Editoriales

El Derecho al control de la información personal en la era de la datificación

Teresa Da Cunha es doctora en Derecho; con diversos posgrados en universidades de México, España y Francia; profesora investigadora de la UMSNH; miembro del Sistema Nacional de Investigadores; y coordinadora del Área de Ciencias Sociales en el CIJUS
Teresa Da Cunha es doctora en Derecho; con diversos posgrados en universidades de México, España y Francia; profesora investigadora de la UMSNH; miembro del Sistema Nacional de Investigadores; y coordinadora del Área de Ciencias Sociales en el CIJUS

Para contrarrestar los riesgos inherentes a la evolución de la Sociedad de la Información y, al mismo tiempo, para aprovechar las posibilidades reales del Big Data, deben establecerse nuevos principios generales si se desea que los ciudadanos tengan mayor (y real) control sobre su entorno

 –

Morelia, Michoacán, 30 de septiembre de 2014.- Para contrarrestar los riesgos inherentes a la evolución de las estructuras de la Sociedad de la Información y del Conocimiento y, al mismo tiempo, para aprovechar las posibilidades reales de la misma, deben establecerse algunos nuevos principios generales si se desea que los ciudadanos de la Telepolis estén mejor protegidos y tengan mayor (y real) control sobre su entorno.

Dicho control es esencial si los individuos van a ejercitar una responsabilidad efectiva para su propia protección y deben estar mejor preparados para ejercitar apropiadamente la autodeterminación de la información.

Ahora bien, en la era de la datificación (Big Data) ese control no es posible sín la aplicación del principio de encriptación y anonimato reversible (1).

La encriptación de mensajes ofrece protección contra el acceso al contenido de las comunicaciones. La calidad varía al hacerlo según las técnicas y herramientas de encriptación y desencriptación usadas. Hoy en día se encuentran disponibles, a precios razonables, programas de encriptación para su instalación en las computadoras de los usuarios de Internet (protocolos S/MIME u Open PG). En paralelo, dada su ambigüedad, la noción de anonimato debería quizás ser clarificada y, posiblemente, sustituida por otros términos como “pseudoanonimato” o “noidentificable “. Lo que se busca no es siempre el anonimato absoluto, sino la no-identificación funcional del autor de un mensaje enviado a otras personas.

Existen muchos documentos no vinculantes defendiendo el “derecho” al anonimato de los ciudadanos cuando utilizan servicios de nueva tecnología. Por ejemplo, la recomendación núm. R (99) 54 del Comité de Ministros del Consejo de Europa establece que “el acceso y uso anónimo de servicios y medios anónimos de realizar pagos son las mejores protecciones de la privacidad”, de ahí la importancia de las técnicas de potenciación de privacidad ya disponibles en el mercado.

Este primer principio referido a la no identificación funcional podría ser expresado como sigue: aquellos que usen técnicas modernas de comunicación deben poder permanecer no identificados por los proveedores de servicios, por otras terceras partes que intervinieran durante la transmisión del mensaje y por el receptor o receptores del mensaje, y deberían tener acceso gratis, o a precios razonables, a los medios de ejercitar esta opción [2]. La disponibilidad de encriptación económica y herramientas y servicios para mantener el anonimato es una condición necesaria para internautas que ejerzan su responsabilidad personal. Sin embargo, el anonimato o la “no identificación funcional” requerida no es absoluta.

O sea, el derecho del ciudadano al anonimato debe ser establecido en oposición a intereses mayores de Estado, el cual podría imponer restricciones si fuesen necesarias “para proteger la seguridad nacional, defensa, seguridad pública, [y para] la prevención, investigación, detección y persecución de delitos”, siempre y cuando para tal exista un fundamento normativo reforzado por un mandato judicial.

Lograr un equilibrio entre la monitorización legítima de delitos y la Protección de Datos debería ser posible mediante el uso de “pseudo-identidades” que serían asignadas a individuos mediante proveedores de servicios especializados que podrían ser requeridos para revelar la identidad real de un usuario pero sólo en determinadas circunstancias y siguiendo procedimientos claramente establecidos por la ley.

Se podrían extraer otras consecuencias de este primer principio: podría incluir la regulación exigida de equipamientos terminales, para prevenir la monitorización de la navegación, para permitir la creación de direcciones efímeras y para la diferenciación de datos de direcciones según qué terceras partes tendrían acceso al dato de tráfico o localización, y para la desaparición de los identificadores únicos globales mediante la introducción de protocolos de direcciones uniformes.

Finalmente, el estatus de “anonimizador[3]”, en el que aquellos que lo usan depositan gran confianza, debería estar regulado para ofrecer a los afectados determinadas barreras con respecto al estándar de servicio que proporcionan, a la vez que garantizasen que el Estado posea los medios técnicos para acceder a las telecomunicaciones en circunstancias legalmente definidas.

Este principio tendrá que ser complementado con el principio de beneficios recíprocos.

Donde fuese aplicable, este último principio haría que aquellos que empleen nuevas tecnologías tuviesen la obligación legal de desarrollar su actividad profesional con el fin de aceptar determinados requisitos para restablecer el equilibrio tradicional entre las partes implicadas. La justificación es simple, si la tecnología incrementa la capacidad de acumulación, procesamiento y comunicación de información sobre terceros y facilita las transacciones y operaciones administrativas, es esencial que también esté configurada y empleada para garantizar que los interesados, tanto si son ciudadanos como consumidores, disfruten de un beneficio proporcional de estos avances.

Varias previsiones recientes se han inspirado en el requisito proporcional para obligar a que aquellos que emplean tecnologías tengan que ponerlas a disposición de los usuarios para que puedan hacer valer sus intereses y derechos.

Un ejemplo es la Directiva Europea 2001/31/CE (la Directiva de E-Comercio), que incluye previsiones electrónicas anti-spamming. De forma similar, el artículo 5.3 de la Directiva 2002/58/CE sobre comunicaciones privadas y electrónicas incluye el requisito de que “…el uso de redes de comunicación electrónicas con el fin de almacenar información u obtener acceso a la información almacenada en el equipamiento terminal de un suscriptor o usuario tan sólo está permitido bajo la condición de que al suscriptor o usuario implicado se le haya proporcionado información clara y comprensible (…) y se le ofrezca el derecho a rechazar dicho procesamiento (…)”. El derecho de los suscriptores, bajo el artículo 8.1, “a través de medios simples, libres de cargo alguno, eliminar la presentación de identificación de línea telefónica en términos de llamada (…) y en términos de línea” es otra aproximación potencialmente valiosa si el concepto de “línea telefónica” se amplía a diversas aplicaciones de Internet, tales como servicios web y correo electrónico. Esto implica una obligación relacionada del proveedor de servicios hacia los usuarios consistente en ofrecerle las opciones de rechazar o aceptar llamadas no identificadas o prevenir su identificación (artículos 8.2 y 8.3).

Es de resaltar que las legislaciones llamadas “Libertad de Información” introducen un derecho similar de transparencia con respecto al Gobierno mediante la adición de mayor información que este último tiene obligación de suministrar [4].

Además de la importancia de la Ley Federal de Transparencia (LFTAIG; México), un desarrollo bien recibido en el Reino Unido es la introducción reciente de una garantía de servicio público en el manejo de datos. Recientemente, una comisión sueca[5]ha recomendado una legislación que daría derechos a los ciudadanos para monitorizar sus casos electrónicamente de inicio a fin, incluyendo su archivo, y obligaría a las autoridades a adoptar una buena estructura de acceso pública, para facilitar a los individuos la identificación y localización de documentos específicos. Existe incluso un borrador de legislación que haría posible, de un modo u otro, enlazar cualquier documento oficial en el que se basasen las decisiones a otros documentos del caso.

En otras palabras, un servicio público que se ha tornado más eficiente gracias a las nuevas tecnologías debe ser también más transparente y accesible para los ciudadanos. El derecho de acceso de los ciudadanos se extiende más allá de los documentos que les conciernen directamente para incluir las normativas sobre las que se basó la decisión.

Es incluso posible imaginarse que determinados derechos asociados a la Protección de Datos, como el Derecho a la Información, los derechos de acceso y rectificación y el derecho a la reclamación, podrían ser de obligado cumplimiento electrónicamente. Se podrían proponer muchas aplicaciones:

1.-Debería ser posible aplicar el Derecho a la Información de los interesados en cualquier momento mediante un simple clic (o de forma más generalizada mediante una acción electrónica e inmediata) ofreciendo el acceso a la política de privacidad, que debería ser tan detallada y completa como permita el menor coste de la propagación electrónica. Dicho paso debe ser anónimo con respecto al servidor de la página, para evitar así cualquier riesgo de creación de archivos sobre usuarios “preocupados por la privacidad”. Además, en el caso de páginas a las que se han otorgado etiquetas de calidad, debería ser obligatorio que proporcionasen un hiper enlace desde el símbolo de la etiqueta hacia el organismo que le ha otorgado la etiqueta. Lo mismo sería aplicable a la declaración del controlador del archivo hacia la autoridad supervisora. Se instalaría un hiperenlace entre una página ineludible de cualquier sitio web con procesamiento de datos personales y la autoridad supervisora relevante. Finalmente, se podría prestar atención a la señalización automática de cualquier página localizada en un país que ofreciese una protección inadecuada.

2.-En el futuro, los interesados deberían poder ejercitar su derecho de acceso empleando una firma electrónica. Sería obligatorio estructurar los archivos para que el derecho de acceso fuese de fácil aplicación. La información adicional debería estar sistemáticamente disponible, como el origen de los documentos y un listado de los interesados a los que se les habría suministrado determinados datos. De forma incremental, los datos personales acumulados por un gran número de público y de redes privadas no se guardan con uno o más propósitos claramente definidos, sino que se almacenan en la red para usos posteriores que sólo emergen según surgen nuevas oportunidades de procesamiento o necesidades no identificadas previamente. En tales circunstancias, los interesados deben poder tener acceso a la documentación que describen los flujos de datos en la red, los datos concernientes y los diversos usuarios –un tipo de registro de datos

3.-Debería ser posible ejercitar en línea los derechos de rectificación y/o impugnación a una autoridad con un estatus claramente definido responsable de mantener o considerar un listado de quejas.

4.-El derecho a la reclamación debería también beneficiarse de la posibilidad de derivación en línea, intercambio de solicitudes de las partes y otras documentaciones, decisiones y proposiciones de mediación.

5.-Finalmente, cuando los individuos interesados deseen apelar las decisiones tomadas automáticamente o notificar mediante una red (como el rechazo a otorgar un permiso de construcción tras un llamado procedimiento E gubernamental), deberían tener Derecho a la Información, mediante el mismo canal, sobre la lógica subyacente en la decisión. Por ejemplo, en el sector público los ciudadanos deberían tener el derecho a probar de forma anónima cualquier paquete de toma de decisiones o sistemas expertos que pudiesen utilizar. Esto se podría aplicar a los programas para el cálculo automático de impuestos o derechos a subsidios para la rehabilitación de viviendas.

[1] LFTAIPG, México, http://www.ifai.org

[2] Véase también el informe de la comisión sueca de. SEIPEL, P. :Law and Information Technology: Swedish Views. Swedish Government Official Reports, SOU. Pág. 112, 2000

[3] Véase el Sistema del SAT con la CIEC y la Firma Electrónica Avanzada

[4] SEIPEL, P.: “Information System Quality as a Legal Concern”. En: U. GASSER (ed.). Information Quality Regulation: Foundations, Perspectives and Applications. Nomos Verlagsgesellschaft. Pág. 248., 2004

[5] Ver la recomendación de la comisión de procesamiento de datos nacionales franceses que el acceso a páginas comerciales debería ser siempre posible sin identificación previa: GEORGES, M.: “Relevons les défis de la protection des données à caractère personnel: l’Internet et la CNIL”. En: Commerce électronique-Marketing et vie privée. París. Pág. 71 y 72.2002

Publicaciones relacionadas

Botón volver arriba