Derecho a la privacidad, derecho a la intimidad: ¿Los cedimos ante las tecnologías?

Por: Yvonne L. Huertas, CPA, CMA, MBA, JD, LLM
Presidente Comisión Técnica de Sistemas y TI de la AIC

Directora del Departamento de Contabilidad de la Facultad de Administración de Empresas de la Universidad de Puerto Rico, Campus de Río Piedras.

Certificaciones profesionales: CPA, CMA, Mediadora, Social Media Manager, y CIRA (Certified Insolvency and Restructuring Advisor. Está autorizada a litigar en los tribunales federales de Estados Unidos de América.

Soy una inmigrante de la tecnología fascinada por la versatilidad, utilidad, e impacto positivo que tienen en nuestro diario vivir. Dicho eso, debo puntualizar que uso las tecnologías con cierta cautela y soy consciente de que la oportunidad de usarlas viene acompañada por serios riesgos. Este breve artículo expresa algunas de mis preocupaciones y cómo intento mitigar el impacto de los riesgos inherentes en el área de derechos a la privacidad.

 

Puerto Rico aprobó una serie de leyes con el fin de proteger a los ciudadanos de ser víctimas de los riesgos que representa navegar por la Internet, compartir información personal y de crédito y realizar transacciones de forma virtual.  Entre ellas, podemos mencionar la “Ley de Información al Ciudadano sobre la Seguridad de Bancos de Información” (“Ley Núm. 11-2005”). Tiene como objetivo proteger a los residentes de Puerto Rico del robo de identidad. El 24 de enero de 2012 se aprobó en Puerto Rico la “Ley de Notificación Pública de Privacidad” (“Ley Núm. 39-2012”). ¿Objetivo? Proteger la integridad de la información personal.  El lenguaje en el que está redactada la ley pone de manifiesto la intención de que los ciudadanos sepan que tienen derecho a la información. Cualquier consentimiento dado por el ciudadano al presionar un botón de ACEPTO, ESTOY DE ACUERDO, APRUEBO, AGREGAR AL CARRITO DE COMPRA, debe estar precedido por y condicionado a que conozca todos las obligaciones y responsabilidad que contrae en transacciones por la Internet. La intención que sobresale de esta legislación es que el ciudadano tome decisiones informadas.  Se aspira a proveer las herramientas necesarias y los controles apropiados para proteger a los ciudadanos que se unen a la economía digital. Ellos deben siempre tener el control de con quién llevan a cabo transacciones, cuándo, dónde, y cómo.

 

La Ley Núm. 39-2012 requiere que las páginas de la Internet de operadores o proveedores de servicios y bienes NOTIFIQUEN su Política de Privacidad a los navegadores de la Internet que les visitan. Esta política debe estar expresada de manera clara, concisa, coherente, y visible. NO debe ser parte de las letras pequeñas o encontrarse en algún rincón con difícil acceso en la página web del proveedor. Debe notificar cuál información recopila (edad, género, origen étnico, ingresos, entre otros) y qué hace con esa información: ¿La archiva?, ¿La comparte?, ¿La vende?.  Con frecuencia las organizaciones deciden adoptar cambios en su Política de Privacidad. ¿Cuál será la manera en que comunicará sus cambios a los usuarios?

 

El portal de servicios del gobierno de Puerto Rico expresa claramente y con palabras inequívocas, lo que hace con la información de los cientos de miles de personas que navegan por sus páginas en búsqueda de información, servicios, o cumplimiento con obligaciones fiscales. Provee un grado de certeza y confiabilidad al ciudadano que visita su página: (ver https://www2.pr.gov/Pages/Pol%C3%ADticadePrivacidad.aspx):

 

 

 

Política de Privacidad

La política pública con relación al Portal del Gobierno del Estado Libre Asociado de Puerto Rico es sencilla: No se recogerá ninguna información personal del Usuario al acceder a los servicios del Portal, a menos que dicha información sea proporcionada voluntariamente.

En esta declaración se le informa al Usuario qué información es recolectada automáticamente; para qué se recopila la referida información; el uso que se le da y con quiénes es compartida la información; las alternativas que tiene el Usuario para controlar el uso de su información personal; cómo lograr acceso a su información, y las medidas de seguridad utilizadas para proteger la seguridad de la información que se recolecta y guarda en la base de datos.

 

De acuerdo a Sánchez Pérez y Rojas González (2012), “La protección de datos personales se remonta a 1948, cuando la Asamblea General de las Naciones Unidas adopta el documento conocido como Declaración Universal de Derechos Humanos, en este documento se expresan los derechos humanos conocidos como básicos.”

 

En el artículo 12 se señala lo siguiente:

 

Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques.

https://revista.seguridad.unam.mx/numero-13/leyes-de-protecci%C3%B3n-de-datos-personales-en-el-mundo-y-la-protecci%C3%B3n-de-datos-biom%C3%A9tricos-%E2%80%93

 

El tema cobra muchísima importancia en estos tiempos por la difusión de información a través de las redes sociales.  Pero ya se discutía en las cortes de Estados Unidos desde 1890 con los jueces Samuel Warren y Louis Brandeis, y se le describía como el derecho del ciudadano a que lo dejen tranquilo, o “right to be left alone”, hoy, derecho a la privacidad o “The Right to Privacy”.

 

Sánchez Pérez y Rojas González (2012) hacen un interesante “inventario” de leyes a través de todo el mundo que tienen como objetivo regular el derecho a la privacidad. Será un interesante proyecto académico actualizar la información de las leyes y hacer comparaciones que nos ayuden a delinear las estrategias de cada país y tomar las mejores prácticas para proponerlas como parte de nuestras leyes de país:

 

1. Alemania. En 1970 fue aprobada la primera ley de protección de datos (Datenschutz). En 1977, el Parlamento Federal Alemán aprueba la Ley Federal Bundesdatenschutzgesetz. Estas leyes impiden la transmisión de cualquier dato personal sin la autorización de la persona interesada.
2. Suecia. En 1973 fue publicada la que fue una de las primeras leyes de protección de datos en el mundo.
3. Estados Unidos de Norteamérica. La protección de datos tiene base en la Privacy Act de 1974.
4. Unión Europea. El primer convenio internacional de protección de datos fue firmado en 1981 por Alemania, Francia, Dinamarca, Austria y Luxemburgo. Es conocido como “Convenio 108” o “Convenio de Estrasburgo”. En los 90’s, se establece una norma común que se denominó Directiva 95/46/CE. La directiva es referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
5. España. La ley Orgánica 15 de 1999, establece la Protección de Datos de Carácter Personal. Está ley ha sido importante para Latinoamérica porque se ha utilizado como firme referente del modelo europeo.
6. Latinoamérica. En América Latina, las leyes de protección de datos personales surgen como una necesidad derivada del incremento del uso de las tecnologías de la información y el aumento de las vulnerabilidades asociadas. En su mayoría, estas leyes se asemejan al modelo europeo: En Argentina la Ley 25.326 (2000), Chile (1999), Panamá (2002), Brasil (1997), Paraguay (2000), Uruguay (2008).
7. Rusia. En el año 2006 fue aprobada una exhaustiva ley de protección de datos personales.
8. Perú. La ley 29.733 del 2 de julio de 2011 es la más reciente ley de protección de datos personales en el mundo.
9. México. La Ley Federal de Protección de Datos Personales en Posesión de Particulares fue publicada en el Diario Oficial de la Federación el 5 de julio de 2010, entró en vigor un día después y tiene efecto a partir de enero del año 2012.

Cuando hablamos de privacidad también viene a nuestra mente un derecho que está conectado forzosamente a este. Se trata del derecho a la intimidad, derecho fundamental proclamado por la Carta de Derechos de la Constitución del Estado Libre Asociado de Puerto Rico.  La jurisprudencia expresada por el Tribunal Supremo de Puerto Rico reconoce y reafirma ese derecho a la intimidad y a la privacidad que aplica a las personas privadas.

 

Todo el preámbulo anterior me lleva a compartir con el lector experiencias recientes con eso que le llaman el IoT – Internet of Things – o en buen español, el Internet de las cosas. Lea y juzgue usted mismo:

 

Antes de la pandemia COVID 19 mi rutina de vida incluía visitar el gimnasio todos los días. Durante los días de semana, la visita al gimnasio era a las 6:00AM y luego me preparaba para ir a mi oficina en la Universidad de Puerto Rico (UPRRP). Con frecuencia, el sistema SIRI de mi iPhone, me decía, sin yo haber intervenido activamente en solicitarlo, que me tomaría 10 minutos para llegar al gimnasio, y que el viaje a mi oficina en UPRRP sería de unos 18 minutos. Hoy, la visita al gimnasio se convirtió en interacción con la aplicación de mi FitBit, reloj inteligente, y mi viaje al trabajo es en dirección al escritorio que ubico en cualquier esquina de mi hogar donde tenga buena recepción de señal de wi-fi. Alexa y FitBit sustituyeron la interacción “íntima” que tenía con SIRI antes y después de mis salidas de rutina.

 

Cuando registré mi reloj inteligente, leí todas las políticas de privacidad expresadas por FitBit en la aplicación descargada en mi teléfono también “inteligente”. Con esta lectura de la política de privacidad creía que de manera “informada” había dado mi consentimiento a capturar mi información privada. Me tomó algo de sorpresa un “incidente virtual” que tuve con el personal de apoyo al cliente de Fitbit en el día de ayer. La pantalla de mi reloj había dejado de desplegar de forma automática la hora, fecha y otros detalles de la pantalla principal. La persona (presumo que no era un bot) fue muy diligente en atender mi reclamo. Desde la distancia – no puedo precisar desde dónde me atendió, pero pudo haber sido desde la India u otro país lejano donde las empresas típicamente tienen sus centros de llamadas o atención al cliente – accedió a mi reloj. Hizo inventario de los pasos que había dado en ese día, las horas que había dormido, el ritmo cardiaco registrado, entre otros. Sentí cierto grado de vulnerabilidad ante la facilidad con la que se apoderó de mi información y de su acceso a mi reloj.

 

Como directora del Departamento académico de Contabilidad de mi universidad, tengo que asegurar que en estos tiempos de Pandemia COVID 19 continuamos ofreciendo a nuestros estudiantes, los mismos servicios que antes se ofrecían en la modalidad presencial.  Entre estos servicios está prominentemente el acceso al programado especializado de imposición de contribución sobre ingresos a individuos y corporaciones. Tuvimos que migrar las licencias del laboratorio de contabilidad a la nube, o sea de las computadoras que están físicamente en el edificio de nuestra facultad a un servicio totalmente virtual en la nube.

 

Durante la sesión de “migración” el técnico de la empresa proveedora del programado, ingresó a las cuentas de las licencias que están instaladas en las computadoras del laboratorio, las desactivó y se hizo la migración a la nube.

 

Tengo el acceso al “asistente virtual” de Alexa, de Amazon. Le puedo decir enciende el enchufe primero, o le puedo preguntar si me llegó alguna notificación de envíos para recoger en el correo. Cuando busco en mi celular en la carpeta de fotos, puedo pedir lugares visitados, fotos o videos tomados en fechas específicas, “selfies”, y otros detalles.

 

Con frecuencia, cuando navego por las páginas de Facebook, noto que aparecen productos relacionados a visitas hechas previamente en los motores de búsqueda que son de mi preferencia. Igualmente, cuando me detengo a leer alguna información publicada, observo que se repite en las siguientes visitas con cierto grado de regularidad.

 

Todas las instancias anteriores me obligan a preguntar: ¿A dónde se fue mi derecho a la privacidad? ¿Lo cedí a cambio de poder navegar por la Internet? ¿Entregué libremente y de manera informada mi derecho a la intimidad? Dice Oscar J. Bezares Lamboy (2018):

 

 “La conexión de objetos a la Internet parece vislumbrar un futuro en el que la privacidad dejará de existir. Hay automóviles que registran hábitos de manejo, refrigeradores que saben qué hace falta para la compra, aspiradoras que trazan planos del hogar, y televisores que graban conversaciones.

http://revistajuridica.uprrp.edu/inrev/index.php/2018/05/30/el-derecho-a-la-intimidad-frente-a-la-internet-de-las-cosas/

 

Recientemente WhatsApp anunció un cambio en su política de privacidad que entraría en vigencia el 8 de febrero de este año. La conmoción causada fue tan abrumadora que WhatsApp decidió posponer la fecha para poder aclarar las dudas. Hubo una fuerte migración de clientes a las plataformas de Telegram y Signal, y esto fue el detonante para que WhatsApp detuviera la implantación.

 

Cuando hacemos el escrutinio minucioso de las situaciones anteriores es inevitable llegar a la conclusión que hemos sido los autores de nuestra nueva realidad de derechos limitados a la privacidad.  En derecho se usa el término de contratos de adhesión.  Es el tipo de contrato que redacta una de las partes, la que tiene el poder de obligar a la aceptación de sus términos. La parte que acepta el contrato tiene dos opciones: lo acepta integralmente o lo rechaza y no se “adhiere” al mismo.  Ejemplos de estos son los contratos de préstamo, de seguros, de tarjetas de crédito, o los que firmamos cuando accedemos a los servicios en la nube, servicios de correo electrónico, entre otros. ¿Quién de nosotros desea quedar fuera de las redes sociales? ¿Quiénes de nosotros queremos estar sin correos electrónicos? ¿Quiénes de nosotros queremos estar impedidos de usar plataformas de conferencias como Zoom o Meets? Por tal motivo, nos vemos obligados a firmar estos acuerdos o contratos de adhesión, que nos imponen un estado de vulnerabilidad de derecho a nuestra privacidad, y nos ata las manos al buscar remedios para evitar el uso no deseado de nuestra información.

 

Existe una pugna real entre nuestras necesidades, las necesidades de los proveedores de estos servicios, y nuestro derecho a la privacidad.

 

¿Cómo ha respondido la Unión Europea a este dilema?

 

La política de protección de los particulares con respecto al tratamiento de sus datos personales por las instituciones de la Unión se basa en el Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE.

Política de privacidad | Unión Europea (europa.eu)

 

Creo que podemos aprender de estas iniciativas y ser parte de la sociedad civil y abogar por normas que velen mejor por la protección de nuestra privacidad.

 

Examinemos algunos de los postulados de este reglamento:

1. Para cada servicio electrónico se identificará una persona o ente responsable de asegurar la conformidad con la política de privacidad.
2. En cada institución se asignará responsabilidad de protección de datos
3. Se crea un “Supervisor Europeo de Protección de datos” que tiene autoridad independiente.

En cuanto al manejo de información se exige:

1. Informar qué se captura y para qué
2. Notificar quién tiene acceso a los datos
3. Revelar cómo se acceden los datos para poderlos corregir
4. Indicar por cuánto tiempo se conservan los datos
5. Comunicar medidas de seguridad para proteger los datos de uso no autorizado
6. Compartir nombre de persona contacto para consultas o querellas

Nada ni nadie nos puede proteger 100% del riesgo de fraude cibernético, de robo de identidad, de ataques de malware o ransomware, o del uso indeseado de nuestra información. Lo más que podemos hacer es tomar medidas de precaución de manera rutinaria. Algunas recomendaciones son:

1. Identifique su información sensitiva, aquella puede representar un riesgo de pérdida de negocio, de pérdida de reputación. Cuídela como su activo más valioso. No la comparta.
2. Nunca comparta por medios electrónicos información sensitiva como secretos de negocio, fórmulas de productos, información de clientes. La palabra clave es NUNCA.
3. Asegúrese que conoce la cadena de comunicación y las personas que son parte de esa cadena. Verifique con regularidad que esas personas siguen en la empresa, gozan de su confianza. Tome nota de cambios en conducta que sean señal de cambios sospechosos: gastos extravagantes, deudas de juego, hábitos de adicciones a juegos al azar, alcohol, drogas. Pueden verse tentados a revelar su información a cambio de favores o pagos.
4. Verifique el estatus de su proveedor de servicios en la nube. Verifique dónde tiene sus servidores, qué empresas complementan sus servicios.
5. Lea la letra pequeña en los contratos. Sobre todo, lea las que tienen que ver con los mecanismos legales que tiene para reclamar: ¿Tribunales? ¿Mediación? ¿Arbitraje? Asegúrese que la jurisdicción en la que puede reclamar está cerca o por lo menos a una distancia razonable en auto o avión.
6. Establezca acceso controlado a sus equipos de computadoras, sus contraseñas, y otra información que de acceso a sus equipos. Cambie sus contraseñas con frecuencia. Configure sus equipos para tener doble autenticación en caso de que se sospeche un acceso indebido.
7. En el caso de su firma o clientes empresa promueva que se establezcan códigos de conducta de ética en cuanto al uso de la información. Asegúrese que no es letra muerta. Practíquelo y de el ejemplo.
8. Cuando usted presione el botón de ACEPTO, ESTOY DE ACUERDO, APRUEBO, AGREGAR AL CARRITO DE COMPRA, asegúrese que leyó TODO, antes de aceptar.

La nueva normalidad impuesta por la Pandemia COVID 19 nos lanzó de cabeza a un uso exponencial de las tecnologías en todas sus vertientes. ¿Podíamos evitarlo? NO. ¿Podíamos anticiparlo? NO. ¿Podemos evitar los daños potenciales? NO. ¿Podemos mitigar los daños potenciales? SÍ.

 

Espero que esta breve reflexión sobre el tema levante banderas rojas en situaciones de riesgos potenciales para usted, su firma, sus clientes, o sus empleados. Ante el reto de ser parte de la economía digital, deberemos adoptar las tecnologías con conocimiento, con información, y con sentido común. Los exhorto a ser parte de los movimientos de sus países para promover leyes que nos ayuden a proteger nuestro derecho a la privacidad y la intimidad.