Escrito por Fabricio Sánchez* y Alexandra Espinoza**
I. Introducción
El avance de las tecnologías, en especifico de Internet, supuso un cambio radical en la forma en la cual nos relacionamos. Una de las manifestaciones más importantes de este fenómeno es la creación de las redes sociales, plataformas en las cuales a partir de la creación de un perfil se permite el intercambio de información entre personas y/o empresas, así como la exposición de nuestros gustos e intereses a terceros.
El desarrollo de esta nueva modalidad de interacción supuso un reto en el mundo legal, siendo uno de los más afectados el aspecto de Protección de Datos Personales, el cual se encuentra directamente relacionado con nuestro derecho constitucional a la autodeterminación informativa. En este artículo, nuestro objetivo es que el lector pueda conocer qué es el derecho a la autodeterminación informativa, cuáles son sus manifestaciones y las normas que lo desarrollan concretamente, y con ello explicar cómo estas normas pretenden ser adaptadas a la creación las redes sociales, caracterizado por el intercambio de información.
II. ¿Qué es el derecho a la autodeterminación informativa?
- Ámbito nacional
La autodeterminación informativa es un derecho constitucional consagrado en el numeral 6 del artículo 2 de la Constitución Política del Perú de 1993. Este establece que toda persona tiene derecho a “que los servicios informáticos, computarizados o no, público o privados, no suministren informaciones que afecten la intimidad personal y familiar”.
Es atención a lo dispuesto por el Tribunal Constitucional, el derecho a la autodeterminación informativa es un “derecho relacional”, en tanto tiene por objeto, a su vez, proteger otros derechos constitucionales, tales como la intimidad, la imagen y la identidad, frente al peligro que representa el uso y eventual manipulación de los datos[1]. Respecto al derecho a la intimidad, la autodeterminación informativa protege la vida privada, en tanto permite que las personas rechacen intromisiones ilegítimas en su vida intima o familiar a partir de preservar la información que los identifique, controlando su uso.
Respecto al derecho a la imagen, este se encuentra relacionado con la autodeterminación informativa en tanto garantiza que las personas dispongan y controlen el tipo de datos que sobre él o ella se haya registrado, a efectos de preservar su imagen derivada de su inserción en la vida en sociedad.
Por último, respecto a la identidad personal, en tanto el control de la información que identifica a las personas permite, a su vez el control sobre la proyección de su propia personalidad, y que esta no sufra interferencias o distorsiones a causa de atribución de ideas, opiniones o comportamientos que pueden ser expuestos en la información que lo identifica o hace identificable.
En este sentido, podemos señalar que la autodeterminación informativa es el poder de disposición y control que faculta a su titular a decidir cuáles de sus datos proporciona a un tercero, así como saber quién posee esos datos y para qué, pudiendo oponerse a esa posesión o uso.
- Ámbito internacional
Asimismo, consideramos necesario mencionar algunas normas, directrices, convenios internacionales que, a lo largo del tiempo, en este mundo cada vez más globalizado, ya trataban algunas recomendaciones y principios sobre la protección a la intimidad y datos personales, las cuales, como mencionamos, se encuentran directamente relacionado a la autodeterminación informativa, a manera de ejemplo podemos señalar algunos:
- Las Directrices de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) que Regulan la Protección de la Privacidad y el Flujo Transfronterizo de Datos Personales recomiendan (1980)[2]: Los países miembros deber tener en consideración los principios básicos de este documento sobre la protección de la privacidad y libertades individuales, establecidos en este documento.
Evitar que se generen barreras innecesarias para los flujos transfronterizos de datos personales. Los países miembros colaboren en la implementación de las Directrices.
- Convenio 108 del Consejo de Europa (1981)[3]:Tiene como finalidad garantizar, en el territorio de cada Estado Parte, el respeto de los derechos y libertades fundamentales de toda persona, en específico su derecho a la vida privada, sin importar su nacionalidad y residencia, con respecto al trato automatizado de sus datos ya sea en el sector público o privado.
- Resolución 45/95 de la ONU[4] (1990): Esta resolución contiene los principios rectores para la reglamentación de los “ficheros computadorizados de datos personales”. Dichos principios son los siguientes: (i) licitud; (ii) lealtad; (iii) exactitud; (iv) finalidad; (v) acceso a la persona interesada; (vi) no discriminación; (vii) facultad de establecer excepciones Seguridad Control y sanciones; y (viii) flujo de datos a través de las fronteras Campo de aplicación.
- Directiva 95/46/CE[5] (1995): Amplía los principios ya recogidos en otros instrumentos internacionales. Permite la transferencia de datos personales de un Estado Miembro a un tercer país únicamente cuando este ultimo pueda garantizar una protección de adecuada de los datos que se transfieren, debiendo disponer cada Estado Miembro un control a través de autoridades un eficiente control para la aplicación de su directiva.
- Marco de privacidad de APEC[6] (1999): El Marco de Privacidad del Foro de Cooperación Económica Asia Pacifico (APEC) promueve un acercamiento flexible a la protección de la privacidad de la información en las economías miembros de APEC, evitando la creación de barreras innecesarias para los flujos de información.
- Carta de los Derechos Fundamentales de la UE[7] (2000): Reconoce el derecho a la protección de datos personales como un derecho fundamental y autónomo, distinto al derecho a la intimidad y la privacidad de las personas.
- Directrices de Armonización de la Red Iberoamericana[8] (2007): Establecen criterios orientativos para el desarrollo de iniciativas normativas en materia de protección de datos personales, que favorezca el intercambio de los flujos de información entre los Estados y terceros Estados bajo estándares similares de protección.
- Resolución de Madrid[9] (2009): Contiene los estándares internacionales para la protección de la privacidad, en relación con el tratamiento de datos de carácter personal, que fueron acogidos en la 31 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. Determina y define un conjunto de principios y derechos que garanticen la efectiva y uniforme protección de los datos personales, facilitando los flujos internacionales de éstos en un mundo globalizado.
- Reglamento (UE) 2016/679[10] (2018): Contiene características más precisas sobre los derechos y deberes que se deben aplicar a la protección de datos personales, referido al tratamiento de datos personales, el deber de información que tienen los responsables de la base de datos personales, el tipo de información que debe brindar, clara, expresa, entre otras.
III. Sobre el tratamiento de datos personales
A fin de desarrollar el derecho a la autodeterminación informativa, en el Perú, se crea la Ley 29733, Ley de Protección de Datos Personales (en adelante, LPDP) y el Decreto Supremo 003-2013-JUS, Reglamento de la LPDP (en adelante, el Reglamento).
En estos dispositivos legales se determinan las obligaciones de aquellas personas naturales o jurídicas que traten datos personales, estableciendo las medidas de seguridad que deben implementarse, enumeran los derechos de los titulares de los datos personales, establecen las infracciones y sanciones en caso de su incumplimiento.
Para poder comprender con mayor claridad qué es un dato personal, es necesario definirlo, entendiéndose como: “toda información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados”.
Teniendo claro qué es un dato personal, podemos concluir que las obligaciones contenidas en la LPDP y su Reglamento buscan que las personas cuyos datos personales se recopilan, deben estar debidamente informadas sobre la razón por la cual se necesita sus datos personales -principio de consentimiento, finalidad y calidad- y estos puedan determinar si entregarán sus datos personales o no.
Para ello, es necesario que las personas que otorgan sus datos personales lo hagan de manera que no quepa duda sobre su entrega, es decir, que su consentimiento sea libre, previo, expreso, informado e inequívoco. Estos últimos constituyen las características necesarias para que el consentimiento se repute válido.
Dicho esto, en las redes sociales donde transitan numerosos datos personales, no pueden perderse de vista y deben respetarse, los principios rectores y derechos que asisten al titular de un dato personal. Como veremos más adelante, las redes sociales no son ajenos al cumplimiento y respeto de a la autodeterminación informativa.
IV. Tratamiento de datos en redes sociales
Facebook Inc. dueña de las redes sociales Facebook, Instagram y la aplicación de mensajería instantánea WhatsApp; Twitter Inc., dueña de la red social Twitter; Google LLC, dueña de la plataforma de videos YouTube, plataforma de mensajería Gmail, entre otras; son algunos ejemplos de empresas que cuentan con la titularidad de plataformas en las cuales las personas se registran a partir de otorgar sus datos personales.
En las plataformas previamente enumeradas, las personas otorgan sus datos personales en su registro, a fin de utilizar dichas plataformas. Una vez otorgado los datos, la información es almacenada en el sistema de dicha plataforma y resguardada por su titular. Todo esto supone, sin lugar a dudas, un tratamiento de datos personales, y por ende, se encuentra sometido a la regulación de datos personales que sea pertinente.
Ello se encuentra en concordancia con lo señalado por la Autoridad de Protección de Datos peruana, en el marco de la respuesta brindada en una Opinión Consultiva[11] relacionada a tratamiento de datos en redes sociales. En dicha Opinión la Autoridad señaló que en tanto en los perfiles creados por los usuarios se incluyen datos personales, su tratamiento se encontrará sometido al consentimiento del titular de dichos datos, razón por la cual será necesario solicitar su consentimiento previo, en estricto cumplimiento a lo dispuesto en la LPDP y su Reglamento.
A fin de poder solicitar el consentimiento previo, informado, inequívoco y expreso de los usuarios que se registren en la plataforma se ha adoptado la práctica de poner a disposición de las personas cuando se registran dos (2) documentos: Términos y Condiciones; y, Políticas de Privacidad o de uso de datos.
El primero explica de forma detallada cuáles son las funcionalidades de la plataforma, mientras que el segundo detalla todo lo referido al tratamiento de datos que la plataforma realizará, y la finalidad de dichos tratamientos, así como la forma en la cual estos son resguardados. Este último documento resulta esencial a fin de que el usuario sea informado de forma previa a su registro en la plataforma, sobre qué acciones realizará la empresa titular de la plataforma con sus datos.
Ahora bien, con el desarrollo de las nuevas tecnologías, existen dos (2) controversias respecto al tratamiento de datos en plataformas digitales o, en el presente caso, en redes sociales: (i) La forma en la cual el usuario manifiesta su consentimiento; y (ii) el contenido del documento denominado “Políticas de Privacidad”.
Sobre el primer punto, el Reglamento dispone que el consentimiento deberá ser expreso, y tratándose de un entorno digital se podrá utilizar métodos como “hacer click”, “cliquear”, “pinchar, “dar un toque”, u otros similares. Es decir, no bastará que las empresas coloquen solamente el mensaje de “He leído y acepto las políticas de privacidad”, sino que será necesario que este mensaje sea acompañado, por ejemplo, de un recuadro al costado, en el cual las personas puedan hacer click, y con ello que se deje constancia de que han leído y se encuentran de acuerdo con el tratamiento de datos que realizará la empresa. Es decir, no se permitirá el uso de casillas premarcadas o fórmulas tácitas, en tanto es necesario que este sea expreso y positivo:
Imagen 1 (Ejemplo sobre la aceptación de Políticas de Privacidad)
Ahora bien, respecto al segundo aspecto relacionado al contenido de las Políticas de Privacidad, ha sido debidamente estudiado por nuestra Autoridad de Datos Personales peruana, pero también por aquellas del ámbito internacional. Por ejemplo, la Agencia Española de Protección de Datos, a raíz de la entrada en vigencia del El Reglamento (UE) 2016/679, Reglamento General de Protección de Datos de la Unión Europea, implementó una “Guía sobre las políticas de privacidad en Internet”, en setiembre 2018.
Por su parte, la Autoridad de Datos peruana, implementó la “Guía del Deber de Informar” en noviembre de 2019, en la cual se desarrolla qué se entiende por el deber de informar a las personas sobre el tratamiento de sus datos personales, y si bien no versa solamente sobre Políticas de Privacidad, las menciona a manera de ejemplo como uno de los métodos para informar a las personas en el entorno digital, sobre las finalidades de tratamiento de sus datos.
Si bien la normativa europea es mucho más detallada que la peruana, ambas guías cuentan con elementos comunes que deben ser colocados en las políticas de privacidad:
- La identidad y domicilio del titular del banco de datos personales;
- La finalidad del tratamiento a las que los datos serán sometidos;
- La identidad de los que son o pueden ser sus destinatarios;
- El plazo durante el cual se conservarán;
- La existencia del banco de datos en el que se almacenarán los datos;
- Las consecuencias de proporcionar los datos y de su negativa de hacerlo;
- La transferencia nacional e internacional de datos, en caso se efectúe; y,
- La forma en la cual podrán ejercer sus derechos de acceso, rectificación, cancelación y oposición.
Si bien todos estos elementos son conocidos, en tanto son enumerados en la LPDP y su Reglamento, nos gustaría desarrollar los controvertidos usos publicitarios para los cuales son utilizados los datos de las personas que se registran en redes sociales y que incluso han sido materia de procedimientos a nivel internacional, siendo el más conocido contra Facebook en el 2019.
Muchas veces las empresas colocan en estas Políticas de Privacidad que una de las finalidades del tratamiento de sus datos es la publicitaria, es decir, que se utilizará la información de navegación en la plataforma o las que el propio usuario coloque en su perfil, a fin de ofrecerles productos y/o servicios, o le aparezca publicidad que se adapte a sus preferencias.
Es una práctica común, en la que las empresas disponen que, siempre que las personas accedan a este tratamiento, en atención a la aceptación de las Políticas de Privacidad, entonces este uso podrá ser posible y legal.
Al respecto, y en atención a lo señalado por la Autoridad de Datos Personales peruana, lo recomendable es que se delimite qué finalidades son necesarias para el servicio de redes sociales, de aquellas que no lo son, tal como es el caso de la publicidad. Para este último caso, la Autoridad de Datos peruana recomienda que se establezca en un apartado diferente, la solicitud de consentimiento para usos publicitarios, en tanto esta es una finalidad secundaria la cual no es vinculante:
Imagen 2 (Extracto de la “Guía del Deber de Informar”)
Esta es una postura proteccionista, pero que permite que el usuario conozca de forma previa la finalidad publicitaria para la cual se utilizarán sus datos de forma previa, y diferenciada.
Ahora bien, a raíz de la compra de la plataforma de mensajería instantánea WhatsApp por parte de Facebook, se produjo una crítica reciente en tanto, en la actualización de los Términos y Condiciones de la plataforma, se consigna que esta podría transferir información a su empresa matriz, Facebook Inc.[12]. Tal como hemos mencionado toda transferencia y finalidad de tratamiento debe ser consentido por el usuario de forma previa.
Una de las modalidades para que los usuarios acepten los nuevos Términos y Condiciones es que al entrar a la plataforma les aparezca una pantalla en la cual puedan “hacer click” en el recuadro que corresponda, con lo cual se dejaría constancia de que el consentimiento fue expreso y previo. Sin embargo, y en atención a lo discutido ¿Transferir información a Facebook Inc. sería considerado una finalidad principal para que la personas usen la plataforma? Es evidente que no, razón por la cual, y en estricto cumplimiento a lo señalado en la LPDP, Reglamento y Guía comentada, las personas deberían tener la posibilidad de negarse a dicho tratamiento.
A pesar de lo señalado, esta práctica no es común, mucho menos para los conglomerados empresariales como Facebook Inc., quien a la fecha cuenta con las principales plataformas de redes sociales.
Ahora bien, hemos analizado algunos elementos que toda red social debe cumplir a fin de que respeten lo dispuesto en la LPDP y su Reglamento, pero ¿qué ocurriría si las empresas no cumplen con dichas prerrogativas? Esto podría ser el indicio de una posible fiscalización y determinación de sanción a la empresa. Sin embargo, esto resulta complejo en tanto, muchas veces, las sedes de estas empresas se encuentran en el extranjero. Se deberá buscar alguna sede en Perú a fin de realizar los actos que sean necesarios y con ello determinar si existe o no una sanción.
A la fecha, solamente existen procedimientos trilaterales de tutela iniciados por personas que consideran que se han afectado sus derechos de acceso, rectificación, cancelación y oposición contra Facebook Inc. y Google LLC, muchos de los cuales han finalizado declarando improcedente la reclamación o infundado por sustracción de la materia, al haber atendido la solicitud de la persona de forma previa a la emisión de la resolución directoral que se pronuncie sobre la controversia. No contamos con procedimientos sancionadores contra estas plataformas[13], sin embargo, esto no significa que no puedan ser fiscalizados o sancionados por la Autoridad.
Nuestra Autoridad de Datos se encuentra en crecimiento para poder alcanzar a las Autoridades de Datos a nivel internacional, esto se debe principalmente a lo joven que es la Dirección de Protección de Datos, y aun a la falta de entendimiento de nuestras autoridades de la importancia del ámbito de protección de datos personales. Sin embargo, es necesario que nosotros como usuarios tomemos consciencia de los principales elementos que deben cumplir cada una de estas plataformas, las cuales no se encuentran exentas al cumplimiento de las normas sobre protección de datos, y conocer que, en atención a nuestro derecho a la autodeterminación informativa, nos encontramos protegidos incluso en dicho entorno.
*Sobre el autor: socio del área de Competencia y Propiedad Intelectual del Estudio Benites, Vargas & Ugaz Abogados
**Sobre el autora: asistente legal del área de Competencia y Propiedad Intelectual del Estudio Benites, Vargas & Ugaz Abogados
Imagen: https://bit.ly/2Obhrkd
Referencias
[1] SENTENCIA TRIBUNAL CONSTITUCIONAL 1797-2002-HD.
[2] http://www.oas.org/es/sla/ddi/docs/Directrices_OCDE_privacidad.pdf
[3] http://www.oas.org/es/sla/ddi/docs/u12%20convenio%20n%20108.pdf
[4] https://www.un.org/es/documents/ag/res/45/list45.htm
[5]https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:31995L0046&from=EN
[6]https://archivos.juridicas.unam.mx/www/bjv/libros/7/3249/27.pdf
[7]https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:12016P/TXT&from=DE
[8]https://archivos.juridicas.unam.mx/www/bjv/libros/12/5669/22.pdf
[9]https://edps.europa.eu/sites/default/files/publication/09-11-05_madrid_int_standards_es.pdf
[10] https://www.boe.es/doue/2016/119/L00001-00088.pdf
[11] Oficio N° 569-2014-JUS/DGPDP
[12] https://www.bbc.com/mundo/noticias-55683866
[13] Cabe indicar que la Autoridad de Protección de Datos Peruana publica los procedimientos administrativos sancionadores y procedimientos trilaterales de tutela en su página web, sin embargo, a la fecha, no existen publicados procedimientos sancionadores contra plataformas como Google o Facebook.