Protección de DD HH en el ciberespacio: reflexiones a partir del tratamiento de datos personales
23 de Septiembre de 2022
Nelson Remolina Angarita
Profesor asociado y director de la Escuela de Posgrados de la Facultad de Derecho de la Universidad de los Andes
Aproximadamente, el 70 % de la población mundial tiene acceso a internet y una sola red social digital tiene información del 40 % de los cibernautas de todas partes del mundo.
El contexto tecnológico mundial ha cambiado colosalmente desde el momento en el que comenzó a gestarse la necesidad de proteger los derechos de las personas frente al indebido tratamiento de sus datos personales. Internet ha “empoderado” a los ciudadanos, a las empresas y a los gobiernos del mundo, en la medida en que, a través del mismo, entre otras cosas, pueden recolectar y tratar datos personales de sujetos de cualquier nacionalidad y cuyo domicilio está en prácticamente cualquier parte del planeta. También ha desatado una eclosión de desafíos para el Derecho, como, por ejemplo, la protección efectiva de los derechos humanos (DD HH) en el ciberespacio.
La academia, los jueces, las autoridades, los líderes, los políticos, los ciudadanos y todos en general tenemos el deber de pensar y repensar cuál es la estrategia más práctica y efectiva para proteger los DD HH. Como es sabido, internet cambió el mundo, pero debemos preguntarnos: ¿el mundo cambió frente a internet?, ¿seguimos haciendo más de lo mismo?, ¿las respuestas del Derecho y las regulaciones son sensatas frente a la realidad sociotecnológica del siglo XXI?
Datos y ciberespacio
Revisemos algunas cosas sobre el tratamiento de datos personales en el ciberespacio.
Las herramientas tecnológicas permiten que empresas u organizaciones recolecten datos en cualquier país sin hacer presencia física en su territorio. Estas empresas suelen argumentar que, por no tener sede física en un país, no se les aplica la ley de datos del mismo y sus autoridades locales carecen de competencia para investigarlas, darles instrucciones o sancionarlas, según sea el caso.
No obstante, esas organizaciones realizan “presencia tecnológica” en los territorios, mediante el uso de las citadas herramientas o aplicativos que se instalan en los equipos (teléfonos, tabletas, computadores, etc.) ubicados en el territorio de cualquier país.
Para recolectar y tratar datos personales en un país, no es necesario estar domiciliado en su territorio. Internet y la extraterritorialidad no pueden ser sinónimos de impunidad ni factores para desconocer los DD HH, las regulaciones locales y las decisiones de las autoridades de protección de datos personales.
Lo que pasa en internet en una parte del mundo puede afectar a millones de personas de otras partes del mundo o en todo el mundo. Por eso, es necesario que las autoridades fortalezcan sus estrategias para trabajar en equipo y reaccionar de oficio frente a casos de impacto masivo.
En este sentido, en el plan estratégico de la Red Iberoamericana de Protección de Datos (https://www.redipd.org/es) se estableció la siguiente estrategia: “4. Hacia la iniciación de investigaciones frente a casos que impactan a titulares de datos de países de la red. 4.1. Identificar casos reales que afecten a ciudadanos de varios países de la red con miras a que todas las autoridades de la red o la mayoría de ellas actúen de oficio y desde sus países frente a dichas situaciones y dentro del marco de sus competencias legales”.
Frente a esa situación, autoridades de protección de datos han iniciado actuaciones administrativas en contra de Google, WhatsApp, Uber, Facebook, TikTok y Zoom, entre otros. Particularmente, la autoridad colombiana (Delegatura para la Protección de Datos de la Superintendencia de Industria y Comercio) ha desplegado una serie de acciones para proteger a los niños y a los adultos cuyos datos son recolectados y usados por estas organizaciones.
En la siguiente gráfica se resumen los casos y se recuerdan los millones de personas de los cuales dichas organizaciones poseen datos a la fecha de la toma de decisiones:
Algunas conclusiones
En dichas decisiones se puso de presente, entre otras cosas, lo siguiente:
La Ley 1581 del 2012 es neutral tecnológicamente, en la medida en que no distingue si el tratamiento se debe hacer de determinada manera ni excluye ninguna forma, herramienta, tecnología o proceso para recolectar o tratar datos personales. Por eso, si se adelanta recolección o tratamiento de datos en el territorio colombiano, aplica la ley colombiana.
Igualmente, la ley colombiana permite el uso de tecnologías para tratar datos, pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, diseñan o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre tratamiento de datos personales.
Autoridades de protección de datos de varios países –Uruguay, España, Irlanda, Reino Unido, Italia y EE UU– y el Tribunal de Justicia de la Unión Europea se han referido a la definición de “cookies” y su función. De las mismas, se concluye lo siguiente:
(i) Las cookies se instalan en los equipos de las personas (teléfonos celulares, tabletas, computadoras o cualquier otro dispositivo que almacene información).
(ii) La finalidad de las cookies es recolectar o almacenar datos personales (nombre de usuario, un identificador único, dirección de correo electrónico, las búsquedas que realiza de cada usuario y sus hábitos de navegación en internet, sitios que una persona visita en internet) y otros tipos de información.
(iii) Las cookies son un mecanismo de rastreo o de seguimiento de las personas. Por ejemplo, permiten realizar trazabilidad detallada de las búsquedas de un usuario en internet o de sus hábitos de navegación.
(iv) La recolección o almacenamiento de información mediante las cookies constituye un tratamiento de datos personales.
Territorialidad
Por otra parte, algunas empresas también emplean otras tecnologías para recolectar datos personales en el territorio colombiano, entre las que se incluyen las web cookies y la instalación de aplicativos en millones de equipos de ciudadanos domiciliados en el país.
Como es de público conocimiento, muchas aplicaciones son instaladas en millones de equipos de ciudadanos domiciliados en nuestro territorio y, mediante dichos aplicativos, se recolectan datos en Colombia durante la instalación o posterior a esta. La notoriedad de la instalación de esos aplicativos puede constatarla cualquier lector cuando realiza tal proceso en sus equipos.
Así las cosas, no es sensato que quien recolecte y trate datos en el territorio de la República de Colombia, sin estar domiciliado o residir en el mismo, acuda a argumentos clásicos de territorialidad para desconocer el ámbito de aplicación de la citada ley.
En suma, ni internet, ni la carencia de domicilio territorial o la no presencia física en un territorio pueden ser herramientas, fenómenos o argumentos para fomentar o justificar el incumplimiento de la regulación sobre tratamiento de datos personales y la violación de DD HH.
Estas reflexiones merecen una acción continua por parte de todos. No podemos quedarnos sentados y cruzados de brazos frente a los retos del ciberespacio respecto de la protección efectiva de los DD HH.
* Estos temas son objeto de estudio y análisis en diferentes programas de la Escuela de Posgrados de la Facultad de Derecho de la Universidad de los Andes. Los invitos a que formen parte de esta comunidad académica.
Opina, Comenta