajo la legislación post 9/11 es totalmente posible). Los usuarios, frente a este nivel de exposición y compromiso, también podrían responder negativamente abandonando el servicio. Bajo esta perspectiva, no tendremos un sistema de privacidad estático sino dinámico. Pero, al ser producto de un sistema del que somos parte, también nos asegura un poder de participación nada desdeñable.

Ilustración: Flickr, Gianluca Costanini ©

Protección de datos personales: lo que se viene, en Gestión

Ayer Oscar Montezuma publicó una columna en el diario Gestión de Lima titulada “Protección de datos personales: lo que se viene” (.pdf). En el artículo, Oscar analiza el reciente proyecto de Ley de Protección de Datos Personales reseñando sus principales novedades y evaluando su impacto en el sector empresarial desde la experiencia internacional.

Para saber más del Proyecto y del estado de la regulación de los datos personales, los invitamos a revisar nuestras entradas anteriores al respecto.

Video: El proyecto de Ley de Protección de Datos Personales

El miércoles pasado Oscar Montezuma de Blawyer.org estuvo como invitado en el programa Rumbo Económico de Canal N hablando sobre el proyecto de Ley de Protección de Datos Personales que, después de varios años de espera, acaba de pasar a discusión en el pleno del Congreso.

El texto completo del Proyecto de Ley está disponible en la página web del Congreso. Oscar ha comentado antes el Proyecto de Ley también aquí, aquí y aquí

La ley peruana de protección de datos personales (reloaded)

Anteriormente escribimos un artículo sobre el tema en Enfoque Derecho (publicación de THEMIS-Revista de Derecho). También tocamos el tema en esta tribuna. En dicho artículo de agosto del 2008 reportábamos, a propósito de una de las reuniones preparatorias de APEC en Lima, lo siguiente:

«el anuncio mas importante fue el que hiciera la Ministra de Justicia, Rosario Fernandez, en el discurso de apertura de la charla, donde indicó que el Proyecto de Ley de Protección de Datos Personales, que dormía el sueño de los justos hace aproximadamente cuatro años y que incluso se encuentra en un link roto en la web del Ministerio aquí, pronto verá la luz ya que actualmente se encuentra en el despacho del Consejo de Ministros«.

También advertimos lo siguiente:

«Probablemente el lector se esté preguntando ¿no existe acaso una norma que regule el tema en el Perú? En el Perú existen normas sectoriales que regulan, por ejemplo, el secreto bancario o el secreto de las telecomunicaciones. Sin embargo, no existe una ley general que otorge una protección integral a los datos personales en línea con la tendencia internacional.

Entonces ¿cómo nos sirve una ley general de protección de datos personales? No es novedad decir que en el Perú se trafican datos personales a diestra y siniestra. Una breve caminata por el Jr. Wilson y una búsqueda en Google con los términos ”datos personales” y “jr. wilson” confirman nuestra afirmación

[…]

Tal como se encuentra planteado, el Proyecto de Ley peruano establece en buena cuenta que nadie puede utilizar ni explotar ningún dato personal sin el consentimiento previo y expreso de su titular. Asimismo la norma crea un registro de bases de datos y regula determinadas condiciones en que se debe lleve a cabo el tratamiento de datos personales. Si la ley entrara en vigencia, cada vez que suscribamos un contrato con una empresa de telecomunicaciones o un banco, dichas entidades deberán informarnos expresamenet cual será la utilización que darán a nuestros datos personales. Si mas adelante queremos acceder a ellos (derecho de acceso), la empresa se encontrará obligada a facilitarnos dicha información. Asimismo si los datos reportan algún error, la empresa se encuentra obligada a rectificarlo (derecho de rectificación)».

En nuestra opinión, las conclusiones hasta este punto eran dos:

Había un proyecto de ley de protección de datos personales promovido por el Ministerio de Justicia dando vueltas desde el año 2004 por diversas entidades públicas y como papel llevado por el viento habría aterrizado en el escritorio de la PCM en el 2008.
Teniendo un marco normativo antispam y de regulación del telemarketing no contabamos con una norma general de protección de datos personales, más allá de su protección a nivel sectorial.

La actualización a todo lo antes expuesto la recibimos hoy y es que luego de casi dos años de la nota publicada tenemos noticias certeras del citado proyecto de ley. En efecto, el proyecto de ley del Ministerio de Justicia habría sido el punto de partida para el nuevo (y repotenciado por una comitiva multisectorial) proyecto de ley aprobado en sesión de hoy por la Presidencia del Consejo de Ministros. El siguiente paso sería el debate en el Congreso de la República donde todos estamos llamados a participar con aportes que incluso lo perfeccionen.

Acá viene el segundo tema: ¿es necesaria una ley de protección de datos personales?¿es más necesaria aún en la Sociedad de la Información?

Sobre la primera pregunta creemos que si. Una ley de protección de datos personales no sólo puede ser útil para combatir a los «ladrones» de datos personales sino además como complemento para el desarrollo del comercio y otras iniciativas interesantes como la notificación electrónica y los expedientes digitales (ver acá y acá artículos interesantes planteando la necesidad de una regulación sobre el tema y los beneficios que de ella pueden obtenerse). Es necesario que nuestro país cuente con un marco normativo integral (y no sólo sectorial) que otorgue protección a sus ciudadanos sobre su información personal y nos alínee con la tendencia internacional sobre la materia (Sin ir muy lejos México aprobó recientemente su norma de protección de datos personales).
Sobre la segunda interrogante, no queda duda que la era informática permite con mayor facilidad el acopio, gestión y explotación de los datos personales. Para no aburrirlos con el ejemplo de Wilson y las bases de datos, pongamos uno más reciente: Facebook. Hemos oido hasta el cansancio sobre todos los problemas de privacidad generados por Facebook y sus cambiantes políticas internas (ver esta, esta y esta nota de ElComercio y este interesante análisis de Nestor Gallo sobre la privacidad en tiempos de Facebook). El ejemplo parece hablar por si sólo.

En el contexto planteado, dos preguntas que me atrevo a formular son: ¿cómo debe ser entonces nuestra ley de protección de datos personales? Como hemos señalado anteriormente existen dos modelos que han intentado otorgar protección a los datos personales a nivel mundial: el estadounidense y el europeo. El primero se apoya en mecanismos de autorregulación a través del sector privado, es decir, se confía en el buen criterio adoptado por las empresas para el tratamiento de datos personales. El segundo, de corte más proteccionista, postula la necesidad de desarrollar un cuerpo normativo y establecer la creación de una autoridad que persiga y sancione a los infracciones que establece la norma en relación con el tratamiento de datos personales, considerado un derecho fundamental. No conocemos el nuevo proyecto de ley pero el propuesto inicialmente por el Ministerio de Justicia se adhería al modelo europeo.

Intentando responder a la pregunta planteada consideramos que la ley propuesta debería ser una de mínimos. Una regulación excesivamente proteccionista puede terminar limitando el flujo de información en nuestra sociedad y las opciones que tenemos los consumidores en el mercado para adquirir bienes y servicios. En contraposición la inexistencia de regulación o la existencia de una demasiado flexible puede no generar el efecto de tutela deseado. En ese sentido consideramos que es muy importante lograr un equilibrio. Para ello es necesario que en la discusión del proyecto de ley actual se recojan las impresiones de los agentes a los que se les aplicará así como los titulares de datos personales. Finalmente es muy importante que el análisis costo-beneficio del proyecto de ley se encuentre debidamente sustentado a efectos que sea una norma que se pueda cumplir y sobre todo fiscalizar. Estaremos a la espera de la revisión del nuevo proyecto de ley para dar mayores comentarios al respecto. Por ahora, que empiece el debate.

Fuente de la imágen: JOURNALMEX Periodistas de México

No vayas a vender tu alma al diablo

Después de algún tiempo alejado del posteo de artículos en este blog y luego de varias reprimendas de mis compañeros de blawyer, regreso en esta oportunidad para comentar una noticia publicada el día de ayer en el mundo.es y que llama la atención sobre un tema al que normalmente no le damos mucha importancia, como es el de la celebración de contratos online.

Pues sucede que el día 1 de abril se celebra el “April’s Fool” algo así como lo que nosotros llamamos el “día de los inocentes” por lo que es usual que las personas y empresas jueguen bromas a los demás durante ese día. En este caso, Gamestation (una empresa inglesa especializada en juegos y accesorios para gamers) aprovechando esta circunstancia modificó las cláusulas usuales de su contrato con los clientes (Terms & Conditions) para introducir una cláusula mediante la cual los clientes otorgaban a la compañía el derecho a reclamar sus almas.

Como señala FoxNews, la cláusula establecía que “… por el solo hecho de presentar una orden a través de este sitio web durante el primer dia del cuarto mes del año 2010, Anno Domini, usted se obliga a otorgarnos un derecho intransferible para reclamar, ahora y siempre, vuestra alma inmortal. En caso que decidamos ejercitar este derecho, usted se obliga a entregarnos su alma, así como cualquier derecho que usted pudiera tener sobre ella, dentro de los 5 (cinco) días laborales siguientes a la notificación escrita de gamestation.co.uk o de alguno de nuestros secuaces. Nos reservamos el derecho de enviar dicha notificación en letras de fuego de 6 (seis) pies de alto y no aceptaremos responsabilidad alguna de cualquier´pérdida o daño que usted pueda sufrir por dicho acto. En caso que usted a) no crea en la inmortalidad del alma, b) ya hubiera entregado su alma a cualquier tercero, o c) no deseara otorgarnos el derecho antes descrito, haga click en el siguiente link para anular esta subcláusula y continuar con su operación”.

Gamestation ha informado que el 88% de los clientes que hicieron compras en ese día no leyeron la cláusula por lo que la empresa se encuentra autorizada a reclamar las almas de 7,500 personas. No obstante ello, por tratarse de una broma, han decidido otorgar un premio de 5 libras al 12% de clientes que tuvieron la paciencia de leer las condiciones legales completas y la precaución de anular la cláusula bajo comentario.

Ahora bien, llegado el momento de la seriedad, esta experiencia resulta muy enriquecedora pues nos demuestra que, en las transacciones online, casi nadie lee las condiciones legales de los servicios que contrata, de las compras que hace o de las aplicaciones que descarga. Aunque en el mundo físico las cosas pueden ser muy parecidas, me atrevería a decir que en el mundo real actuamos con un poco mas de cautela y revisamos (al menos para enterarnos) las condiciones legales aplicables.

Si bien revisar toda esta información puede ser algo tedioso, resulta recomendable hacer un esfuerzo para estar conscientes de lo que estamos firmando (aunque sea con un click) de tal forma que podamos conocer nuestros derechos, cómo y dónde reclamar en caso de alguna falla (ver si la aplicación es beta), qué es lo que estamos comprando (sobre todo en el caso de licencias de aplicaciones), la duración o el plazo del contrato (licencia permanente o por un período determinado), cuál es la garantía ofrecida (normalmente ninguna) y cuál es la jurisdicción aplicable (normalmente el extranjero).

Como siempre, me quedo con más preguntas que respuestas: si realizo una transacción online ¿se trata realmente de un contrato? ¿en qué momento se forma el acuerdo de voluntades? ¿puedo pedir la nulidad de alguna cláusula abusiva? ¿si voy a INDECOPI me podrán ayudar? ¿me encuentro frente a cláusulas generales de contratación o a un contrato por adhesión? ¿se aplicarán las excepciones y nulidades del Código Civil? ¿qué dicen las reglas de protección al consumidor en el extranjero?

Los invito a opinar sobre el tema en nuestra sección de comentarios.

P.S: Haciendo una búsqueda en Google me encuentro con la sorpresa de que existen gran cantidad de páginas que ofrecen instrucciones para vender (de verdad) el alma al diablo. Así que si hubiera alguien interesado puede hacer clic aquí.

¿Por qué discutimos sobre derechos de autor en entornos digitales?

Los libros de texto nos enseñaron que existía más de una fuente de Derecho. Nos dijeron que no solo la ley, sino también la doctrina o la jurisprudencia tenían la capacidad de influir en el sistema jurídico, modificando sus reglas o la forma en la que se éstas se aplicaban. El Derecho que conocemos, así también, fue pensado y creado para aplicarse a una realidad concreta. ¿Qué pasa, sin embargo, cuando esta realidad se socava? Hace más de diez años, Lawrence Lessig propuso al código informático como la nueva fuente de derecho. Según él, la enorme cantidad de código aplicado y leído por miles de procesadores en todo el mundo había modificado profundamente nuestro entorno tecnológico y social para siempre. La frontera entre lo regulable y lo no regulable terminaba marcada por lo tecnológicamente posible, así como en el pasado lo fue aquello naturalmente viable.

En el caso concreto de la propiedad intelectual, el principal cambio que introdujo el nuevo entorno tecnológico fue la posibilidad de transformar cualquier obra en un conjunto de bits fácilmente transmisible. La masificación de Internet, un medio de comunicación diseñado para que la información se transmita sin controles previos, terminó por volver obsoletos los modelos de negocio sostenidos sobre la producción y fabricación de copias de obras protegidas por derechos de autor. Los industriales perjudicados, agrupados en torno a sociedades de gestión colectiva y conglomerados empresariales, actualmente lideran distintos lobbys en casi todas las regiones con la finalidad de controlar las realización y distribución de copias no licenciadas de obras protegidas por derechos de autor. Los últimos meses estuvieron llenos de iniciativas legales en distintos países por intentar controlar la descarga no autorizada de contenidos a través de Internet.

Digámoslo rápidamente: la efectiva protección de los derechos de propiedad es un principio básico de cualquier sociedad de mercado. Nadie, salvo algún radical nostálgico, podría proponer y sostener la erradicación absoluta de los derechos de autor. Los creadores tienen todo el derecho de exigir una contraprestación por el uso lucrativo de sus obras. La comercialización al por mayor y menor de copias no licenciadas de películas, música o videojuegos es un delito y debe de seguir siéndolo por mucho que disfrutemos yendo a Polvos Azules. La principal preocupación de quienes critican el sistema actual de derechos de autor es que su diseño sea coherente con su nuevo medio: que reconozca y propicie la creatividad y no atente contra ciertos derechos fundamentales como la privacidad o la libertad de expresión. Este es el centro del debate.

Decimos que el sistema de derechos de autor puede terminar restringiendo la creatividad antes que propiciándola cuando su juego de reglas acaba por entorpecer los procesos creativos, primer motor de cualquier innovación, y restringe el acceso al conocimiento. Aniquila la creatividad porque nuevos formatos de arte audiovisual como la remezcla, el collage o el sampling deben de pagar derechos de autor mientras que Edmundo Paz Soldán puede publicar un libro de cuentos remezclando historias de Shakespeare, García Márquez o Cortázar sin pagar un céntimo (Amores Imperfectos, 1998). Decimos que restringe el acceso al conocimiento porque su sistema de excepciones o usos permitidos –en Perú, una lista cerrada de diez supuestos– no admite que una biblioteca preste películas o discos compactos, que se fotocopie íntegramente un libro que no se comercializa más en el mercado o que el mero hecho de que usted lea este artículo a través de Internet –generando una copia del mismo en la memoria caché de su computador sin mi autorización o la de este medio– sea tan ilegal y reprobable como llevar a tu hijo a comprar un reloj robado. Finalmente, los plazos de vigencia de los derechos de autor (toda la vida del autor más setenta años en Perú) resultan desproporcionados y solo continúan generando réditos para las empresas que retienen los derechos patrimoniales de los autores, en muy contados casos para su herederos, y no incentivan en forma alguna la creatividad.

La efectiva protección de derechos de autor tampoco puede significar la vulneración de derechos fundamentales. Proteger efectivamente los derechos de autor en entornos digitales a través de la inspección de paquetes de datos, el bloqueo de protocolos o la condena a la fabricación de software para intercambio involucra, en mayor o menor medida, una intromisión en el ámbito de privacidad de los individuos, el secreto de las telecomunicaciones, la libertad de expresión y, casi siempre, significan un trato discriminatorio para aquellas actividades de intercambio de contenidos legales. Las plataformas de intercambio de archivos deben de ser vistas como una oportunidad de negocio para los autores y creadores (así lo han entendido iTunes o Spotify) y no como una amenaza. Reglas estrictas y genéricas solo detendrían el desarrollo del mercado, en su etapa más importante.

Lo que sí representa el actual entorno tecnológico, para aquellos dinosaurios que se resisten a creer que el mundo cambió, es el fin de un modelo de negocio basado en la venta de copias físicas. Pero ello, en sentido alguno, implica el fin del mercado contenidos. Casi desde que se inventó la televisión, los empresarios han venido proclamando el fin de las industrias de contenidos. Sin embargo, el año pasado un estudio encargado por el Gobierno Holandés demostró que las personas que bajan contenidos de Internet compran cinco veces más que las que no lo hacen, aumentando el bienestar social.

El Decreto Legislativo 822, la ley peruana sobre el Derecho de Autor, se escribió en 1996. El mundo ha cambiado irremediablemente desde entonces, pero nuestra Ley parece que solo lo ha hecho para peor. En su último cambio, de enero de 2009, volvió ilegal colocar un video de Youtube en cualquier página web sin la autorización y correspondiente pago a los autores, compositores, intérpretes y productores fonográficos de todas las obras contenidas en el video (artículo 47). ¿De qué estamos hablando, entonces? En Perú, además de los problemas apuntados, hablamos de la deficiente labor y coordinación interinstitucional de las Sociedades de Gestión Colectiva, del relativo poder que tiene el INDECOPI para hacer cumplir las decisiones de sus tribunales administrativos y de un escenario social complejo, en el cual estamos acostumbrados a incumplir las normas de derechos de autor porque no las conocemos, porque no las entendemos o porque éstas son tan complicadas que no se dejan entender.

Ilustración de verbeeldingskr8, bajo una licencia Creative Commons BY-NC-SA.

Artículo escrito y publicado originalmente para EnfoqueDerecho.com, blog de actualidad jurídica de la Asociación Civil THEMIS.

La protección integral de los datos personales en el Perú

Compartimos con ustedes un artículo publicado el día de hoy en la página web de Enfoque Derecho, publicación virtual de THEMIS-Revista de Derecho.