¿Necesita la Superintendencia de Industria y Comercio más competencia para vigilar sitios de Internet?

2016-02-17 Leer en voz alta

Por Carolina Botero

caritas
En 2014, la Superintendencia de Industria y Comercio, en concreto la Delegatura de Protección de Datos, que es la autoridad protectora de los datos personales en Colombia, resolvió una consulta ciudadana donde afirmó no tener competencia para revisar las quejas sobre el manejo de datos de los usuarios de Facebook, el argumento central fue que esa red social no tiene domicilio en Colombia.

La decisión fue duramente criticada en el país porque dejaba a la ciudadanía en situación de indefensión. Poco después, el director de la Delegatura indicó que había sido un error de quien había quedado encargado durante sus vacaciones y que lo corregiría. El director dejó su cargo unos meses después y la corrección no se dio. Colombia quedó con esa opinión experta en firme.

Esta situación de indefensión para la ciudadanía llevó a que el Senador Jaime Amín Hernández propusiera como solución: un proyecto de ley (105/15) que amplía las competencias de la autoridad colombiana para indicar que puede ocuparse de casos en los que cualquier persona o empresa — incluso aquellas que no tengan ningún vínculo físico con Colombia– haga cualquier tratamiento de datos de personas residentes en Colombia.

La siguiente es la propuesta de modificación legal:

Ley 1581 de 2012 Proyecto de Ley 105/15
“La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales.” Amplía esa competencia para agregar
“al tratamiento de datos personales efectuado por Responsables o Encargados del Tratamiento que no residan ni estén domiciliados en el territorio de la República de Colombia pero que a través de internet o de cualquier medio recolectan, almacenan, usan, circulan y en general realizan cualquier operación o conjunto de operaciones sobre datos personales de personas que residan, estén domiciliadas o ubicadas en el territorio de la República de Colombia”

La modificación es sustancial, pues se pasa de una norma que vincula la competencia a la territorialidad del tratamiento de datos a una que amplía competencia en relación con el vínculo de toda persona residente colombiana que haya sido sujeto de un tratamiento de datos. El cambio es, sin duda, interesante para enfatizar en la necesidad de flexibilidad sobre el carácter transfronterizo de esta competencia, pero su alcance es tan amplio que supondrá retos impresionantes tornándola en inocua.

Simpatizo con que debemos buscar una solución al problema generado en forma irresponsable por un funcionario de la Superintendencia de Industria y Comercio, sin embargo, la solución del senador Amín me parece que es la de desplegar un cañón para acabar con un zancudo. Mi opinión tiene al menos dos consideraciones:

  1. ¿Acaso necesitamos una ley para modificar ese concepto?

No. La entidad puede corregir su concepto o la ciudadanía puede iniciar un proceso administrativo para que esa Superintendencia haga tal revisión. Intentar corregir los errores de los funcionarios públicos con leyes es, en principio, una exageración.

Sobre todo, no debería hacerse sin un amplio estudio que justifique tal cambio. El proyecto de ley en su motivación explica los retos y se ocupa de exponer la necesidad de no resignar la competencia local sobre empresas no domiciliadas ni residentes del país. No explica el análisis que el legislador hace para establecer que la solución es la de proponer competencia sobre cualquier tratamiento de datos realizado a residentes locales en cualquier lugar y por cualquier medio. No hay, por ejemplo, una evaluación de derecho comparativo que exponga la forma como esta situación se soluciona en otros países, ni los pros y contras de tales opciones. En suma, no se justifica el cambio de la norma de competencia más allá del vacío que generó el error de la Superintendencia de Industria y Comercio.

En un análisis de 2002, que estudiaba cómo se aplicaban las normas comunitarias de la UE al tratamiento de datos personales en Internet por sitios web establecidos fuera de la comunidad, se reconoce que “los Estados tienden a utilizar varios criterios alternativos para determinar exhaustivamente el ámbito de aplicación del derecho nacional, cubrir el mayor número posible de casos y ofrecer la protección más amplia posible a los consumidores y a la industria nacionales. Esta tendencia conduce inevitablemente a aplicar varias leyes nacionales a una situación que implica un elemento transfronterizo. Por lo tanto, los instrumentos jurídicos internacionales intentan determinar los criterios pertinentes de manera neutra y no discriminatoria”.

Colombia no ha sido la excepción. En este punto en concreto, la norma de competencia existente busca tener un alcance transfronterizo al establecer en el mencionado artículo 2 que está dada porque el tratamiento de datos se de en el país. Al ampliar esta opción con una en la que la competencia se da simplemente porque la persona sea residente en el país se puede generar otras incertidumbres. Si cualquier persona residente en el país puede pedir que la autoridad colombiana se ocupe de sus problemas de tratamientos de datos tanto en la Internet como fuera de ella, puede suceder que pida que lo haga sobre eventos que sucedieron fuera del país. Imagine que un venezolano residente en el país reclame competencia de la autoridad colombiana por el tratamiento que de sus datos se hizo en un hotel de Malta donde estuvo de vacaciones en diciembre. ¿Está nuestra autoridad preparada para esas posibilidades? ¿Tiene sentido generar la expectativa de que en el país podemos perseguir y hacer cumplir nuestras normas para situaciones que suceden fuera del país e incluso fuera de la Internet? ¿Cuánto costaría asumir realmente una competencia de este tipo? ¿Se ha calculado los riesgos que la amplitud de la norma puede generar para abusos?

Mirando el contexto internacional actual lo que vemos es que precisamente para tener ese efecto en materia de habeas data y protección de datos lo que se ha hecho es hablar de asumir competencia siempre que cualquier parte del “tratamiento de datos” se haga en el país. De esta manera, se cumple con el objetivo de tener competencia sobre “responsables o encargados del tratamiento” que no estén ni domiciliados ni residenciados en el país. El problema no es de la norma existente sino de la mala interpretación que de ella hizo un funcionario.

  1. El artículo 2 de la Ley de Protección de Datos Personales fue mal aplicado pero es suficiente para asignar competencia en los casos problematizados por la motivación del proyecto de ley del senador Amin.

En el artículo 2 de la ley 1581 se indica que la competencia se “aplicará al Tratamiento de datos personales efectuado en el territorio colombiano”. La Superintendencia consideró que esta disposición no cubre los datos que se generan y encuentran en Facebook, pues no estarían en el territorio nacional ya que la empresa no está domiciliada en Colombia.

En 2014, cuando Google informó que unificaba las decenas de políticas de privacidad que tenía para su diferentes servicios, las autoridades europeas analizaron lo que significaba ese anuncio bajo la premisa de que esta acción es un reconocimiento de que se procesaba información de las personas usuarias en forma más agresiva de lo que suponían. El resultado fue un proceso en el que las autoridades de la UE evaluaron el punto de la competencia a través del conocido como Grupo de Trabajo del Artículo 29.

Sus conclusiones fueron recogidas en decisiones nacionales como la de la autoridad española, que se consignó en la Resolución R/02892/2013.
En dicha resolución se estableció la existencia de una oficina de mercadeo de Google en España, y lo que supone para afirmar la presencia de la empresa extranjera en el país y en actividades relacionadas con el tratamiento de datos de sus nacionales. La autoridad indicó que, precisamente, la publicidad es elemento central en el negocio de Google. La autoridad española afirmó que “las actividades destinadas a la obtención de publicidad que lleva a cabo (Google Spain S.L.) tienen vinculación con los tratamientos de datos personales de personas residentes en España”. Su análisis, además, llevó a a la autoridad a pronunciarse sobre si el tratamiento se hace localmente (que es el otro elemento de competencia en España). En ese caso, estableció que “incluso en los supuestos en los que el servicio no se financia con la publicidad, la entidad Google Inc. recurre a medios situados en el territorio español con el fin de captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, así como ejecutando código en dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos”.

Este tipo de aplicación transfronteriza en normas de protección de datos no es exclusivo de la UE. En el mencionado estudio de 2002 se indica también que “en los Estados Unidos de América, los tribunales y las leyes aplican razonamientos similares con el fin de que los sitios web extranjeros estén sujetos a las normas locales: la ley norteamericana, (continúa) Children’s Online Privacy Protection Act (COPPA) de 1998 se aplica también a los sitios web extranjeros que recogen información personal de niños establecidos en el territorio de los Estados Unidos”.

La cotidianidad del uso de las tecnologías de la información y las comunicaciones y, sobre todo, de Internet no significa la necesidad de crear nuevas normas. Lo que sí parece indispensable es que quienes deben aplicar las existentes deben entender la tecnología y apliquen esas normas en forma adecuada. Está claro que el reto no es menor, pues se trata de una tecnología transfronteriza que debe aplicarse a realidades legales llenas de fronteras, pero es necesario discutirlo.

Finalmente, la autoridad colombiana ha tenido casos en los que ha debido resolver temas transfronterizos como el fallo sancionatorio contra “datajuridica.com”. En ese caso su análisis técnico concluyó que la autoridad era competente para investigar el sitio y este fallo confirma que es innecesario un proyecto de ley como el 105 de 2015.
=================================================================================
El próximo 24 de febrero de 2016 la directora de la Fundación Karisma, Carolina Botero Cabrera, fue invitada a debatir sobre el Proyecto de Ley 105 del Senado de 2015 dentro de la celebración de los XIII Jornadas GECTI de la Universidad de los Andes, puede consultar la agenda del evento aquí.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.