Columnas
Automatización y datos personales: ley, desafíos y supervisión
"Si casi tres de cada cuatro líderes de una industria (marketing y publicidad) que tiene un directo interés por la nueva regulación de datos personales desconocen el proyecto, podría esperarse una distancia aún mayor por parte de la ciudadanía en general, lo cual es grave dada la importancia del tema en el contexto actual de automatización".
Por Marco Correa *
El fenómeno de la automatización de los procesos industriales y comerciales ha sido un tema recurrente en la prensa durante el último tiempo, enfocándose en el paulatino reemplazo del ser humano por la máquina para numerosas tareas que hasta hace poco tiempo eran exclusivas de nuestra especie. Sin embargo, poco se ha hablado de este fenómeno desde la vereda de la protección de datos. Los procesos automáticos no solo permiten recopilar y procesar datos personales a mayor escala, sino que incluso podrían fomentar la evasión de nuestro consentimiento en la obtención de estos.
Sin ánimo de ser autorreferente, hace unos días tuve la oportunidad de probar las cajas de autoservicio en cierto comercio, donde me percaté que la extendida mala práctica de solicitar mi número de RUT me dejaba, mediante este sistema automático, obligado a proveerlo; transformándolo en condición para que la caja procesara mi compra. Al menos queda el consuelo de que no todas las compañías que en la actualidad cuentan con estas tecnologías de pago obligan a sus consumidores entregar el RUT.
Además, en el caso anterior, tuve la posibilidad de elegir el uso de la caja tradicional para evitar entregar mis datos, cuestión que en muchos otros casos ni siquiera es opción; probablemente nadie que haya comprado un peluche interactivo “CloudPets” ‒que Amazon retiró porque grababan conversaciones que almacenaban en sus servidores‒ o un dispositivo Google Home, dio su consentimiento para que terceros realizaran “escuchas” a sus conversaciones privadas.
Data-Driven Marketing 2019
La automatización también está llegando con fuerza al marketing. Ya existe la tecnología que permite que una cámara identifique su rostro para ofrecerle publicidad personalizada, usando sus propios patrones de consumo. De ahí que resulten de gran interés las cifras del último estudio “Data-Driven Marketing 2019” realizado por BCG y Google, donde se reveló que el 73% de los líderes en las áreas de marketing y publicidad no conocen o tienen una vaga referencia sobre el proyecto de ley que reforma la Ley 19.628 de Datos Personales, y que el 78% no conoce la normativa europea (GDPR), que es el principal referente en la materia.
Estos resultados vienen a corroborar el transversal consenso de que la normativa chilena de datos personales está completamente superada por la práctica. El hecho de que profesionales que realizan procesamiento de datos en forma constante como parte de su trabajo (muchas veces valiéndose de los procesos automáticos) no tengan nociones respecto de los derechos que tienen los dueños de los datos personales (acceso, rectificación, cancelación y bloqueo), solo reafirma el fracaso de dicha ley en la protección de nuestros datos.
Asimismo, este estudio sugiere que la difusión del proyecto de reforma a la Ley de Datos Personales ha sido, a lo menos, insuficiente. Si casi tres de cada cuatro líderes de una industria que tiene un directo interés por la nueva regulación desconocen el proyecto, podría esperarse una distancia aún mayor por parte de la ciudadanía en general, lo cual es grave dada la importancia de la protección de datos en el contexto actual de automatización; en un futuro no muy lejano las cajas atendidas por humanos desaparecerán de la mayoría de las grandes tiendas y supermercados, y la ley debe estar preparada para este desarrollo tecnológico.
FaceApp y la supervisión de datos personales
Debido a lo anterior se requiere que los profesionales que trabajamos en el área de la protección de datos hagamos un mea culpa y trabajemos en promover el interés de la opinión pública por un tema que nos concierne a todos. El reciente escrutinio en torno a FaceApp, aplicación a la que miles de usuarios le han entregado su valiosa y sensible información biométrica, no debería reducirse a los datos obtenidos por determinados países, sino que debería extenderse a todas las plataformas, apps y demás servicios que realizan un tratamiento automático de los datos personales de sus usuarios.
Esto también añade un nuevo antecedente a la prolífica discusión sobre la institucionalidad que ejercerá como autoridad chilena de protección de datos en la nueva legislación. Si el rol de facto que ha tenido el Consejo para la Transparencia en la difusión del proyecto de ley no ha logrado el impacto esperable, las voces que solicitan reformar el Consejo, como las provenientes de la ONG Derechos Digitales, o que piden que dicho rol sea asignado a una nueva entidad independiente, como la Fundación Datos Protegidos, podrían tener un interesante argumento adicional para sustentar sus posiciones.
* Marco Correa es actualmente asociado del equipo de Propiedad Intelectual y Protección de Datos en Morales & Besa. Abogado de la Universidad de Chile y diplomado en Ciberseguridad de la misma casa de estudios.