Colombia se encuentra en el desarrollo de un documento que establecerá para dónde puede ir la información personal de los usuarios de servicios alojados en la nube.
Este miércoles finalizó la fase de comentarios públicos para una circular de la Superintendencia de Industria y Comercio (SIC) que le pondrá nuevos estándares a la transferencia de datos personales de los colombianos al exterior.
En palabras simples, la SIC establecerá con ese documento para dónde puede ir la información personal de los usuarios de servicios alojados en la nube, por ejemplo. Y como en este asunto la nube lo es todo hoy en día, la circular ha despertado un intenso debate alrededor de la protección de la privacidad de los usuarios y del desarrollo futuro de internet en el país.
Como parte de la circular, la SIC elaboró una lista de países que cumplen con los requisitos de tratamiento de datos personales al mismo nivel que Colombia, o incluso mejor. El listado tiene la notable excepción de Estados Unidos, en donde tienen sede empresas como Amazon (el peso pesado de los servicios de alojamiento en la nube), Google, Facebook, Twitter y un largo etcétera de plataformas populares en Colombia y en todo el mundo.
Para ser justos, la perspectiva de la SIC no es única en el mundo. En octubre de 2015, el Tribunal de Justicia de la Unión Europea designó a Estados Unidos como un lugar inseguro para alojar los datos de sus ciudadanos, un movimiento que obligó a ambas partes a negociar una suerte de tratado para obtener mayores garantías sobre cómo se maneja la información privada de millones de europeos en este país.
Parte de la negociación incluyó el establecimiento de una oficina en el Departamento de Estado de EE.UU. para responder por las quejas que los europeos pudieran tener acerca del tratamiento de sus datos personales. Este país no tiene una ley nacional, a nivel federal, que regule el tratamiento de los datos personales. Por ende, tampoco tiene una autoridad que regule el tema, obviamente.
Lo que había en el fondo de esta discusión es una desconfianza institucional que tiene mucho que ver con la forma como es concebida la privacidad en cada orilla del Atlántico. En EE. UU. este es un tema más asociado con la protección al consumidor, mientras que Europa tiende a asumirlo como un derecho fundamental. La diferencia no es un asunto semántico, pues a la larga esta división obliga a tomarse más, o menos, en serio la privacidad de los usuarios y a volverla más, o menos, permeable ante las labores inteligencia.
Desde 2001, Argentina implementó un modelo de transferencia de datos similar al europeo, en el que hay una lista de países considerados adecuados para esto. De tratarse con uno que esté por fuera del listado, debe haber un contrato con cláusulas específicas que protejan la información de los argentinos.
Argentina es un ejemplo interesante en esta discusión, pues sus estándares de transferencia fueron edificados antes de la entrada de Google o Facebook. “No hubo un apagón tecnológico. No se paran las cosas y todos quedan desconectados, el tráfico de datos no para. Todo evoluciona en conjunto. Pero sí es importante que los sistemas de protección tengan como base el individuo y no frenen el desarrollo. Tratar de regular lo que acontece en el entorno digital desde una ley local suena ilusorio. Pero sí hay aspectos que pueden regularse para que el ecosistema se ordene de alguna manera”, cuenta Valeria Milanes, de la Asociación por los Derechos Civiles, una organización argentina que monitorea derechos fundamentales en ese país.
“Hay una preocupación en el mundo sobre cómo se protegen los datos de las personas. Esto tiene toda la lógica, a la luz de las revelaciones de Snowden, que muestran que Estados Unidos no tiene un sistema integral para proteger esta información. En últimas, en ese país no existe privacidad para los extranjeros. No es ilógico pensar en el tema de la circular”, dice Carolina Botero, directora de la Fundación Karisma, que presentó comentarios al documento.
Una de las hipótesis que más ha tomado vuelo con la circular de la SIC es que ésta impediría hacer negocios con compañías de internet afincadas en EE.UU. “No se agrava la situación de nadie. No se elimina la posibilidad de que, vía contrato, se adquiera el compromiso de salvaguardar los datos alojados bajo el estándar colombiano. No es cierto, bajo ninguna consideración, que se esté excluyendo a las compañías que hacen hosting en Estados Unidos”, asegura Pablo Robledo, superintendente en cuestión.
El funcionario añade que con la circular “Colombia dice que ha estudiado la situación de varios países y hay algunos que satisfacen los criterios establecidos por la ley. Expresamente cita unos territorios. Eso no quiere decir que sean los únicos. Otros pueden cumplir, sin que estén en la lista”.
La entidad aseguró que, por ejemplo, un individuo que tiene una cuenta en Dropbox o un correo de Gmail, ya aceptó en los términos y condiciones de estos servicios que haya transferencia de sus datos personales a otro país. En algunos de estos casos, incluso, no es posible determinar en dónde está exactamente la información, ya que los algoritmos que gobiernan los servidores pueden fraccionar los datos de un usuario para optimizar su tránsito y almacenamiento.
La SIC también asegura que para el caso de que una empresa colombiana contrate un servicio de alojamiento en otro país, este hecho ya está regulado y, de hacerse bien, en el contrato debe estar incluido que los datos de los usuarios colombianos serán protegidos bajo los estándares de la ley colombiana, así estén en otro país.
¿Para qué publicar una circular cuando ya todo está regulado? Quizá para empresas nuevas, para nuevos contratos de transferencia de datos. La entidad responde que su mandato, por ley y por sentencia de la Corte Constitucional, era diseñar nuevos estándares en la transferencia de datos.
Botero, sin embargo, critica que no hay información pública sobre cómo se crearon esos estándares, cómo se evaluó la lista de países adecuados del documento. “No va a haber un apagón tecnológico, pero sí creo que, como está, la circular es insuficiente para discutir estos problemas”.
Milanes comenta al respecto que: “En Colombia ya había una adecuación para el manejo de datos personales. Lo que la autoridad colombiana está haciendo es tratando de establecer estándares más claros. El choque es por lo intempestivo del proceso y que, entiendo, no ha sido consultado ampliamente”.
Robledo dice que después del cierre de la fase de comentarios se dará un proceso de mesas de trabajo para concertar esta polémica con los diversos sectores involucrados. El debate sigue abierto.