Aproximación a la protección de datos en Internet

Información es poder. Por lo mismo, cuando la información se refiere a una persona, surge la necesidad de contrapesar el poder que se entrega a quien maneja esta información, para que no se afecte la dignidad, ni las libertades de los titulares de dichos datos. Las regulaciones al respecto se han tenido que preocupar del tratamiento de datos personales por los Estados y por privados, teniendo presente las situaciones tecnológicas cambiantes y la necesidad de uniformar las regulaciones de los diversos países. Hoy la principal preocupación son las informaciones personales que se encuentran en Internet, con todo el tratamiento que puede surgir a partir de ellos.

A fines de Octubre, un activista búlgaro publicó en su blog que había comprado una base de datos con los nombres completos, correos electrónicos y perfil de Facebook de más de 1 millón de angloparlantes, a tan sólo cinco dólares. La información había sido recolectada por el vendedor a través de aplicaciones de Facebook, y era ofrecida para publicitar productos y servicios.

La noticia llegó a los encargados de Facebook, quienes pidieron al búlgaro que les enviara la base de datos, la borrara, borrara la noticia de su blog, y les diera información sobre el vendedor para iniciar una investigación. El activista respondió que ayudaría en la investigación y borraría la base de datos, pero en ningún caso la entrada de su blog. Luego disparó que tal como él borró la base de datos, le gustaría que Facebook borrara efectivamente los perfiles de los usuarios que se dan de baja. Desde la red social se declaró que además de investigar se iban a "tomar medidas agresivas" en contra de estos hechos.

Sin entrar a analizar el fondo, se plantearán los diversos problemas que presenta este caso. Al crearse una cuenta de Facebok, el usuario permite una serie de tratamientos de sus datos al aceptar los términos y condiciones del servicio. Lo mismo pasa cuando se usa una aplicación dentro de la red social. Pareciera que los datos personales pasaron a ser una moneda de cambio para obtener servicios online aparentemente gratuitos. Aplicando terminología del Derecho del Consumidor, se está frente a contratos de adhesión, donde el usuario sólo puede aceptar o no, y en ningún caso negociar los términos del servicio, quedando demostrada la asimetría de la relación contractual.

Si bien existe esta relación de asimetría, algunas regulaciones reconocen ciertos derechos irrenunciables, u otros para oponerse y/o retractarse ante determinados tratamientos, pudiendo quedar en cierta forma dirigido el contrato de prestación del servicio. El problema es que no todos los países regulan el tratamiento de los datos personales de la misma forma. Luego, cuando el tratador de los datos -en este caso un prestador de servicios online- se encuentra en un país distinto al titular de los mismos, se presenta una situación jurídica internacional, que se podría resolver yendo a los términos del servicio, donde lo más seguro es que el usuario se haya sometido a determinada ley y/o jurisdicción, quedando en evidente indefensión dado los costos de transacción para hacer valer los derechos en otro país. Habrá que estarse entonces a lo que digan los términos de uso de la aplicación que recolectó los datos, y a la ley aplicable al mismo.

Otro tema que surge del caso, es el mercado de los datos personales. Como se dijo, las instituciones públicas y privadas necesitan tratar datos para funcionar, por lo que las regulaciones sobre el tratamiento de datos no impiden el tratamiento y sólo imponen ciertos límites de manera que no se afecten los intereses de los titulares de los datos. Además, para los movimientos de bienes y/o personas entre los países, debe existir transferencia de datos, con esto en mente, los legisladores han tenido que equilibrar la necesidad de éste flujo de bienes y personas, por un lado, y la protección de los datos personales, por el otro, llegando a diversas formas regulatorias para las transferencias internacionales de datos personales. Cuando una cesión se realiza respetando las normas sobre protección de datos personales, es legal, pero si en cambio la transacción se lleva a cabo sin respetar las normas aplicables, se está frente a una ilegalidad, cayendo en una suerte de mercado negro de datos personales.

Además de los problemas de calidad, cantidad y homogeneidad de la regulación, surge otro a partir de lo anterior: ¿cómo fiscalizar que las transferencias de datos se ajustan a derecho?, cuando por ejemplo en la ley chilena, ni si quiera existe un deber de notificar las cesiones de datos. El modelo regulatorio europeo, entre otras medidas para procurar el correcto tratamiento, establece agencias estatales para la protección de los datos personales, sobre las cuales pesa este deber de policía, sin embargo, entienden que no es suficiente: "la rapidez de la evolución tecnológica y la globalización han modificado profundamente nuestro medio y han lanzado nuevos retos en materia de protección de datos personales", llevando a la Comisión Europea a iniciar un proceso de reforma a su actual directiva de protección de datos, reconociendo especialmente que las nuevas tecnologías han facilitado el tratamiento de información, y han hecho que la recogida de datos se lleve a cabo a través de formas más complicadas e indetectables, y que todo lo anterior, sumado a la aparición de las redes sociales y la masificación del cloud computing, implica que los individuos hayan perdido el control sobre la información personal que circula en Internet.

Diversas instituciones públicas encargadas de la protección de datos, así como la Comisión Europea a propósito de la reforma antes dicha, han planteado que se hace necesario el concientizar a los usuarios de Internet sobre sus derechos y los riesgos que implica la pérdida del control los datos personales. Está claro que el primer y mejor filtro para no perder el control sobre los datos online será el titular de los mismos al elegir que subirá, sin embargo, la información puede ser agregada por cualquier persona o institución, y en ese caso, habrá que ver que derechos entrega la regulación para hacer frente a dicha situación, surgiendo dos cuestiones que merecen mayor profundización: primero, la necesidad de equilibrio entre la protección de datos y la libertad de expresión de un tercero; y en segundo lugar, si en realidad Internet está cambiando el concepto de lo privado, y lo que requería de protección hace años, ya no lo requiere ahora.

Por último, la discusión en Chile se ha centrado en el tratamiento de información comercial, la actual ley ha sido constantemente criticada por la doctrina, y aunque se está tramitando una reforma integral, no contempla el tratamiento de datos online.