La Constitución reconoce el derecho de las personas a que sus datos personales sean tratados con reserva. En desarrollo de este mandato constitucional, tenemos un cuerpo normativo disperso que intenta proteger este derecho mediante el establecimiento de diferentes obligaciones a los agentes que de una u otra forma almacenan información personal. Durante los últimos años, sin embargo, es común sentir que con el avance de las tecnologías de la información nuestra información personal está más expuesta que nunca. A través de un rápido cruce entre Google Latitude, Uber Twitter, Facebook o la información de red que posee cualquier operador móvil, resulta sencillo determinar la ubicación exacta de una persona, lugares que frecuenta y preferencias de consumo. El panorama se hace un poco más complejo si añadimos los registros médicos, tributarios o bancarios. ¿Acaso ya perdimos la privacidad o estamos a punto de? ¿Por qué sentimos esto si estamos aparentemente protegidos por un cuerpo normativo?
Un artículo aparecido la semana pasada en Forbes se hace la misma pregunta y ensaya una respuesta: la consecuencia del cúmulo de normas y obligaciones impuestas regulatoriamente a los agentes que manipulan información privada es la ineficiencia. La regulación es tal que su implementación termina por ser excesivamente costosa para los mismos y, además, comporta costos también para los propios sujetos protegidos por la norma, quienes se vuelven insensibles a las numerosas advertencias que se le presentan. Por sobretodo, es un costo que no redunda en el bienestar social porque finalmente seguimos estando expuestos.
De un lado, tenemos el impacto alegadamente negativo que tienen las normas que protegen la privacidad. Todos los agentes que, de una u otra forma manejan información privada de terceros se ven obligados a cumplir con estas normas. Este cumplimiento acarrea un costo para el agente: honorarios de abogados, preparación y firma de acuerdos sobre privacidad con sus usuarios, presentación de informes periódicos sobre las medidas implementadas. A mayor regulación, mayores costos. Para Lee Gomes de Forbes, estos costos representan una externalidad negativa para el agente porque éste carece de razones de mercado para guardar reserva sobre esta información: de no existir una regulación que le prohibiese utilizar con otros fines la información a la que tiene acceso, lo haría. Esta primera constatación, se señala, es la que nos hace buscar la eficiencia a través de regulación y no del mercado.
Por otro lado, todos quienes alguna vez hemos contratado un servicio en el que tuvimos que autorizar a manipular nuestra información personal (abrir una cuenta de correo electrónico, participar en una promoción comercial o sacar un teléfono móvil) hemos tenido en frente cláusulas sobre confidencialidad de la información, autorización de ciertos usos de la misma, entre otros. ¿Cuándo fue la última vez que leímos alguna de esas cláusulas sobre el manejo de la información privada? Lee Gomes cita el ejemplo de una asociación de repostería que, debido a una brecha de seguridad ocurrida en sus sistemas, tuvo que enviar miles de cartas a sus asociados advirtiéndolos sobre el hecho. Los costos involucrados en ello podrían llegar a poner en riesgo la estabilidad de la asociación misma. Su conclusión es la siguiente: la montaña de papeles y cláusulas que la regulación obliga a firmar a las personas cuyos datos son utilizados consiguen exactamente el efecto inverso al deseado, los vuelve insensibles al tema. Nos hubiésemos preocupado si hace veinte años hubiese una suerte de comunidad de amigos por correspondencia en la que los administradores de la misma, y la mayoría de sus usuarios, puedan conocer tus gustos personales, amigos, actividades sociales y tener acceso a todas nuestras fotos. Hoy, estamos tan acostumbrados que vemos este nivel de exposición como natural. En ese sentido, la excesiva regulación deviene en ineficiente.
Aunque también podría argumentarse que resulta igualmente costoso para las empresas y para los usuarios no establecer claramente las condiciones en las que se manipulará la información cedida en el marco de la prestación del servicio. Las empresas terminan con una oferta menos atractiva por lo incierto del tratamiento y los usuarios, por la misma razón, pueden verse expuestos a molestos correos publicitarios o llamadas de telemárketing, entre otros. Esto podría hacernos pensar, contra lo señalado por el artículo de Forbes, que la no asunción de estos costos representan suficiente incentivo para los agentes como para buscar una autorregulación.
No sé si en todos los países exista un mercado tan maduro como para preocuparse por una autorregulación sobre el manejo de datos. Quizás esté subestimando a los consumidores informados. Además, como señala Bruce Schneier, este esquema de incentivos para la autorregulación solo funcionaría para aquellas empresas que directamente recopilan datos de los usuarios, y no para agentes como centrales de riesgo que precisamente negocian con esta información. Es importante, sin embargo, volvernos sensibles a la importancia de contar con un cuerpo único de normas que permitan alcanzar cierta eficiencia en el manejo de datos personales. Schneier aproxima algunas sugerencias: (i) buscar una regulación más amplia y simple, antes que una restrictiva y compleja; (ii) regular por resultados antes que por métodos; y, (iii) penalidades lo suficientemente altas para incentivar el cumplimiento. La necesidad de un solo cuerpo normativo que actúe como marco general se vuelve, en este panorama, imperante. Pero quién lo sabe, quizás uno de estos días hasta nos damos con la sorpresa de que por fin salió la la Ley de Protección de Datos Personales.
Hoy debo dictar una clase sobre este tema. Te comento luego de la clase.
Jaime Bustamante