Protección de datos personales: ¿el uso de cookies en el entorno digital puede ser perjudicial?

  1. Introducción
    Estamos acostumbrados a escuchar que los datos son el nuevo petróleo de la economía global. Con frecuencia, nos enteramos que empresas nacionales y extranjeras usan técnicas de análisis masivo de datos (conocido como big data) en sus procesos de inteligencia artificial o para crear modelos predictivos que se anticipen a las necesidades de sus mercados.
    Después de una década de promulgar leyes para proteger la privacidad de datos en América Latina, se ha conformado un marco legal bastante complejo. Si bien las leyes de privacidad otorgan una amplia gama de acciones legales contra quienes las violan, aún quedan vacíos. Ante este panorama, si una firma internacional de abogados lleva a cabo una investigación interna desde las oficinas en el exterior, es muy probable que, sin el apoyo local, no pueda concluirla.
    El marco legal de América Latina principalmente se fundamenta en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Como regla general, podemos estar de acuerdo en que, cuando la regulación integral de privacidad de datos de la UE entró en vigencia en 2018, tuvo un gran impacto en casi todas partes. En la región los legisladores debatieron y promulgaron —con entusiasmo— nuevas leyes inspiradas en las regulaciones de la UE.
    Conviene hacer un paréntesis para señalar que, en lo que respecta a la protección de datos en el contexto de la aplicación de la ley, pocos países de América Latina han adoptado los últimos pasos de la Unión Europea. Ejemplo de ello es la Directiva de Policía de la UE, una ley sobre el procesamiento de datos personales para las fuerzas policiales que aún no se ha convertido en un fenómeno latinoamericano. De cualquier forma, es innegable que a nivel regional se ha establecido un marco legal para proteger la privacidad de datos.
    La mayoría de las constituciones nacionales de los países latinoamericanos han consagrado explícitamente la privacidad como un derecho fundamental. Con este marco legal implementado, el cambio hacia la privacidad de los datos también está generando nuevas preocupaciones entre los empleadores cuando deben realizar, por ejemplo, verificaciones de antecedentes de sus posibles empleados. En algunos países como Brasil, algunos empleadores que no están seguros de qué hacer han dejado de proporcionar información sobre los candidatos a puestos de trabajo. En otros casos han evitado por completo las verificaciones de antecedentes o los han realizado sin el conocimiento del solicitante de empleo. Otros países como Perú han ampliado las exenciones para obtener el consentimiento para el procesamiento de datos, principalmente para prevenir el lavado de dinero y el financiamiento del terrorismo.
    En general, es conveniente antes de iniciar una investigación interna en América Latina considerar el impacto de esas leyes y si la tarea involucra a todos o algunos de los pasos enumerados en el modelo de referencia de e-discovery. Los abogados locales con dominio de estos asuntos deben participar en el proceso desde el principio: nadie quiere verse involucrado en un litigio sobre una supuesta infracción de la ley de privacidad.
  2. Definición de datos personales y cookies
    Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente a través de cualquier información. Por ejemplo: domicilio, edad, números telefónicos, correo electrónico personal, curp, entre otros.
    En resumen, toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.
    En el caso de cookies, este es un paquete de datos que un navegador web almacena de forma automática en el ordenador de un usuario cuando este visita una página web. La cookie es enviada desde el servidor al visitante de la página web.
    ¿Qué tiene de malo las cookies? Las cookies son archivos temporales que pueden durar más o menos tiempo. Podemos configurarlas, usar herramientas para bloquearlas, borrarlas cuando queramos. El problema puede llegar principalmente cuando recopilan datos personales sin avisar al usuario.
  3. ¿Y qué pasa si explotan nuestros datos personales?
    Diariamente generamos un rastro de datos que, vistos individualmente, pueden parecer triviales, pero agregados pueden revelar nuestros hábitos, preferencias, relaciones sociales, nivel socioeconómico y hasta nuestro estado sentimental. Se puede aprender a hablar en claves, se puede usar un disfraz o ser puede ser discreto, pero la data que dejamos diariamente no miente sobre quiénes somos ni lo que hacemos.
    Aunque todos reconocemos el valor e importancia de esta información, todavía estamos lejos de entender bajo qué reglas se usan nuestros datos.
    La Ley de Protección de Datos Personales, Ley 29733, señala que todos tenemos derecho a decidir qué se hace con la información que nos identifica o que podría identificarnos. Antes de dar nuestros datos, tenemos el derecho a ser informados en detalle sobre qué se pretende hacer con ellos o con quiénes se compartirán. Luego de entregar nuestra información personal, también podemos pedir explicaciones sobre su uso, retirarlos, corregirlos, u oponernos a su explotación.
    Sin embargo, existe en Perú un círculo vicioso de explotación corporativa de datos personales que pone en entredicho el ejercicio pleno de nuestros derechos. Existe una recolección de datos fuera de los límites de lo razonable, hay poca información previa al consentimiento, y hay un vacío en torno a la definición que usan muchas empresas sobre lo que constituye o no un dato personal.
    Lo esperable es que una empresa recopile solo los datos que resultan necesarios para prestar sus servicios. Por ejemplo, una empresa de reparto de comida a domicilio necesariamente tendrá que saber la dirección, nombre o número telefónico del cliente.
    Todos los que usan el servicio pueden asumir para qué se usan esos datos y por qué son necesarios. El problema empieza cuando empresas como farmacias o supermercados empiezan a recolectar datos innecesarios para la prestación inmediata de sus servicios como nivel socioeconómico, estado civil o condición laboral.
    Estos datos podrían ser solicitados directamente al cliente, “deducidos” en función de sus comportamientos de consumo o cruzados con otras bases de datos públicas y privadas. Aquí deja de ser evidente para el consumidor promedio por qué una empresa querría recopilar esos datos y cómo podría usarlos.

Aunque la ley peruana obliga a las empresas a recopilar datos para una “finalidad determinada, explícita y lícita,” y a tratarlos de manera “adecuada, relevante y no excesiva” a esta finalidad, muchas empresas obtienen el consentimiento informado de sus usuarios a través de la letra pequeña de sus contratos o avisos de privacidad.

  1. La obligación de darnos información
    La segunda parte del problema es el requisito del consentimiento informado. Las empresas están legalmente obligadas a explicarnos de manera detallada, sencilla, expresa e inequívoca para qué recopilan nuestros datos, si los compartirán con otras empresas, o por cuánto tiempo los conservarán, entre otros. No obstante, muchas compañías han optado por no hacerlo o simplemente usan fórmulas genéricas que no impiden que las personas comprendan cómo se usarán sus datos.
    El año pasado, la Dirección de Protección de Datos Personales del Ministerio de Justicia multó con 4 Unidades Impositivas Tributarias (UIT) a la cadena de farmacias Mifarma porque la cláusula referente al tratamiento de datos personales de su programa Monedero del Ahorro no señalaba con qué empresas compartía los datos de sus clientes.
    Una sanción similar también recibió la cadena Cineplanet por limitarse a decir que pretendían compartir los datos de sus clientes de su programa de lealtad con sus “socios comerciales” sin señalar su identidad o condiciones.
    El problema que cierra este círculo es lo que las empresas locales entienden como dato personal. Existe consenso respecto de que los nombres, teléfonos, direcciones o correos electrónicos que otorgan los clientes al contratar un servicio son un dato personal. Sin embargo, resulta más controvertido considerar que la información que se genera durante el servicio debería de ser considerado también un dato personal, como el historial de compras, ubicaciones, visitas o consultas de un cliente y la información que puede derivarse de ello.
    Por ejemplo, si en base a mis hábitos de comprar pañales, bebidas energéticas o medicinas para la diabetes las empresas pueden clasificarme como padre de familia, adulto joven o persona con una enfermedad crónica, ¿no son esos también datos asociados a nuestra identidad cuya difusión tenemos derecho a controlar? ¿No es una mala idea que no podamos pedirle a las empresas que los rectifiquen o borren?
    En nuestro país son menos los casos en donde se ha establecido sin lugar a dudas el criterio de la “información derivada del negocio” como dato personal.
  2. ¿Qué problemas se generan ante la ausencia de lineamientos sobre el tratamiento de datos personales recopilados mediante las cookies?
    Las empresas fiscalizadas deberán remitirse a la regulación general de datos personales, esto es, la Ley N° 29733, Ley de Protección de Datos Personales, y el Decreto Supremo N° 003-2013-JUS, Reglamento de la ley, a efectos de adecuarse a lo requerido por la ANPDP.
    Sin embargo, las disposiciones incluidas en estos cuerpos normativos resultan insuficientes, teniendo en consideración la naturaleza técnica de las cookies. A modo de ejemplo, podrían surgir –cuando menos– las siguientes interrogantes: ¿puede entenderse que la navegación del usuario es una conducta que evidencia su consentimiento para la recopilación de sus datos personales por medio de las cookies? En todo caso, ¿cuál es el modo idóneo de requerir el consentimiento?, ¿cómo informar de manera sencilla al usuario sobre un tema que involucra un alto nivel de especialización en el uso de este tipo de herramientas?
    Sin una posición clara de la ANPDP sobre estos aspectos, las empresas fiscalizadas se encontrarán en incertidumbre sobre cómo solicitar el respectivo consentimiento, de corresponder, o cómo informar debidamente al usuario.
    Si bien la ANPDP está facultada para supervisar el cumplimiento de la normativa de datos personales, resulta trascendental que desarrolle lineamientos específicos sobre el uso de las cookies, tal como ha sucedido en otras jurisdicciones (ejemplo, para identificar las cookies que están en su ámbito de aplicación, las obligaciones que deben observarse y sugerir formas de dar cumplimiento a estas). Solo de esta forma las empresas podrán adecuarse y tener certeza que su actuación es acorde a la normativa de la materia.
  3. A manera de conclusión
    Las funcionalidades de las cookies son vastas. Tenemos, por ejemplo, las cookies de preferencias o personalización que permiten almacenar información del usuario para mejorar su experiencia de navegación en una siguiente oportunidad. También, las cookies de publicidad comportamental que recopilan información sobre hábitos de los usuarios para personalizar la publicidad con base en sus preferencias. Estas últimas resultan en la actualidad uno de los instrumentos más importantes para el marketing de productos o servicios en los canales digitales.
    Como ya hemos visto, ¿cómo se vinculan las cookies con los datos personales? En ciertas ocasiones el uso de las cookies podría implicar un tratamiento de datos personales. Esto ocurre cuando a partir de estas resulta posible identificar a los usuarios de las páginas webs, por ejemplo, por medio de su nombre, e-mail, o algún identificador único que facilite distinguir a unos usuarios de otros y realizar un seguimiento individualizado de estos (como un ID de publicidad).
    Aconsejo, tener cuidado con este tema tan relevante y que muy pocas veces tiene la visibilidad que merece.
  4. Bibliografía
    Praeli, F. J. E. (2015). El derecho a la protección de los datos personales. Algunos temas relevantes de su regulación en el Perú. THEMIS Revista de Derecho, (67), 131-140.
    Cruzatt, K. C. (2008). El derecho fundamental a la protección de datos personales: aportes para su desarrollo en el Perú. Ius et Veritas, (37), 260-276.
    Olivos, M. (2020). El derecho a la protección de datos personales en el Perú: 27 años desde su incorporación en la constitución política de 1993. IUS: Revista de investigación de la Facultad de Derecho, 9(1), 83-100.
    Franco Garcia, D., & Quintanilla Perea, A. (2020). La protección de datos personales y el derecho al olvido en el Perú. A propósito de los estándares internacionales del Sistema Interamericano de los Derechos Humanos. Derecho PUCP, (84), 271-299.
Gianela Sipión Castillo
Estudiante cursando el décimo ciclo en la Facultad de Derecho de la Universidad Femenina del Sagrado Corazón - UNIFÉ. Parte del Área Legal de Interseguro y Jefa de Economía en Diario El Gobierno. Ganadora del Concurso Nacional de Ponencias Estudiantiles de Derecho – 2020. Ponente principal del Seminario de Mujeres en Derecho Internacional organizado por ONU SAN MARCOS y Revista Ius Intergentes de la PUCP. Participante en el I Encuentro de Líderes Universitarios organizado por CELID – PUCP.