Protección de los datos personales en la era de los algoritmos de la información

En el año 2018, Naomi Simson, una empresaria australiana de una compañía de regalos, llamada RedBalloon, llegó a invertir 45.000 dólares por mes en agencias publicitarias para su compañía, que además de idear estrategias de marketing, administraban los avisos publicitarios en línea de la compañía. Según la información financiera de RedBalloon, durante el año 2018 se invirtieron 50 dólares en publicidad por cada cliente que decidía adquirir sus servicios [1][Cita 1].

A causa de este gasto desproporcionado y con el ánimo de aumentar la visibilidad de sus servicios y reducir sustancialmente sus pérdidas en publicidad, la compañía decidió usar una herramienta algorítmica de análisis de datos[2] capaz de recopilar información sobre potenciales compradores y de esta manera redireccionar y promocionar sus servicios en internet de una forma más estratégica. Gracias a esta herramienta, la compañía registró un aumento exponencial en sus ventas, al tiempo que gastó un 75% menos en gestión publicitaria.

Lo anterior ejemplifica una de las maneras como las herramientas algorítmicas de análisis de datos han derivado en beneficios directos tanto para el sector empresarial, como para el consumidor en el contexto de libre mercado. El sector empresarial, como el primer actor, se beneficia al producir, distribuir e invertir con mayor estabilidad presupuestal, aumentando así su rendimiento económico. El segundo actor, se beneficia al adquirir productos conforme a sus intereses con base en sus búsquedas en la red, aumentando así su grado de satisfacción.[3] [Cita 5].Si bien, se destacan los beneficios de este tipo de herramientas, también es importante destacar los límites constitucionales, legales y jurisprudenciales que se podrían oponer a su aplicación cuando no están debidamente reguladas.

En este sentido cabe preguntarse, ¿existen limitaciones en la aplicación de este tipo de herramientas en Colombia? Y en caso de que la respuesta sea afirmativa, ¿cuál sería la manera más adecuada de regularlas sin desaprovechar los beneficios que estas ofrecen?. Con el ánimo de responder a estos interrogantes, es necesario revisar brevemente cuáles son los fundamentos normativos con el objetivo de (i) reconocer la importancia del rol mediador del Estado en la regulación del uso de estas nuevas tecnologías evidentemente útiles y (ii) ratificar estos fundamentos en los consumidores, en lo que concierne específicamente a la protección de datos personales y los patrones de hábitos de consumo.

En primer lugar, los fundamentos constitucionales que conforman las leyes para la regulación de la protección de datos se constituyen en el derecho fundamental del habeas data, esto es, el derecho de conocer, autorizar, incluir y rectificar la información recopilada sobre una persona.[4] [Cita 10]. Actualmente, la gestión de datos es un tema de análisis constante, puesto que el derecho de habeas data conforme al derecho público puede ser exigido por toda persona ante cualquier entidad pública o privada. El reconocimiento de este derecho en las herramientas algorítmicas implementadas en las nuevas tecnologías, que funcionan a partir de la recopilación de datos personales, ha desencadenado en un aumento de las demandas a los Estados, debido a que no se trata únicamente de la obligación habitual de almacenar correctamente los datos de los usuarios por una de las partes, sino de limitar y en ocasiones restringir el acceso a cierto tipo de información, como aquella que se encuentra en los diferentes motores de búsqueda[5] [Cita 3].

En segundo lugar, en referencia al marco jurídico legal sobre la protección de datos personales, existen diversas leyes y decretos. El más relevante en relación con la aplicación de las herramientas algorítmicas es la Ley Estatutaria 1281 de 2012, que es reconocida por definir aspectos centrales como la naturaleza de los datos, el grado de responsabilidad según la cantidad de información almacenada, el tipo de tratamiento de los datos y los riesgos potenciales relacionados con la gestión de la información. Lo anterior, en concordancia con el Decreto Único 1074 de 2015, el cual reglamenta los términos y condiciones bajo los cuales se deben inscribir las bases de datos, la figura del encargado y responsable de los datos personales y el régimen jurídico aplicable a las bases datos.

En tercer lugar, la jurisprudencia de la Corte Constitucional se ha pronunciado sobre el marco normativo de la protección de datos y su aplicabilidad en diferentes sentencias. Por ejemplo, en la sentencia C – 748 de 2011[Cita 9], la Corte ratificó las excepciones para el acceso a las bases de datos contenidas en la Ley de Protección de Datos Personales, asegurando así la prelación del interés general sobre el individual, además de garantizar la seguridad jurídica. Las excepciones ratificadas por la honorable Corte son: las bases de datos personales, las bases de datos relacionadas con la seguridad, la defensa nacional, las bases de datos que almacenen información de inteligencia, contrainteligencia, las bases de datos de información periodística, editorial y, finalmente, las bases de datos de información financiera, comercial, de censos de población y vivienda,[6] las cuales tienen por fin permitir el acceso a la información contenida en las bases de datos cuando la autoridad competente lo considere necesario para salvaguardar el interés general.

En consideración con la excepción de las bases de datos financieras, por ejemplo, en el caso de Datacrédito en Colombia, las centrales de riesgos gestionan la información de los historiales crediticios de los consumidores sin tomar decisiones directamente sobre los datos que recopilan, pero haciendo un análisis general sobre el estado financiero de los consumidores en el país por medio de los datos recopilados en las bases de datos. Sin embargo, recientemente esta información ha sido analizada mediante plataformas algorítmicas, con el objetivo de asignar puntajes de riesgo a los consumidores financieros[7] [Cita 7]. Lo anterior vulnera los pilares constitucionales y económicos, tales como la democratización del crédito o la garantía de un mínimo vital. No obstante, se permite el acceso a dicha información como una de las excepciones de las bases de datos financieras, ya que representa un beneficio directo para el sector bancario, financiero y comercial.

En virtud de lo anterior, surge otro interrogante. ¿Qué sucede si un empresario decide usar una herramienta algorítmica de recopilación de datos para publicitar un servicio dirigido a un tipo específico de consumidor como lo hizo la empresa RedBalloon en Australia o incluso, publicitar usando la algoritmia de las redes sociales como Facebook, Twitter o Instagram?, ¿estaría sujeto a algún tipo de responsabilidad jurídica?. La respuesta en principio, a pesar de ciertos desafíos y bajo ciertas condiciones, es que no lo está.

El grado de responsabilidad sobre el manejo de los datos está contenido en los fundamentos legales y en las directrices internacionales,[8] las cuales varían de acuerdo al tipo,[9] [Cita 4]. y la cantidad de información que almacene y gestione una organización. De esta forma, una multinacional capaz de almacenar información de millones de personas tendría una responsabilidad proporcionalmente más alta frente a los Estados y las autoridades internacionales en comparación con una microempresa que usa información de herramientas algorítmicas para promocionar un producto en línea o una empresa que la usa para aumentar sus ventas. Ahora bien, sin perjuicio del grado de responsabilidad de las empresas grandes o pequeñas, ambas situaciones pueden tener potencialmente un resultado negativo en los consumidores y en la dismininución de los hábitos de consumo, cuando emerge en los consumidores una sensación de invasión del espacio personal y de la privacidad generando un sentimiento de aversión hacia determinado producto.

En relación a este último punto, el mayor impacto del uso de la algoritmia de la información en los mercados ha sido la trasformación de los consumidores en meros proveedores de dato que proveen estadísticas económicas, y que maximizan la ganancias de una empresa, ignorando, en muchas ocasiones, el bienestar de los consumidores y la consolidación de hábitos de consumos responsables que impliquen el cuidado de los recursos y el manejo adecuado de la información.[10] [Cita 2].

Entonces, si una empresa paga a una red social con la intención de publicitar sus productos a consumidores potenciales y tener provecho de la información que almacena, en esencia, no incurriría en el mismo grado de responsabilidad que la organización prestadora de este tipo de servicios[11][Cita 6], puesto que la red social tendría un mayor grado de responsabilidad sobre el uso de los datos que recopila. Sin embargo, el grado de responsabilidad depende del tipo de información, la forma de gestionarla, su uso y, adicionalmente, el análisis de cada caso en particular.

En Colombia, por ejemplo, se prohíbe en cualquier circunstancia “la transferencia de datos personales de cualquier tipo a países que no propicien niveles adecuados a la protección de datos”.[12] En este sentido, toda organización nacional e internacional debe respetar los estándares regulatorios nacionales sobre la protección de los datos personales y para ello se han fijado acciones administrativas[13], que propicien una protección total y no parcial. A pesar de esto, el marco regulatorio colombiano en términos generales no constituye un tipo de responsabilidad especial al sector empresarial en estas situaciones.

En consecuencia, ¿será esta la manera más adecuada de regular y aprovechar los beneficios de este tipo de herramientas tecnológicas?. La investigación sobre nuevas tecnologías y su aplicabilidad en el derecho de cada Estado resulta, en definitiva, intrincada en ciertos aspectos. El principal inconveniente es que el ordenamiento jurídico que pretende regular las innovaciones tecnológicas no avanza a la misma velocidad que la tecnología. Sin embargo, una normatividad que se fundamente en principios como los contenidos en la Constitución, en los instrumentos internacionales y en la legislación de protección de datos personales, brindan las herramientas esenciales para comprender nuevos casos de estudio de tecnologías que innoven o que estén en constante evolución como, por ejemplo, las herramientas algorítmicas en relación a la protección de datos personales.

En suma, la regulación actual es pertinente en definir los principios que eventualmente se convertirán en criterios interpretativos y reglamentos que lograrán adaptarse a las innovaciones tecnológicas en constante evolución. Entre estos principios se incluyen los contenidos en las leyes estatutarias, los decretos, la jurisprudencia y la doctrina. Algunos de estos son: libertad, necesidad, veracidad, integridad, incorporación, finalidad, utilidad, circulación restringida de la información y los principios de diligencia y seguridad[14][Cita 8]. Ahora bien, una cuestión a tener en cuenta para investigaciones futuras es si la regulación actual no puede abordar en su totalidad los problemas jurídicos derivados de la complejidad de los avances tecnológicos ¿será necesario establecer una regulación normativa especial por medio de un consenso entre los desarrolladores tecnológicos, el Estado y la sociedad?

 

BIBLIOGRAFÍA

[1].KAPUT, Mike. AI for advertising: everything you need to know. [en línea] Revisado el 08 de enero de 2020. https://www.marketingaiinstitute.com/blog/ai-in-advertising.

[2].LAMMI, Minna; PANTZAR, Mika. The data economy: How technological change has altered the role of the citizen-consumer. Technology in Society, 2019, vol. 59, p. 101157

[3].REMOLINA, Nelson. Tratamiento de Datos Personales: Aproximación internacional y comentarios a la ley 1581 de 2012. Legis, 2013, 82.

[4].REMOLINA, Nelson ¿Tiene Colombia un nivel adecuado de protección de datos personales a la luz del estándar europeo? International Law: Revista Colombiana De Derecho Internacional, 2010, no. 16, 489-524.

[5].RIESGO, Víctor. Nuevas formas de consumo 3.0. El retorno del sujeto al algoritmo. Teknokultura Revista De Cultura Digital Y Movimientos Sociales, 2020, 3-11.

[6].SIC (Superintendencia de Industria y Comercio). Guía para la implementación del principio de responsabilidad demostrada en las trasferencias internacionales de datos personales. Delegatura para la protección de datos personales, 2019, 9-12.

[7].URUEÑA, René. Autoridad algorítmica: ¿cómo empezar a pensar la protección de los derechos humanos en la era del ‘big data’? Latin American Law Review no. 02, 2019, 99-124

 

JURISPRUDENCIA

[8].Corte Constitucional, sentencia C – 1011 de 2008, M.P. Jaime Córdoba Triviño

[9].Corte Constitucional, sentencia C – 748 de 2011, M.P. Jorge Ignacio Pretelt

[10].Corte Constitucional, sentencia T – 176A de 2014 M.P. Jorge Ignacio Pretelt

PIES DE PÁGINA

[1] KAPUT, Mike. AI for advertising: everything you need to know. [en línea] Revisado el 08 de enero de 2020. https://www.marketingaiinstitute.com/blog/ai-in-advertising.

[2] La herramienta algorítmica a la que se hace referencia en este caso es conocida como “Albert” una plataforma digital encargada de recopilar información y gestionar anuncios en línea

[3] RIESGO, Víctor. Nuevas formas de consumo 3.0. El retorno del sujeto al algoritmo. Teknokultura Revista De Cultura Digital Y Movimientos Sociales, 2020, 3-11.

[4] CORTE CONSTITUCIONAL, sentencia T-176A de 2014, M.P. Jorge Ignacio Pretelt. Esta sentencia trata los fundamentos del derecho al buen nombre y al habeas data.

[5] REMOLINA, Nelson. Tratamiento de Datos Personales: Aproximación internacional y comentarios a la ley 1581 de 2012. Legis, 2013, 82.

[6] Las excepciones están contenidas en el artículo 2 de la Ley 1581 de 2012, la ley 1266 de 2008 y ley 79 de 1993.

[7] URUEÑA, René. Autoridad algorítmica: ¿cómo empezar a pensar la protección de los derechos humanos en la era del ‘big data’? Latin American Law Review n. º 02, 2019, 99-124.

[8] Algunas directrices internacionales sobre la protección de los datos personales son: el reglamento de la UE 679/2016, la directiva 95/46/CE de 1995 y el documento de la OEA 86 de 2015 “Informe Jurídico del Comité Jurídico Interamericano. Privacidad y protección de datos”.

[9] Los tipos de datos principalmente son: públicos, semiprivado, privado y sensible, según el grado de protección y sensibilidad. REMOLINA, Nelson ¿Tiene Colombia un nivel adecuado de protección de datos personales a la luz del estándar europeo? International Law: Revista Colombiana De Derecho Internacional, 2010.

[10] LAMMI, Minna; PANTZAR, Mika. The data economy: How technological change has altered the role of the citizen-consumer. Technology in Society, 2019, vol. 59, p. 101157.

[11] SIC (Superintendencia de Industria y Comercio),  “Guía para la implementación del principio de responsabilidad demostrada en las trasferencias internacionales de datos personales”. Delegatura para la protección de datos personales, 2019.

[12] Artículo 26 de la Ley Estatutaria 1581 de 2012.

[13] Estas acciones se realizan ante la entidad responsable de la información o la Superintendencia de Industria y Comercio según lo regulado en el artículo 24 del Código General del Proceso y el Decreto 1074 de 2015.

[14] CORTE CONSTITUCIONAL, sentencia C – 1011 de 2008, Numeral 2.4, M.P. Jaime Córdoba Triviño