INSEGURO. La legislación vigente permite que las compañías en Perú usen los datos personales de sus clientes sin una supervisión a fondo de las autoridades que vigilan el tratamiento de la información.
Estamos acostumbrados a escuchar que los datos son el nuevo petróleo de la economía global. Con frecuencia, nos enteramos que empresas nacionales y extranjeras usan técnicas de análisis masivo de datos (conocido como big data) en sus procesos de inteligencia artificial o para crear modelos predictivos que se anticipen a las necesidades de sus mercados.
Esta revolución comercial se nos presenta al mismo tiempo como irreversible e impostergable en diversos sectores, desde supermercados hasta bancos o empresas de recursos humanos. Pero de lo que se habla muy poco es sobre de dónde vienen estos datos o qué principios legales y éticos controlan su uso.
La inmensa cantidad y variedad de datos que hoy explotan empresas y gobiernos, en muchos casos, han sido extraídos de nosotros mismos. Pensemos solo en los datos vinculados o que podrían vincularse a nuestra identidad y que generamos en nuestra vida diaria: al comprar en muchos establecimientos comerciales, al pedir una boleta electrónica en un restaurante, al usar un medio de transporte masivo con tarjetas inteligentes como el Tren Eléctrico o simplemente por llevar un teléfono celular en el bolsillo.
La data que dejamos no miente sobre quiénes somos ni lo que hacemos.
Diariamente generamos un rastro de datos que, vistos individualmente, pueden parecer triviales, pero agregados pueden revelar nuestros hábitos, preferencias, relaciones sociales, nivel socioeconómico y hasta nuestro estado sentimental. Se puede aprender a hablar en claves, se puede usar un disfraz o ser puede ser discreto, pero la data que dejamos diariamente no miente sobre quiénes somos ni lo que hacemos.
Aunque todos reconocemos el valor e importancia de esta información, todavía estamos lejos de entender bajo qué reglas se usan nuestros datos.
La Ley de Protección de Datos Personales, Ley 29733, señala que todos tenemos derecho a decidir qué se hace con la información que nos identifica o que podría identificarnos. Antes de dar nuestros datos, tenemos el derecho a ser informados en detalle sobre qué se pretende hacer con ellos o con quiénes se compartirán. Luego de entregar nuestra información personal, también podemos pedir explicaciones sobre su uso, retirarlos, corregirlos, u oponernos a su explotación.
Sin embargo, existe en Perú un círculo vicioso de explotación corporativa de datos personales que pone en entredicho el ejercicio pleno de nuestros derechos. Existe una recolección de datos fuera de los límites de lo razonable, hay poca información previa al consentimiento, y hay un vacío en torno a la definición que usan muchas empresas sobre lo que constituye o no un dato personal.
Existe una explotación corporativa de datos personales que pone en entredicho el ejercicio de nuestros derechos.
Lo esperable es que una empresa recopile solo los datos que resultan necesarios para prestar sus servicios. Por ejemplo, una empresa de reparto de comida a domicilio necesariamente tendrá que saber la dirección, nombre o número telefónico del cliente.
Todos los que usan el servicio pueden asumir para qué se usan esos datos y por qué son necesarios. El problema empieza cuando empresas como farmacias o supermercados empiezan a recolectar datos innecesarios para la prestación inmediata de sus servicios como nivel socioeconómico, estado civil o condición laboral.
Estos datos podrían ser solicitados directamente al cliente, “deducidos” en función de sus comportamientos de consumo o cruzados con otras bases de datos públicas y privadas. Aquí deja de ser evidente para el consumidor promedio por qué una empresa podrían querer recopilar esos datos y cómo podría usarlos.
Aunque la ley peruana obliga a las empresas a recopilar datos para una “finalidad determinada, explícita y lícita,” y a tratarlos de manera “adecuada, relevante y no excesiva” a esta finalidad, muchas empresas obtienen el consentimiento informado de sus usuarios a través de la letra pequeña de sus contratos o avisos de privacidad.
La Ley de Protección de Datos Personales señala que todos tenemos derecho a decidir qué se hace con la información que nos identifica.
La segunda parte del problema es el requisito del consentimiento informado. Las empresas están legalmente obligadas a explicarnos de manera detallada, sencilla, expresa e inequívoca para qué recopilan nuestros datos, si los compartirán con otras empresas, o por cuánto tiempo los conservarán, entre otros. No obstante, muchas compañías han optado por no hacerlo o simplemente usan fórmulas genéricas que no impiden que las personas comprendan cómo se usarán sus datos.
El año pasado, la Dirección de Protección de Datos Personales del Ministerio de Justicia multó con 4 Unidades Impositivas Tributarias (UIT) a la cadena de farmacias Mifarma porque la cláusula referente al tratamiento de datos personales de su programa Monedero del Ahorro no señalaba con qué empresas compartía los datos de sus clientes.
Una sanción similar también recibió la cadena Cineplanet por limitarse a decir que pretendían compartir los datos de sus clientes de su programa de lealtad con sus “socios comerciales” sin señalar su identidad o condiciones.
El problema que cierra este círculo es lo que las empresas locales entienden como dato personal. Existe consenso respecto de que los nombres, teléfonos, direcciones o correos electrónicos que otorgan los clientes al contratar un servicio son un dato personal. Sin embargo, resulta más controvertido considerar que la información que se genera durante el servicio debería de ser considerado también un dato personal, como el historial de compras, ubicaciones, visitas o consultas de un cliente y la información que puede derivarse de ello.
Por ejemplo, si en base a mis hábitos de comprar pañales, bebidas energéticas o medicinas para la diabetes las empresas pueden clasificarme como padre de familia, adulto joven o persona con una enfermedad crónica, ¿no son esos también datos asociados a nuestra identidad cuya difusión tenemos derecho a controlar? ¿No es una mala idea que no podamos pedirle a las empresas que los rectifiquen o borren?
En nuestro país son menos los casos en donde se ha establecido sin lugar a dudas el criterio de la “información derivada del negocio” como dato personal.
Si los datos son el nuevo petróleo, ya es hora de exigir mayor control y seguridad para su uso, almacenamiento y traslado.
En el 2017 la Dirección de Protección de Datos Personales reconoció que la geolocalización generada como parte de la prestación de un servicio de telefonía celular era un dato personal. Pero otros casos siguen estando abiertos a interpretación, en particular cuando los datos están disociados pero siguen existiendo bases de datos que permitan identificar a las personas.
Estas tres situaciones hoy dibujan una zona incierta dentro de la cual nuestros datos personales son extraídos, explotados y comercializados sin mayor control ni consecuencias. Este es un problema no solo legal sino también ético, que se agrava conforme avanzamos hacia una sociedad más dominada por el big data.
La próxima convocatoria de trabajo, solicitud de préstamo o evaluación para ingresar a un colegio puede terminar siendo decidida por categorías como “viajero frecuente,” “comprador de cerveza regular,” o “vecino de un barrio peligroso.”
Una perspectiva a la que, nuevamente, resultan particularmente expuestos quienes ya pertenecen a una categoría excluida como las personas con menores ingresos, menores niveles educativos o con antecedentes penales o policiales que no tendrán el lujo de una entrevista personal o un análisis detallado de su perfil antes de ser etiquetados.
Si los datos son el nuevo petróleo, ya es hora de exigir mayor control y seguridad para su extracción, almacenamiento y traslado. En este esfuerzo resulta más importante que nunca saber qué dicen las bases de datos de nosotros y cómo se comparten.
La ley nos otorga el derecho de solicitar gratuitamente información detallada sobre los datos que las empresas privadas tienen de nosotros, cómo los obtuvieron, con quiénes los comparten y por cuánto tiempo lo hacen.
Desde Hiperderecho, hemos presentado este mes SonMisDatos.pe, una aplicación web diseñada para facilitar el proceso de enviar esta solicitudes a empresas locales a través de una serie de preguntas predefinidas y la posibilidad de enviarlas por Internet. Nuestra intención es involucrar a más personas en el reto de fiscalizar colectivamente cómo las empresas recolectan y explotan nuestros datos personales.
Hacer las preguntas correctas es el primer paso para demandar más información y tomar de vuelta el control de nuestros datos.