Dejusticia identificó varias prácticas –propias de la era digital– que no han sido suficientemente contempladas por el régimen de datos personales actualmente aplicable en Colombia, y cuya regulación, en comparación con el GDPR europeo y con el CCPA de California, posee un amplio campo de mejora. | Flickr
Colombia: en mora de actualizar la protección de datos personales para la era digital
Por: Dejusticia | enero 29, 2019
Es un hecho que la disponibilidad de grandes volúmenes de datos digitales y las capacidades actuales para encontrar correlaciones entre ellos puedan derivar en otros datos personales, exactos o inexactos, a partir de los cuales se puedan tomar decisiones –a veces injustas o discriminatorias– sobre los ciudadanos, sin que ellos mismos tengan seguridad, conocimiento ni control de lo que sucede.
Es el caso del escándalo de Facebook y Cambridge Analytica, en el que la red social permitió el uso de una aplicación que terminó recolectando información de 87 millones de perfiles de usuarios de todo el mundo, que luego sería utilizada por Cambridge Analytica para influenciar electores en la campaña presidencial de Estados Unidos en 2016, y en el referendo sobre la permanencia del Reino Unido en la Unión Europea.
Por eso, ante el boom del big data y de la economía digital, Dejusticia exploró en un nuevo informe (Rendición de cuentas de Google y otros negocios en Colombia: la protección de datos digitales en la era digital) el grado de preparación del régimen jurídico de protección de datos personales colombiano y de nuestras autoridades competentes para enfrentar los riesgos que la era digital plantea para los derechos a la protección de datos, a la intimidad y a la igualdad, y para las libertades relacionadas.
A partir de la revisión de sus políticas de privacidad, analizamos la forma de operar de una muestra ilustrativa de 30 empresas con modelos de negocios basados en datos (EMNBD), dentro de las que sobresalen por su poder económico, tecnológico y social los llamados GAFAM (Google, Apple, Facebook, Amazon y Microsoft).
Así, identificamos nuevas fuentes de información (por ejemplo, las cookies como herramienta tecnológica para hacer web tracking), nuevos tratamientos de datos y, sobre todo, nuevas finalidades que son propias de la era digital. Entre ellas están: la comercialización de datos, la provisión de contenidos personalizados, la toma de decisiones automatizas o el profiling (categorizar a una persona a partir del tratamiento automatizado de sus datos personales).
Frente a esas nuevas dinámicas, encontramos la existencia de regulación inadecuada, la inexistencia de regulación alguna, o, en el mejor de los casos, la presencia de disposiciones que, si bien tienen el potencial de abarcar temas y conceptos propios de la era digital, deben ser adecuadamente interpretadas para ese efecto.
Del mismo modo, constatamos la presencia de autoridades competentes con niveles de alistamiento disímiles. En respuesta, exploramos varias buenas prácticas del Reglamento General de Protección de Datos de la Unión Europea y de la Ley de Privacidad del Consumidor del estado de California, como guías o derroteros de las posibles soluciones a adoptar.
Este documento ofrece ideas y recomendaciones útiles para los legisladores y hacedores de política pública que deben garantizar que el régimen de protección de datos personales colombiano continúe vigente en el marco de las nuevas tecnologías.
Además, para los jueces y para la Delegatura para la Protección de Datos Personales de la Superintendencia de Industria y Comercio, que desde sus distintos roles deben hacer efectivos los derechos a la intimidad y a la protección de datos de los titulares de los datos personales que hoy son masivamente recolectados en Colombia por parte de las EMNBD.
Finalmente, para las mismas EMNBD, así como para los miembros de la sociedad civil, la academia y la ciudadanía en general que estén interesados en la protección de datos personales en la era digital.