Constitucional - Legislación

Ley de Notificación de Políticas de Privacidad: P. del S. 541

La Comisión de Banca, Asuntos del Consumidor y Corporaciones Públicas celebrará una vista pública este viernes, 17 de abril, para considerar el P. del S 541, para crear una Ley de Notificación de Políticas de Privacidad.

Se aneja aquí el proyecto.

Como indica su título, el proyecto aspira a requerir a toda entidad que divulgue de manera conspicua su política sobre sus prácticas de manejo de datos privados siempre que (ya sea en internet o en sus operaciones tradicionales) esta entidad recopile datos personales que por sí mismos o en su conjunto puedan ser utilizados para identificar a una persona en particular. Este proyecto es extremadamente importante y muy sensato… (después de todo fue originalmente preparado por la Clínica de Derecho Cibernético de la UPR y presentado como Anteproyecto en el 2007, para ser resucitado dos años después– nunca es tarde cuando la dicha es buena :- )).  Además, de convertirse en ley, el Departamento de Asuntos del Consumidor (DACO) estaría facultado para crear por reglamento ciertos prototipos de políticas de privacidad (con su correspondiente logotipo distintivo) que podrán ser utilizados por entidades que así lo deseen (con ciertos mínimos sustantivos) de manera que los ciudadanos puedan identificar claramente cuáles entidades satisfacen unos criterios mínimos de protección de datos. En una ponencia que se someterá por escrito al Senado, la Profesora Chloé Georas y yo, presentaremos nuestro apoyo (condicionado a ciertos cambios) a este proyecto.  Aunque el proyecto no representa el tipo de reglamentación que idealmente necesitamos para la protección de datos, es un adelanto muy importante. Aquí anejo nuestro escrito y resumo las recomendaciones.

Memorial P. del S. 541.

La realidad es que hemos perdido control, casi total, sobre el uso y destino de nuestra información personal. Ello se debe, en parte, al impacto que tienen ciertos adelantos tecnológicos sobre nuestra vida cotidiana.  En la medida en que nos desenvolvemos en un entorno digital, es cada vez más larga la estela de información que trazamos y hacemos disponible a otros.  Dejamos un récord permanente de nuestras vidas, distribuido y esparcido por todas partes, listo para ser recopilado y catalogado por aquellos con la tecnología necesaria y por quienes tengan suficientes incentivos para hacerlo.

Como se ha señalado en otra parte:

La recopilación de información es un negocio inmensamente lucrativo.  Mientras el negocio de mercadeo directo tiene un valor de tres mil millones de millones de dólares ($3,000,000,000,000),  algunos estiman que el negocio de recopilación de información tiene un valor de alrededor de setenta y cinco mil millones de dólares ($75,000,000,000).

No debe sorprendernos entonces que haya sido el sector privado el responsable de diseñar tecnología para recolectar todo tipo de información sobre individuos, sin importar lo insignificante que pueda parecer, y acumularla en potentes bases de datos (el proveedor de servicios legales, Lexis-Nexis, es uno de los participantes más importantes en este negocio).  La tecnología actual permite, no sólo la cosecha de información (llamada “datamining”) sino que además, a base del agregado de esa información, posibilita la categorización de individuos en distintos perfiles para realizar predicciones probabilísticas sobre sus preferencias de consumo y comportamiento futuro (a esto se le llama “dataprofiling”). Hiram Meléndez Juarbe, La Constitución en Ceros y Unos: Un Acercamiento Digital al Derecho a la Intimidad y la Seguridad Pública, 77 REV. JUR. UPR 45, 60 (2008).

Si bien el problema de recopilación y divulgación no consentida de información privada es de crucial importancia social y constitucional y está siendo atendido por diferentes jurisdicciones (como en la Unión Europea, algunos esfuerzos del FTC, y legislación estatal como en California), no existe un mecanismo legal en Puerto Rico que requiera a las entidades que recopilan dicha información a divulgar: (a) si información privada es en efecto recopilada; (b) qué tipo de información se recopila; (c) qué ocurre con la información una vez se recoge; y (d) si la misma es divulgada a otras personas privadas o gubernamentales y con qué propósitos.

El P. del S. 541 provee un mecanismo para atender este vacío y presenta las siguientes virtudes:

  • Primero, exige a las entidades privadas establecer una política de privacidad que avise al público sobre sus prácticas de recopilación de información privada.  Ello obliga a aquellas entidades que actualmente no tienen política de privacidad a establecer una, con unos criterios básicos mínimos, y colocarla de forma visible al consumidor. Aunque favoreceríamos legislación más abarcadora que regule directa y claramente la recopilación de datos en Puerto Rico, la obligación de proveer una política de privacidad, según propuesta por el Proyecto, no altera de manera sustancial las prácticas actuales de recopilación de datos por lo que no impone carga alguna al tráfico comercial.
  • Segundo, para evitar un potencial problema de interferencia con el Comercio Interestatal el proyecto se limita a aquellas entidades en Puerto Rico o que hagan negocios en Puerto Rico y que, además, recopilen información de residentes de Puerto Rico.
  • Tercero, para enfocar el problema mejor y apuntar hacia los sitios que tienen mayor contacto con el ciudadano, el proyecto excluye a los Internet Service Providers (ISP’s).
  • Cuarto,  al delegar a DACO la responsabilidad de definir ciertos prototipos de políticas de privacidad así como unos mínimos básicos para las políticas de privacidad aplicable, el proyecto abre el diseño de estos modelos al proceso de reglamentación de la Ley de Procedimiento Administrativo Uniforme,  en el cual la ciudadanía, grupos de interés y representantes de intereses comerciales podrán contribuir en la formación de las mismas.
  • Quinto, al brindar políticas de privacidad estándar –opcionales para las entidades privadas—los ciudadanos podrán identificar adecuadamente aquellos servicios que tienen prácticas de información que se ajustan a sus preferencias personales.

Enmiendas Sugeridas:  Delimitación a entidades comerciales y el problema de libertad de expresión

Según redactado el Proyecto es ambiguo en cuanto a las entidades cubiertas toda vez que no distingue entre entidades comerciales y no comerciales. Aunque reconocemos que sería ideal que toda entidad (incluso páginas de Internet que no son comerciales) tengan una política de privacidad, también reconocemos que el foco del problema señalado radica en aquellas entidades que incurren en prácticas comerciales en y fuera del Internet y que recopilan información con propósitos relacionados a su gestión de negocios.

El riesgo de extender la cobertura de la ley a otras actividades no comerciales es que muchos operadores de páginas de Internet que activamente incurren en prácticas expresivas (como, por ejemplo, blogs, foros de discusión, páginas meramente informativas sin fines de lucro, Wikipedia, entre otras) y que en ocasiones solicitan a sus usuarios alguna información mínima para ciertos fines (como, por ejemplo, registrarse con nombre y dirección electrónica para publicar comentarios), podrían estar sujetas a supervisión y sanciones gubernamentales impactando sustancial y seriamente su ejercicio del derecho a la libertad de expresión. En la mayoría de los casos, estas personas tienen recursos muy limitados (razón por la que recurren a medios de expresión económicos en Internet), por lo que la imposición de multas y sanciones (o tan siquiera el inicio de un proceso administrativo) tendrá el efecto probable de clausurar ese medio de expresión. Tampoco podemos ignorar la posibilidad de que personas privadas presenten querellas administrativas en el DACO bajo esta ley como excusa para silenciar aquellas voces contrarias a sus puntos de vista.

Reiteramos nuestro compromiso por la protección del derecho a la intimidad. Pero al hacerlo, no podemos olvidar que el derecho al intimidad debe considerarse a la par con el derecho a la libertad de expresión pues ambos son elementos esenciales para una democracia. En ese sentido, nos preocupa la idea de que una agencia gubernamental (por más bien intencionada que sea y sin prejuzgar la buena disposición del DACO o sus respetables funcionarios) tenga la facultad de emitir multas u órdenes de cese y desista a entidades que esencialmente se dedican a prácticas expresivas.

Afortunadamente este riesgo puede evitarse con una solución sencilla: limitar expresamente la extensión de la ley a entidades comerciales. Restringir la ley a entidades comerciales se justifica por tres razones específicas: (1) así se evita el riesgo a impactar incidentalmente la libertad de expresión de páginas de Internet no comerciales; (2) el foco del problema de recopilación de datos está en las entidades con fines de lucro y (3) la pericia del DACO y su jurisdicción tradicionalmente se concentra en las relaciones entre los consumidores y el comercio. Enfatizamos, además, que es la misma estrategia seguida por la ley de California antes mencionada, la cual sólo aplica a páginas de Internet comerciales.

Las sugerencias específicas son las siguientes:

Deben enmendarse las definiciones 4 y 5 del Artículo 2 (Definiciones) relativas a “Operadores de Páginas” y “Persona que recopila Información personal” para precisar que se trata de entidades que incurren en prácticas comerciales (el texto añadido se enfatiza en subrayado y ennegrecido).

(4) “Operadores de páginas”- significa cualquier persona natural o jurídica residente o que haga negocios en o desde Puerto Rico que sea dueña y/u operadora de una página localizada en Internet o de cualquier servicio en línea que se encuentre dirigido principalmente hacia la obtención de un beneficio mercantil o de remuneración monetaria y que por cualquier medio recopile y/o conserve información personal de usuarios residentes de Puerto Rico. Esta definición excluye a los proveedores de servicio de Internet que no sean dueños y/u operadores de las páginas en cuestión.

(5) “Persona que recopila información personal”- significa cualquier persona natural o jurídica que incurra en actividades comerciales dirigidas principalmente hacia la obtención de un beneficio mercantil o de remuneración monetaria y que, en el curso de dichas actividades, por cualquier medio recopile y/o conserve información personal de residentes de Puerto Rico.

Por las razones esbozadas, endosamos el P. del S. 541, sujeto a estas recomendaciones, a la vez que expresamos nuestro deseo de que la Asamblea Legislativa estudie más profundamente estos problemas para identificar soluciones de mayor alcance..

PrintFriendlyFacebookTwitterStumbleUponMySpaceBlogger PostLinkedInDeliciousShare/Bookmark