Autoridad colombiana de protección de datos concluye que sí es competente para investigar a Facebook
Por: Nelson Remolina Angarita 16/03/2016
Lea el nuevo concepto del 3 de marzo de 2016 de la Superintendencia de Industria y Comercio sobre facebook y la protección de los datos personales en dicha red social digital. Mediante este pronunciamiento se revisan las conclusiones del concepto sobre el mismo tema del 24 de noviembre de 2014.
Respecto del concepto inicial manifestamos nuestra opinión, la cual puedes ser consultada en este observatorio: Ver: Zuckerberg, redes sociales digitales y el concepto de la Superintendencia de Industria y Comercio sobre el ámbito de aplicación de la ley colombiana de protección de datos
El concepto de 2016 abre las puertas que se habían cerrado en 2014 sobre el tema. En efecto, en esta ocasión, la SIC reconoce su competencia para investigar casos de infracciones de tratamientos de datos personales que se realizan desde sitios ubicados fuera del territorio colombiano. Esto es bienvenido -así lo hemos manifestado en otras oportunidades-, porque internet y la “extraterritorialidad” no deben convertirse en factores que promuevan la impunidad respecto de tratamiento indebido de datos personales cuyo hecho generador tiene lugar fuera del territorio colombiano. En este sentido, ver, por ejemplo: ¿Qué hacer frente a la recolección internacional de datos personales?
En el concepto reciente (2016), se destacan varias cosas:
1. La SIC reitera la autonomía e independencia del derecho de la protección de datos personales -también llamado habeas data, autodeterminación informática, entre otros- de otros derechos constitucionales como el buen nombre y la intimidad.
2. La SIC señala que el tratamiento de datos personales comprende “la recolección, el almacenamiento, la idexación, la conservación, el análisis, el uso, la circulación, la transmisión, la transferencia, la divulgación, el acceso, la consulta, la supresión y la depuración de datos personales”. Con esto, no queda duda que la redes sociales digitales y los motores de búsque tratan datos personales y por ende deben ser respetuosos de los deberes que les imponene las regulaciones como responsables del tratamiento de enormes cantidades de datos de trillones de personas de todas partes del mundo.
Concluye la SIC lo anterior en los siguientes términos:
“(i) en las plataformas de comunicación en línea, tales como Facebook, Instragram o Linkedln, efectivamente se realiza tratamiento de datos personales, verbigracia, contactos, fotografías, o vídeos, mediante la creación de un perfil personalizado, alojamiento, conservación, publicación, circulación y supresión de información personal, la utilización de los datos con fines de comercialización, la localización de información de una persona y el acceso al perfil público o privado.
(ii) el proveedor de servicios de redes sociales es responsable del tratamiento de datos13 en las plataformas de comunicación en línea, en lo que respecta al derecho de Hábeas Data.
3. Un cambio importante del concepto es el reconocimiento de la SIC de su competencia para poder investigar eventuales infracciones de la ley colombiana por parte de redes sociales digitales que no tengan domicilio en colombia. En efecto, la SIC concluye lo siguiente:
“Sin duda alguna, el precepto jurídico citado extiende el ámbito de aplicación de la ley estatutaria de protección de datos personales a un sinnúmero de escenarios de tratamiento de información personal en Colombia, verbigracia, de manera ilustrativa, el tratamiento de datos personales efectuado por proveedores de servicios de redes sociales establecidos fuera del país, a través de un “medio” situado en territorio colombiano. Con el fin de otorgar mayor claridad en el tema, esta Superintendencia se permite referir lo expuesto en el Informe de Trabajo No. 56, del grupo de trabajo del artículo 29 de la Directiva 95/46/CE, relativo a la aplicación internacional de la legislación comunitaria sobre protección de datos al tratamiento de los datos personales en Internet por sitios web establecidos fuera de la UE, el cual indicó que “(…) los PC, los terminales y los servidores, que se pueden utilizar para casi todos los tipos de operaciones de tratamiento de datos, son ejemplo de medios.”21. Interpretación conforme con el entendimiento que ha tenido la Corte Constitucional sobre el asunto en Colombia, dado que en Sentencia C-748 de 2011, manifiesta que dentro de los medios informáticos de divulgación o comunicación masiva, se encuentran las redes sociales y la internet, otorgándole gran importancia a la determinación de los medios de tratamiento utilizados, toda vez que es uno de los parámetros que contribuye a la identificación del responsable del tratamiento de datos personales.
En otras palabras, la SIC se encuentra completamente facultada para garantizar el tratamiento de datos personales de los colombianos que, a través de las redes sociales en internet compartan información personal; todo en observancia de los principios, derechos, garantías y procedimientos establecidos por la Ley 1581 de 2012.”
Ahora bien, creemos que este concepto es un paso adelante para combatir posibles tratamientos indebidos de datos personales en internet. No obstante, no desaparece la necesidad de que una ley expresamente confiera competencia a la SIC frente a situaciones de recolección internacional de datos personales. Lo anterior es así, para evitar cualquier cuestionamiento jurídico sobre el tema o que se emita otro concepto cambiando de opinión sobre el particular.
La necesidad de esta ley sigue siendo latente y urgente. Ya existe un proyecto de ley que el 24 de febrero de 2016 fue objeto de un primer debate académico cuyo video puede verse acá. (Desde el minuto 32:15 y siguiente del debate)
Con el proyecto de ley no se soluciona por completo el tema, pero se avanza significativamente en pro de la protección de los derechos de las personas en internet. Con la nueva ley, desaparecía cualquier duda sobre la competencia de la SIC y se evitarían debates jurídicos sobre este punto que toman mucho tiempo y que impiden avanzar sobre la cuestioón de fondo: la protección real de los derechos de las personas en el ciberespacio.
Recuerdese que “ el ciberespecio es el mundo del siglo XXI, el cual está lleno de tecnologías e hiperconectado a través de internet. Las respuestas jurídicas nacionales e internacionales deben ser diferentes si queremos buenos resultados. “Si buscas resultados distintos, no hagas siempre lo mismo” (Albert Einstein) ” Tomado de: ¿Qué hacer frente a la recolección internacional de datos personales? (2016)
ALGUNAS EMPRESAS son muy globales cuando se trata de recolectar datos de personas de todas partes del mundo, y poco locales a la hora de responder frente a las autoridades nacionales por las infracciones de leyes como la ley 1581 de 2012.
En síntesis, esta es la doctrina de algunas empresas extranjeras frente a la recolección internacional de datos: “QUIERO LOS DATOS DE LOS CIUDADANOS DE CUALQUIER PARTE DEL MUNDO, PERO NO QUIERO CUMPLIR LAS LEYES LOCALES NI QUE ME INVESTIGUEN LAS AUTORIDADES DE OTROS PAÍSES”