Es necesario que la aprobación del Convenio de Budapest en Colombia no solo se trate de la simple criminalización de conductas, sino, también, de reflexionar sobre otro tipo de intervenciones que son necesarias para proteger los derechos de las personas en el contexto digital
Temática: Protección de datos
México y el Convenio de Budapest: posibles incompatibilidades
El Convenio de Budapest es un instrumento internacional que busca homogeneizar la manera en que los diversos países contratantes abordan y definen la “cibercriminalidad”. Pero, ¿qué pasa cuando son los mismos Estados los responsables de la comisión de este tipo de delitos?
Panamá, un país con la necesidad de una legislación sobre cibercrimen
Una reforma adecuada permitiría que los mecanismos para la investigación penal aseguren la correcta guía y salvaguarda de los derechos humanos y garantías procesales reconocidos por tratados internacionales y la Constitución.
Políticas públicas para el acceso a internet en Venezuela. Inversión, infraestructura y el derecho al acceso entre los años 2000-2017 (2018)
Este análisis toma en consideración el contexto histórico, político y social alrededor de la historia de la infraestructura de las telecomunicaciones y las restricciones del acceso a internet en Venezuela, a través del análisis de un conjunto de indicadores e hitos resumidos en una infografía.
De Budapest al Perú: análisis sobre el proceso de implementación del convenio de ciberdelincuencia. Impacto en el corto, mediano y largo plazo (2018)
Hace poco el Poder Ejecutivo de Perú remitió al Congreso los documentos relacionados al Convenio de Budapest, para su revisión y posterior ratificación. Pero, ¿qué es este convenio y por qué es importante para Perú?
El derecho a la privacidad (2018)
Informe de las partes interesadas. Examen Periódico Universal. 32o período de sesiones – Chile. Enero 2019
Tenemos que hablar: internet está jugando con tus sentimientos (2018)
Fanzine que esboza el modo en que las plataformas de internet explotan las emociones de sus usuarios con el fin de incentivarlos a publicar y compartir más en ellas.
Avanza la tramitación de la ley de datos: lo bueno, lo malo y lo feo
El pasado 3 de julio, luego de muchísima expectación y múltiples extensiones de plazo, el ejecutivo ingresó sus indicaciones al proyecto de ley que regula la protección de datos personales que hoy se encuentra en tramitación en el Senado. Este hito es relevante, porque estas modificaciones perfilan la orientación que el ejecutivo buscará entregar a la tramitación del proyecto durante su mandato.
A continuación, nos proponemos analizar lo bueno, lo mano y lo feo de las modificaciones propuestas, con especial énfasis en la toma de partido respecto de la institucionalidad encargada de velar por el cumplimiento de la ley.
Lo bueno
Las indicaciones del ejecutivo recogen muchas de las inquietudes y propuestas manifestadas por distintos académicos, expertos, organizaciones de la sociedad civil y organismos públicos. En cuanto a disposiciones de fondo, es posible observar que las modificaciones propuestas reponen los hábitos personales como elemento mencionado en la enumeración de datos de carácter sensible. Esta mención es particularmente importante, ya que una parte importante del modelo de negocios de los servicios que utilizamos depende cada vez más de rastrear nuestros patrones, rutinas y hábitos de forma precisa.
Otra figura importante que se modifica es la excepción de fuente accesibles al público. La regla general es que, para tratar un dato personal, se requiere el consentimiento de su titular. Actualmente, el hecho de que un dato se encuentre en una fuente accesible al público se configura como excepción a este principio; una excepción tan amplia que termina transformando la desprotección en la regla general. De ahí la proliferación de sitios web que exponen nuestros datos o de empresas que los utilizan para entregar inteligencia de negocio a campañas políticas.
El proyecto original no subsanaba de forma satisfactoria esta situación. La indicación, por su parte, establece que la definición de qué se considera una fuente accesible al público no será amplia, sino taxativa. Esto quiere decir que un número limitado y establecido de fuentes de información tendrán esta categoría, y que ese listado será revisado anualmente por la entidad encargada de protección de datos. De esta forma se limita qué fuentes de información efectivamente pueden operar como excepción al principio del consentimiento, y se permite que este listado cuente con cierta flexibilidad.
Siguiendo con las excepciones, el proyecto original establecía como excepción al consentimiento del titular el hecho de que el interesado en tratar datos personales contara con un “interés legítimo” en su tratamiento. Esta figura fue tomada del Reglamento General de Protección de Datos de Europa, pero sin importar junto con ello todos los resguardos y limitaciones a su aplicación que en él se establecen. La indicación propone definir qué se entiende por interés legítimo, limitándolo a actividades particulares y excepcionales.
Por otro lado, se elimina la exigencia de que los titulares solo se puedan oponer al tratamiento automatizado de sus datos personales cuando estos los afecten de forma significativamente negativa o les produzcan efectos jurídicos adversos. De esta forma, el titular tendrá mayor libertad para oponerse a la toma de decisiones algorítmicas respecto de su persona y la elaboración de perfiles a partir de sus datos personales, sin entrar discutir su calificación.
Lo malo
Así como el proyecto avanza en las materias antes mencionadas, también retrocede o no subsana carencias de varias de sus disposiciones. Uno de los elementos en que el proyecto había retrocedido respecto de la actual Ley 19.628 es en la obligación de los organismos públicos de registrar las bases de datos que administren. Lo conducente hubiese sido que dicha obligación se extendiese también a las entidades privadas, sin embargo, el gobierno optó por reponer esta obligación exclusivamente a los organismos públicos a través de la creación del Registro Nacional de Bases de Datos.
Otro elemento negativo es que la definición de motor de búsqueda propuesta establece explícitamente que estos serán considerados como responsables de bases de datos. Esto implica que respecto de buscadores como Google, Bing o DuckDuck Go o Yahoo los titulares podrán hacer efectivo el derecho de cancelación y oposición, para lograr desindexación de su información, situación que ha sido denominada como “derecho al olvido”.
Como hemos dicho con anterioridad, si bien debe existir una solución para aquellas personas que se ven afectadas por la disponibilidad de información inexacta, desactualizada o que les impide su reinserción en la sociedad, dicha solución debe tener en consideración los otros intereses jurídicos involucrados, tales como la expresión, el derecho a obtener información, la memoria histórica y al ejercicio del periodismo de investigación.
Por último, el proyecto establecía que el consentimiento no se considerará una base jurídica suficiente para la validez del tratamiento de datos, cuando exista un desequilibrio ostensible entre la posición del titular y el responsable. Existen argumentos entendibles respecto de la falta de certeza jurídica que puede producir esta disposición. Sin embargo, la modificación propuesta no entrega una herramienta para hacerse cargo de la desigual condición en que se encuentra un usuario respecto de una empresa al momento de contratar. De esta forma, solo se exige que, si al momento de contratar el responsable pide la entrega de datos no relacionados con el contrato, esta situación se encuentre destacada, que no es un remedio suficiente a la situación de desequilibrio en juego.
Lo feo
Ya mencionamos que al momento de definir qué se entiende por interés legítimo, la modificación propuesta limitó las situaciones en que esta excepción puede ser utilizada. El articulado entrega un listado de situaciones que cumplen con esta definición, entre las que se encuentran actividades de prevención del fraude, seguridad informática, investigación con fines históricos, estadísticos, y científicos, entre otros. Sin embargo, en este listado de actividades que se considerarán un “fin legítimo” se incluyó el marketing directo, es decir, el envío de publicidad por parte de las empresas. En otras palabras, las empresas no requerirán el consentimiento de las personas para enviar publicidad dirigida. Esta inclusión es injustificada, arbitraria y solo puede entenderse en base al lobby de la industria en la materia.
Por último, las infracciones de tratamiento de datos inexactos y de denegar las peticiones de los titulares de datos sin causa justificada con las indicaciones pasaron de ser infracciones graves a infracciones leves.
Y ahora ¿Quién podrá defendernos?
Es esencial que la nueva legislación de protección de datos sea rigurosa, robusta y cuente con una aproximación de derechos fundamentales. Sin embargo, sin una institucionalidad que sea capaz de hacer efectiva esas obligaciones, la ley está destinada a convertirse en tinta sobre un papel.
Es por ello que la decisión de cuál será el organismo encargo de velar por el cumplimiento de la nueva ley se transformó desde el primer día en una de las principales definiciones de la modificación legislativa.
El proyecto original creaba una nueva institucionalidad, de carácter técnico y dependiente del Ministerio de Hacienda. Esta dependencia funcional generó resquemores respecto del nivel de autonomía e independencia de la entidad, especialmente al momento de fallar casos relacionados con organismos públicos.
La modificación propuesta por el ejecutivo hace un golpe de timón, y entrega al Consejo para la Transparencia la tarea de velar por el cumplimiento de la ley. Para ello establece que este organismo se deberá dividir en dos áreas (una para acceso a la información y otra para protección de datos personales), operar en dos salas (también divididas temáticamente) y aumenta su número de consejeros de cuatro a cinco. Del mismo modo, los consejeros pasan a tener dedicación exclusiva, se establecen incompatibilidades respecto de aquellos que puedan tener intereses en el sector privado y quienes hayan sido sancionados previamente por tratamiento indebido de datos personales.
Si bien el Consejo para la Transparencia cuenta con un nivel mayor de autonomía que la institucionalidad propuesta por el proyecto original, su carácter especializado y técnico requiere ser profundizado. La transparencia y la protección de datos personales no son disciplinas excluyentes, pero sin duda responden a principios distintos e incluso a una formación profesional particular.
En este sentido, sería positivo que durante la tramitación legislativa se aumente el número de consejeros a seis, y exigir que la mitad sea especialista en materia de protección de datos personales. Por último, resulta indispensable dotar a la nueva institucionalidad con las herramientas necesarias para fiscalizar de forma efectiva al sector privado, especialmente teniendo en consideración que el ejecutivo ha decidido correctamente aumentar el monto de las multas hasta un 4% del volumen de negocios anual de la institución infractora.
¿En qué consiste la Ley General de Protección de datos recientemente aprobada en Brasil?
La semana pasada, el Senado brasileño aprobó la Ley General de Protección de Datos, considerado el proyecto más completo entre los que se estaban discutiendo en el Congreso en materia de protección de datos personales. El proyecto fue apoyado por más de 60 organizaciones y entidades relacionadas con el comercio, las comunicaciones, los sectores de internet y las organizaciones de la sociedad civil.
Actualmente, Brasil tiene algunas leyes sectoriales, como el Marco de Civil para Internet, que deja varias lagunas y no entrega seguridad jurídica para la protección de la privacidad de los usuarios en otros sectores. Pero el retraso que presenta Brasil en la aprobación de una ley de protección de datos posibilitó el diseño de un texto avanzado, que apunta a garantizar el control de los usuarios sobre sus datos personales.
Al igual que el Reglamento General de Protección de Datos europeo (GDPR), el proyecto de ley brinda una definición amplia de datos personales, considerando que es aquel que refiere a una persona identificada o identificable, lo que incluye números de identificación, datos de ubicación o identificadores electrónicos.
La piedra angular del proyecto de ley es el requisito de requerir el consentimiento del titular para el tratamiento de sus datos, el cual debe ser libre e inequívoco. Por otro lado, la empresa que busque tratar la información debe informar expresamente no solo sobre la recopilación, sino también sobre los usos específicos de los datos recopilados, y no puede hacerlo en términos generales o vagos. Además, este consentimiento también debe ser revocable en cualquier momento.
Las nuevas reglas se aplicarán a todas las instituciones que manejan datos personales en sus operaciones o al ofrecer sus productos y servicios, tanto del sector público como del privado. Si el proyecto de ley es sancionado, las instituciones que tendrán 18 meses para adaptarse.
También se crea una Autoridad de Protección de Datos, una agencia gubernamental independiente vinculada al Ministerio de Justicia, con el objetivo de salvaguardar la vigilancia y la aplicación de sanciones, entre otras funciones. Aquellos que violan la nueva Ley están sujetos a una advertencia, multas de hasta el 2 por ciento de los ingresos (máximo de 50 millones de reales brasileños), suspensión parcial o total de la operación, entre otras sanciones. Las filtraciones de datos deberán ser informadas inmediatamente a la Autoridad de Protección de Datos.
Se especula que el presidente Michel Temer quizás vetará los artículos que mencionan la Autoridad de Protección de Datos. El Ministerio de Finanzas cuestiona la necesidad de crear otra agencia reguladora debido a la necesidad de reducir los costos del gobierno
Los parlamentarios señalaron que la inclusión de la APD en el proyecto de ley era una forma de presionar al gobierno para que creara esta agencia reguladora. Si estos artículos son vetados, será un revés importante, ya que las funciones de APD serán fundamentales para la aplicación de la ley de protección de datos.
Cuando el proyecto de ley entre en vigencia, aún habrá desafíos para su implementación. Después de años de negligencia sobre la importancia de proteger la privacidad, la aplicación de la ley no es suficiente. También debe haber un cambio de cultura, con la expansión de las políticas públicas para proteger la privacidad de los usuarios.
Internet está jugando con tus sentimientos
De forma asertiva, la organización Coding Rights ha bautizado este fenómeno como el Chupadatos, un monstruo incansable que vive detrás de cada aplicación, cada búsqueda en internet, cada comentario en redes sociales y cada aparato inteligente. Su labor es engullir, cuantificar y subastar nuestros datos al mejor postor. Y para que eso sea posible, no solo se necesita de una robusta infraestructura, sino de una cultura alrededor del uso de internet.
En Tenemos que hablar, internet está jugando con tus sentimientos, Belén Roca aborda el modo en que nuestros afectos son explotados por el mercado de los datos. El miedo, la ansiedad, la soledad, la precariedad y la vanidad son emociones reales, tan reales que se proyectan en el uso que hacemos de los servicios en línea. Son cinco historias de ocurren en Chile pero podrían ocurrir en cualquier otro lugar de América Latina o el mundo, ¿te identificas con alguna de ellas?
Retomando las historias del Chupadatos, continuamos con la descripción y la reflexión alrededor de los mecanismos de persuación y de control que se utilizan en internet para garantizar que sea una economía próspera, ¿estamos siendo abusados emocionalmente allí? Estemos alerta y conscientes de qué es exactamente lo que le estamos dando a la red.