Dante Mauricio Negro Alvarado
Abogado, Master of Law. Director de la Oficina de Derecho Internacional del Departamento de Asuntos Jurídicos Internacionales de la Organización de los Estados Americanos (OEA), Washington, D.C., U.S.A.
La Asamblea General de la OEA, reunida en su más reciente período ordinario de sesiones de noviembre de 2021, aprobó los “Principios Actualizados sobre la Privacidad y la Protección de Datos Personales” elaborados por el Comité Jurídico Interamericano. Asimismo, solicitó al Departamento de Derecho Internacional de dicha Organización que les dé la más amplia difusión.[2] Dicha aprobación fue inédita teniendo en cuenta que estos principios constituyen soft law y no un tratado internacional jurídicamente obligatorio. Debido precisamente a ello, este instrumento está llamado a convertirse en un referente para todos los Estados de la región en sus esfuerzos por adoptar o reformar su legislación interna en materia de protección de datos personales.
Nuestro objetivo en esta breve presentación será poner de relieve algunos de los componentes más importantes de este régimen tal como están propuestos en los Principios de la OEA con el ánimo de generar un debate sólido y bien informado al respecto que propicie posteriormente una discusión mucho más detallada.
Comencemos por la definición misma de lo que es un dato personal. Los datos personales están constituidos por cualquier información concerniente a una persona física (no abarca a las personas jurídicas, aunque algunas legislaciones tienden a extender la figura), expresada en forma alfabética, numérica, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. A diferencia de lo que sucedía hace pocos años atrás, las imágenes, los sonidos y hasta las huellas digitales son considerados actualmente datos personales. Este es pues el universo al que se aplica el régimen de protección en cuestión.
Sin embargo, dicho universo no es tan amplio como podría parecer a primera vista. Los datos a los que se aplica el régimen deben permitir identificar o individualizar, directa o indirectamente, al titular del derecho: la persona debe ser identificada o identificable sin que para ello se requiera pasos o actividades desproporcionadas. Así, por ejemplo, una lista que contenga direcciones de correo electrónico del tipo nombre.apellido@empresa será un dato personal. Por el contrario, la dirección IP de una computadora o un celular, que es un número que identifica de forma única a una interfaz en red de cualquier dispositivo conectado a ella que utilice dicho protocolo, permitirá a un operador identificar rápidamente a un usuario y por lo tanto dicho IP será un dato personal para él, pero no así para otras personas que no tengan como realizar el proceso de asociación.
Por otro lado, para que las normas sobre protección de datos personales operen, no basta con que tengamos un dato personal tal como lo hemos definido anteriormente. Es necesario que el mismo sea “tratado”, es decir, que sea utilizado para tomar decisiones que afecten específicamente a la persona a la que pertenecen. Así, el tratamiento se define como cualquier operación efectuada mediante procedimientos físicos o automatizados relacionada, entre otras, con la obtención, acceso, registro, organización, indexación, modificación, almacenamiento, conservación, transferencia, difusión, o aprovechamiento de datos personales. La mera posesión o conocimiento de un dato personal no es suficiente para que se aplique el régimen. Por ejemplo, la información respecto de una persona que consta en hojas de papel sin ordenar no puede considerarse “tratada”. Por el contrario, si dicha información está en una base de datos en un ordenador o en una hoja de Excel, si estaremos ante la figura del tratamiento. La publicidad realizada mediante el depósito de correo en los buzones sin un destinatario específico no se considera resultado de un tratamiento, como tampoco los pop-ups que aparecen cuando se consulta una página web ya que no son consecuencia de un tratamiento previo que haya identificado a los eventuales destinatarios de acuerdo a un perfil específico.
La obligación de proteger los datos personales estará a cargo de cualquier persona física o jurídica, ya sea de carácter público o privado, que sola o en conjunto, y en el ejercicio de sus actividades y funciones, adopte decisiones sobre los fines, los medios, el alcance y las demás cuestiones relacionadas con el tratamiento de los datos personales de que se trate. En algunos casos puede existir más de un responsable, a saber, el encargado de la base de datos en la que se recopila la información y quien realiza las operaciones concretas del tratamiento. Una empresa puede solicitar al titular de una base de datos que confeccione publicidad con determinados parámetros, incluido el perfil de las personas a quién habrá de dirigirse dicha publicidad. En este caso el responsable será la empresa, pues es la que determina los perfiles y el contenido de la publicidad que ha de realizarse. Sin embargo, el tema de la determinación de quién está a cargo de la obligación de protección es más complejo. Tomemos por ejemplo la famosa sentencia del Tribunal de Justicia de la Unión Europea del 13 de mayo de 2014 que involucró a Google[3]. Cuando un internauta cualquiera introducía el nombre del ciudadano español que presentó la demanda en la plataforma de Google, el motor de búsqueda lo direccionaba hacia dos páginas de un periódico en las que figuraba un anuncio de subasta de inmuebles como consecuencia de un embargo por deudas a la Seguridad Social. El ciudadano español solicitaba que el periódico eliminase o modificara la publicación en la que aparecían sus datos personales pues el embargo citado estaba totalmente solucionado desde hacía varios años. También pedía a Google que eliminase u ocultase sus datos para que dejaran de aparecer en los resultados de búsqueda. El Tribunal de Justicia consideró que al ser Google un motor de búsqueda, éste realiza operaciones con características de tratamiento en el marco de sus programas de indexación, siendo irrelevante el hecho de que los mantenga tal como aparecen en la página del periódico en la internet. Para el Tribunal, el gestor del motor de búsqueda, en este caso Google, es el que determina los fines y los medios de esa actividad, aunque no ejerza control sobre los datos personales publicados en las páginas web de terceros y por ende debe considerarse responsable. A su entender, los motores de búsqueda desempeñan un papel decisivo en la difusión global de dichos datos en la medida en que facilitan su acceso a todo internauta que lleva a cabo una búsqueda a partir del nombre de una persona específica. Sin esos motores de búsqueda, el internauta no sería capaz de encontrar la página web en la que se publican esos datos. Adicionalmente, los internautas obtienen mediante la lista de resultados una visión estructurada de la información relativa a esa persona lo que les permite establecer un perfil más o menos detallado de la misma. En consecuencia, la actividad de un motor de búsqueda puede afectar significativamente los derechos de las personas de modo adicional a la de los editores de los sitios de internet y por lo tanto deben considerarse sujetos responsables. Como vemos pues, la casuística en esta temática es compleja y amplia y promete desarrollos posteriores muy interesantes.
Dos de los trece principios sobre la privacidad y la protección de datos personales aprobados por la Asamblea General de la OEA nos parecen fundamentales para entender las bases en las que se asienta el régimen, a saber, el principio del consentimiento y el principio de la finalidad. En efecto, el tratamiento de datos personales sólo puede proceder cuando el titular de los datos otorga su consentimiento para que dicha operación se realice para cumplir una o varias finalidades específicas. El presupuesto es que el tratamiento de datos personales no debe prohibirse ya que es consecuencia directa del avance vertiginoso en la tecnología de la computación y de la internet y del uso cada vez más frecuente del comercio electrónico, de las plataformas virtuales y de las redes sociales. La recolección, almacenamiento, transferencia y divulgación de la información personal crece exponencialmente cada año, contribuyendo a un mayor intercambio y procesamiento de dicha información no sólo dentro de las fronteras de un Estado sino de manera transfronteriza. Es evidente que hoy en día las personas no están dispuestas a renunciar a las ventajas que brinda el uso de todas estas nuevas tecnologías por evitar la circulación de sus datos personales. El Estado también se beneficia con el libre flujo de la información ya que las transferencias internacionales son clave para el desarrollo de las transacciones comerciales, posibilitando así el crecimiento económico. Ya no hay pues marcha atrás. Entonces, lo importante no será prohibir sino regular el flujo de los datos personales asegurando a su vez un uso adecuado de los mismos dentro de ciertos parámetros establecidos en la normativa, por ejemplo, estableciendo las garantías adecuadas para que las personas sean informadas de que sus datos estarán, en efecto, siendo utilizados, y de las finalidades de dicho uso para lo cual deberán además dar su autorización expresa. La esencia del régimen radicará en las garantías que se deben prestar para el uso de estos datos.
Estas garantías están contenidas en los 13 principios adoptados por la Asamblea General de la OEA y, de forma particular, en los principios del consentimiento y de la finalidad. Consideremos la solicitud que hoy en día nos hacen en los restaurantes para recabar nuestros correos electrónicos con el fin de darnos aviso inmediato en caso se presente un caso de covid-19 entre las personas que asistieron a dicho lugar en esa fecha. Si posteriormente empezamos a recibir propaganda sobre futuros eventos del restaurante en cuestión, es evidente que nuestros datos personales están siendo utilizados para una finalidad respecto de la cual no dimos nuestro consentimiento y por lo tanto hay un uso ilegítimo de los mismos. Evidentemente este es un ejemplo simple y existen situaciones mucho más complejas relativas al tipo de consentimiento que se debe exigir a los menores de edad o cuando brindamos nuestro consentimiento de manera casi automática a los contratos de adhesión para utilizar una red social, como por ejemplo la plataforma Meta (antes Facebook). Este campo es rico en casuística y ya existen respuestas jurídicas específicas, como por ejemplo el Reglamento General de Protección de Datos de la Unión Europea (GDPR), en aplicación desde mayo de 2018[4], y que constituye uno de los instrumentos más completos en esta materia a nivel universal y de consulta obligatoria para quienes quieran explorar más esta temática.
Hoy en día ninguno de nosotros es ajeno al uso de herramientas, servicios o plataformas tales como Google, Facebook, Twitter, Youtube, Instagram, Linkedin, Amazon, Itunes, Spotify, Netflix, Uber, Snapchat, Tik Tok, entre otras. Seguramente quienes estén leyendo este artículo utilizan al menos un 80% de aquellas, si no es que todas ellas. Todos estos servicios compiten por nuestra atención con el objetivo de obtener la mayor cantidad de información relativa a nuestros gustos, hábitos de consumo y preferencias y, sobre la base de la misma, elaborar perfiles más o menos exactos de nosotros mismos y convertirnos en un producto para las compañías que ofertan bienes y servicios. Adicionalmente, otras operaciones como la apertura de cuentas bancarias o de crédito y hasta las actividades más comunes como la compra de artículos en un super mercado pueden servir de ocasión para que nuestros datos personales sean conocidos por otras personas. La pregunta es si estamos dispuestos a renunciar a todas las ventajas que obtenemos al ser parte de esta dinámica y proteger nuestros datos personales o si optamos por un sistema que regule adecuadamente la utilización de los mismos. La respuesta equilibrada viene dada por esfuerzos como los de la Organización de los Estados Americanos al establecer estándares y pautas que garanticen la apropiada implementación de esta última opción.
Referencias
[1] Las ideas vertidas por el autor en este trabajo son de su exclusiva responsabilidad y para nada comprometen a la Organización en la que trabaja.
[2] Organización de los Estados Americanos. Asamblea General. Derecho Internacional [OEA/Ser.P, AG/doc.5755/21], 2021, 136.
[3] Ver el fallo en:
[4] Ver el texto en:
https://www.aepd.es/es/documento/reglamento-ue-2016-679-consolidado.pdf