El problema de la transferencia internacional de datos
Cuando revisamos las diferentes etapas en el ciclo de datos, a primer vistazo podría dar la impresión que este proceso se realiza máximo entre dos o tres sujetos claramente identificados, que cumplen sus obligaciones en materia de protección de datos bajo una misma ley, en un territorio determinado. Esto no está más lejos de ser realidad, sobre todo al encuadrar la discusión en la forma en que funciona globalmente el internet.
Datos personales • 22 jul 2022
Autor: Edwin Cacuango
El problema de la transferencia internacional de datos
Cuando revisamos las diferentes etapas en el ciclo de datos, a primer vistazo podría dar la impresión que este proceso se realiza máximo entre dos o tres sujetos claramente identificados, que cumplen sus obligaciones en materia de protección de datos bajo una misma ley, en un territorio determinado. Esto no está más lejos de ser realidad, sobre todo al encuadrar la discusión en la forma en que funciona globalmente el internet.
Autor: Edwin Cacuango
Datos personales • 22 jul 2022
El internet complicándolo todo.
Al hablar de internet, es muy fácil imaginar a una especie de acceso a un mundo intangible, que existe en “la nube” y al que accedemos sin físicamente trasladarnos a un lugar en específico. Lo llamamos “ciberespacio”.
Esto es parcialmente verdadero. Este mundo intangible, más bien es una red global de comunicación, y como toda red, depende de grandes equipos físicos para su puesta en operación, mantenimiento y sobre todo, su uso. En este carácter de global, se puede acceder fácilmente a información alojada o producida en cualquier parte del mundo y que, con el beneplácito de los buscadores, aparece simplemente al escribir unas pocas palabras clave.
Al poner en operación un servicio en línea, y con las nuevas configuraciones que ha estandarizado el almacenamiento en la nube, estos equipos de almacenamiento (servidores) han salido de las sedes de las tecnológicas y básicamente están por todo el mundo. El servidor en donde se almacena el código fuente puede estar alojada en una parte del planeta, la base de datos puede ser gestionada desde otra ubicación completamente lejana a la primera, y con el uso de CDN’s ( un servicio que te permite tener múltiples copias de tu código en varias partes del mundo de manera simultánea), prácticamente un mismo sitio web o app puede estar en todos los continentes a la vez. Nada se queda en las sedes de las tecnológicas, a menos que esté en pruebas todavía.
Muy en resumen, la información de un solo servicio está repartida y duplicada en todo el planeta; es por ello que su acceso apenas tarda unos segundos.
Si ya eres seguidor de estas publicaciones, más que hartas veces he insistido en que al usar los servicios en línea, también estamos entregando datos personales. Ahora bien, imagina que cualquiera de las etapas del ciclo de vida de datos (si quieres ver más del tema, da click en este enlace) puede y pasa fuera de tu país.
La recolección evidentemente ocurre en el lugar desde el que consientes en el tratamiento de tus datos personales, pero los datos bien no pueden quedarse en tu misma ciudad, o caso en tu mismo país.
Vamos con un ejemplo clásico: Supongamos que has publicado una foto en tu cuenta personal de Instagram. Esta será enviada a los servidores más cercanos de Facebook y probablemente será duplicada, sobre todo si tu cuenta tiene alcance internacional, en otros servidores de la misma compañía, pero alrededor del mundo; todo para que el acceso a la información sea instantánea. Si deseas eliminarla porque después de cierto tiempo no te gustó, se debería eliminar de cualquier servidor en que esta estuvo almacenada, así como si quieres editar el texto de la publicación, esto también deberá ser cambiada en el resto de lugares almacenados.
Incluso Facebook no tiene toda la capacidad para almacenar toda la información de los miles de millones de usuarios de sus redes sociales y servicios de mensajería, así que bien podría estar usando servicios en nube de otra compañía. Aquí el tratamiento de datos personales dejó de ser únicamente entre el usuario y el dueño del servicio.
Ahora bien, Facebook también usará los datos almacenados para las finalidades de que las recolectó, una de ellas, la venta de datos para su servicio de publicidad. Si otra persona o compañía desea publicitar algún producto a todas las personas que disfrutan de lo mismo que los hashtags usados al publicar tu foto, tu también recibirás estos anuncios personalizados. La campaña de marketing pudo promocionarse desde otro continente, en otro idioma y gestionado incluso por un intermediario (agencia de marketing), Facebook y la compañía que quiere comercializar ese producto o servicio.
Un ingeniero de Facebook que puede trabajar en remoto desde cualquier parte del mundo, puede sistematizar tus datos personales y el de millones de usuarios más para entrenar IA’s, crear patrones de consumo, mejorar la predicción de texto, incluso para esquematizar los datos y venderlos a un tercero interesado.
Todas estas actividades son completamente legales, siempre que se desarrollen de acuerdo a la ley de protección de datos personales; pero, ¿Cuál de todas las leyes?, si la información ha sido tratada en prácticamente todo el mundo a la vez.
El problema del cruce transfronterizo
Aun cuando las legislaciones sobre tratamiento de datos personales no son nuevas a nivel mundial, el grado de protección entre naciones sí que puede variar. Esto no ha limitado, salvo casos en los que ya vemos la prohibición de sitios y servicios web en ciertos estados, que el tratamiento de datos se de a nivel mundial en una misma actividad.
Para solucionar el problema de jurisdicción parte de la complejidad del internet, las naciones han establecido una cláusula un tanto interesante y que en principio rompe la idea de jurisdicción y límites territoriales. El Reglamento Europeo de Datos Personales, y la Ley Orgánica de Tratamiento de Datos Personales establecen casi de manera similar que:
Reglamento General para la Protección de Datos [UE]- Art. 3.- El presente Reglamento se aplica para el tratamiento de datos personales de interesados que residan en la Unión por parte de responsable no establecido en la Unión, cuando las actividades de tratamiento estén relaciodos con:
Oferta de bienes y servicios a interesados de la Unión El control de su comportamiento, en la medida en que esta tenga lugar en la Unión
Un artículo casi calcado para la aplicación de dichas disposiciones se puede encontrar en el Art. 3, numeral 3 de la ley ecuatoriana, razón por la que no la transcribo en este espacio.
Lo importante de esto es que las empresas o en general cualquier personas que no residiendo en un país, que- como normal general, no está obligado a cumplir la ley de ese país- en el caso de protección de datos personales, si lo estaría. Sin embargo, deben cumplirse cualquiera de los dos casos antes señalados.
El primero, en cuanto el público objetivo, tu audiencia o “target” sea de esa nación, aun cuando no vivas en ella. En un ejemplo más sencillo, si una compañía ecuatoriana quisiera ofertar sus productos en un ecomerce exclusivamente para consumidores europeos, en el tratamiento de datos que necesite para llevar a cabo esta actividad, deberá cumplir con las regulaciones europeas en la materia. No es aplicable la legislación europea si, “accidentalmente” un usuario europeo accede a un sitio web dirigido para ecuatorianos y cuyo propietario también sea ecuatoriano.
El segundo, siempre que el tratamiento de datos personales tenga la intencionalidad de monitorear las actividades del usuario, perfilarlo e incluso poder predecir su conducta o decisiones.
Esta fórmula en principio no puede responder a todos los desafíos, porque más allá de la aplicación de la ley en cuestión, los responsables del tratamiento deben poner a disposición de los usuarios, tantos mecanismos considere oportuno para la plena vigencia de sus derechos (corrección, actualización, portabilidad, etc.), en cuyo caso de incumplimiento de las normas de protección de datos, los Estados pueden suspender la oferta de dicho servicio online en su territorio. Los procesos de sanción pueden llevarse a personas no residentes en el país, pero en vez de señalar multas económicas o cualquier otro medio imposible de ejecutar, siempre pueden suspender su acceso al mercado específico. Sí, los Estados pueden señalar qué páginas están autorizadas para su acceso dentro de sus límites territoriales y limitar el acceso al público en general; los Estados pueden levantar muros digitales.
Este mecanismo aseguraría que, principalmente las grandes empresas que ofrecen servicios digitales a nivel mundial, deben adaptar el uso de datos a las reglas más estrictas a nivel mundial y de esa forma garantizar un nivel homogéneo en cualquier país que oferten sus servicios, independientemente que en otros países sea menos estricto. Es eso, o suspender sus operaciones en mercados importantes.
Una sola ley para gobernarlos a todos
Si eres un lector con conocimientos legales, una posible solución sería la adopción internacional de regulaciones en materias de protección de datos. Si la principal actividad que debe ser regulada tiene alcance global, lo más intuitivo sería que exista un mecanismo jurídico de aplicación internacional, de modo que, no solo los principios estén estandarizados, sino también las obligaciones/derechos de cada sujeto que participa en el ciclo de vida de datos.
Esta solución, más allá de las complicaciones materiales (tiempo, recurso, factibilidad) que implica la adopción internacional de un Tratado Internacional con obligaciones exigibles para cada Estado, es un camino poco recomendado. Al final del día, se necesitaría un igual esfuerzo para adaptar las legislaciones nacionales a las obligaciones internacionales que el necesario para desarrollar una legislación nacional de la misma materia.
Quizás lo mejor sea el trabajo en cada nación, siempre en observación de las mejores prácticas aplicadas en naciones con más trayectoria en la regulación, la coordinación entre naciones para alcanzar mejores resultados, sobre todo entre aquellas en donde participan con gran cuota en la transmisión internacional de datos.
La tendencia en el mundillo tecnológico es a la estandarización, pero estandarización que parte desde el diseño de la solución o servicio digital y que, a propósito de nuestro tema de interés, debe construirse también con los Estados.
Fuentes: Reglamento Europeo de Datos Personales, Ley Orgánica de Protección de Datos Personales, Accountability Guide on Cross-border Transfer of Personal Data
Gracias por llegar al final del post¡ No olvides volver, cada semana tenemos nuevo contenido.