1.INTRODUCCIÓN.
¡La transformación digital nos reinventa! Sin que se previera, las plataformas digitales, los servicios de localización (GPS) y el Internet de las cosas (IoT) -del que tanto se debate- implantaron como común denominador la creación de un desafío para el Derecho, irrumpiendo así en la forma tradicional de intercambiar información.
Es claro que esta nueva fase del Internet -quizás- es la más revolucionaria de las que hemos conocido, podemos afirmar incluso, que es un hecho que la conexión a Internet no se produce ya a través de los terminales, teléfono o televisión inteligente, ordenador o tableta, sino que se puede producir por todos y cada uno de los objetos que nos rodean (aunque los terminales se utilicen como gestores, coordinadores de otras “cosas” conectadas) por ejemplo el caso del refrigerador y los aclamados wearebles.
El desafío que la llamada 4ª Revolución Industrial((SCHWARB, Klaus. (2016). La Cuarta Revolución Industrial. España: Debate, pps. 18-19 El autor acuña por primera vez el concepto y lo denomina Industria 4.0 esta cuarta etapa se caracteriza por una fusión de tecnologías actualmente en prueba o en desarrollo, lo que está desintegrando las fronteras entre las esferas física, digital, y biológica.)) impone es realmente complejo en materia de protección de datos; por cuanto, los accesos no autorizados a datos personales o su uso malintencionado pueden facilitar ataques y crear riesgos en la seguridad de las personas.
La combinación de datos, el almacenamiento en la nube y la aplicación de técnicas de analítica cada vez más sofisticadas, pueden facilitar la elaboración de perfiles bastante precisos sobre cada uno de nosotros. Esta voragine de cambio demanda un tratamiento mucho más efectivo en donde en palabras del jurista español Ricardo Rivero Ortega resulta escencial definir el para qué y cómo regular((RIVERO ORTEGA, Ricardo. (2015). Derecho Administrativo Económico. Séptima Edición. España: Marcial Pons, pps. 21-22)) el tratamiento que se dá sobre nuestros datos personales.
Ante toda esta realidad, el pasado 25 de mayo entró en vigencia el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, conocido como la Norma General de Protección de Datos (GDPR, por sus siglas en inglés); el cual, deroga la anterior Directiva 95/46/CE.
Mucho se ha dicho respecto de la transcendencia de esta regulación en favor de los llamados derechos de privacidad;((UNIVERSIDAD DE CORNELL Instituto de Información Legal de la Facultad de Derecho de Cornell: En el caso Norteamericano la Corte Suprema de los Estados Unidos reconoció por primera vez el derecho independiente a la privacidad en el marco de la protección implícita en las primeras diez enmiendas de la Constitucion de los Estados Unidos o Bill of Rights en el caso Griswold contra Connecticut. En este caso, se invocó el derecho de privacidad de las personas casadas para anular una ley que prohibía la anticoncepción. Casos posteriores ampliaron este derecho fundamental y, en el caso Roe contra Wade, se estableció definitivamente el derecho de privacidad conforme a la cláusula de debido proceso de la decimocuarta enmienda. La Corte clasificó este derecho como fundamental y, de ese modo, solicitó que toda violación por parte del gobierno estuviese justificada por intereses apremiantes del estado.)) razón por la cual, resulta medular realizar algunas apreciaciones en torno a las principales interrogantes que genera dicha normativa en razón de los efectos transfronterizos que impone.
2.¿QUÉ ES Y PORQUÉ SURGE LA GDPR?
Gracias a las tecnologías disruptivas((CHRISTENSEN, Clayton M. & BOWER. Joseph L (1995) Disruptive Technologies: Catching the Wave. Harvard Business Review.)), nos encontramos sumidos en multiplicidad de servicios convergentes; sobre el particular el jurista venezolano Víctor Hernández-Mendible los define como: “aquellos que son producto de la mezcla e integración de las nuevas tecnologías y que producen la aparición de nuevos servicios”((HERNÁNDEZ-MENDIBLE, Víctor. (2009). Telecomunicaciones, Regulación y Competencia. Venezuela: Editorial Jurídica Venezolana, p.86)).
El contexto actual demanda que la privacidad y seguridad en el IoT estén siendo objeto de debate por los reguladores. En el caso Norteamericano, la Comisión Federal del Comercio (FTC, por sus siglas en inglés) tras iniciar acciones por primera vez contra un prestador de servicios de IoT (TrendNet), celebró unas jornadas sobre privacidad y datos en IoT en noviembre de 2013. Por su lado, la Comisión Europea apuntaba hace dos años atrás en el informe que recogía el resultado de la consulta pública sobre el gobierno del IoT que, la seguridad, la privacidad y la protección de datos eran aspectos de máxima preocupación para la mayoría de los participantes, tanto los prestadores de servicios como los consumidores.
Si bien en 1970 con la Hessiches Detenschutzgesetz((DA COSTA CARBALLO, Carlos Manuel. (1992) Algunas cuestiones jurídicas relativas a la documentación automatizada: confidencialidad y protección de datos. en Revista general de información y documentación, Vol 2 (2 ). p-27-49. Ed. Complutense, Madrid. Refiere el autor que las primeras leyes europeas de protección de datos se dictan en la década de los 70, por citar tres ejemplos: la Ley Regional del Estado Federal de Hesse de Octubre de 1970, la Data Act de 11 de mayo de 1973 en Suecia o Ley Alemana Federal de Protección de datos de 22 de enero de 1977.))en Alemania surge la primera normativa en torno a la protección de datos; podríamos decir que, la GDPR se convierte en la primera disposición regulatoria que afecta -sin exclusión- a todos los países de la Unión Europea; y, por tanto, unifica disposiciones regulatorias -anteriormente dispersas- de diversos Estados miembros de la Unión Europea.
La transcendencia de la normativa es notoria; por cuanto, si se contrasta la realidad tecnológica de 1995 frente al llamado fenómeno disruptivo en el que estamos sumidos, evidente resulta, que lo anterior constituya -sin duda alguna- el motivo por el cual surge ésta nueva regulación, que procura un mayor control entorno a cómo son tratados, resguardados y rectificados nuestros datos personales.
Lo anterior no debe sorprender, por cuanto la realidad actual, evidencia cómo los patrones de consumo se ven con frencuencia influenciados por los datos que compartimos, en donde nuestra huella digital se ha convertido en algo invaluable y dificil de cuidar. Incluso, muchas veces estamos expuestos a un tratamiento indiscriminado y sin control de nuestros datos –a pesar de los ingentes esfuerzos de los países en la región-.
3.¿QUÉ DERECHOS INCORPORA LA GDPR?
La GDPR describe los derechos que poseen las personas sobre sus propios datos, lo cual incorpora la posibilidad de solicitar el uso que una empresa hace de ellos e incluso su total remoción. Por esto, las empresas hoy día requieren saber dónde y cómo son capturados y procesados los datos -de forma directa e indirecta-, y que éstos sean almacenados y utilizados correctamente durante su ciclo de vida.
La anterior normativa -la Directiva 95/46/CE de la UE- reconocía los llamados derechos ARCO: Acceso (artículo 15), Rectificación (artículo 16), Cancelación y Oposición (artículo 21) de los datos. Sin embargo, con la entrada en vigencia de la GDPR además de los derechos supra, se incorporan cuatro nuevos derechos -en mí criterio- de suma trascendencia en el entorno digital actual; a saber: (i) Derecho a la transparencia de la información (artículo 12), (ii) Derecho de supresión (artículo 17), (iii) Derecho de limitación (artículo 18), (iv) Derecho de portabilidad (artículo 20).
Estimo oportuno hacer una breve referencia respecto del derecho al olvido y el derecho a la portabilidad. Sobre el primero -derecho al olvido–, se establece que cualquier persona tiene derecho a que su información personal sea eliminada por parte de los proveedores de servicios de Internet cuando así lo desee; -eso sí- siempre que quien posea esos datos no tenga razones legalmente válidas para retenerlos.
Respecto del segundo -derecho a la portabilidad- la norma prevé la posibilidad de transmitir los datos de un responsable a otro; de forma que, el interesado tenga derecho a que sus datos personales se transmitan directamente cuando ello sea técnicamente posible. Esto para los operadores de servicios de telecomunicaciones y los prestatarios de servicios públicos supone un aspecto importante; por cuanto impone la obligación de una transmisión de los datos ágil, sencilla, pero -sobre todo- segura.
Siempre sobre ésta línea, la GDPR posibilita que los datos personales sean capturados, almacenados y procesados en determinadas situaciones como, por ejemplo: (i) para fines de seguridad pública, (ii) como garantía del desempeño de un contrato de prestación de servicios e incluso por (iii) interés legítimo de la persona –incluso sin su consentimiento- siempre que se respete el derecho a la libertad y no discriminación de un individuo.
Así las cosas, en tiempos en que la “huella digital” se convierte en algo similar a las pesadillas de Freddy Krueger, la incorporación de nuevos derechos en la GDPR a favor de las personas resulta trascendental ante las recurrentes violaciones y perturbaciones que –un día sí y otro también- se producen a la privacidad de las personas. Por tal razón, las empresas están indefectiblemente obligadas a saber dónde y cómo son capturados y procesados los datos -de forma directa e indirecta-, y que éstos sean almacenados y utilizados correctamente durante su ciclo de vida con el fin de evitar contingencias y reclamaciones.
4.¿QUIÉNES SON LOS OBLIGADOS A CUMPLIR CON LA GDPR? EFECTOS TRANSFRONTERIZOS.
La GDPR obliga no sólo a los ciudadanos de la Unión Europea, sino a aquellas empresas -independientemente del país de origen o de actividad- siempre que procesen -en el más amplio sentido- datos de ciudadanos de la Unión Europea.
Lo anterior supone –por ejemplo- que si una empresa brinda servicios por internet y está establecida fuera de la Unión Europea y sus clientes o usuarios necesitan de un nombre de usuario y una contraseña para poder acceder al servicio disponible en línea, dicho sitio debe cumplir con la regulación que impone la GDPR.
Sobre éste punto, resulta importante referirnos a la captura de datos en que pueden incurrir empresas multinacionales en el mercado de seguros: -a modo de ejemplo- las aseguradores podrían monitorear los autos asegurados utilizando sensores con el objeto de conocer los hábitos de conducción y con ello ofrecer descuentos en función a su estilo “responsable” de modo de conducción, horario de uso del carro y lugares en los que transite. Sin embargo, sin el consentimiento de la persona, no se permitirían otros usos, como la publicidad, por ejemplo. Incluso, si el usuario no autoriza el uso de las coordenadas geográficas, se configuraría como un claro desvío del propósito del uso de datos personales.
5. ¿COLISIONA LA GDPR CON EL BLOQUE CONSTITUCIONAL? EL CASO COSTARRICENSE.
El incremento del uso de las TIC ha supuesto el surgimiento de una nueva área de la dignidad humana necesitada de tutela, cual es la de la disposición sobre los datos de carácter personal. Nuestra Sala Constitucional ha centrado su preocupación en este aspecto, hasta el punto de que en nuestro ámbito local ha sido preciso crear jurisprudencialmente un nuevo derecho fundamental para dar respuesta a tan pujante realidad.
En el caso costarricense, la llamada Autodeterminación Informativa ha sido reconocida por la Sala Constitucional vía interpretación jurisprudencial pasando a formar parte de los Derechos Fundamentales de carácter innominado; al respecto:
“La Sala Constitucional ha venido construyendo y trazando el derecho fundamental a la autodeterminación informativa que se deriva del artículo 24 de la Constitución Política, y no existe ningún obstáculo para que el legislador pueda regular el mismo a través de normas legales, mecanismos de protección para el derecho a la autodeterminación informativa y otros derechos de la personalidad. En este orden de ideas, cualquier actividad privada (o pública) está al alcance de regular las bases de datos para la protección de los derechos fundamentales más íntimos de las personas.” Sentencia N° 5268-2011 la Sala Constitucional de la Corte Suprema de Justicia
De lo anterior se colige, que su reconocimiento es una interpretación armónica de las garantías constitucionales que conforman el conjunto de derechos relacionados con el derecho de las personas al control y protección de sus datos personales, los cuales descansan sobre el numeral 24((Artículo 24.- Se garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones. Son inviolables los documentos privados y las comunicaciones escritas, orales o de cualquier otro tipo de los habitantes de la República. Sin embargo, la ley, cuya aprobación y reforma requerirá los votos de dos tercios de los Diputados de la Asamblea Legislativa, fijará en qué casos podrán los Tribunales de Justicia ordenar el secuestro, registro o examen de los documentos privados, cuando sea absolutamente indispensable para esclarecer asuntos sometidos a su conocimiento (…))) de la Constitución Política de Costa Rica. Sobre ésta línea indica la Sala:
“De conformidad con lo dispuesto en el artículo 8 inciso c) de la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, Ley número 8968 del siete de julio del dos mil once, el derecho a la autodeterminación informativa se encuentra limitado en los casos de prevención, persecución, investigación, detención y represión de las infracciones penales. Con base en lo anteriormente expuesto y por no existir razones que justifiquen una reconsideración del criterio vertido, la práctica de ordenar el secuestro, registro y examen del listado de llamadas telefónicas entrantes y salientes de un número telefónico, sin orden jurisdiccional, no vulnera el artículo 24 constitucional…” Sentencia N°2509-2012 la Sala Constitucional de la Corte Suprema de Justicia.
Dicho lo anterior, en el ideario Constitucional Costarricense((En el caso del diseño procesal constitucional Costarricense la Ley de la Jurisdicción Constitucional no incorpora la figura del Hábeas Data tal y como lo tienen varios países de Centro y Suramérica; en el caso costarricense, la tutela de la autodeterminación informativa y la privacidad de datos se tutela a través del Recurso de Amparo.)) la protección de los datos personales no supone un derecho absoluto; por el contrario, su interpretación y tutela implica considerar su función en el colectivo social, manteniendo -eso sí- un equilibrio respecto de otros derechos fundamentales que, con recurrencia están bajo una tensión práctica; tal es el caso de los derechos de la personalidad (honor, intimidad, propia imagen), la autoderminación informativa, la libertad de información, así como los derechos de consumidores y usuarios finales.
Por su parte, la Ley 8968 “Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales” en sus artículos 1((Artículo 1: Objetivo y Fin: Esta ley es de orden público y tiene como objetivo garantizar a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto a sus derechos fundamentales, concretamente, su derecho a la autoderminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad respecto del tratamiento automatizado o manual de los datos correspondientes a su persona o bienes.)) y 4((Artículo 4: Autodeterminación Informativa: Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección. Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.)); así como la Ley 8642 “Ley General de Telecomunicaciones” -en lo que respecta a la tutela del resguardo de información de operadores y usuarios finales((La Ley General de Telecomunicaciones, establece un régimen especial para la protección de datos personales en dicho campo, mismo que es de aplicación tanto a operadores como prestadores de servicios de Telecomunicaciones. En tal sentido, el Capítulo ll: «Régimen de Protección a la Intimidad y Derechos del Usuario Final»))– en sus artículos 41 ((ARTICULO 41.- Régimen jurídico: El presente capítulo desarrolla el régimen de privacidad y de protección de los derechos e intereses de los usuarios finales de los servicios de telecomunicaciones. Los acuerdos entre operadores, lo estipulado en las concesiones, autorizaciones y, en general, todos los contratos por servicios de telecomunicaciones que se suscriban de conformidad con esta Ley tendrán en cuenta la debida protección de la privacidad y los derechos e intereses de los usuarios finales. A la Sutel le corresponde velar por que los operadores y proveedores cumplan lo establecido en este capítulo y lo que reglamentariamente se establezca.)) y 42((ARTÍCULO 42.- Privacidad de las comunicaciones y protección de datos personales. Los operadores de redes públicas y proveedores de servicios de telecomunicaciones disponibles al público deberán garantizar el secreto de las comunicaciones, el derecho a la intimidad y la protección de los datos de carácter personal de los abonados y usuarios finales, mediante la implementación de los sistemas y las medidas técnicas y administrativas necesarias. Estas medidas de protección serán fijadas reglamentariamente por el Poder Ejecutivo. Los operadores y proveedores deberán adoptar las medidas técnicas y administrativas idóneas para garantizar la seguridad de las redes y sus servicios. En caso de que el operador conozca un riesgo identificable en la segundad de la red, deberá informar a la Sute/ y a los usuarios finales sobre dicho riesgo. Los operadores y proveedores deberán garantizar que las comunicaciones y los datos de tráfico asociados a ellas, no serán escuchadas, gravadas, almacenadas, intervenidas ni vigiladas por terceros sin su consentimiento, salvo cuando se cuente con la autorización judicial correspondiente, de conformidad con la ley.)) cumplen un rol medular desde el punto de vista de garantía ordinaria en la tutela efectiva de éstos.
De tal forma, la vorágine de la transformación digital obliga a repensar su tutela -hoy somos más datos que personas-; predicciones futuras para el año 2020 por parte de Gartner en el Symposium ITxpo((Según informe de la empresa Gartner. Recuperado el 16 de noviembre del 2018 en: http://www.gartner.com/newsroom/id/2905717)) advirtieron aspectos como:
“Para el 2020, la tecnología del internet de las cosas (IoT) estará en el 95% de todo el diseño de nuevos productos. También para el 2020, la creación de contenido falso, impulsado por la inteligencia artificial (IA), superará la capacidad para detectarlo.”
Esta realidad provoca que muchos de nuestros datos personales se generen a través de plataformas móviles. De ahí que, sin importar cuál sea la plataforma -windows, android, iOS, sin importar desde dónde se encuentren -laptop, móvil, tablet, handheld, datacenter, cloud- lo trascendente es: ¿qué medidas de protección en la gestión de datos estamos aplicando para garantizar su protección?
Así las cosas, la GDPR obliga a una revisión y adecuación respecto de la forma en que hemos venido tratando los datos de terceros; de manera tal, que se cumpla con una mejor tutela a los derechos supra que -en todo caso- no nos deben resultar extraños ni ajenos por cuanto nuestra Sala Constitucional en su función interpretativa los ha venido reconociendo de forma amplia.
Si bien la GDPR no colisiona con el Ordenamiento Jurídico Costarricense -en tanto guarda consonancia con el desarrollo jurisprudencial de la Sala Constitucional- e inclusive es un paso más en la tutela de la protección de datos; sigue estando lejos de ser la solución a nuestros males en el caso costarricense y me atrevo a pensar que posiblemente ocurra -con cierta similud- en otros paises- veamos porqué:
a. Existencia de Asimetrías de Información:
Normalmente, en los contratos realizados las partes -principalmente el usuario y/o consumidor- intervienen en desigualdad de condiciones, siendo los principales riesgos de índole jurídica el desconocimiento de los puntos débiles inherentes a la tecnología que está siendo utilizada, las funciones de seguridad -que faltan o son inadecuadas-, así como los riesgos relacionados con los datos.
En este contexto, muchas de las tecnologías de identificación de IoT permiten vincular los perfiles de usuario, que pueden desconocer el alcance y valor potencial de ellos, así como en qué medida sus datos son accesibles a terceros fuera del contexto o propósito para el que fueron creados.
Los riesgos inciertos, junto con la necesidad de que los usuarios realicen una elección informada al establecer permisos de acceso socavan la protección real a favor del usuario. Comunicar esta incertidumbre o riesgo, sigue siendo un desafìo pendiente para la Industria, los Reguladores y el Usuario mismo, muchas veces es un mero tramite formalista sin mayor rédito y en otras ocasiones es algo que de forma perversa conviene que no se entienda.
Un ejemplo de ello lo vemos en las RRSS, ¿comprende realmente el usuario todos los “terms and policies” de Facebook en torno a cómo Marck Zuckemberg trata nuestros datos? Recientemente leía((Recuperado el 16 de noviembre de 2018 de https://m.xatakamovil.com/movil-y-sociedad/facebook-patenta-algoritmo-capaz-decir-cuanto-dinero-tienes-a-traves-fotografias-que-subes)) el anuncio de cómo FB patentó un algoritmo que permite decir cuánto dinero tienes a través de las fotografías que subes. Bueno ello, -sin duda- obliga a repensar y cuidar con mucho más recelo la huella digital.
b. El Mito del Consentimiento Informado:
Si las asimetrías de información -anteriormente expuestas- impiden que los usuarios realicen una elección informada, el consentimiento informado puede ser inviable en su escencia misma.
¿Porqué? Veamos: si la capacidad de los interesados para consentir libremente el tratamiento de sus datos, se ve diezmada por la poca comprensión respecto del alcance como consecuencia de la complejidad de las políticas de privacidad podríamos estar frente a un vicio en la voluntad misma.
Ahora bien, ciertamente en relación con la protección de la privacidad y el consentimiento informado el artículo 25 GDPR crea un deber general en torno a la privacidad por defecto y la privacidad por mecanismos de diseño, lo que podría ayudar a resolver la incertidumbre del análisis invasivo de la privacidad y, por lo tanto, ofrecer una mejor base para el consentimiento informado. Si el usuario tiene la seguridad de que la privacidad estará protegida por defecto, el usuario puede tomar una decisión informada a medida que las posibles consecuencias de privacidad sean o no previsibles. Las medidas específicas requeridas dependerán de las circunstancias.
Por otro lado, mayor debate suscita la condicionalidad impuesta del consentimiento informado que se da en la práctica. Esto es algo que, en mi experiencia realmente preocupa! La doctrina ha sido conteste en señalar que la titularidad de los datos corresponde a la persona y por tanto es ésta quien define cómo, cuándo y bajo qué formas se deben tratar sus datos; sin embargo, ¿sucede así en la realidad? ¿está el usuario en una real posición de poder de decidir cómo quiere que sean tratados sus datos?
La realidad es que no! El consentimiento informado se ha convertido en un condición adhesiva que, en la relación de inferioridad que tiene el usuario frente al proveedor de un servicio, dificilmente lograrará identificar alguna condición que le parezca abusiva o riesgosa en el tratamiento de sus datos; por tanto, esta situación termina convirtiendose en una suerte de exclusión.
VI. CONCLUSIONES
Sin duda, el tema es variopinto y polémico, por tanto, la implementación efectiva de la GDPR en los procesos de las empresas que tratan datos no es peccata minuta! Máxime, cuando la amplitud del supuesto normativo da para interpretaciones extensivas del ¿qué hacer? y ¿cómo prepararse?
Si se comparte la tesis de que resulta vital para las personas tener la certeza de sus datos están siendo tratados y almacenados correctamente, pues en consecuencia, uno partiría de la premisa de que las empresas asuman una actitud efectiva y proactiva en el tratamiento de los datos que les permita repensar sus políticas de ciberseguridad -condición igualmente aplicable a la propia Administración Pública-.
En este sentido, si tomamos en consideración que las sanciones previstas en la GDPR pueden alcanzar los 20 millones de euros; de vital importancia resulta considerar algunas pautas:
(i) Acreditar el cumplimiento de la GDPR mediante un Sistema de Gestión de Seguridad de la información siguiendo el esquema de los estándares internacionales, como el existente en la ISO 27001.
(ii) Considerar la privacidad como parte de la cultura organizacional; esto aumentará
(iii) Repensar el rol y el perfil del CDO -Chief Data Officer-.
Así las cosas la realidad es una: ¡Las leyes en materia de privacidad llegaron para quedarse! y son medulares para la definición de cómo las soluciones tecnológicas van a evolucionar, para ofrecer servicios -eso sí- sin incurrir en uso abusivo de los datos personales.