En los próximo días 24 y 25 de noviembre de 2010, se llevará a cabo en la Universidad Austral y en la Universidad de San Andrés, el Seminario denominado Una década de protección de datos personales en Argentina.
Se encuentra abierta la inscripción al seminario y el registro de ponencias hasta el día 25 de noviembre.
PONENCIA PARA SEMINARIO DE PROTECCIÓN DE DATOS PERSONALES.
UNA DECADA DE PROTECCION DE DATOS PERSONALES EN ARGENTINA
Autor: Manuel Pardi (mpardi@datamanaging.com.ar)
Tema: Marketing del Comportamiento en Internet
Propuesta: Se propone la reforma del artículo 27 de la ley 25.326 y su Decreto Reglamentario 1558/01, en orden a asegurar en el marco del tratamiento de datos personales para marketing del comportamiento en Internet, el cumplimiento del principio del consentimiento (artículo 5º), y los derechos de información (artículo 6º) y de retiro de las bases de datos que refiere el artículo 27, inc.3º (opt-out).
Fundamentos:
El marketing del comportamiento en Internet nos introduce en un complejo mundo de cuestiones técnicas y legales, que sugieren que la legislación actual habría quedado rezagada en relación a los avances tecnológicos.
Creemos que aún en este contexto, los principios y derechos tuitivos establecidos por la ley son eficaces, pero resultaría necesario adecuarlos a la realidad actual de las técnicas de marketing del comportamiento.
En Internet, muchos operadores de sitios web –y también los usuarios- dependen de las cookies para que estos sitios funcionen correcta y provechosamente. Esta técnica se puede utilizar para rastrear las actividades de los usuarios en ese u otros sitios web. Las cookies son pequeños archivos de texto que se bajan automáticamente en el navegador del ordenador del usuario cuando este ingresa a los sitios web que utilizan esta tecnología. El almacenamiento y tratamiento de esta información, permite crear un perfil on line del usuario que determina sus gustos, intereses, hábitos de consumo, capacidad de compra, etc.. Así se puede hacer llegar a ese usuario ofertas de bienes o servicios y publicidad personalizada.
Veremos pues como inciden estas técnicas en los principios y derechos del ciudadano a la protección de su intimidad y autodeterminación informativa y también como se puede afectar los intereses de la actividad comercial en Internet por el rechazo que puede ocasionar al usuario el sentirse espiado en la web y no poder controlar su información[1].
I.- Consentimiento e Información:
La regla general y fundamental de todo sistema de protección de los datos personales es que se requiere el consentimiento de su titular para que sean utilizados con fines legítimos y los datos para marketing no figuran entre las excepciones a este principio previstas por el art. 5 y 11 LPDP[2].
Sin embargo, se observa que la reglamentación del artículo 27 de la ley por el Decreto 1558/01, estaría en colisión con esta regla, pues establece que podrán recopilarse, tratarse y cederse datos con fines de publicidad sin consentimiento de su titular. Ya se ha señalado que: “En suma, la excepción reglamentariamente dispuesta a los datos que pueden ser recolectados, tratados y cedidos con fines de publicidad, constituye una violación más al régimen de la ley[3]”.
De tal modo, se observa que tal vez en aras de la promoción de la actividad comercial, probablemente siguiendo el art. 4º de la Ley 19.628 sobre Protección de la Vida Privada de Chile, de 1999, se relevó el principio del consentimiento para los fines de marketing.
Pero en el contexto internacional actual, verificamos que la U.E. ha establecido en la Directiva 136/2009[4], el requisito del consentimiento expreso e informado del usuario, antes de que se proceda a “bajar” una cookie en su ordenador. Este sistema que debe ser implementado por los países miembro para el 18-11-2011, ha producido significativos cambios, pues según el artículo 5.3 solo se permitirá el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal de un usuario, bajo la condición de que este haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos con arreglo a lo dispuesto por la Directiva 95/46/CE.
Asimismo el WP 29, aclaró que el consentimiento no será suficiente con la configuración de opciones del navegador del ordenador para aceptar o no cookies[5], como sugería una posible interpretación del considerando 66 de la Directiva 136/09.
En México, la Ley Federal de Protección de Datos Personales[6], prevé en el art. 8º que el consentimiento será tácito para el tratamiento de datos personales, cuando habiéndose puesto a disposición el aviso de privacidad el titular del dato no manifieste su oposición.
Además establece que cuando los datos personales sean obtenidos directamente del titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el responsable deberá proporcionar al titular de manera inmediata, al menos la información relativa a la identidad y domicilio del responsable que los recaba y la finalidad del tratamiento de estos datos (cfr. art. 17:II de la ley Mexicana).
Por su parte en los E.E.U.U., si bien solo existen principios de autorregulación establecidos por la Federal Trade Comission conocidos como Behavioral Marketing Principles[7], hay proyectos legislativos que abordan el tema exigiendo un mayor control en torno al deber de información y consentimiento del usuario[8].
Este proyecto además de establecer requisitos para fijar avisos de privacidad visibles, claros y comprensibles para el usuario, establece importantes definiciones en relación a los distintos actores que participan en el sistema lo que ayuda a comprender el contexto tecnológico y a identificar a los responsables del tratamiento.
II.- Opt-Out
Creemos que el derecho al retiro de la base de datos con fines de marketing, previsto por el art. 27:3 de la ley 24.326 se encuentra desactualizado, pues la ley enuncia que el titular podrá solicitar el retiro o bloqueo de su “nombre”. Pues bien, estas tecnologías funcionan y almacenan información relativa al usuario sin necesariamente asociarla a su nombre, se valen de otros tipos de identificadores asociados a los objetos que normalmente utilizamos para conectarnos en Internet, por lo que la referencia en la ley al retiro del nombre carecería de sentido práctico.
El proyecto norteamericano ya referido establece que su ámbito de aplicación comprende -entre otros supuestos- a cualquier identificador permanente, como un número de cliente, seudónimo único, dirección IP u otro identificador único, en los que estos se utilizan para recolectar, almacenar, o identificar información sobre una persona específica o una computadora, aplicación de software de su titularidad o que es usada por un usuario particular o que es asociada con un usuario en particular (cfr. art. 5:H). De este modo, no es necesaria la relación con el nombre de una persona para obtener protección legal, pues lo que nos identifica en este contexto no es necesariamente nuestro nombre sino el ordenador que normalmente utilizamos.
Cabe señalar que en los E.E.U.U. las normas de auto regulación de la industria han conducido a que se pueda ejercer el opt-out de las cadenas de anunciantes participantes de la Network Advertising Initiative[9], pero aún así la Federal Trade Comission proyecta establecer un registro “Do Not Track” similar al registro “Do Not Call” para acciones de telemarketing, que habilitaría al usuario el opt-out de las prácticas de marketing del comportamiento[10].
Conclusión:
Las circunstancias descriptas sugieren la necesidad de modernizar la legislación incorporando las actuales técnicas de identificación de las personas que prescinden del uso del nombre pero que aún así tienen consecuencias para estas; y eliminar las contradicciones existentes entre la ley y decreto.
Ello a fin de lograr por un lado el cumplimiento del principio del consentimiento y de derechos de información y opt-out en el contexto tecnológico actual y por el otra la armonización legislativa internacional.
Creemos que en un escenario en el que el usuario no cuenta con la posibilidad de control de su información, no se genera la confianza necesaria para el máximo aprovechamiento de las posibilidades que ofrece Internet para el desarrollo de actividades comerciales o de cualquier otro tipo.
[1] Ver trabajo de investigación de las Universidades de Pennsylvania y Berkeley, disponible en: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1478214
[2] Cfr. Gils Carbó, Alejandra. Régimen Legal de las Bases de Datos y Hábeas Data. La Ley 2001, pg. 156.
[3] Peyrano, Guillermo F. Régimen Legal de los Datos Personales y Hábeas Data. Lexis Nexis – De Palma 2002, pg. 183.
[8] El texto del proyecto de ley presentado por el exrepresentante Rick Boucher se encuentra disponible en: http://www.boucher.house.gov/images/stories/Privacy_Draft_5-10.pdf
[9] Se pueden desactivar cookies de rastreo de muchos operadores de esta tecnología accediendo al sitio: www.networkadvertising.org
[10] Ver al respecto artículo del diario The Wall Street Journal disponible en: http://online.wsj.com/article/SB10001424052748704416904575502261335698370.html?mod=WSJ_hpp_LEFTWhatsNewsCollection
No hay comentarios:
Publicar un comentario en la entrada