20 de marzo de 2019
Resolución 1321 de 2019 de la Superintendencia de Industria y Comercio, ¿relevante en materia de protección de datos?
Cambridge Analytica, es el caso más emblemático de fallas de seguridad de la red social Facebook. En diciembre del 2018 la Oficina del Fiscal General del Distrito de Columbia demandó a Facebook por fallas en sus medidas de seguridad de protección de datos con ocasión de este caso.[1] En la investigación de la Oficina del Fiscal se descubrió que entre 2013 y 2015, la red social permitió a Aleksandr Kogan, investigador de la Universidad de Cambridge, acceder a los datos personales de aproximadamente 70 millones de usuarios en los EE.UU, para luego venderla a Cambridge Analytica, quien utilizó la gran cantidad de datos[2] para influenciar votantes en las pasadas elecciones presidenciales de ese país.[3] Grave además, fue que Facebook tuvo conocimiento de la falla de seguridad en el año 2015, y esperó más de 2 años para informar el problema a los usuarios y autoridades pertinentes.[4]
En este contexto, la Superintendencia de Industria y Comercio (en adelante SIC) mediante Resolución 1321 de 2019 y en virtud de sus facultades conferidas por la Ley 1581 de 2012[5], luego de analizar las investigaciones de las autoridades pertinentes en más de 8 países[6], pudo establecer que Facebook no ha adoptado medidas de seguridad suficientes y ha reconocido vulnerabilidades en su plataforma.[7]
La SIC hizo dos anotaciones importantes en materia de protección de datos. Con referencia al principio de seguridad[8] indicó que este opera de manera preventiva, no requiriéndose que haya existido una afectación o daño probado con ocasión de las fallas de seguridad en los sistemas de protección de los datos personales. Señaló que basta el solo hecho de tratar datos personales para que en virtud de este principio los responsables y encargados estén obligados a examinar sus vulnerabilidades con el objetivo de desplegar las medidas necesarias para reforzar la seguridad.[9]
Por otro lado, destacó “que la legislación actual le exige a Facebook responsabilidad demostrada respecto de las medidas de seguridad para realizar tratamiento de datos personales”[10]. Esto se desprende del Decreto 1377 de 2013[11] que impone la obligación al responsable de demostrar que las medidas que utilizó para cumplir con la regulación de la Ley 1581 de 2012, fueron “adecuadas, útiles y eficaces”[12]. El cumplimiento de la normatividad no debe ser formal o simbólico, sino verdaderamente efectivo, real y demostrable. Se busca con el principio de responsabilidad demostrada, que las empresas no se desentiendan de sus deberes de protección por medio de la expedición de manuales técnicos o “declaraciones de buenas intenciones”[13], sino que se obtengan efectos materiales y los datos de las personas permanezcan seguros.
En la citada resolución, la SIC adopta una decisión de carácter preventivo, ordenando a Facebook, tanto a la matriz Facebook inc., como a su subsidiaria Facebook Colombia S.A.S, la implementación de medidas de seguridad de la información. Se destacan de estas medidas, el fortalecimiento de la seguridad para evitar accesos no autorizados o fraudulentos y la adulteración o pérdida de datos, como también la modificación de las configuraciones de privacidad para permitirle al usuario controlar de forma sencilla la información que desea compartir. Es clave advertir, que la SIC ordenó también impedir el acceso por parte de terceros, aliados comerciales, empresas asociadas o desarrolladores de aplicaciones, a información de los usuarios sin su consentimiento y que no sea necesaria para el funcionamiento de la aplicación. Último punto, de relevancia sustancial, teniendo en cuenta que las fallas de seguridad han ocurrido en el manejo de los datos por parte de los terceros.
La decisión, a pesar de estar ajustada a derecho, amerita dos críticas. La primera consiste en que las medidas adoptadas por la SIC destacan por su abstracción. Se dictan órdenes a Facebook para que adopte e implemente medidas de protección sin establecer concretamente cuales deben ser y bajo cuales estándares, porque si bien se utiliza el estándar “DPIAs” o “PIAs”, es solamente para las evaluaciones de impacto en la protección de datos personales. Por otro lado, si bien la orden va dirigida a la matriz de Facebook (Facebook inc) y a su subsidiaria (Facebook Colombia S.A.S), los efectos materiales de la decisión recaen esencialmente sobre esta última, porque a pesar de que la ley 1581 de 2012 es aplicable[14], el Estado colombiano y en específico la SIC, carece de fuerza disuasoria si tenemos en cuenta el poder y tamaño de la red social. Además, Facebook Colombia S.A.S tiene como objeto social[15] desarrollar actividades de marketing y publicidad, no el manejo de la política de protección de datos, por lo que los efectos respecto de esta son casi indiferentes.
La relevancia del tema es evidente. La red social Facebook posee el mayor número de usuarios a nivel mundial aunado al hecho de que la red social trata datos sensibles de las personas.[16] Se estima que para 2019 la red social ostenta la cifra de 4.164[17] millones de usuarios, siendo 31[18] millones de estos, colombianos. Su importancia es tal, que el derecho fundamental al habeas data, ligado al derecho a la intimidad, es presupuesto indispensable para la protección de la vida privada y familiar, la dignidad humana y el derecho al buen nombre[19]. No en vano este derecho ha tenido protección en instrumentos internacionales de gran importancia, tales como en la Declaración Universal de los Derechos Humanos[20], el Pacto Internacional de Derechos Civiles y Políticos[21] y la Convención Americana de Derechos Humanos[22].
En conclusión, es evidente que la SIC está pendiente de los datos personales de los colombianos en el exterior, mas es claro que su protección deberá de ir acompañada de una política de Estado. Dicha política permitiría aumentar la presión internacional por parte del Estado colombiano, y así tener mayor incidencia y poder disuasorio respecto de los gigantes informáticos que controlan nuestros datos, teniendo en cuenta que, en el estado de cosas actual, solo recibimos los coletazos de las medidas que toman las autoridades de Estados con mayor incidencia y poder disuasivo en la materia. Sin duda la Resolución 1321 de 2019 es un buen inicio, de un problema que requiere un debate con profundidad e investigación que actualmente no posee.
[1] Office of the Attorney General for the District of Columbia. 2018. COMPLAINT FOR VIOLATION OF THE CONSUMER PROTECTION PROCEDURES ACT.
[2] Se pudo establecer que la aplicación de Kogan fue instalada por 852 usuarios -residentes en el distrito de Columbia-, pero al ésta permitir el acceso a los datos de los amigos de Facebook de los usuarios, permitió recolectar, solo en ese distrito, la información de más de 340.000 residentes. Ibídem.
[3] “from 2013-2015, Facebook permitted a Cambridge University researcher named Aleksandr Kogan (Kogan) to use a therd-party application to harvest the personal data of approximately 70 million Facebook consumers in the United States and then sell it to Cambridge Analytica, a political consulting firm that relied on Facebook data to target voters and influence elections in the United States.” Ibídem p. 2.
[4] Office of the Attorney General for the District of Columbia. 2018. Prepared Remarks: Facebook Enforcement Action Press Call.
[5] Ley 1581 de 2012. Artículos 19 y 21.
[6] En la citada resolución la SIC recopila las actuaciones de las autoridades pertinentes en materia de protección de datos de más de 8 países. Entre ellos: Irlanda, Estados Unidos, Gran Bretaña, Francia, Países Bajos, Canadá, Australia y Nueva Zelanda.
[7] Superintendencia de Industria y Comercio. 2019. Resolución 1321. pp. 22 «Facebook: 1. No ha adoptado las medidas de seguridad suficientes y efectivas para impedir que los datos de sus usuarios fueran accedidos y compartidos por un tercero en contravía de la normatividad de protección de datos personales en diferentes países y sus políticas de privacidad y, en algunos casos, sin contar el consentimiento de los titulares (…).2. Ha reconocido vulnerabilidades en su plataforma que permitió a terceros hurtar “tokens” de acceso a Facebook, que luego podrían ser empleadas para tomar el control de cuentas de usuarios. 3. Ha admitido que por fallas en el “Photo API” se generó que terceros desarrolladores de aplicaciones (…), accedieran a gran cantidad de fotografías de alrededor de 5.6 millones de usuarios (…).
[8] Ley 1581 de 2012. Artículo 4º: “Principios para el tratamiento de datos personales: g)Principio de seguridad la información sujeta a tratamiento por el responsable del tratamiento o encargado del tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.”
[9] Superintendencia de Industria y Comercio. 2019. Resolución 1321.
[10] Ibídem.
[11] Capítulo III del Decreto 1377 del 27 de junio de 2013 -incorporado en el Decreto 1074 de 2015-. Artículo 26: “los responsables del tratamiento de datos personales deben ser capaces de demostrar, a petición de la Superintendencia de Industria y Comercio, que han implementado medidas apropiadas y efectivas para cumplir con las obligaciones establecidas en la ley 1581 DE 2012.”
[12] Superintendencia de Industria y Comercio. 2019. Resolución 1321. pp 24.
[13] Ibídem pp. 25.
[14] Ley 1581 de 2012. Artículo 2º.
[15] Cámara de Comercio de Bogotá (2015). Certificado de existencia y representación legal. Facebook Colombia S.A.S. “Objeto social: El objeto social de la red social será: Brindar servicios de relacionados con soportes de ventas para publicidad, marketing, relaciones públicas y comunicaciones (…)”.[16] Ley 1581 de 2012, artículo 5º: “Datos sensibles. Para los propósitos de la presente ley, se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación(…).” -Negrilla fuera del texto original-.
[17] Cfr. http://www.internetlivestats.com/. Última consulta: 3 de marzo de 2019.
[18] Cfr. Latamclick (2018). Estadísticas de Facebook (América Latina) 2018 con imágenes to Share. Publicado en: https://www.latamclick.com/estadisticas-de-facebook-america-latina-2018/
[19] Corte Constitucional Colombiana. Sentencia C-748 de 2011.
[20] La Declaración Universal de los Derechos Humanos, 1948. Artículo 12.
[21] Pacto Internacional de Derechos Civiles y Políticos, 1966. Artículo 17.
[22] Convención Americana de Derechos Humanos, 1969. Artículo 11.