Ante el avance arrollador de la
tecnología, presente en prácticamente cada uno de los órdenes de nuestra vida,
el tema de la protección de datos personales ha alcanzado un gran protagonismo.
Y no es para menos. Mientras más
informatizada está la administración, industria, academia y ciudadanía, en fin,
la sociedad en su conjunto, obviamente más susceptible somos todos sus
componentes de ser afectados por un uso inadecuado de nuestra información.
Pero, ¿esa vulnerabilidad ocurre
ahora en que vivimos en la “Era Digital” o desde hace mucho más tiempo hemos
estado expuestos? De eso trataremos en este artículo.
Algunos conceptos generales
Primero definamos algunos conceptos basándonos en la Organización para la Cooperación Económica y Desarrollo (OCDE)[1] y la Comisión Económica para América Latina y el Caribe (CEPAL)[2]:
- Datos personales: Se refieren a aquellos registros que por sí mismos o vinculados a otros datos pueden revelar la identidad de una persona viva. Es el caso del nombre, cédula de identidad, teléfono, edad, dirección de domicilio o trabajo, centros educativos donde estudió, etc.
- Datos personales sensibles: Son todos aquellos datos asociados a los anteriores cuya divulgación podría hacer que el individuo sufra algún tipo de discriminación o afectación de derechos, como raza, religión, ideología política, membresía gremial, salud física o mental, vida sexual, historial delictivo, etc.
- Controlador de datos personales: Persona u organización que determina los propósitos y forma en que se procesan los datos personales.
- Privacidad: Es el derecho de toda persona a estar libre de intrusiones o perturbaciones de la vida privada o en asuntos personales.
- Confidencialidad: Se refiere a la propiedad de la información, por lo que se garantiza que el acceso a ésta solo será realizado por el personal autorizado para ello.
- Consentimiento informado: Es cuando antes de solicitar el consentimiento al ciudadano se le informa cuáles datos le serán recolectados, quién tendrá acceso a ellos y cómo serán publicados.
- Anonimización de los datos: Es el proceso de convertir los datos a un formato en el que no se pueda identificar a la persona a quien se refieren. Cuando los datos son anonimizados, el controlador de datos personales no tiene que pedir consentimiento de los individuos para compartir o publicar los datos que ha procesado.
- Principios básicos en la protección de datos personales: Estos son los principios que ha definido la OCDE para facilitar la protección de la privacidad y de las libertades individuales:
- Principio de limitación de la recolección de datos. Los datos deben ser recolectados por medios legales y, cuando aplique, con el conocimiento de la persona.
- Principio de calidad de los datos. Los datos personales deben ser actualizados y relevantes para el propósito de su uso.
- Principio de especificación de propósito. Siempre debe ser especificado el propósito de la recolección de los datos personales y su uso se verá limitado al cumplimiento de ese propósito.
- Principio de limitación de uso. No se deberá divulgar, poner a disposición de terceros, ni utilizar para fines diferentes a los originalmente declarados durante su recolección, a menos que se cuente con el consentimiento de la persona o que exista una imposición legal para fines de investigaciones, estadísticas o planificación social.
- Principio de salvaguarda de la seguridad. Quien recolecte y almacene datos personales deberá garantizar la protección de dicha información contra pérdida, acceso no autorizado, destrucción, modificación o divulgación de los mismos.
- Principio de transparencia. Deberá existir una política clara y específica sobre la protección de datos personales, contando con medios ágiles para que un ciudadano pueda comprobar cuáles datos suyos han sido recolectados y almacenados, su propósito y la identidad de la entidad que los ha recopilado.
- Principio de participación individual. Todo individuo tiene derecho a que se le confirme si una entidad tiene datos sobre su persona, a que se le comuniquen cuáles datos han sido recolectados, a requerir una explicación en caso de denegación y a que sus datos sean eliminados o corregidos en caso de ser incorrectos o desactualizados.
- Principio de responsabilidad. Sobre todo controlador de datos personales recae la responsabilidad del cumplimiento de los principios anteriores.
Estos principios son aplicables
en el intercambio de información entre las naciones para promover el desarrollo
económico y la cooperación, aunque, como plantea la OCDE[3],
las únicas excepciones admisibles serían en el ámbito de la información
crediticia, investigaciones criminales y banca, para de esa forma contribuir al combate del comercio
ilícito, actividad criminal y lavado de dinero.
Protección de Datos Personales
antes de la Era Digital
En la Grecia Clásica los derechos
individuales estaban supeditados a los intereses de las Polis o ciudades. Es
con los romanos que los individuos desarrollan el concepto de “derecho a la propiedad” y “dignidad”. De hecho, en
el Derecho Romano se establecía el principio “Alterum non laedere”[4] o “no dañar al otro”, porque quien lesionaba
a los demás, en lo físico o moral, lesionaba sus derechos y era sancionable.
Como refiere Juan Vicente Oltra
de la Universidad Politécnica de Valencia[5],
ya en la Edad Media teólogos de la estatura de San Agustín y Santo Tomás de
Aquino hablaban de que los hombres eran “portadores de valores” y de que la
intimidad era un “bien sagrado”, y no es hasta la Edad Moderna que el concepto
evoluciona hasta la forma que adopta hoy en día cuando John Locke establece la
privacidad como una “libertad negativa” (que no debe ser coartada por
impedimentos externos) y Jean Jacques Rousseau establece la “intimidad” desde el
ámbito de la persona.
Lo que queda claro es que, desde
muchos siglos antes de que surgiera la informática, la privacidad de los
individuos y su “buen nombre” podían verse afectados por rumores, panfletos,
artículos periodísticos o libros publicados que divulgaran información que
afectaran su dignidad o imagen pública.
 |
| La violación de la correspondencia era algo común en el pasado |
Por igual ocurría con la
violación de la correspondencia, único medio de comunicación personal a distancia antes de la invención del teléfono, práctica usual en tiempos de
guerra o dictadura que atentaba contra la privacidad de las personas.
Es decir, mucho tiempo antes de llegar la 4ta
Revolución Industrial, entidades públicas y privadas recolectaban, procesaban y
utilizaban los datos personales sin que necesariamente las personas tuvieran
conocimiento ni control de lo que hacían con sus datos: Censos, llamadas
telefónicas y telegramas recibidos o enviados, compras y ventas realizadas,
trámites públicos, registros médicos, patentes registradas, entradas y salidas
por puertos y aeropuertos, etcétera. Toda esa información estaba al alcance de entidades y personas
que no necesariamente se tenía claro de quiénes eran. Hasta en el directorio
telefónico (con el nombre, dirección y número telefónico de todos los habitantes de una ciudad) era público
el domicilio y número de contacto de las personas.
Es a partir de 1948 que de forma
global empieza a establecerse el principio de protección de los datos personales, con la
Declaración Universal de los Derechos Humanos[6],
que enuncia “Nadie será objeto de
injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia,
ni de ataques a su honra o su reputación. Toda persona tiene derecho a la
protección de la ley contra tales injerencias o ataques”. Es por tal razón
que el derecho a la privacidad es considerado un derecho humano de 1ra generación[7],
ya que se corresponde al grupo de derechos civiles y políticos derivados de la
Revolución Francesa.
Por tanto, antes de 1948 el tratamiento de los
datos personales de los individuos no estaba suficientemente regulado y es
desde entonces que se ha venido fortaleciendo el marco jurídico internacional y
en cada uno de los países para proteger la privacidad de los ciudadanos y
evitar su violación. Claro, la necesidad de protección de los datos personales
cambió de prioridad con el surgimiento del Internet en los años 1990s.
La Sociedad Digital y las
nuevas vulnerabilidades
Con el desarrollo de la
informática, se sucedieron dos revoluciones industriales en las que la
información pasó de ser de uno de los más importantes al principal activo de las economías. Es así que empieza
a surgir el concepto de Sociedad de la Información
y el Conocimiento, cuando se cuantificó que los empleos relacionados con la
producción, recolección, almacenamiento y procesamiento de la información son
el grupo de más rápido crecimiento en las economías desarrolladas[8].
El advenimiento de las
tecnologías emergentes y exponenciales multiplicó la capacidad de recolección,
almacenamiento, procesamiento y distribución de la información, por lo que las
vulnerabilidades ya existentes previamente lo que hicieron fue magnificarse, y
la llegada del Internet lo que produjo fue la posibilidad de que personas no
autorizadas pudieran acceder a información sensible desde cualquier lugar del
planeta.
Es así que surgen los nuevos villanos
de la Sociedad Digital, dedicados a acceder a información privada para
monetizarla, vendiéndola al mejor postor, los hackers. Es por esto que
las legislaciones de todos los países, además de fortalecer la protección de
los datos personales de los individuos, han robustecido su marco jurídico para
combatir este nuevo tipo de ilícito, estableciendo estrategias de
ciberseguridad y fomentando buenas prácticas para que individuos y entidades
protejan la información: creación de centros de respuesta a incidentes informáticos (CSIRT por sus siglas en inglés), encriptación de los datos, instalación de firewalls o cortafuegos,
complejización de los mecanismos de autenticación , etc.
 |
| La domótica y el IoT puede exponer muchos personales |
Por supuesto, es evidente que la creciente sofisticación y desarrollo de nuevas tecnologías, abren nuevos frentes que desafían la protección de los datos, incluyendo los personales. Por ejemplo, el Internet de las Cosas (IoT) está haciendo crecer de manera exponencial la cantidad de información personal que los dispositivos transmiten entre ellos sobre sus usuarios, desde sensores y asistentes virtuales (como Alexa o Google Home) instalados en las casas, hasta los móviles, relojes y gafas inteligentes. En teoría sería posible, si se pudiera compilar toda la información generada por los dispositivos inteligentes de una persona, saber todo lo que ella hace, dice, escribe y recorre durante el día.
En otras palabras, no es
solamente un tema de que los controladores de datos tengan la intención de
proteger nuestros datos personales, es que se necesita que, urgentemente, se
perfeccionen y estandaricen los protocolos de seguridad de los innumerables
dispositivos, no solo de los sistemas de información, que recolectan y procesan
información personal sensible, eso incluye la regularización de toda la
información personal que los gigantes tecnológicos como Google, Facebook,
Amazon, entre otros, procesan sobre nosotros y nuestras interacciones sociales, actividades que están todavía muy escasamente reguladas.
En fin, no es que los ciudadanos
ayer no eran vulnerables y hoy sí lo son. La realidad es que siempre hemos
sido susceptibles de que nuestra información personal sea mal utilizada. Pero
la realidad es que, así como se ha elevado el nivel de concientización de
la sociedad sobre la importancia de proteger su privacidad, también se ha multiplicado el nivel de
exposición.
Ya no basta con que las entidades
que funjan como controladores de datos apliquen protocolos y mecanismos de
salvaguarda de la información personal de los usuarios, sino que también todos
los eslabones de la cadena cumplan con su función. Una brecha de seguridad puede
ser ocasionada por el individuo al acceder a su propia información y hacerlo desde un computador de acceso público infectado con un malware o por
simplemente utilizar claves de acceso no robustas o mal protegidas.
Es por eso que ahora se habla de
impulsar Derechos Humanos de 4ta generación, donde se plantee que todo ser
humano nace con el derecho a acceder a la Sociedad de la Información y
Conocimiento, a la conectividad, a desarrollar sus competencias digitales, a
aprovechar las nuevas tecnologías para acceder, construir y distribuir el conocimiento,
a beneficiarse de la transformación digital para mejorar su nivel de vida, en
igualdad de condiciones. Declarar este nuevo tipo de derecho humano también obligará al establecimiento de nuevos deberes y responsabilidades.
Límites del derecho a la
privacidad
En un mundo cada vez más
interconectado, donde casi ningún ámbito escapa a la informatización, la
abundante información generada permite explorar áreas del conocimiento desde
enfoques completamente nuevos. Por esos grandes volúmenes de información es que
surgió la tecnología del Big Data, que permite procesar grandes cantidades de
información no estructurada, ni organizada, para descubrir patrones y hacer
pronósticos.
Eso obliga a replantear los
marcos normativos vigentes en materia de protección de datos personales, aunque
ya en muchas legislaciones se plantean ciertas limitaciones y excepciones.
Lo acontecido con la pandemia del
COVID-19 ha demostrado la importancia de contar con información precisa sobre
los infectados y su movilización, utilizando métodos de rastreo como el Contact
Tracing[9].
Su efectividad ha sido demostrada en todas partes, pero al mismo tiempo ha
levantado alertas en todo el mundo sobre si la proliferación de este tipo de
mecanismos violenta o no la protección de datos personales y el derecho a la
privacidad.
 |
| El uso de las TIC para el Contact Tracing ha generado polémica |
En Estados Unidos, que cuenta con una legislación desde 1996 para la protección del historial clínico de los ciudadanos, denominada HIPAA, su ministerio de salud tuvo que emitir en marzo 2020 un waiver o renuncia a ciertos componentes de dicho protocolo para poder facilitar la recolección de información de los contagios y así controlar la propagación de la pandemia en su territorio[10].
Y es que está claro de que, en el
contexto de epidemias, planificación sanitaria, lucha contra el terrorismo y
crimen organizado, lavado de dinero, planificación urbana, y un amplio espectro
todavía pendiente de ser mejor definido, la recolección y procesamiento de la
abundante información personal que de los individuos generan en el ciberespacio
puede conseguir que se implementen políticas públicas más efectivas. Aunque
estamos conscientes que se corre el riesgo de atravesar una línea muy fina, que
más nos vale redefinir y volver a dibujar con marcador grueso.
El secreto está en cómo conciliar
el interés particular con el interés general, el bien individual con el bien
común, utilizando procedimientos de discusión y debate transparentes y participativos. Al final se vuelve en un dilema casi filosófico, que al final servirá para moldear el modelo de sociedad que
queremos para el futuro de nuestros hijos.
[1] Directrices
de la OECD sobre protección de la privacidad y flujos transfronterizos de datos
personales: resumen, disponible en http://dspace.uma.es/xmlui/handle/10630/11792
[2] Guía
de Datos de Investigación (2020) de CEPAL, disponible en https://biblioguias.cepal.org/gestion-de-datos-de-investigacion
[3] The OECD Privacy Framework
(2013), disponible en http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf
[4]
Precepto jurídico enunciado por el jurista romano Domicio Ulpiano (siglo III
dC)
[5] Oltra,
J.V. (28 de enero de 2016). Historia de la protección de datos personales | |
UPV [Archivo de vídeo]. Recuperado de: https://www.youtube.com/watch?v=S7uXyCyOwyw
[6] Aprobada
en París en 1948 en la Asamblea General de las Naciones Unidas
[7] Ya
en el transcurso del siglo XX se impulsaron los derechos humanos de 2da
generación, correspondientes a la construcción a un Estado Social de Derecho
(derecho a la vivienda, a la salud, a la educación, etc.) y los de 3ra
generación, correspondientes a los derechos a la justicia, paz, solidaridad y a
disfrutar de un medio ambiente limpio.
[8] Ver los trabajos de Machlup (The production and distribution of knowledge
in the United States, 1962), Bell (The
coming of post-industrial society, 1973) y Porat (The Information Economy, 1977).
[9]
Mecanismo de rastreo de contactos a través del GPS o Bluetooth de los móviles
No hay comentarios:
Publicar un comentario
Tus comentarios son bienvenidos!