La capacidad limitada de almacenamiento, la convergencia de las tecnologías, el procesamiento de información a todo nivel, el uso de celulares y el almacenamiento en la nube, todos estos —y otros— avances trabajan sobre datos personales que cada día millones de usuarios aumentan exponencialmente.
Durante la 34ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad en Punta del Este —entre el 23 y 24 de octubre—, especialistas, políticos, académicos y empresarios de la industria se reunieron a conversar sobre la necesidad de contar con garantías que protejan la información personal hoy cada vez más disponible a través de la web. El evento fue organizado por la Unidad Reguladora y de Control de Datos Personales y la Agencia de Gobierno Electrónico (Agesic).
Durante su disertación en la conferencia, Wolfgang Kilian, fundador y director del Instituto de Informática Legal en la Universidad de Hannover en Alemania —país pionero en este tema— sostuvo que los proveedores de servicios como Facebook, Google, Apple y Amazon son jugadores globales que poseen un poder muy fuerte en el mercado y advirtió que los usuarios transmiten sus datos personales para un conjunto de propósitos, algunos conocidos y otros desconocidos para ellos.
—En la actualidad, la información puede ser utilizada en Europa o en América Latina pero está almacenada en Estados Unidos. ¿Es esto un problema para la protección de los datos personales?
—Sí, lo es. Sin lugar a dudas. La información sobrepasa las fronteras de los países mientras que la legislación está limitada al territorio. Esto genera un problema en cómo poder hacer uso de tus derechos, cómo utilizar o borrar la información. Todos los proveedores más grandes de servicios tienen la base de sus negocios en Estados Unidos.
Por ejemplo, si Europa quisiera borrar información, ¿cómo proceder si no hay regulación internacional que cubra esta área? Es difícil hacer cumplir los derechos que pueden existir en un país pero no en otro. Necesitamos regulación internacional, que sea global. Por eso pido que este tema se trate en el marco de las Convenciones de Naciones Unidas.
Existen 89 países en el mundo de un total de 210 que tienen algún tipo de protección de información. En los demás no existe.
—¿El problema entonces puede surgir a partir de dos situaciones, cuando te encuentras en estos países sin legislación en donde tu información no está protegida, o cuando estás en un país protegido pero esa información está disponible en otro en el que no hay legislación?
—Por eso la legislación europea establece que para que se transfiera información a un país fuera de la Unión Europea (UE) este país debe tener un nivel adecuado de protección de datos, debe garantizarlo mediante legislación que no necesita ser idéntica a la de la UE pero sí comparable. Solamente bajo esta condición el traspaso de información puede ser realizado.
En este momento Uruguay es el único país en América del Sur que provee niveles de protección adecuados. No hay problema para que empresas o autoridades de gobierno transfieran información de la UE —Uruguay fue declarado este año “país adecuado” en materia de protección de datos personales conforme con la directiva europea 95/46/CE—. Distinta es la situación con los demás países de la región. Se deben firmar contratos, entre una empresa y otra, si quieren transferir información, y deben negociar sobre cómo manejarán los datos. En cambio en países que la UE considera que tienen niveles adecuados de protección no hay necesidad de pautar regulación extra. Una empresa alemana puede transferir información sobre sus empleados con su filial uruguaya.
Hoy los datos se transfieren de manera sencilla y rápida a través de las fronteras de los países, entonces la UE quiere garantizar estándares básicos de derechos de protección de la información. Por ejemplo, Estados Unidos no es considerado un país que garantice un nivel adecuado de protección.
—¿Por qué Estados Unidos no es confiable?
—Porque hay solo unas pequeñas áreas que tienen regulación. Ellos confían en la autorregulación y no en leyes federales por ejemplo.
Hay solo algunas áreas que sí cumplen con la regulación para un manejo correcto que son los registros de cáncer y la información financiera. No la tienen, por ejemplo, en el sector de las telecomunicaciones.
Se dio en su momento una discusión sobre si correspondía que las aerolíneas europeas le dieran información a Estados Unidos sobre los pasajeros que viajan a ese país, solo por el motivo de la protección de datos. Finalmente solo se permitió intercambiar 19 ítems de información de los viajeros, datos como el nombre, la dirección, la fecha en que viajan y el destino. Solo estos 19 puntos fueron regulados en un acuerdo entre la Comisión de la Unión Europea y las agencias estadounidenses. Se reguló quién tenía acceso en Estados Unidos a la información de los pasajeros, lo que era necesario porque ese país no cumple con niveles adecuados de protección.
—Existen otros debates...
—El Estado demanda más almacenamiento de datos personales porque se afirma que es de interés público. Datos sobre la salud de las personas o información tributaria. Pero a veces hay conflictos, como la exigencia de la UE para que las empresas de telecomunicaciones almacenen toda información que manejan sobre las comunicaciones que mantienen sus usuarios, incluso sus mensajes de texto de hasta dos años atrás, solo por la posibilidad de que alguien sea sospechado de un crimen y la Policía necesite acceder a estos datos. Es necesario discutir si esto es de interés público porque así seríamos todos sospechosos y es un conflicto que aún no tiene una resolución.
También está en discusión si el empleador tiene derecho a conocer la información sobre la salud de sus empleados con el argumento de que en un caso de enfermedad esto repercute sobre la empresa. En Alemania, por ejemplo, el empleador no puede acceder a este tipo de información. El empleador sí puede consultarle al médico encargado —que está al tanto de las condiciones de salud de los empleados de la empresa— si determinada persona está en condiciones de ocupar cierto cargo en la empresa y ahí el médico le aconsejará en función de lo que conoce sobre su condición de salud clínica, pero el empleador no puede acceder directamente a la historia clínica.
La gente con experiencia está atenta a los problemas que surgen de compartir información en las redes sociales pero no todos los jóvenes se dan cuenta. Usan Facebook y no se lo cuestionan. Creo que el camino es la educación. Tenemos que entrar a las escuelas a enseñarles. Deben ser conscientes al elegir y conocer las repercusiones de lo que hacen.
—Si bien quien se hace un perfil de Facebook aprende a conocer que hay niveles de privacidad que se pueden configurar, las condiciones de privacidad que debe aceptar para poder crear ese usuario son tan largas que pocos llegan hasta la última página. ¿Qué salida le ve para que los usuarios puedan ejercer sus derechos?
—Hace 40 años que trabajo en esto y he hecho estudios empíricos acerca de lo qué sucede en la relación de usuarios y empleados y la información que manejan las empresas de ellos y si estos datos juegan un rol en este intercambio. Encontré que es demasiado complicado hacer uso de tus derechos en este mundo globalizado.
Busco ver cómo trabajan las organizaciones de defensa del consumidor en distintos lugares para ver si la protección de datos se está convirtiendo en un problema en este sentido. Puedo decirle ya que sí se está convirtiendo en un problema. Estas organizaciones reúnen gente que tiene los mismos problemas. No miran al individuo en particular que demanda acceso o protección de su información y es ese el camino.
Conozco el caso de un estudiante de derecho en Viena que demandó a Facebook pidiendo saber qué información tenía sobre él la empresa. Se amparó en la legislación europea porque Facebook tiene una filial ubicada en Dublín. Obtuvo un informe de 1.200 páginas en el que la empresa detalla qué tipo de información ha sido almacenada sobre su persona, sin contar las fotos porque en ese caso los datos serían más complejos de clasificar. Este caso demostró lo difícil que es para los individuos por sí solos poder ejercitar sus derechos y si lo hacen reciben tanta información que no la pueden procesar.
—¿De qué forma entonces se le puede ofrecer al usuario de Internet un servicio seguro en el que se respete la protección de datos personales?
—Se le debe ofrecer al usuario un servicio seguro amparado en el Derecho. La persona accede al mismo servicio pero debe poder elegir entre conectarse y utilizar de forma gratuita las redes sociales por ejemplo, o pagar una tasa baja para conectarse de forma segura en un marco de protección de la información que brinda con la garantía que sus datos no serán utilizados para otras cosas como marketing. Que sea elección de cada uno si lo quieres gratis o estás dispuesto a pagar.
En este momento el problema con Facebook es que la única forma de utilizarlo es aceptando sus términos y condiciones. Debes aceptar lo que ellos disponen. La primera oración dice que tú eres el dueño de tu información y la segunda que ellos pueden hacer lo que quieren. Es una verdadera contradicción desde el punto de vista legal.
—¿Y hay forma de solucionarlo?
—Por ahora no, porque tienen una visión diferente de lo que consideran como propiedad. Si eres dueño quiere decir que tienes el derecho de disponer de lo que te pertenece y también de evitar que otros utilicen tu información. Para el sector privado tenemos un mercado —de la publicidad y el marketing— que paga por información, los datos tienen un valor. Los venden pero el dinero no va para las personas dueñas de esos datos personales, quedan fuera del juego y esto no tiene sentido.
Mi idea es que si la información está siendo utilizada por el mercado con fines comerciales, podemos unirnos e imponer condiciones en el mercado.
Ciencia, Salud y Ambiente
2012-11-01T00:00:00
2012-11-01T00:00:00
