José Antonio del Risco, estudiante de la facultad Derecho en la PUCP y miembro del Consejo Editorial de Enfoque Derecho

La evolución de la Internet no solo ha generado un aumento masivo de las interacciones sociales y económicas a través de distintas plataformas online, también ha hecho posible que podamos acceder a un sinnúmero de servicios de una manera tan rápida que hasta hace una década era imposible imaginar. Sin embargo, con el paso de los años, si una persona deseaba acceder a un determinado servicio en la red – registrarse en una red social, realizar la compra de un producto, o simplemente jugar un juego -, se topaba con la otra cara de la moneda: entregar sus datos personales al momento de registrarse. Esto resultaba casi como un intercambio en el que la página web nos brindaba un servicio, pero nosotros le brindábamos nuestra información personal: nombre, apellido, número de teléfono y, hasta en muchos casos, la dirección exacta desde la que uno se encontraba conectado. Entonces, uno se preguntaba: “¿y para qué necesitan esa información?”. Una de las respuestas más comunes está en la utilización de bancos de datos para la publicidad personalizada.

Toda esta manipulación informativa tuvo una consecuencia en el Derecho Constitucional: el potenciamiento de un nuevo derecho fundamental, derivado del derecho a la privacidad. Me estoy refiriendo a la autodeterminación informativa, definida por César Landa como un derecho que supone ejercer el control sobre la información que se encuentra almacenada en bancos de datos (ya sean públicos o privados). Este control significa que el titular de dichos datos puede acceder a estos, solicitar su modificación, actualizarlos y ser informado si se realiza algún tipo de manipulación. Como podemos observar, no se trata de un mero derecho abstracto idealizado por los juristas; estamos hablando de un derecho fundamental que ha tenido que ser incluido en la legislación interna de muchos países.

En América Latina, algunos Estados han incorporado un marco normativo mediante el cual se pueda tutelar este derecho. En el caso peruano, se puede hablar de la Ley 29733, Ley de Protección de Datos Personales, publicada en el mes de julio del 2011, que dispone la creación de la Autoridad Nacional de Protección de Datos Personales. Asimismo, la Ley 29733 se reglamenta mediante el Decreto Supremo 003-2013-JUS, el cual establece distintos procedimientos para la protección de los datos personales. En el caso de México, podemos encontrar la Ley Federal de Protección de Datos Personales, aprobada por el Congreso de la Unión el 27 de abril de 2010, y que tiene como objetivo regular el derecho a la autodeterminación informativa. Finalmente, un caso interesante es el chileno, después de que el 15 de mayo del 2018 el Senado aprobara una reforma constitucional que convierte la protección de datos personales en un derecho constitucional. Por lo tanto, no estaríamos hablando de una reforma de la Ley 19.628 sobre protección de la vida privada, sino de una modificación directa de la Constitución chilena.

A diferencia de lo que ocurre en América Latina, lo que encontramos en la Unión Europea es una normativa transversal y vinculante a todos los países pertenecientes a la organización internacional. El pasado 25 de mayo del 2018, empezó a aplicarse el Nuevo Reglamento Europeo de Protección de Datos Personales (RGPD), el cual cambió en muchos aspectos las obligaciones exigidas hasta ahora por la UE. En términos generales, los principales objetivos de este reglamento se pueden resumir en cuatro puntos. Primero, hacer frente a la revolución digital y fortalecer la economía digital, algo que ha resultado un verdadero reto para el Derecho y las normas reguladoras, las cuales necesitan adaptarse constantemente a los cambios de la globalización. Segundo, unificar los criterios que tiene la Unión Europea en materia reglamentaria; esto implica que los derechos de los titulares de los datos sean tutelados de manera equitativa en distintas jurisdicciones, mediante la extraterritorialidad. Tercero, otorgar más poder y control a los usuarios sobre sus propios datos (como en el caso de la exigencia del consentimiento inequívoco, explícito y revocable del tratamiento de los datos personales). Y, por último, también se buscó ampliar las obligaciones de quienes tratan, gestionan y almacenan datos personales a través de un régimen de multas y de comunicación constante con la autoridad protectora de los datos personales.

Es este último punto el que me interesaría analizar. Si por algo se ha caracterizado el RGPD, es por las sanciones económicas que pueden ser muy elevadas si se incumple la normativa de protección de datos. Dichas sanciones se imponen después de un proceso de investigación que puede ser iniciado a instancia de parte (a través de una denuncia) o de oficio. Y en caso de que la agencia de protección de datos imponga una sanción, el artículo 83º del RGPD establece multas administrativas de hasta 10 millones de euros o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de facturación anual. Si, a pesar de esto, el incumplimiento continúa, las multas ascienden a 20 millones y el 4% de facturación, respectivamente.

Teniendo en cuenta esta normativa, lo que aconteció la semana pasada no es sino el inicio de una nueva era de protección de datos personales en la que el incumplimiento se castiga con grandes sumas de dinero. ¿Qué sucedió? El pasado lunes 21 de enero, el organismo de control de protección de datos de Francia impuso una multa a Google por 50 millones de euros por violar las reglas de privacidad en línea de la Unión Europea. Según la Comisión Nacional de Informática y Libertades, organismo protector de datos de Francia, esta multa se debe a la falta de transparencia, información incorrecta y ausencia de consentimiento válido en la publicidad personalizada de Google. Asimismo, según este organismo, existen otras irregularidades en la multinacional estadounidense, como el hecho de dejar a sus usuarios sin las garantías esenciales, pues practican operaciones que pueden revelar importantes aspectos de la vida privada de los consumidores.

Por otro lado, es necesario aclarar que la Comisión Nacional de Informática y Libertades estudió el caso debido a la petición de dos organizaciones: None Of Your Business (NOYB), famosa por haber presentado una denuncia contra Android (sistema operativo de Google) el año pasado; y La Quadrature du Net (LQDN), que se ha dedicado a recaudar firmas para formalizar demandas contra empresas como Google, Apple, Facebook, Amazon y Microsoft.

El caso de Google es importante dado que estamos hablando de la primera multa de un organismo europeo a una multinacional estadounidense desde la entrada en vigor del reglamento europeo de protección de datos. Considero que las palabras del presidente de None Of Your Business no podían ser más claras: “Nos satisface enormemente que, por primera vez, una autoridad de protección de datos europea use las posibilidades del RGPD para castigar violaciones claras de la ley”. Con ello, nos podemos ir dando cuenta de que esta norma de la UE, que entró en vigencia hace casi un año, vino para quedarse. Esta sanción también es un mensaje para que otras grandes empresas como Facebook, Amazon, Netflix o Ebay mejoren su sistema de protección de datos, pues los efectos de esta regulación alcanzan a entidades del mundo entero que tratan datos personales de residentes de países que conforman la UE, sin importar dónde se realice el tratamiento de la información.

Enlaces de interés

https://uk.reuters.com/article/uk-google-privacy-france/france-fines-google-57-million-for-european-privacy-rule-breach-idUKKCN1PF1ZI

https://elpais.com/economia/2019/01/21/actualidad/1548088756_370588.html

https://www.computerworld.es/tendencias/mas-de-95000-quejas-por-violacion-de-datos-desde-gdpr

https://www.voanoticias.com/a/francia-multa-a-google-57-millones/4753215.html

Fuente de la imagen: Baez.com

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here