Debe Colombia incluir a los Estados Unidos dentro del listado de países que proporcionan niveles adecuados de protección de datos?. Decálogo de reflexiones académicas y ciudadanas.

Por: Nelson Remolina Angarita (19/IV/2017). nremolin@uniandes.edu.co

El artículo 26 de la ley 1581 de 2012 prohíbe la transferencia de datos personales  “a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios”.

La Superintendencia de Industria y Comercio (SIC) publicó un proyecto de circular que tiene por objeto: “Impartir instrucciones a los Responsables y Encargados del Tratamiento de datos personales respecto de la transferencia y transmisión de datos a terceros países”. En ese proyecto NO se incluye a los Estados Unidos de América  (EE.UU) como país que proporciona nivel adecuado de protección de datos.

Lo anterior ha sido el detonante de diversas opiniones. Una empresa que presta servicios de cloud computing, por ejemplo, ha enviado comunicaciones a sus clientes afirmando que han “venido trabajando intensamente con sus gremios, con el Ministerio de Tecnologías de la Información y las Comunicaciones y con la misma Superintendencia de Industria y Comercio, en lograr que el Proyecto de Circular incluya a los EE.UU. en la lista de países con un nivel adecuado de protección de datos personales. Esto por cuanto consideramos que, en primer lugar, los EE.UU. cuenta con uno de los sistemas más robustos de protección de datos personales y, en segundo, porque la expedición de la circular en su estado actual mandaría un mensaje negativo a las empresas y a los colombianos y pondría en riesgo el desarrollo digital de nuestro país “.

A continuación presentaremos nuestros comentarios sobre la anterior afirmación y aportaremos reflexiones académicas con miras a que se tengan presente a la hora de tomar una decisión definitiva sobre el tema.

PRIMERO: El desarrollo tecnológico de nuestro país no está en riesgo. Lo que está en riesgo son las utilidades y el modelo de negocios de algunas empresas extranjeras que tienen ubicados sus  data centers, equipos e infraestructura tecnológica en los EE.UU. Esas empresas pretenden eliminar cualquier barrera para que los datos de los colombianos salgan hacia sus data centers y no se afecte su negocio.

SEGUNDO: El desarrollo digital tampoco está en riesgo. Se trata de una falacia desprovista de sustento objetivo. No es sensato recurrir al “fatalismo” para hacer creer que Colombia está entre la espada y la pared o, lo que es peor, que dichas empresas son la salvación de nuestro país. Los argumentos exagerados y “tremendistas” no son bienvenidos para adoptar políticas públicas serias con miras a cumplir elementales mandatos constitucionales como, entre otros, el debido tratamiento de los datos personales de los colombianos.

TERCERO: Existe oportunidad de negocio para que las empresas extranjeras inviertan en grandes data centers en Colombia y no se vean obligadas a exportar la información de los colombianos hacia otros países. Colombia garantiza altos niveles de protección de datos y por ende es un país estratégico en Latinoamérica para invertir seriamente en infraestructura tecnológica.

CUARTO: Las utilidades económicas y el modelo de negocios son el principal objetivo que pretenden proteger algunas empresas. Los derechos de los (as)  colombianos (as) pasan a un segundo plano. De ser una prioridad, dichas empresas exigirían a los EE.UU incrementar el nivel de protección de la privacidad y protección de datos.

No debe perderse de vista que ciertas empresas se oponen a iniciativas regulatorias en los EE.UU sobre tratamiento de datos personales.  La razón es muy sencilla: Las empresas ya tienen regulado internet y los derechos de las personas a través de sus notas legales o términos y condiciones. Por eso, obstaculizan cualquier regulación estatal porque la misma podría afectar su modelo de negocio y, en otros, casos por pura arrogancia, capricho o abuso de poder.

Todo lo anterior es fruto del denominado internet de la empresas o internet of corporativos -IoC- sobre el cual nos hemos pronunciado en ocasiones anteriores.

QUINTO: Incluir o no  a los EE.UU en el listado de países que garantizan niveles adecuados de protección de datos es una decisión soberana que le corresponde al gobierno nacional. La propuesta de la Superintendencia de Industria y Comercio (SIC) ha sido una decisión valiente, sensata y predecible porque la SIC no puede negar la realidad norteamericana respecto de la protección de la privacidad y la protección de datos.

EE.UU debería realizar ajustes regulatorios e institucionales si quiere que internacionalmente sea considerado como un país que garantiza un nivel adecuado de protección de los datos personales de sus ciudadanos y de las personas cuya información reposa en data centers ubicados en dicho país o que circula dentro del mismo.

La decisión definitiva será crucial no solo para el futuro del respeto y protección de los derechos de los colombianos en internet, sino para el resto de los países latinoamericanos porque se creará un precedente relevante para la definición geopolítica del modelo de protección de datos en el mundo.

SEXTO: Existen varias razones jurídicas para afirmar que enviar datos personales fuera del país: (i) pone en mayor riesgo la posibilidad de garantizar la plena observancia del derecho al habeas data de los colombianos y (ii) expone a los (as) colombianos (as) a otros riesgos de tipo jurídico y político por el mero hecho de salir su información fuera del país.

Dichos riesgos  los comunicamos y justificamos ante la SIC mediante comunicación del 8 de marzo:

a) Inaplicabilidad de la ley colombiana, sometimiento de los colombianos a leyes y jueces extranjeros y no garantía plena del derecho fundamental a la protección de datos personales

b) Pérdida de control de la información.

c) Sumisión de los colombianos a las decisiones de las autoridades o gobiernos de otros países: de la Executive Order: Enhancing Public Safety in the Interior of the United States del 25 de enero de 2017

d) Desconocimiento por parte de algunas empresas extranjeras de las leyes y de la competencia de las autoridades locales de protección de datos

e) Imposición de cargas adicionales a los colombianos para el ejercicio de sus derechos.

SÉPTIMO: Se debe evitar que con ocasión de una operación de exportación de datos personales se disminuya el nivel de protección que se le garantiza al titular del dato en Colombia (país exportador). En otros términos, se quiere que el nivel de protección del país exportador (Colombia) se garantice en el país importador (EE.UU). Esta regla es conocida como el principio de continuidad de la protección de datos y se fundamenta en que la transferencia internacional de datos no debe afectar la protección de los titulares de los datos respecto del tratamiento de su información. Por eso, diversos documentos internacionales y la ley 1581de 2012 han establecido reglas y mecanismos para procurar garantizar el citado principio de continuidad.

OCTAVO: No basta afirmar que Estados Unidos tiene “uno de los sistemas más robustos de protección de datos personales”. Esto se debe demostrar porque algunas noticias muestran lo contrario (piénsese, por ejemplo, en las revelaciones de Snowden).

Desde la perspectiva de la transferencia internacional de datos resulta imprescindible verificar el nivel real (no formal) de efectividad de los medios administrativos, judiciales o empresariales para la protección de los derechos de los colombianos cuando sus datos están en bases de datos o archivos ubicados en otros países. Surgen algunas preguntas sobre los mismos: (1) esos mecanismos de los otros países (EE.UU) también aplican o benefician a titulares de datos extranjeros no domiciliados en ese país?, y (2) se pueda hacer ejercicio de los mecanismos mediante herramientas tecnológicas gratuitas que no impliquen desplazamientos ni costos que impidan o anulen las posibilidades de real protección de los derechos del titular del dato colombiano cuyos datos fueron transferidos a otro país.

Es necesario asegurarse que cuando se transfirieran los datos a otro país no mueran o desaparezcan los derechos y las garantías que tanto la ley 1581 de 2012 como la SIC ofrecen y garantizan a los titulares de los datos en Colombia. En otras palabras, las garantías y los procesos en otro países no deben ser “letra muerta”, sino herramientas sencillas, gratuitas y efectivas como lo son en Colombia.

En suma, los derechos de los titulares de los datos no deben ser afectados por la decisión del Responsable de exportar los datos a otro país.

NOVENO: Reiteramos que artículo 26 de la ley 1581 de 2012 prohíbe la transferencia de datos personales  “a países que no proporcionen niveles adecuados de protección de datos” y que los estándares que debe cumplir el país extranjero “en ningún caso podrán ser inferiores” a los que exige la ley 1581 de 2012.

En los Estados Unidos se protege la privacidad pero con un enfoque muy diferente al colombiano. En la siguiente gráfica destacamos algunas diferencias de los dos modelos pero, de entrada, debe advertirse que la protección de datos personales es un derecho constitucional fundamental en Colombia mientras ello no es así en los EE.UU.

 

DECIMO: Incluir o no a los EE.UU en la citada lista pone en la balanza los derechos de los colombianos y los intereses de algunas empresas extranjeras. Ambos son legítimos pero es necesario llegar a un punto de equilibrio que no sacrifique los derechos humanos en pro de la protección de los modelos de negocios de ciertas organizaciones.