Ponencia presentada en el XII Congreso de Internet, Derecho y Política de la Universita Operta de Catalunya
EL DERECHO DE PORTABILIDAD DE DATOS
PERSONALES (DPD). ALGUNAS CUESTIONES PENDIENTES DE DEFINICION
de
Agustín Pedro Allende Larreta
Abogado. Profesor universitario Universidad de Buenos Aires
(UBA) y Universidad Argentina de la Empresa (UADE). Argentina
RESUMEN
Tal vez
por resultar los datos personales la novedosa moneda de cambio de la economía
digital, la protección de la privacidad viene siendo socavada al ritmo
impetuoso que imponen las nuevas tecnologías (por ejemplo Big Data, IoT y cloud
computing).
La
incorporación del derecho de portabilidad de datos personales (en adelante
“DPD”) en la legislación europea si bien ha sido recibida con beneplácito en
cuanto a su novedad, no ha sido debidamente merituada respecto a la interacción
de los consumidores con el mundo digital.
La
principal ventaja del DPD debe asociarse con la ruptura del modelo de negocios
imperante en la actualidad para el manejo de datos personales en línea, bajo el
cual el titular del dato personal carece de la mínima autonomía de su voluntad
en la decisión acerca del procesamiento y manejo de sus datos.
Para
llegar a dicha conclusión, en esta ponencia, se pasa revista a la naturaleza
jurídica del novel DPD a través de comparaciones con aquellos institutos
jurídicos más próximos y a fines, para luego advertir sobre aquellos aspectos
bajo el reglamento del Parlamento Europeo y del Consejo aprobado con fecha 27
de abril de 2016 (en adelante “el RGPD”)[1]
que merecerán de la cuidadosa atención, ya sea de la reglamentación a ser
adoptada por las autoridades europeas o nacionales de cada país, pero también
en menor medida, o de la auto regulación de las industrias involucradas.
DERECHO
DE PORTABILIDAD, DERECHO DEL CONSUMIDOR, DEFENSA DE LA COMPETENCIA. NEUTRALIDAD
DE RED. MODELO DE NEGOCIOS.
1.
NATURALEZA
DEL DERECHO DE PORTABILIDAD DE DATOS
Determinar el área del derecho bajo el cual el DPD se va a
desenvolver implica tomar partido respecto a los valores e intereses jurídicos
que se priorizarán a través de la tutela especial que otorgan cada uno de los
mecanismos regulatorios a disposición (regulación asimétrica tendiente a
equilibrar las disparidades que surjan entre las fuerzas del mercado).
Las alternativas de marcos regulatorios que puedan albergar
al DPD pasan por el ámbito del derecho del consumidor, la defensa de la
competencia o hasta por considerarlo
como un derecho humano de cuarta generación.
1.1.
Relación
con el derecho de privacidad y la autodeterminación informativa. ¿Es un derecho
humano de cuarta generación?
Es sabido que las regulaciones parten de determinadas
presunciones, las cuales también están presentes en el proceso de articulación
de la regulación de la privacidad de los consumidores. La protección de los
datos personales resulta ser una derivación específica y novel de la
tradicional garantía de protección de la privacidad. En este campo existen dos
paradigmas en discordia. Por un lado un modelo de decisión racional, en donde
se considera que cada individuo para adoptar una decisión, valora por si mismo
los costos y beneficios de la privacidad. En tanto que la posición contraria,
enfocada en la investigación del comportamiento, considera al consumidor como a
la merced de factores externos que determinan y condicionan su forma de
proceder.
Bajo el modelo de decisión racional se tiende a apoyar a
aquellas soluciones y tecnologías que permiten al consumidor adoptar sus
propias decisiones, y a las empresas, valorando a sus clientes, instrumentar
medidas para acompañarlos en su experiencia. En tanto que bajo el modelo
opuesto, se parte del presupuesto que las herramientas de privacidad no
resultan confiables en virtud de la tendencia de las empresas comerciales a
sacar ventajas predatorias de sus clientes. Ante lo cual bajo esta asunción es
necesaria la regulación para mantener a las empresas bajo control y proteger al
consumidor.
Estados Unidos parece posicionarse en favor del modelo
basado en la investigación del comportamiento y la protección del derecho del
consumidor. Un indicio claro de esta situación surge del hecho que en ese país
el ente regulador encargado de la protección de la privacidad a nivel federal
es la Federal Trade Commission (la FTC), a través de su competencia bajo la FTC
Act para contrarrestar prácticas abusivas o engañosas que afecten el comercio.[2] Apoyado en la referida ley, la FTC inició su
incursión en temas de protección de privacidad y seguridad de los datos
personales, basada en las promesas incluidas en las políticas de privacidad de
las empresas.
Pese a la inexistencia de norma constitucional en los
Estados Unidos que garantice el derecho de privacidad nada ha obstado en dicho
país a que se incremente el control del ente regulador en materia de abusos en
el manejo de la privacidad, a través de la aplicación de sanciones severas.[3]
En tanto en la Unión Europea, el derecho de privacidad
tiene rango de derecho fundamental en la Carta de Derechos Fundamentales e
incluyendo expresamente al derecho de
protección de datos personales.[4]
En tanto la autodeterminación informativa,
con origen jurisprudencial,[5]
es un derecho fundamental derivado de la privacidad que se concreta en la
facultad de toda persona para ejercer control sobre la información personal que
le concierne almacenados en medios informáticos. Este derecho sustantivo de
autodeterminación informativa se ve complementado por recursos, en el plano
procesal por el habeas data y ahora con el DPD en el ámbito digital.
Al
tratarse el DPD de un mecanismo efectivo de ejecutoriedad del debido
tratamiento de los datos personales, resulta ser accesorio del derecho
subjetivo de fondo de la autodeterminación informativa, por tratarse de un
instrumento conducente a empoderar a su titular, con facultades para controlar
la información que respecto de los datos personales que le conciernen puedan
ser albergados, procesados o suministrados en línea.
La sociedad del conocimiento al afectar nuestras
condiciones de vida ha justificado la creación de una nueva generación de
derechos humanos relacionados a las nuevas tecnologías de la información y la
comunicación (las TICs) y su incidencia en la vida de las personas.4
Dentro
de esta nueva gama de derechos, que representan a la cuarta generación de
derechos humanos, se suelen incluir, entre otros, al derecho de acceso a la
informática y a la nueva sociedad de la información en condiciones de igualdad
y sin discriminación, derecho de educación en nuevas
tecnologías, derecho a la autodeterminación informativa, derecho al habeas data
y la seguridad digital.
Al
resultar el DPD uno de los medios disponibles para alcanzar la
autodeterminación informativa, como sucede con el habeas data, puede ser
considerado como un mecanismo procedimental para alcanzar el logro de un
derecho humano de cuarta generación. Sin embargo dicho reconocimiento no le
otorgaría autoridad suficiente para encuadrarse dentro de la categoría de
derecho humano, por no resultar esenciales e imprescindibles como los principios mismos del ser humano.
1.2.
Comparación
con la portabilidad numérica.
El DPD es
habitualmente asociado con su antecedente más inmediato, la portabilidad
numérica,[6]
ya que bajo el DPD los usuarios se trasladan entre servicios en línea, de una
manera similar en la que lo hacen los usuarios de servicios telefónicos al cambiar
los proveedores telefónicos pero conservando sus números telefónicos.
Sin embargo, bajo la
portabilidad de datos el usuario no sólo puede migrar sus datos a un nuevo
proveedor de servicios similares al que le venía prestando su proveedor
original, sino que puede también portar sus datos hacia un tercer proveedor que
le preste servicios diferentes con un valor agregado (análisis del consumo
eléctrico para seleccionar nuevo prestador de servicios que lo brinde bajo
mejores condiciones).
Las justificaciones
teóricas de la portabilidad numérica basadas en la supresión de costos de
entrada sirven como una analogía adecuada bajo el contexto de la portabilidad
de datos. En ambos casos hay recuperación del control de diferentes tipos de
datos; en un caso de aquellos asociados a la identificación asignada al
usuario, y en el otro de datos de titularidad del propio usuario, pero en ambas
situaciones produciéndose un desplazamiento hacia el usuario, del rol de
control sobre todos los datos que venían llevando a cabo cada uno de los
operadores de servicios que involucraban procesamiento de datos.[7]
1.3.
Relación
con el derecho de acceso a los datos. ¿El DPD como especie?
Para una adecuada caracterización del DPD deviene necesario
inmiscuirse en la relación que presenta con el derecho de acceso a los datos,
ya sea que se lo considere como un derecho autónomo e independiente o como
especie del género que conformaría el derecho de acceso.
La razón de la comparación con el derecho de acceso radica
en que se trata del equivalente más próximo al DPD, permitiendo al sujeto que
requiera el acceso a los datos realizar las siguientes acciones: revisar los
datos, rectificarlos en caso que sean erróneos o desactualizados y obtener
copia de los mismos.
Con la incorporación del DPD al marco jurídico europeo se
produce una ampliación del alcance del derecho de acceso, puesto que pasa a
comprender una nueva facultad, como es la posibilidad que el sujeto legitimado
por tal derecho exija el traspaso de sus datos personales hacia otro prestador
de servicios.
Atento que los supuestos de procedencia del derecho de
acceso a los datos personales resultan mucho más amplios en comparación a los
acotados supuestos en el cual procede el DPD se lo puede considerar como una
especie dentro del género del derecho de acceso.
1.4.
Implicancias
bajo el derecho de defensa de la competencia.
Con la copia de sus datos personales
electrónicos en su poder y la facultad de demandar a su proveedor la
transmisión de sus datos personales a otro proveedor competidor, los
consumidores pasan a tener una mayor libertad de elección de aquellos
proveedores de servicios que precisen de datos personales, y por eso
resultándole mucho más fácil cambiar de proveedor, evitando así el efecto
“cautiverio” o “lock in”.[8] La libertad y la posibilidad de optar los
proveedores de servicio lleva indefectiblemente a una mayor competencia entre
los mismos.
La privacidad ha sido
reconocida como una dimensión de defensa de la competencia no vinculada a los
precios, en el sentido que las empresas pueden competir por ofrecer mayor o
menor grado de protección de la privacidad.
Igual que otros factores que no se apoyan en el precio, como ser
calidad, variedad e innovación, la protección de la privacidad se mide con
parámetros disímiles a los utilizados para el precio, más teniendo en cuenta
que cada consumidor tiene diferentes preferencias en cuanto a su
privacidad.
El análisis del
impacto de la privacidad es más complicado porque la degradación en la
protección de la privacidad puede no ser percatada en forma inmediata por los
consumidores, a diferencia del impacto de los incrementos significativos de
precio. Que esta distorsión no sea fácilmente apreciable no justifica que se
descarte a la degradación de la privacidad como un daño a la competencia.[9]
Algunas voces
disidentes entienden que el DPD excede los principios de defensa de la
competencia europea, por aplicar la restricción de acceso exclusivo a los datos
personales, sin exigir que el obligado tenga una significativa participación en
el mercado, por lo tanto resultando exigible dicha obligación tanto para un
operador consolidado y monopólico de mercado como para un pequeño entrante. Sin
embargo las posturas contrarias advierten que el Tribunal Europeo no exige,
como antecedente mandatorio, contar con una significativa participación de
mercado para poder aplicar remedios a prácticas injustificadas de “lock-in”, por
considerar que las mismas disminuyen el mercado en cuestión desde el momento
que sirven para excluir competidores.[10]
A favor de dicha conclusión se debe sumar la dificultad que presenta la
delimitación del mercado relevante bajo un ambiente digital cada vez más
convergente y donde las fronteras resultan cada vez más borrosas.
Se ha ponderado al DPD en cuanto a que
puede ayudar a contribuir al desarrollo de servicios de valor agregado por
terceros, que van a poder acceder a los datos de los consumidores a pedido de
ellos y basado en el consentimiento de los consumidores.[11]
Esto, sin dudas puede hacer bajar las barreras de entrada a nuevos mercados que
requieren de acceso a los datos personales, y de esta forma ayudando a crear
mercado más competitivos, desde el momento que van a permitir abandonar las
estructuras monopólicas de mercado que se dan en algunos segmentos.
A esta altura y cuando se pregona el
abandono de las actuales estructuras de modelo de negocios, basadas en la falta
de control del titular sobre los datos personales, carecería de utilidad basar
el análisis de defensa de la competencia en las estructuras de mercado a ser
suplantadas por modelos de negocios novedosos, donde el titular de los datos
cuenta con el control suficiente sobre los mismos. De no adoptar este criterio
se puede incurrir en el error en que si la valuación del DPD, en determinadas
circunstancias, es inferior al costo incremental de desarrollar y administrar
tecnologías de portabilidad se pase a considerar a la portabilidad como
económicamente ineficiente. Y sostener una argumentación engañosa respecto a
una supuesta disminución en los beneficios generales de mercado cuando en
realidad esa estructura de mercado está siendo abandonada por otra donde el
poder primordialmente se encuentra en el usuario, y en consecuencia sujeta a
otros parámetros de análisis.
Bajo el esquema propuesto adquiere
mayor relevancia el rol que puedan asumir los espacios o caja de datos
personales, explicados más adelante, en la nueva estructuración del mercado
dominado por los usuarios, en vez de encasillarse en el análisis de las
estructuras de mercado a ser dejadas de lado.
1.5.
Medio
de empoderamiento del consumidor digital. Ruptura del modelo de negocio de los
datos personales.
Incorporar al DPD dentro
del ámbito del derecho del consumidor significa abandonar el paradigma, bajo el
cual las empresas recolectan y usan información de sus consumidores para sus
propios propósitos, para pasar a otro, en que los individuos manejan su propia
información, de acuerdo a sus intereses, y solamente comparten sus datos con
aquellos prestadores que logren beneficios para ambas partes. Bajo este enfoque
se propiciaría aquel modelo de negocios novedoso donde los consumidores se
emancipan de los sistemas creados para controlarlos, y por ende convirtiéndose
en actores libres e independientes del mercado, al tener capacidades para
exigirles a sus contrapartes lo que quieran, como lo quieran, donde, cuando y
al precio que lo deseen.
El DPD busca equilibrar, como instrumento
efectivo del empoderamiento para los consumidores, el desbalance entre las
empresas privadas y los individuos respecto al acceso y manipulación de los
datos personales.[12]
En este nuevo
ecosistema los datos personales generan una oportunidad para la creación de
valor social y económico, pero partiendo del presupuesto ineludible de un
ecosistema balanceado en cuanto al manejo de los datos personales. Este
concepto novedoso surgió del proyecto encarado por el World Economic Forum,[13]
basado en la noción de “centricidad en el usuario”, y bajo el cual se buscan
integrar diversos tipos de datos personales pero siempre colocando al usuario
en el centro de la gestión y uso de sus datos conforme a los principios
globales de transparencia, confianza, control y creación de valor.
Bajo dicha perspectiva
el DPD adquiere relevancia significativa por crear incentivos para un
procesamiento de datos eficiente y transparente, al dotar al usuario con un
control sobre la creación y cesión de sus datos personales y, en consecuencia,
empezando a hacer realidad el empoderamiento del consumidor como el punto
neurálgico de un nuevo modelo de negocios.
1.5.1 Las Cajas o Espacios Digitales.
Un ejemplo concreto y práctico para
efectivizar el DPD como medio de empoderamiento del consumidor en el mundo
digital, es la creación de espacios o cajas virtuales para la guarda de datos
personales, otorgando a sus titulares, mejor control sobre sus propios datos,
sabiendo quienes tienen acceso a los mismos y para qué fines.
En dichas cajas se pueden incluir
sistemas de procesamiento y análisis de big data con funcionalidades diversas y
que irán evolucionando con el tiempo para brindar servicios cada vez más
sofisticados (geolocalización, servicios médicos, etc.).
El supervisor europeo de protección de
datos específicamente ha incentivado el uso de espacios de datos personales
como ambientes seguros, con una perspectiva basada en el usuario donde pueda
guardar e intercambiar datos personales. Sin duda que este tipo de iniciativas,
responde al nuevo modelo de negocios que prioriza el empoderamiento del
consumidor, a través de mecanismos específicos, y que incluye su participación
en el uso y distribución de sus propios datos, brindándole un beneficio
tangible y concreto en lo que respecta a compartir sus datos personales con
terceros.[14]
1.6.
Semejanzas
con la neutralidad de red.
El
cautiverio digital surge cuando una red social se convierte en un jardín
amurallado de donde el usuario no puede salir salvo que se resigne a dejar toda
su historia de información personal. Es
una forma de discriminación, como la neutralidad de red, pero con
particularidades especiales que la diferencian por tratarse de afectaciones
generadas en diferentes capas que conforman la Internet. En
tanto en la neutralidad de red ocurre en el primer nivel de infraestructura de
la red mientras que la afectación del derecho de portabilidad de los datos
constituye un perjuicio vinculado a la última capa de Internet que comprende a
las aplicaciones y contenidos (redes sociales y buscadores).[15]
La libertad que se pregona bajo la
neutralidad de red apunta a la libertad de cambiar redes y no estar atrapado y
limitado a una red específica. Esta idea está atada a un mercado con libre
competencia, característica también propia de la portabilidad de datos, por más
que los derechos en juego en un instituto y en otro sean diferentes. Ya que la
neutralidad de red está vinculada, primordialmente, como instituto de defensa
de la libertad de expresión en tanto que la portabilidad de datos se asocia a
la protección de la privacidad en su versión más actualizada, como es la
autodeterminación informativa.
Tim Berners Lee
en “Long Live to the Web. A Call for Continued Open Standard and
Neutrality”[16]
advierte sobre las recientes amenazas surgidas que afectan la noción de
universalidad de la Web. Entre las que se encuentran aquellas vinculadas con
las redes sociales que obtienen valor mediante la información personal que uno
va ingresando a dichos sitios (fechas de cumpleaños, correo electrónico,
gustos, y vínculos con amigos e identificación de los mismos en fotos). Las referidas redes sociales toman esos datos
diseminados y arman bases de datos más completas que les sirven para reusar dicha
información en la provisión de servicios de valor agregado, pero a través de
dichos sitios.
Una vez que el usuario ingresa los
datos en dichos servicios resulta muy complicado poder utilizarlos en otro
sitio, dado que funcionan como silos separados de los de otros, en los cuales
resulta difícil enviar dicha información a otro sitio. Esto ocurre porque cada
información carece de un URI, ya que la conexión entre datos ocurre dentro de
un sitio pero no entre sitios entre sí. Ante lo cual cuantos más datos se
ingresen o se creen en un sitio, mayor será el grado de captura que tendrá ese
sitio sobre el titular de los datos más teniendo en cuenta que al referido
titular no se le confiere control total sobre dicha información.
Sin duda alguna la situación descripta
presenta marcadas similitudes con el reciente y controvertido proyecto llevado
a cabo por Facebook, conocido como Internet.org. Bajo el mismo, el proveedor de
acceso a Internet (ISPs) permite el acceso de sus usuarios sólo a determinados
contenidos y/o servicios en Internet a cambio de recibir acceso a Internet en
forma gratuita. A las voces contrarias a dicho proyecto,[17]
por considerarlo una afectación al principio de neutralidad de red, ahora se
sumarían críticas adicionales y asociadas a la dificultad o imposibilidad de
ejercicio del DPD desde estos servicios predeterminados en la oferta del ISPs
hacia otros servicios que no se encuentren comprendido dentro de la oferta
limitada del ISP original.
2.
ALCANCES
DEL DPD BAJO EL REGLAMENTO GENERAL DE PROTECCION DE DATOS DE LA UNION EUROPEA (RGPD).
2.1.
Tipo
de datos alcanzados.
El
Artículo 20(1) del RGPD entiende como alcanzados por el DPD a aquellos
datos personales procesados en forma automatizada en cumplimiento de un
contrato o en virtud de haberse entregado el correspondiente consentimiento
para dichos fines y que hayan sido entregados previamente por dicho sujeto al
responsable del tratamiento. En tanto que si los
datos no hubiesen sido entregados previamente por el sujeto titular a dicho
responsable, nada obsta a que el sujeto titular pueda ejercer el derecho de
acceso. Este es un claro ejemplo donde se demuestra el carácter de especie del
DPD respecto al derecho de acceso.
Es vital
considerar el ámbito de aplicación extraterritorial del RGPD, establecido en el
artículo 3.2, puesto que estarían incorporando como sujetos obligados a cumplir
con el DPD, a aquellos datos con los recaudos del párrafo anterior, por más que
los controladores no realicen su actividad dentro del territorio de la Unión
Europea, y que dichas actividades estén vinculadas con la oferta de bienes o
servicios a sujetos ubicados en la Unión Europea o con el monitoreo de
conductas que se llevan a cabo en la Unión Europea. Este
último apartado tiene consecuencias muy importantes ya que significaría la
aplicación de la norma europea a organizaciones que no están establecidas en
territorio europeo pero que tienen clientes u ofertan sus servicios a personas
que sí residen en Europa o, simplemente, realizan cualquier tipo de seguimiento
de las conducta del usuario europeo, por ejemplo, instalando cookies para
monitorizar la navegación del mismo con el objetivo de construir un perfil con
sus gustos, necesidades y
aficiones y así personalizar acciones publicitarias que le estén dirigidas.
Sin duda que la aplicación de este criterio recibe críticass de potenciales sujetos obligados bajo el RGPD,
como ser los proveedores de
servicios e infraestructura de cloud computing
establecidos fuera de Europa, que
consideran arbitrario estar sujetos a las obligaciones del RGPD por la
elección que hacen sus usuarios.[18]
2.1.1. Alcance
de las obligaciones que comprende el DPD.
Los responsables del procesamiento
de datos por medios automáticos se encuentran obligados a proveer
a los individuos con acceso a sus propios datos en un formato estándar,
portátil, interoperable y que sea leíble por computadoras, es decir usable y
reusable.
La posibilidad que los datos se
transmita en forma directa a un competidor del controlador de los datos, en
cumplimiento del DPD, sólo podrá ser exigible cuando sea técnicamente viable.
Si bien algunos consideran que lo pautado en el considerando 68 del RGPD
permitiría a la industría desatenderse de considerarse obligado a lograr dicha
viabilidad técnica, no cabe duda que para el logro de tal viabilidad se debe
acudir a la autoregulación de la propia industria para lograr parámetros de
formatos para que la interoperatibilidad se diseñe a partir de la fabricación
de los dispositivos.[19]
Sin dudas ésta es una de las cuestiones medulares para que el DPD pueda
volverse operativo.
2.2.
Supuestos
excluidos de aplicación del DPD.
El artículo 20.3 del RGPD
expresamente excluye del DPD a aquellos datos que sea necesario procesar en el
cumplimiento de una función en bien del interés público o en ejercicio de
poderes públicos conferidos al responsable del tratamiento. En igual sentido en los
considerandos se le excluye la aplicación del DPD respecto al sector
gubernamental, al ser este el encargado de cumplir con funciones públicas,
alguna obligación legal, misión realizada en interés público o en ejercicio de
los propios poderes públicos conferidos.[20]
A los fines de considerar el rol de las administraciones gubernamentales en el
manejo de datos personales resulta relevante considerar las aristas y alcances
del reciente pronunciamiento del Tribunal
de Justicia de la Unión Europea en el fallo Bara,[21] ya que en dicho pronunciamiento
se estableció que los principios de tratamiento justo de datos
personales exige que las autoridades gubernamentales informen al titular de los
datos acerca de la transferencia de los mismos entre autoridades públicas.
Los datos recolectados
bajo criterios distintos al cumplimiento de un contrato o por haberse prestado
el consentimiento para su procesamiento no estarían alcanzados por el DPD. Tal
sería el caso cuando se esté en presencia de
conocimiento derivado de los datos personales (supuesto en que los datos hayan
sido anonimizado) o generalizado a través de la formación de perfiles. Esto tiene vital importancia puesto que puede
impactar en relación a la toma de decisiones en forma automatizada a través de
los procesos conocidos de Big Data.
Otros
supuestos que quedan excluidos del DPD son aquellos vinculados con la
preservación de la seguridad pública o con facilitar las actividades de archivo
histórico de documentos.[22]
Sin duda que ante los riesgos que presenta la ciberseguridad en la actualidad
resultará una de las excepciones con mayores dificultades para limitar su
alcance frente al constante riesgo de afectar las garantías constitucionales de
los consumidores en pos de un Estado más vigilante.
2.3.
Situaciones
con claro oscuros.
2.3.1.
Aquellas
situaciones en que se presentan comentarios de autoría de múltiples usuarios
convirtiéndolos en un dato colectivo, y no siendo viable que uno de los
comentaristas exija que ese dato sea borrado o transmitido hacia otro
proveedor. Restan definir los mecanismos para obtener el consentimiento de
aquellos que conforman el dato colectivo, así como la posibilidad y formas de
divisibilidad de dichos datos colectivos.
2.3.2.
Otros puntos cuestionados por los
representantes de los Estados Miembros están relacionadas con ciertas
industrias como la salud, donde la portabilidad de los datos puede poner en
peligro investigaciones o la continuidad de servicios que se vienen prestando.
2.3.3.
¿Cuál es el tratamiento a otorgar a los
datos personales de las personas muertas? ¿Quién puede reclamar sus derechos
digitales, solamente los herederos forzosos?
¿Cómo juega el derecho de privacidad del occiso frente a los intereses
económicos de los herederos? Resta definir la legitimación legal para el
ejercicio del derecho de portabilidad o el derecho de supresión digital en la
cual se solicita la eliminación de todos los datos personales de una persona
fallecida.
2.3.4.
Se
parte de la premisa, equivocada, que el titular de los datos portados querrá,
en forma excluyente, el servicio o contenido prestado por el nuevo proveedor al
cual se portan los datos, y no recibir ningún otro servicio o contenido por
parte del prestador obligado a portar los datos. Eso es incorrecto, puesto que
el usuario del mundo digital es propenso a utilizar, en forma simultánea,
varios servicios o contenidos similares (el caso más claro es el de las
diferentes redes sociales como Facebook, Instagram, Twitter, Google+). En estos
casos, es discutible que se los considere como portabilidad, puesto que sólo
comprendería la copia de los datos existente hacia el último prestador,
conservando el prestador original los datos necesarios para seguir prestando el
servicio que venía prestando.
2.3.5.
La obligación de transferir los datos, en
forma directa, de un operador a otro podrá ser realizada cuando sea
“técnicamente posible”. La omisión incurrida por el artículo 20.2(a) del RGPD
respecto a quién será el encargado de acotar la vaguedad de ese término
jurídico indeterminado parece haber sido solucionada por su considerando 68, al
establecer que se impulsa, pero no obliga, a los controladores de datos a
desarrollar formatos interoperables para permitir la portabilidad de datos. Y
pareciendo haber fijado en cabeza de las industrias la obligación de encontrar
las soluciones técnicas para la portabilidad de datos que al menos incluyan su
recepción “en un formato estructurado, de uso común, de lectura mecánica e
interoperable, y los transmitan a otro responsable del tratamiento”. La definición y actualización de
los formatos de utilización habituales por los controladores deberá llevarse a
cabo conforme la realidad tecnológica imperante pudiendo recurrirse a
mecanismos de autoregulación de la industria. Sin dudas que dichos procesos
deberán ser seguidos de cerca por las autoridades de defensa de la competencia
y de protección de datos personales para evitar que las nuevas exigencias de
compatibilidad técnicas se conviertan en nuevas barreras de entrada o en
novedosas formas de afectar la protección de los datos personales.
3.
IMPACTO
SOBRE EL RESTO DEL MUNDO
3.1 Situación de las legislaciones
consideradas como adecuadas por la UE respecto a DPD. Pasos a seguir para
conservar el status como legislación adecuada bajo el RGPD.
El DPD a
ser implementado por el RGPD no sólo tiene trascendencia en la Unión Europea
sino que impacta en el resto del mundo, ya sea por el alcance extraterritorial
del RGPD, conforme se ha explicado en el punto 2.1 del presente informe, o por
la implicancias para aquellos países que desean que sus legislaciones sigan
siendo consideradas adecuadas respecto a la protección de los datos personales,
o que quieran alcanzar dicha ansiada calificación para facilitar la
transferencia internacional de datos con la Unión Europea.
Conforme el artículo 45 del RGPD la Comisión evaluará a terceros países,
ya sea para determinar si cuentan con un grado adecuado de protección de los
datos personales o para quitar la calificación otorgada. Entre las pautas a ser
evaluadas para adoptar la respectiva decisión se meritan las siguientes
consideraciones respecto al país evaluado: i) las normas jurídicas aplicables
en materia de cumplimiento de derechos humanos y derechos fundamentales,
legislación relevante tanto a nivel general como sectorial respecto a seguridad
pública, defensa nacional, acceso de las autoridades a datos personales,
precedentes jurisprudenciales, existencia de remedios administrativos y
judiciales para proteger los datos personales que son transferidos; ii)
autoridades de supervisión independientes; iii) compromisos internacionales
asumidos por este tercer país.
Los países que han sido declarados como países con nivel adecuado de
protección son Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey,
Islas Feroe, Andorra, Israel, Uruguay, Nueva Zelanda. Sin embargo en muchos
casos el plazo por el cual se otorga la referida declaración se encuentra
ampliamente vencido. Todos estos países al no contar en su legislación interna
con remedios como el DPD deberán indefectiblemente iniciar los procesos para
adecuar la incorporación de estos nuevos mecanismos de protección de la
privacidad a sus respectivos ordenamientos jurídicos internos. Y de esta forma poder seguir preservando el
beneficio de ser considerados con un nivel adecuado de protección bajo un nuevo
contexto donde el traspaso de información se asocia al desarrollo y
progreso.
3.2 Incorporación
del DPD por Estado Miembro de la UE (Francia)
como derecho interno.
La incorporación de las premisas del RGPD a las
legislaciones internas de los Estados Miembros transita su primera prueba con
Francia como primer adelantado en el recorrer la implementación efectiva del
DPD a través de la Ley de República Digital (aún pendiente el proceso completo
de sanción de la ley).
Conforme el Memorandum de Presentación del proyecto de ley
el DPD parece estar limitado en su alcance, dado que dicho derecho se
circunscribe a que los proveedores de servicios de correos electrónicos
(emails) le den la opción a sus usuarios de poder transferir sus correos y
lista de contactos a otro proveedor (Artículo 12 que incorpora el artículo
L.121-120 al Código del Consumidor).[23]
No es claro si alcanza como sujetos obligados del DPD a los operadores de
servicios de video llamadas en línea, servicio de mensajes instantáneos, o los
sistemas de acceso a las cuentas bancarias.
Lo novedoso de la Ley República Digital son los mecanismos
que se han incorporado para garantizar la efectividad del DPD. Entre los que se
encuentran, que la operación de DPD sea gratuita y el establecimiento de un
procedimiento de administración de los datos personales después de la muerte de
su titular.[24]
Sin dudas resultan ser los primeros ensayos en el mundo de regulación del DPD,
y recién a partir del momento de su aplicación efectivas se podrán sacar
conclusiones sobre los alcances y condiciones elegidos.
3.3 Situación
del DPD bajo el Privacy Shield acordado entre UE y EEUU.
El Tribunal de Justicia de la Unión Europea, en el caso
Schrems v. Data Protection Commissioner (2015),[25]
determinó la invalidez del Safe Harbour (principios aceptados en el 2000 por la
UE y a ser cumplidos por los EEUU para facilitar la transferencia de datos
entre EEUU y UE). Ante lo cual en febrero de 2016, Estados Unidos y la Unión
Europea llegaron a un acuerdo conocido como Privacy Shield[26]
bajo los cuales las empresas americanas se obligaron a autocertificarse en
relación al cumplimiento de determinados principios de privacidad para
transferir sus datos a la Unión Europea. Sin embargo ninguno de esos principios
de compromiso están relacionados en forma directa con el DPD.
Uno de los principios de privacidad a ser cumplimentados
conforme el Privacy Shield está vinculado con el derecho de acceso que las
empresas americanas deben conferir a los datos personales de sujetos titulares
europeos, sin embargo dentro de esta obligación no existe mención alguna a que
cumplan con los requerimientos propios del DPD por parte de las empresas
americanas si así fueran exigidas por europeos. En esta oportunidad se
desaprovechó la oportunidad de incluir al DPD como una de las obligaciones
exigidas a las empresas americanas para que se las pueda considerar dentro de
un marco adecuado de protección de datos personales.
3.4 Antecedentes de incidentes vinculados al
DPD entre empresas de Estados Unidos líderes de Internet (Google y Facebook) y sus
políticas actuales.
El DPD no es ni nuevo ni de incumbencia exclusiva de la
Unión Europea. Ya en el año 2008 en los Estados Unidos surgieron los primeros
incidentes entre Facebook y Google acerca del alcance de la portabilidad de los
datos de los productos que ofrecían, comenzando a vislumbrarse la tendencia de las redes sociales a derribar
las paredes de sus confines permitiendo a sus usuarios migrar con sus datos
hacia otros lados, tal fue el caso de Google (por medio de un programa conocido
como Friends Connect), News Corp y Facebook (a través de Facebook Connect).
Sin embargo dichas
iniciativas no prosperaron postergando el paso inicial para la migración de la
identidad y contactos de los usuarios, a través de la Web. Dichos intentos
aislados no sirvieron para empoderar al usuario con suficiente poder de negociación en la
protección de su privacidad a través de la libre elección de su proveedor a dónde
llevar sus datos y evitando quedar cautivo de su proveedor original. Esta
incertidumbre por la portabilidad de datos no se circunscribe a las redes
sociales sino que también aplica a los prestadores de servicios en la nube.
Resulta extraño que
en los últimos 10 años en el entorno de un mercado tan innovador no haya
surgido una aplicación que solucionase las dificultades operativas para migrar
los datos de una red a otra. De haberse dado dicha migración las grandes redes
sociales hubiesen puesto en riesgo a su activo más importante como son los
datos de sus usuarios. Ante lo cual no surgió mucho ímpetu en arriesgar la
posición de mercado con la que ya contaba cada una de ellas, lo que llevó a que
se generasen incidentes menores, que no merecieron ninguna acción correctiva
relevante por parte de las autoridades de aplicación en los Estados Unidos.
En febrero de 2011
Google quitó una funcionalidad del sistema operativo Android para móviles,
haciendo más difícil la integración de los contactos en Facebook de sus
usuarios en virtud que Facebook no permitía que esos datos importados luego
pudiesen ser transmitidos, y generando en consecuencia una falsa idea de
portabilidad de datos. En represalia Facebook desactivó la aplicación Facebook
Friend Exporter de Google Chrome, utilizada para exportar datos de los
contactos de su propia red social bajo la excusa que sus términos de servicio
no permiten la recolección automatizada de datos
Sin dudas estos
incidentes podrían haber tenido la misma trascendencia que aquellos vinculados
con la neutralidad de red, ya que al final y al cabo la discriminación en la
migración de datos se realizaba a través de una aplicación que procesaba datos,
y con marcadas similitudes con los casos de neutralidad de red. A diferencia de
lo ocurrido con los incidentes de neutralidad de red, los gigantes involucrados
lograron que dicha discusión pase lo más desapercibida posible y que cada uno
conserve la gran porción de mercado que ostenta, y sin facilitar el ingreso de
nuevos proveedores que se verían beneficiados con la migración obligatoria de
los datos de sus usuarios.
De un rápido chequeo de las
políticas actuales de DPD de los dos gigantes de Internet[27]
se podría sostener que cumplen con un mecanismo de ejecución efectiva del
derecho. Sin embargo al analizar, con mayor rigurosidad, la puesta en práctica
del ejercicio de este derecho, uno cae en la cuenta que dichas compañías
permiten la portabilidad de datos pero de acuerdo a las condiciones estrictas
que ellas mismas imponen, y de esta forma resguardando, al máximo, su activo
más valioso como es la información vinculada con sus usuarios.
Las indefiniciones apuntadas en la práctica impiden la
migración generalizada de datos, deberían ser subsanadas antes del comienzo de
la vigencia del RGPD, a través de la fijación de parámetros de
interoperabilidad obligatorios para que el DPD pueda ser una realidad en la
vida cotidiana de los datos de las personas de a pié.
La
delegación en el mercada efectuada por el artículo 20 del RGPD respecto definir
cuando se está en presencia de un formato estructurado, de uso común y
lectura mecánica para que un usuario pueda recuperar sus datos o cuando están
dadas las condiciones técnicas viables para que proceda la migración de datos a
favor de otro operador, no ayuda a solucionar la inactividad apuntada respecto
la búsqueda de soluciones generales para la interoperabilidad. Tal vez el RGPD debería haber apuntado a
imponer una obligación de los operadores de cumplir con
la portabilidad a través de formatos abiertos, y de esta manera permitir el
desarrollo del nuevo modelo de negocios que se propicia y que está centrado en
el usuario. No obstante la
interoperabilidad presenta serias dificultades técnicas y costos económicos
significativos para aquellos que tengan la obligación de convertirlas en
realidad.
Al tener los grandes procesadores de datos de terceros la
facultad de autoregularse, sin dudas van a evitar alterar la estructura actual
de su negocio que tanto los ha venido beneficiando, por más que dicha opción
implique sacrificar el interés público inmiscuido durante el ciclo de vida de
su principal insumo, como es la garantía de protección de los datos de sus
usuarios.
4. CONCLUSIONES
El reconocimiento de un nuevo remedio jurídico como el DPD
bajo el RGPD es auspicioso para el logro de un desarrollo equilibrado de la
explotación comercial de los datos personales a la par del ejercicio efectivo
de los derechos de los titulares de dichos datos.
Sin embargo una diversidad de cuestiones identificadas en
este informe merecerán un análisis más
exhaustivo y profundo, y de esta forma los usuarios aprovechen esta oportunidad
para retomar el control de sus datos de los actuales responsables de su
tratamiento. Resulta paradójico que para
que el DPD se convierta en una realidad efectiva se deba contar
indefectiblemente con la colaboración de los principales beneficiados del
sistema que se propicia reemplazar.
Ante lo cual las autoridades deberán buscar otorgar
incentivos adecuados para que se logren cumplir con los recaudos técnicos
tendientes a efectivizar, sin interferencias, los canales de traspaso que implica
la portabilidad. La interoperabilidad de estos canales tendrá que ser factible
para todos los operadores, y no sólo para los conocidos de siempre. De lo contrario las autoridades competentes
deberán aplicar las sanciones que le permite el RGPD y de esta forma lograr que
el DPD se convierta en una efectividad conducente para que la autodeterminación
informativa se vuelva una realidad práctica dentro del nuevo
ecosistema donde el manejo de los datos personales se apuntala en la noción de centricidad
en el usuario.
5.
BIBLIOGRAFIA
HELEN NISSENBAUM, Privacy in
Context. Technology, Policy and the Integrity of Social Life. Stanford
University Press (2010).
CENTER FOR EUROPEAN POLICY STUDIES,
Report of the CEPS Digital Forum. Online Personal Data Processing and EU Data
Protection Reform. (April 2013).
PETER LEONARD, Customer data
analytics: privacy settings for “Big Data” business. International Data Privacy Law, 2014, Vol.4.
No. 1. Pag.53-68. Oxford University Press (2014).
PAUL
MOURA. The Sticky Case
of Sticky Data: An Examination of the Rationale, Legality, and Implementation
of a Right to Data Portability Under European Competition Law. Dissertation
submitted to the Department of Media and Communications, London School of
Economics and Political Science, August 2013.http://www.lse.ac.uk/media@lse/research/mediaWorkingPapers/MScDissertationSeries/2013/118-Moura.pdf
Ultimo acceso Marzo 21, 2016.
IRA S.
RUBINSTEIN. Big Data: The End of Privacy or a New Beginning? International Data
Privacy Law, 2013, Vol. 3, No. 2 34 Oxford University Press (2014).
ENRIQUE
DANS. “Internet.org llega a India” (2015) disponible en https://www.enriquedans.com/2015/11/internet-org-llega-a-india.html
Ultima vez consultado 20 de marzo de 2016.
ANITA
BOPAT. “The new right
of portability” Privacy and Data Protection Journal Volume 13 Issue 3 Pag. 4
WORLD ECONOMIC FORUM Rethinking Personal Data’ (2010) and ‘Personal Data: The Emergence of a
New Asset Class’ (2011).
GABRIELA ZANFIR. The
right to Data portability in the context of the EU data protection reform. International
Data Privacy Law, 2012 page 1-14. Oxford University Press (2012).
PAUL M.
SCHWARTZ. Property, Privacy and Personal Data. Harvard Law Review. Volume 117,
May 2004, Number 7. Pages 2055-2128. (2014).
EVA FIALOVA. Data Portability and informational
self-determination. Masaryk University Journal of Law and Technology.Volume 8:1
2014, Pages 45-55 (2014).
P. DE FILIPPI, L.
BELLI. ‘Law of the Cloud v Law of the Land: Challenges and Opportunities for
Innovation’, European Journal for Law and Technology, Vol. 3, No. 2, (2012).
DANIEL
SOLOVE. Autogestión de la privacidad y el dilema del consentimiento. Revista Chilena de Derecho y Tecnología
, 2 (2), (2013).
PETER
SWIRE & YIANNI LAGOS. Why
the right to Data Portability likely reduces Consumer Welfare: Antitrust and
Privacy Critique. Maryland Law Review. Volume 72. Number 2. (2013)
[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del
Consejo, de 27 de abril de 2016, relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE,
publicada el 4 de mayo de 2016 en el Diario Oficial de la Unión Europea.
[3] El caso de aplicación de sanciones por violación de
políticas de privacidad y data breaches más relevante fue FTC v. Wyndham Worldwide Corp., 10 F. Supp. 3d 602 (D.N.J.
2014), aff’d, 799 F.3d 236 (3d Cir. 2015). La importancia radica en que se
confirmó su competencia para entender en cuestiones vinculadas con violación de
políticas de privacidad y seguridad de datos personales.
[4] Artículos 7 y 8 respectivamente de la referida Carta.
Debiendo destacarse que el artículo 8.2 hace una expresa referencia al derecho
de acceso a sus datos personales por parte del titular de los mismos.
[5] Reconoce su origen en un precedente del Tribunal Constitucional Alemán, sentencia
de 15 de diciembre de 1983, cuando anuló la Ley de Censo de Población de 1982,
que hace más de 30 años ha venido a reconocer a esta nueva categoría jurídica
para justificar la protección brindada a las personas ante el tratamiento
automatizado de sus datos
[7] Moura, Paul. The Sticky Case
of Sticky Data: An Examination of the Rationale, Legality, and Implementation
of a Right to Data Portability Under European Competition Law. Dissertation
submitted to the Department of Media and Communications, London School of
Economics and Political Science, August 2013. http://www.lse.ac.uk/media@lse/research/mediaWorkingPapers/MScDissertationSeries/2013/118-Moura.pdf Ultimo acceso Marzo 21, 2016.
[8] “5. Competencia entre
plataformas y barreras para proceder a su cambio por parte de los usuarios. La
facultad de los consumidores de cambiar de plataforma a plataforma juega un rol
crucial en el estímulo de la competencia e innovación, incluyendo el ámbito de
las garantías de la protección de datos personales.
El derecho de
portabilidad se encuentra afectado cuando los datos personales no son
accesibles en su portabilidad o son entregados en un formato que no es posible
de ser usado. Si la transferencia en línea de los datos personales no está
disponible, es técnicamente difícil o cara, los usuarios es muy probable que
confirmen su elección inicial y no se muden a otro proveedor. Asegurar la
portabilidad de datos es un punto clave para asegurar una justa competencia
entre plataformas, además de convertirse en un mecanismo crucial de control
para el usuario.” Respuesta del
Supervisor Europeo de Protección de Datos a la Comisión respecto a la consulta
pública del ambiente regulatorio para plataformas, intermediarios online,
datos, cloud computing y economía colaborativa. 2015.
[9] Tan es así que hasta alguna doctrina sostiene que el
DPD no afecta cuestiones de derecho de la competencia. Swire, Peter & Yianni
Lagos. Why the right to Data Portability likely reduces Consumer Welfare:
Antitrust and Privacy Critique. Maryland Law Review. Volume 72. Number 2. Pág.
349-351 (2013).
[10] Moura, Paul. The Sticky Case of Sticky Data: An Examination of the
Rationale, Legality, and Implementation of a Right to Data Portability Under
European Competition Law. Dissertation submitted to the Department of Media and
Communications, London School of Economics and Political Science, August 2013. http://www.lse.ac.uk/media@lse/research/mediaWorkingPapers/MScDissertationSeries/2013/118-Moura.pdf Ultimo acceso Marzo 21, 2016.
[11] “Pudiendo contribuir
al desarrollo de servicios adicionales de valor agregado por parte de terceras
partes que también tendrán la posibilidad de acceder a los datos de los
clientes a simple reclamo siempre que se cuente con el consentimiento de dichos
clientes. Esto, podrá derrivar barreras de entrada a nuevos mercados que
requieren de acceso a los datos personales, y ayudará a crear mercados más
competitivos, así como estructuras de mercado menos monopólicas” Opinión 7/2015 del Supervisor
de la Unión Europea sobre Protección de Datos, Meeting the challenges of Big
Data.
[12] Bopat, Anita “The new right
of portability” Privacy and Data Protection Journal Volume 13 Issue 3 Pag. 4
[13] World Economic
Forum Rethinking Personal Data’ (2010) and ‘Personal Data:
The Emergence of a New Asset Class’ (2011).
[14] Opinión 7/2015 del Supervisor europeo
de protección de datos, Meeting the challenges of Big Data. 19 de noviembre de
2015. https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-11-19_Big_Data_EN.pdf
[15] En caso que existiese alguna afectación
en el criterio de búsqueda de contenido por los buscadores también se estaría
en presencia de una afectación ocurrida en la misma cuarta capa de Internet
donde está en juego el reconocimiento del DPD.
[16] Tim Berners-Lee (2010) Scientific
American. http://www.theguardian.com/technology/2012/apr/18/tim-berners-lee-google-facebook
[17] Enrique Dans. “Internet.org llega a India” (2015)
disponible en https://www.enriquedans.com/2015/11/internet-org-llega-a-india.html Ultima vez consultado 20 de marzo de 2016.
[18] En tal sentido resultan sumamente interesantes los criterios
establecidos por los considerandos 22 a 24 deL RGPD para fijar las pautas
interpretativas que definen el ámbito de aplicación territorial deL RGPD en su
artículo 3.
[19] “A los fines de garantizar la transparencia y el control del usuario,
los fabricantes de dispositivos deben proveer herramientas para que los datos
puedan ser leidos, editados y modificados en el dispositivo antes de
transferidos al controlador de datos. Más aún, los datos personales procesados
por un dispositivos deben quedar almacenados en un formato que permita la
portabilidad de los datos. Los usuarios tiene el derecho de acceso a sus datos
personales, ante lo cual deberán ser provistos con herramientas que les permitan
exportar fácilmente sus datos en un formato estructurado y habitualmente
utilizado. Por lo tanto, los fabricantes de dispositivos deberán proveer una
interface amigable para aquellos usuarios que desean tener tantos los datos
agregados como los datos crudos que sigan en poder del prestador.” Opinión
8/2014 del Grupo de Trabajo del Artículo 29 “On the Recent Developments on the
Internet of Things” adoptada en septiembre de 2014.
[20] Ver considerando 68 del RGPD.
[21] Bara and others v
Presedintele Casei Nationale de Asigurari de Sanatate and others [2015] All ER
(D) 250 (Oct), C-201/14. http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d505c320749ed748e484c1d5bf47ac9961.e34KaxiLc3qMb40Rch0SaxuTa3r0?text=&docid=168943&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=218971
[22] Artículo 89.3 de la RGPD.
[23] http://www.republique-numerique.fr/pages/digital-republic-bill-rationale Consultado por última vez el 22 de marzo de 2016.
[26] http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf Consultado por última vez el 23 de marzo de 2016.
[27] Política de privacidad de Google https://privacy.google.com/my-controls.html Disponible Mayo 11, 2016. Facebook por su parte
establece otro programa de descarga de tu información en https://www.facebook.com/help/131112897028467 Disponible Mayo 11, 2016
Comentarios
Publicar un comentario