¿Cómo perfeccionar la ley de geolocalización?

La tecnología puede ser muy efectiva contra la delincuencia

La delincuencia usa hoy la tecnología para afectar a los ciudadanos. Debemos hacer un esfuerzo para que la tecnología sea más bien un arma eficaz para que nuestra autoridades luchen contra la delincuencia.

El 27 de julio de 2015, como parte de las facultades legislativas concedidas al Poder Ejecutivo, se publicó el Decreto Legislativo No. 1182, con la válida preocupación de combatir la creciente delincuencia, especialmente los miles de casos de extorsión que todos los días se reportan.

La norma establece un procedimiento muy célere (24 horas) para que en caso de un delito flagrante (extorsión, por ejemplo) la Policía pueda obtener datos que permitan geolocalizar dispositivos móviles (celulares, tablets, etc) de la red pública de telecomunicaciones y así ubicar a presuntos delincuentes.

El procedimiento creado por la norma requiere algunos presupuestos: a) que se esté cometiendo un delito de manera flagrante usando dispositivos móviles (para lo cual el afectado será quien informe de la ocurrencia del delito); b) debe ser un delito sancionado con cuatro o más años de privación de libertad (la extorsión claramente encaja en la norma); c) el acceso a los datos de geolocalización debe ser necesario para la investigación del delito (y no para cualquier otra causa); y d) que dentro de las 24 horas se reporte el caso a un fiscal y a un Juez para que convaliden la medida.

La pregunta clave es: ¿ésta norma viola el derecho de todo ciudadano al secreto o privacidad de sus comunicaciones?

Sigue leyendo

Adolescentes y Redes Sociales

Hace unos días leía en Twitter una frase que decía, más o menos, lo siguiente: » Lo bueno de ser mayor de 40 años es que la mayoría de las tonterías que hice en mi vida fueron antes de la aparición del Internet». La frase me causo gracia y, al mismo tiempo, una sensación de tranquilidad pues, felizmente, no existen pruebas de las tonterías que todos los mayores de 40 hicimos durante nuestra adolescencia. Sin embargo, me quedo dando vueltas en la cabeza la pregunta ¿A qué se enfrentan los adolescentes de ahora cuyas actividades cotidianas son registradas vehementemente en incontables redes sociales por ellos o sus amigos? Revisando el informe de Ipsos Perú sobre el Perfil de los usuarios de redes sociales 2012 pude constatar que el 39% de los menores entre 8 y 11 años tienen una cuenta en redes sociales mientras que en el segmento de menores entre 12 y 17 esta cifra se dispara a un importante 84%. El mismo informe nos indica que más del 80% de los usuarios de redes sociales en el Perú ha subido fotos alguna vez mientras que el 50% de ellos ha creado álbumes de fotos y acostumbra etiquetar fotos (personales o de terceros). Sigue leyendo

El debate sobre la privacidad y seguridad en la Red: Regulación y mercados

Es conocido que la evolución tecnológica de la última década ha incrementado la capacidad de recogida, uso y almacenamiento de datos personales en un entorno abierto y global, donde se difuminan las barreras territoriales y los sistemas legales que regulan la privacidad. Esto ha dado lugar a un importante debate sobre el desarrollo futuro del ecosistema Internet y la economía digital en el que urge una mayor armonización reguladora. Es con esta excusa que se ha presentado recientemente, en el local institucional de la Fundación Telefónica, el libro «El debate sobre la privacidad y seguridad en la Red: Regulación y mercados». En la presentación participaron los blawyers Abel Revoredo y Óscar Montezuma.

El libro recoge una serie de valiosas contribuciones de los expertos más relevantes del mundo académico y empresarial, tanto en EE. UU. como en Europa, se analizan los orígenes, evolución y perspectivas del derecho a la privacidad. Sin duda un libro de ineludible lectura, que además se puede descargar sin costo (aquí), ninguna excusa para no leerlo.

Les dejamos la presentación completa.

Tecnología GPS y privacidad

Recientemente la Corte Suprema de Estados Unidos ha enfrentado un caso muy interesante que pone nuevamente sobre el tapete la relación entre la tecnología y el derecho. La Corte Suprema se hizo la siguiente pregunta: ¿puede el gobierno monitorear a un individuo por la supuesta comisión de un delito utilizando un dispositivo GPS sin contar con una orden judicial? Primero abordaremos algunos aspectos técnicos sobre el sistema GPS para luego comentar los aspectos legales involucrados.

¿Qué es el GPS?

Son las siglas detrás de Global Positioning System (GPS), un sistema de navegación satelital compuesto de veinticuatro satélites puestos en órbita y gestionados por el gobierno de los Estados Unidos. Inicialmente se trató de un tipo de tecnología de uso exclusivamente militar; sin embargo, a inicios de los años ochenta se liberalizó de manera que pudiera ser utilizado por cualquier individuo y de manera gratuita. Es este sistema el que nos permite ubicar direcciones a través de nuestros dispositivos móviles, ubicarnos geográficamente de manera efectiva en lugares desconocidos y hasta ubicar vehículos (no en vano ingeniosos taxistas limeños anuncian sus servicios de transporte ofreciendo como garantía de seguridad el contar con un sistema de GPS).

¿De qué trata el caso?

La policía y el FBI colocaron, subrepticiamente y sin contar con una orden judicial, un dispositivo GPS en el auto de Antoine Jones ubicado en una playa de estacionamiento ante las sospechas de que éste era narcotraficante. Jones fue monitoreado por veinticuatro horas al día durante veintiocho días y parte de la evidencia obtenida por las autoridades fue utilizada en el proceso judicial que se abrió en su contra y llevó a su eventual condena. Posteriormente una corte de apelación revirtió el fallo de la instancia inferior al descubrir que la utilización del dispositivo violó la Cuarta Enmienda que indica lo siguiente:

El derecho de los individuos a que tanto ellos como sus domicilios, papeles y efectos se encuentren a salvo de inspecciones y embargos arbitrarios, será inviolable, y no se expedirán para tales efectos ordenes ó autorizaciones que no se encuentren sustentandas en un motivo verosímil (probable cause), estén fundamentados a través de juramento o declaración y describan con particularidad el lugar que deba ser inspeccionado y las personas o cosas que han de ser detenidas o embargadas.

El caso fue elevado a la Corte Suprema y ésta aceptó revisarlo. El clásico análisis de la cuarta enmienda consiste en determinar si la persona contaba con una expectativa de privacidad y si dicha expectativa es una que la sociedad se encuentra preparada para asumir como ‘razonable’. Un análisis nada sencillo pero sobre el cual existe diversa jurisprudencia que ha ido sentando los criterios a tomar en cuenta.

Posiciones de las partes.

Durante la audiencia pública llevada a cabo el pasado 8 de noviembre, el procurador general declaró que la propia Corte Suprema había indicado en casos anteriores que no existía expectativa de privacidad cuando un individuo se moviliza en la vía pública y que la tecnología GPS permitió acceder a información que ya se encontraba expuesta y a disposición de cualquier interesado en acceder a ella. Al respecto cabe precisar que, efectivamente, en United States v. Knotts (1983) la Corte Suprema no calificó como inspección el monitoreo que hizo la policía con un beeper del vehículo de un individuo. Asimismo, indicó que no existió una expectativa razonable de privacidad en su traslado de un lugar a otro a través de la vía pública. En tal sentido la policía no tuvo la necesidad de solicitar un mandato judicial y actuó correctamente.

Por su parte, la defensa indicó que no existiría ninguna expectativa razonable de privacidad en que una autoridad instale un dispositivo subrepticiamente de manera que éste monitoree la vida de un ciudadano veinticuatro horas por veintiocho días.

En el Perú la regulación de la privacidad no goza de un desarrollo profundo y extenso. En todo caso existe culturalmente una preocupación más cercana a la utilización de la información personal por parte de privados que por parte del Estado (contrario a lo ocurrido en Estados Unidos, donde hay mayor presión regulatoria con respecto al accionar del gobierno). Curioso ya que tenemos antecedentes de gobiernos que han hecho uso irresponsable de vasta información personal para fines ilícitos.

El caso resulta interesante además porque plantea muchas interrogantes como dónde queda el límite entre el uso de la tecnología y la esfera íntima del individuo, más aún en aquellos casos donde existen razones de interés público que requieren una acción rápida de las autoridades. Por otro lado que ocurre con las cámaras de vigilancia ciudadana que se encuentran instaladas en diversas ciudades del mundo incluso en Lima, ¿existe ahí una expectativa razonable de privacidad ó en el presente caso nos encontramos frente a una situación distinta?¿el interés público contenido en la seguridad ciudadana implica acaso cierta renuncia de la privacidad? Estaremos pendientes de la resolución final de este caso ya que sentará nuevos criterios dentro de la regulación de la privacidad en Estados Unidos.

Mayores detalles del caso acá

La privacidad después de Facebook, en Gaceta Constitucional


El número 40 de la revista Gaceta Constitucional, publicación de Gaceta Jurídica, incluye un artículo mío titulado “La privacidad después de Facebook” (.pdf). El artículo describe la problemática existente entre el uso de servicios de redes sociales a través de Internet y el derecho fundamental a la privacidad. En particular, analizo la forma en que los límites de lo público y lo privado han sido redibujados por el influjo de servicios de redes sociales como Facebook y los posibles escenarios de vulneración del derecho a la privacidad en estos entornos.

Agradezco al equipo editorial de Gaceta Constitucional por haber tenido la gentileza de volverme a invitar a participar en su revista. Pueden visitar su página web para enterarse de dónde y cómo pueden adquirirla.

Regulación sobre datos personales y publicidad basada en identidad

Hace poco hablaba sobre el manejo de datos personales por parte de los proveedores de servicios en un mercado online cada vez más basado en la identidad y no en la privacidad de sus usuarios. Así, conforme crece la demanda de contenidos en Internet y sus aplicaciones se hacen más sofisticadas, surgen modelos de negocio cuyo ingreso se sustenta en ofrecer publicidad dirigida a grupos de consumidores específicos seleccionados utilizando la información que poseen de ellos como edad, gustos, ciudad.

En un artículo reciente, Online Advertising, Identity and Privacy, Randal Picker ensaya la teoría de que cuando la regulación establece que ciertos agentes pueden usar la información libremente y otros están sujetos a una serie de obligaciones legales para hacerlo, modificamos sustancialmente el equilibrio competitivo de un mercado. Sin embargo, precisa, eso no significa que debamos construir nuestra regulación desprotegiendo por completo a los usuarios. Por el contrario, propone diseñar un marco legal que propicie el equilibrio entre el uso de información personal con fines comerciales y el derecho de los usuarios.

En este escenario, según Picker, importa mucho dónde se coloque la regulación sobre privacidad frente a la publicidad basada en identidad y en comportamiento del usuario, al ser un mecanismo de financiamiento privilegiado. El modelo de regulación clásico, pensado para casos como el envío de publicidad no deseada, impide a las empresas utilizar la información de sus usuarios sin su consentimiento previo. Pero nuevos usos de esa información, como mostrar publicidad basada en identidad, nos hacen replantearnos este modelo si tenemos en cuenta que financia la mayoría de contenido gratuito y, cuando no lo hace, puede ser útil ver publicidad basada en su perfil (ej. las recomendaciones de compra Amazon). La pregunta es si dicho permiso debe ser un ajuste por defecto y con opción a restringirlo por parte del usuario del servicio (sistema opt-out) o un ajuste que el usuario podría implementar manualmente si lo desea (sistema opt-in).

Dos respuestas distintas

En Estados Unidos, la Federal Trade Comission ha emitido cuatro principios de autorregulación para la publicidad basada en identidad y comportamiento (como la de Facebook o la de Google, si usa mi historial de búsquedas anteriores) invocando a las empresas a transparentar sus prácticas al respecto, obtener autorización expresa siempre que se trate de datos sensibles (salud, finanzas) o cambie sus políticas y tomar las medidas de seguridad razonables para proteger los datos. Sobre la pregunta del ajuste por defecto, ha optado porque los servicios puedan usar sistemas opt-in u opt-out y que sean los usuarios quienes modifiquen sus preferencias de consumo según el sistema con el cual se sientan más cómodos. Se ha excluído expresamente de estos principios los supuestos de publicidad de la propia empresa y la publicidad contextual (AdWords) porque considera que, en estos casos, no hay potenciales brechas de privacidad.

Sigue leyendo

¿Cambiará Facebook nuestra forma de entender la privacidad?

Facebook

Hemos perdido la cuenta de la cantidad de veces que Facebook ha cambiado sus políticas de privacidad. La EFF ha contado hasta seis etapas distintas entre 2005 y 2010 en las que progresivamente Facebook ha ido modificando los términos de su servicio y haciendo públicos datos inicialmente privados. El número de usuarios de su servicio, sin embargo, ha crecido exponencialmente durante ese mismo período. Se calcula que el 70% de sus usuarios entran al menos una vez al día al sitio, lo que ha puesto a la empresa en una curva ascendente que parece no tener límites. Los 800 millones de dólares en utilidades al 2009 lo confirman. Una reciente iniciativa para que la mayor cantidad de usuarios abandonen el servicio en una fecha determinada fue un rotundo fracaso. ¿Acaso la privacidad de los datos personales ha dejado de importarnos? ¿Facebook está escribiendo los estándares de privacidad que regirán esta década?

Una primera objeción a esta hipótesis: quien no quiere correr el riesgo de que sus información privada sea expuesta públicamente, se abstiene de publicarla en la red social. Completamente cierto. Quien decide hacerlo, sin embargo, no renuncia inmediatamente al control sobre sus datos sino que se sujeta a un contrato, expresado en los Términos del Servicio y la Política del Privacidad de Facebook. El problema es que este contrato de adhesión ha sido modificado unilateralmente por Facebook al punto de decir exactamente lo contrario de lo que decía hace pocos meses. La siguiente tabla incluye la primera versión de las Políticas de Privacidad y sus tres últimas modificaciones.

El día de hoy, respecto de mi Información General, puedo elegir que ciertos usuarios no la vean pero no le puedo restringir a Facebook la posibilidad de intercambiarla con otras páginas y aplicaciones. Salvo, claro, que elimine esa información de Facebook.

“La era de la privacidad ha terminado”

Pese a estos cambios, el crecimiento de Facebook en número de usuarios y visitas ha seguido. De hecho, desde que introdujo el Open Graph e hizo los cambios en abril de 2010, ganó diez millones de usuarios nuevos durante el mes siguiente y esta cifra sigue creciendo. Detrás de este fenómeno podrían existir dos tipos de causas:

  1. Un primer grupo de usuarios de Facebook no ha comprendido bien los cambios y lo que éstos significan para su privacidad porque no los ha leído. En su versión en español, las Políticas de Privacidad de Facebook hacen más de 6000 palabras. Aunque la empresa se ha esforzado en comunicar estos cambios en forma sencilla, probablemente estos usuarios encuentren engorroso leer las Políticas de Privacidad o no lleguen a comprenderlas.
  2. Otro grupo de usuarios, conociendo los cambios, ha seguido prefiriendo el servicio porque no les importa que dicha información sea pública. O quizás sí les importa pero valoran más el continuar perteneciendo a la red social, lo que significa que les importa poco. Sospecho que esta sería la reacción de la mayoría de usuarios del primer grupo si llegaran a conocer las Políticas.

Facebook recibió similares críticas cuando incluyó el News Feed de actividad reciente de tus contactos (¿cómo así Facebook va a empezar a comunicar mi actividad a mis contactos sin mi permiso?). Hoy en día, nadie puede concebir Facebook sin esa función y ha sido incorporada también en otras redes sociales. Es probable que lo mismo llegue a pasar con este tipo de información, pese a la presión de la Comunidad Europea y de algunos senadores estadounidenses. La gran pregunta es si Facebook está cambiando nuestros límites entre lo privado y lo público, imponiéndonos la apertura que conviene a su modelo de negocio, o si somos nosotros los que estamos desarrollando nuevas formas de relación en las que entendemos que estos datos ya son públicos y Facebook simplemente se adapta a esto.

La era de la privacidad ha terminadodijo en enero Mark Zuckerberg y añadió que, si inventara Facebook de nuevo, toda la información sería pública por defecto. Para Zuckerberg, de veintiséis años, los cambios en sus Políticas de Privacidad solo reflejan la nueva forma que tiene la gente de conectarse. Como ellos lo ven, sus Políticas solo se han ajustado a la dinámica del intercambio de información e interacción actual. Comunidades sustentadas en la compartición como Tumblr, Twitter y ccMixter nos han demostrado que, para muchos, el nuevo paradigma es que todos puedan usar el contenido de todos. ¿Por qué  no podría darse una flexibilización similar en la privacidad? No sería la primera vez que la tecnología modifique las normas sociales.

Pero sospecho que Facebook está lejos de ser un agente pasivo en esta revolución. Henry Ford decía que, si él le hubiese preguntado a sus consumidores, ellos habrían pedido tener un caballo más veloz. La “nueva privacidad” es un producto de un sistema compuesto por: (1) la apuesta de Facebook, (2) la respuesta de sus usuarios, y (3) la regulación legal sobre privacidad. Por lo demás, nada muy distinto de la forma en la que se ajustan las condiciones en cualquier otro mercado competitivo (porque es competitivo, otra cosa es que Facebook tenga una buena cuota de mercado pero los usuarios tienen toda la chance de elegir otros servicio idénticos).

Facebook va a seguir presionando para lograr mayor apertura porque eso conviene a su negocio y dejará de hacerlo cuando sus hoy 500 millones de usuarios empiecen a abandonar su servicio o cuando el sistema legal se lo prohíba. En este tira y afloja, es importante que los usuarios comprendan a qué estamos renunciando cuando compartimos información en Facebook y pensemos si nos sentimos cómodos con ello. El sistema legal de Estados Unidos (donde se almacena la información) permite que el manejo de datos privados se regule por los términos del contrato y no intervendrá hasta que Facebook no incumpla el contrato (escenario lejano, si puede cambiarlo casi a su antojo). La interacción entre los usuarios y el sistema legal podría darse si un Estado solicita a Facebook entregarle cierta información privada y Facebook se ve obligado a revelarla (bajo la legislación post 9/11 es totalmente posible). Los usuarios, frente a este nivel de exposición y compromiso, también podrían responder negativamente abandonando el servicio. Bajo esta perspectiva, no tendremos un sistema de privacidad estático sino dinámico. Pero, al ser producto de un sistema del que somos parte, también nos asegura un poder de participación nada desdeñable.

Ilustración: Flickr, Gianluca Costanini ©

Facebook y el sueño de una red de usuarios con nombre propio

El lanzamiento de Facebook Social y su protocolo Open Graph hace varias semanas ha terminado por convertir a la marca Facebook en omnipresente en la red. Que todos naveguemos por Internet conservando nuestras identidades de Facebook convierte a la red social en un componente articulador de la red. Hace poco Mark Zuckerberg dijo expresamente que Facebook pretendía construir una red donde lo social sea el default o condición por defecto. ¿Qué nos quiere decir con eso?

Facebook acumula una gran cantidad de información de sus usuarios. Esta información es de todo tipo: gustos musicales, números telefónicos, cantidad de amigos, pasatiempos, adscripciones políticas. Si esa información fuese solo un texto plano (como lo puede ser el texto de un comentario en una foto) tendría poco valor. Hace tiempo Facebook convirtió esa información en hipervínculos que, al seguirlos, activaban una búsqueda que nos mostraba a otras personas que compartían ese mismo interés. Eso tiene un valor agregado para el usuario, quien podría contactarse con gente con la que comparte intereses y para cualquiera que, usando el motor de búsqueda de Facebook, quisiera encontrar un público para anunciar un producto o servicio. Recientemente, Facebook convirtió esa información en nodos de red con entidad propia (Conexiones), similares a las Páginas y a los Grupos. A la vez, modificó su política de privacidad para arrogarse el control de esa información y hacerla pública por defecto. Es decir, los datos que no tenían ningún valor ahora tienen un valor inmenso ya que acompañan tu identidad y se reflejan en el resto de páginas que visitas.

We are social

Cuando Facebook habla de hacer una red donde lo social sea el default, habla de una en donde todas las páginas puedan ofrecer contenidos en función de mis intereses, mi género o las redes a las que pertenezco (todos datos ahora públicos). Al mismo tiempo, habla de que cualquier elemento en Internet pasa a ser un elemento de Facebook. Una entrada en IMDB, un artículo en un blog o un video de Youtube podrán ser comentados o valuados como si estuviesen en la propia red social y con la identidad que el usuario tienen en ésta. Si bien, cierta información no se comparte directamente con terceros (ej. Blawyer no tiene forma de saber quiénes recomiendan sus artículos, solo cuántos son), la idea de ir dejando un rastro trazable de toda la actividad en línea –ya no un IP, sino todo un paquete de información– nos devuelve a una vieja discusión de los primeros años de la masificación de Internet.

Antes se pensaba que el comportamiento en Internet no se podía regular porque era una red que no necesitaba de una identificación personal para acceder a ella, al estar compuesta por protocolos abiertos y no propietarios. Pero esta condición era una función de su código ya que, como señalaba Lessig en su Code, una red podía ser modificada de forma tal que requiera identificación para acceder a ella. Una red más identificable no solo le interesará al Estado (que ve facilitada la aplicación de las leyes), sino también a los agentes comerciales (quienes pueden saber quién “entra” a sus tiendas o evitan fraudes de identidad). Esa es la razón por la cual constantemente se exige estar registrado para realizar actividades sensibles como transacciones comerciales en línea o, al entrar a un sitio de bebidas alcohólicas, se pregunta la fecha de nacimiento. Los agentes han creado, con mayor o menor éxito, sistemas de identidad para poder saber quiénes los visitan ya sea a través de sistemas manuales o cookies. Aquí es donde Facebook entra y les ofrece la posibilidad de acceder a todos los gustos, sabores y colores de las preferencias de sus usuarios a costo cero. Nunca me sonaron tan proféticas las palabras de Lessig en 1999 cuando decía:

Considera esta hipótesis completamente posible desde el punto de vista técnico bajo las arquitecturas existentes de la Red. Vas a una página web de una empresa en la cual confías, y le das a esa empresa todos tus datos privados –tu nombre, dirección, número de seguridad social, revistas favoritas, shows de TV, etc. Esa compañía te da una cookie. Luego, vas a otra página, una en la que no confías. Tú no has decidido darle a ese sitio ninguna información personal. Pero no hay forma de que sepas si ambas compañías no están intercambiando la información que recolectan. Es perfectamente posible que sincronicen la información de las cookies que crean. Y, en consecuencia, no hay ninguna razón técnica para pensar por qué una vez que ya diste tu información una vez, no sea conocida por el amplio rango de sitios que visitas. (traducción libre, p. 203)

El sueño de una red de usuarios con nombre propio ha sido soñado muchas veces y desde hace mucho tiempo (ej. CompuServe, AOL, OpenID o Google, quienes en distintas formas intentaron que sus usuarios porten la identidad de su servicio durante toda su navegación). No sé si Facebook esté cerca de lograrlo. Dada la gran cantidad de usuarios que tiene, la implementación del Open Graph ha sido generalizada. Más allá del éxito que llegue a tener en el tiempo, es un signo elocuente de que nos acercamos progresivamente hacia una Internet donde los usuarios cargan permanentemente su identidad en línea. Una Internet, por ende, mucho más regulable: con las consecuencias buenas y malas que eso pueda traer.

Foto: Jolie O’Dell (CC BY) / Infografía: Stefano Maggi (CC BY-NC-ND)

La ley peruana de protección de datos personales (reloaded)

Fuente: JOURNALMEX Periodistas de México

Anteriormente escribimos un artículo sobre el tema en Enfoque Derecho (publicación de  THEMIS-Revista de Derecho). También tocamos el tema en esta tribuna. En dicho artículo de agosto del 2008 reportábamos, a propósito de una de las reuniones preparatorias de APEC en Lima, lo siguiente:

«el anuncio mas importante fue el que hiciera la Ministra de Justicia, Rosario Fernandez, en el discurso de apertura de la charla, donde indicó que el Proyecto de Ley de Protección de Datos Personales, que dormía el sueño de los justos hace aproximadamente cuatro años y que incluso se encuentra en un link roto en la web del Ministerio aquí,  pronto verá la luz ya que  actualmente se encuentra en el despacho del Consejo de Ministros«.

También advertimos lo siguiente:

«Probablemente el lector se esté preguntando ¿no existe acaso una norma que regule el tema en el Perú? En el Perú existen normas sectoriales que regulan, por ejemplo, el secreto bancario o el secreto de las telecomunicaciones. Sin embargo, no existe una ley general que otorge una protección integral a los datos personales en línea con la tendencia internacional.

Entonces ¿cómo nos sirve una ley general de protección de datos personales? No es novedad decir que en el Perú se trafican datos personales a diestra y siniestra. Una breve caminata por el Jr. Wilson y una búsqueda en Google con los términos ”datos personales” y “jr. wilson” confirman nuestra afirmación

[…]

Tal como se encuentra planteado, el Proyecto de Ley peruano establece en buena cuenta que nadie puede utilizar ni explotar ningún dato personal sin el consentimiento previo y expreso de su titular. Asimismo la norma crea un registro de bases de datos y regula determinadas condiciones en que se debe lleve a cabo el tratamiento de datos personales. Si la ley entrara en vigencia, cada vez que suscribamos un contrato con una empresa de telecomunicaciones o un banco,  dichas entidades deberán informarnos expresamenet cual será la utilización que darán a nuestros datos personales. Si mas adelante queremos acceder a ellos (derecho de acceso), la empresa se encontrará obligada a facilitarnos dicha información. Asimismo si los datos reportan algún error, la empresa se encuentra obligada a rectificarlo (derecho de rectificación)».

En nuestra opinión, las conclusiones hasta este punto eran dos:

  1. Había un proyecto de ley de protección de datos personales promovido por el Ministerio de Justicia dando vueltas desde el año 2004 por diversas entidades públicas y como papel llevado por el viento habría aterrizado en el escritorio de la PCM en el 2008.
  2. Teniendo un marco normativo antispam y de regulación del telemarketing no contabamos con una norma general de protección de datos personales, más allá de su protección a nivel sectorial.

La actualización a todo lo antes expuesto la recibimos hoy y es que luego de casi dos años de la nota publicada tenemos noticias certeras del citado proyecto de ley. En efecto, el proyecto de ley del Ministerio de Justicia habría sido el punto de partida para el nuevo (y repotenciado por una comitiva multisectorial) proyecto de ley aprobado en sesión de hoy por la Presidencia del Consejo de Ministros. El siguiente paso sería el debate en el Congreso de la República donde todos estamos llamados a participar con aportes que incluso lo perfeccionen.

Acá viene el segundo tema: ¿es necesaria una ley de protección de datos personales?¿es más necesaria aún en la Sociedad de la Información?

  1. Sobre la primera pregunta creemos que si. Una ley de protección de datos personales  no sólo puede ser útil para combatir a los «ladrones» de datos personales sino además como complemento para el desarrollo del comercio y otras iniciativas interesantes como la notificación electrónica y los expedientes digitales  (ver acá y acá artículos interesantes planteando la necesidad de una regulación sobre el tema y los beneficios que de ella pueden obtenerse). Es necesario que nuestro país cuente con un marco normativo integral (y no sólo sectorial) que otorgue protección a sus ciudadanos sobre su información personal y nos alínee con la tendencia internacional sobre la materia (Sin ir muy lejos México aprobó recientemente su norma de protección de datos personales).
  2. Sobre la segunda interrogante, no queda duda que la era informática permite con mayor facilidad el acopio, gestión y explotación de los datos personales. Para no aburrirlos con el ejemplo de Wilson y las bases de datos, pongamos uno más reciente: Facebook. Hemos oido hasta el cansancio sobre todos los problemas de privacidad generados por Facebook y sus cambiantes políticas internas (ver esta, esta y esta nota de ElComercio y este interesante análisis de Nestor Gallo sobre la privacidad en tiempos de Facebook). El ejemplo parece hablar por si sólo.

En el contexto planteado, dos preguntas que me atrevo a formular son: ¿cómo debe ser entonces nuestra ley de protección de datos personales? Como hemos señalado anteriormente existen dos modelos que han intentado otorgar protección a los datos personales a nivel mundial: el estadounidense y el europeo. El primero se apoya en mecanismos de autorregulación a través del sector privado, es decir, se confía en el buen criterio adoptado por las empresas para el tratamiento de datos personales. El segundo, de corte más proteccionista, postula la necesidad de desarrollar un cuerpo normativo y establecer la creación de una autoridad que persiga y sancione a los infracciones que establece la norma en relación con el tratamiento de datos personales, considerado un derecho fundamental. No conocemos el nuevo proyecto de ley pero el propuesto inicialmente por el Ministerio de Justicia se adhería al modelo europeo.

Intentando responder a la pregunta planteada consideramos que la ley propuesta debería ser una de mínimos. Una regulación excesivamente proteccionista puede terminar limitando el flujo de información en nuestra sociedad y las opciones que tenemos los consumidores en el mercado para adquirir bienes y servicios. En contraposición la inexistencia de regulación o la existencia de una demasiado flexible puede no generar el efecto de tutela deseado. En ese sentido consideramos que es muy importante lograr un equilibrio. Para ello es necesario que en la discusión del proyecto de ley actual se recojan las impresiones de los agentes a los que se les aplicará así como los titulares de datos personales. Finalmente es muy importante que el análisis costo-beneficio del proyecto de ley se encuentre debidamente sustentado a efectos que sea una norma que se pueda cumplir y sobre todo fiscalizar. Estaremos a la espera de la revisión del nuevo proyecto de ley para dar mayores comentarios al respecto. Por ahora, que empiece el debate.

Fuente de la imágen:  JOURNALMEX Periodistas de México