Un correo electrónico que publicitaba la marca de ropa María Bonita llegó a la casilla de entrada de una persona que no lo solicitó. Este hecho terminó con una sanción por el envío de correo electrónico no deseado el 26 de mayo de 2011, tras la denuncia del perjudicado. También este año pero en julio se resolvió sancionar a American Airlines Sucursal Uruguay por el envío de spam (correo no deseado) con datos sobre sorteos e información promocional de la empresa luego de que una persona, que no se había inscripto para recibir estos mails, recibiera los correos y denunciara los hechos.
Estos fueron solo dos casos del total de 209 dictámenes, resoluciones e informes de 2011 de la Unidad Reguladora y de Control de Datos Personales, un organismo desconcentrado de la Agencia de Gobierno Electrónico (Agesic).
En este período hubo un aumento en las consultas y denuncias, una tendencia “esperable” porque cada vez más gente conoce sus derechos, dijo a Búsqueda Federico Monteverde, magister en Gobierno Electrónico y presidente del Consejo Ejecutivo de la Unidad de Datos Personales.
En 2011 se registró un aumento con respecto a años anteriores en el número de consultas (42) y denuncias (106) sobre la protección de datos personales presentadas por ciudadanos. En 2010 se trataron expedientes de 18 consultas y 11 denuncias referidas a la protección de datos personales.
También aumentaron los reclamos por recibir correos no deseados vía mail. “Viene creciendo de forma muy importante”, opinó Monteverde.
“Hay una toma de conciencia por parte de las personas de que es un derecho que tienen y que pueden plantear su denuncia o hacer su consulta”, dijo a Búsqueda la abogada María José Viega, directora de Derechos Ciudadanos de Agesic. Además, “un facilitador importante” para el aumento de estas consultas y denuncias es que se pueden hacer a través de la web de la Unidad.
Los principales motivos de denuncias en 2011 fueron por spam y por la inclusión en base de datos de instituciones crediticias, lo que refiere por ejemplo al ingreso de datos al Clearing. Este no es el único caso; ha ocurrido que las personas piden que se los retire de bases de datos pero el retiro no se produce.
También figuran entre los principales motivos de denuncias cuestionamientos por el “derecho al olvido debido a la inclusión en un sitio web oficial de la sanción que ya caducó”. Por ejemplo, una persona publica en un sitio web determinada información. Esta información es tomada por los buscadores y almacenada en sus índices de búsqueda y muchas veces la información sigue disponible pese a que la persona ya la quitó del sitio, por eso en el buscador sigue apareciendo.
Puede ocurrir por desconocimiento pero también porque “a veces la tecnología va más allá de lo que uno piensa y los resultados superan lo que uno espera”, opinó Monteverde.
Además, la Unidad en 2011 recibió planteos sobre comunicación de datos personales y videovigilancia entre los destacados.
Hubo 1.582 consultas telefónicas a la mesa de ayuda de Agesic formuladas para la Unidad. Hubo consultas generales, por videovigilancia y por registros de bases de datos y comunicaciones, entre otras. Recibieron además en total 268 consultas en la asesoría atendida por profesionales.
Registro.
Las bases de datos personales pueden almacenar diferentes tipos de información según su finalidad. La gran mayoría solo contienen datos identificatorios pero hay otras que tienen información personal que está protegida por ley.
¿Cómo lograr que los titulares de las bases de datos tomen conciencia de la importancia de tener esos registros? La solución extendida en diversos países y también en Uruguay es exigir mediante la ley el registro de esas bases.
Este registro —exigido en Uruguay a través de la Ley 18.331 de 2008— está pensado para que los titulares de las bases de datos sepan a qué atenerse, para que “tomen conciencia”.
“Esa es la función, si bien la ley le asigna carácter de legal a la base que está registrada”, explicó Viega. “El registro fue muy exitoso si lo comparamos por ejemplo con lo que fue el registro durante los primeros años —luego de aprobadas leyes similares— en los países europeos”, comentó Viega.
Hubo un pico de registros en 2010 y en 2011 comenzaron a disminuir. Hasta el momento hubo 11.583 bases de datos presentadas, 230 de organismos públicos. Este número “es mucho” si se comparan los números de Uruguay en escala con otros países, explicó Monteverde.
En 2011 se registraron 687 del total de bases y ocho fueron de organismos públicos. El 9% de las bases de datos tiene información sensible. En Uruguay las organizaciones públicas y privadas exigen a sus trabajadores presentar constancias de exámenes médicos, entre otros datos. Las que contienen datos sensibles, el 54% refiere a información de la salud y en menor porcentaje sindicales, origen racial, vida sexual y religiosos.
A nivel de porcentajes la respuesta de España fue un 10% inferior a la de Uruguay cuando comenzó la tarea de registros, informó Viega. Además, los españoles evaluaron sus primeros dos años con los primeros dos años de registros en Uruguay y la diferencia era “notoria”.
Equilibrio y sanciones.
“La clave es el equilibrio entre tecnología y privacidad, y el equilibrio entre el derecho a la privacidad y otros derechos como es el de acceso a la información pública, de comercio o de expresión —como el derecho al olvido—. Nosotros estamos siempre haciendo equilibrio entre distintos derechos fundamentales”, destacó Monteverde.
“Los derechos no deben operar como un obstáculo al desarrollo tecnológico. Es una permanente búsqueda del equilibrio”, agregó.
Tras la consulta o denuncia se hace una investigación que a veces no arroja consecuencias para el denunciado. Esto generalmente sucede porque muchas veces la gente brinda su consentimiento pero no es consciente de que lo dio.
Por ejemplo, determinadas tarjetas en el mercado como las de puntos o millas tienen una cláusula que indica que cuando se adquieren se da el consentimiento para que los datos que se completan en la tarjeta puedan ser utilizados de cualquier forma y puedan ser cedidos.
“Se han planteado casos en que viene una persona a denunciar por spam y la empresa B dice que otra empresa A le cedió los datos. La persona denunciante había firmado para darle los datos a la empresa A y aceptó que pueda ceder la información a otros”, explicó Viega.
“Tenemos que ser conscientes de que los datos son nuestros pero que el ‘principio del consentimiento’ es la base para que los demás utilicen nuestros datos. Después no podemos denunciar”, agregó la abogada.
En 2011 el 14% de las bases registradas cedían o comunicaban la información. El 95% cedían o comunicaban de forma gratuita pero el 4% cobraba por brindar la información. Internet es un campo en el que esto sucede a menudo porque “nadie lee los términos legales, de uso o de privacidad”, comentó. Monteverde aclaró que como cada caso es diferente, a cada consulta o denuncia se la debe analizar de forma individual.
La severidad de las sanciones para quienes son denunciados e incumplen con la ley varían; pueden ir desde el apercibimiento hasta la multa o la clausura de las bases de datos.
“El enfoque de este Consejo Ejecutivo no es punitivo sino de formación y educación. La sociedad tiene que madurar, tanto la ciudadanía como los operadores”, detalló su presidente. De las resoluciones sancionadas hubo 90% de observaciones y 10% de multas en 2011. Se expidieron 1.734 resoluciones y 32 dictámenes.
Edición 1666
2012-06-14T00:00:00
2012-06-14T00:00:00
