¿Tienen derecho a lucrar con nuestra información?

Loading

El almacenamiento de información personal ha sido un negocio redondo del cual muchas empresas sacan provecho día a día. Hoy, con el Big Data, nombre que se adjudica a la inteligencia de datos personales en el universo informático, el dato ha sido resignificado: ya no se trata de un montón de letras llenando un formulario, sino de un nuevo tipo de capital, tan importante, quizá, como el financiero. Con ello, corporaciones y ciudadanos se encuentran en una disputa por el uso indebido de datos personales.
Por: Alexandra Ampuero y Alexis Revollé
Portada: Paula Merino


Llegará un momento en la historia en que dejaremos de decir “me están espiando a través del teléfono”; eventualmente, la sospecha se convertirá en “mi teléfono me está espiando”. De esa forma fantaseaba el futuro el célebre escritor Philip K. Dick, conocido en el mundo de la literatura norteamericana por sus relatos de ciencia ficción y sus insólitas novelas. La idea, sugerente y resignada, parecía advertir un peligro que provoca angustia en estos días: el (des)control de nuestra información, la desazón que aparece al preguntarnos cuánto saben de nosotros a cinco mil kilómetros, en alguna oficina de Facebook en California. Dick murió en 1982 a causa de un derrame cerebral. No conoció los smartphones ni la conexión 5G. Pero su escenario futurista daba cuenta, quizá sin proponérselo, de una época a la que hoy llamamos presente.

En un mundo que corre al ritmo de los datos, no resulta sorprendente que hoy en día la venta de información digital sea uno de los rubros más importantes de la economía. Según un estudio realizado por la consultora Sonecon, la extracción de datos personales genera ingresos anuales de 76 000 millones de dólares a diversas compañías solo en Estados Unidos. Además, este tipo de ventas aumentó 44.9% en los últimos dos años. Como señala una de las conclusiones del estudio, hoy la industria de la información digital crece con más fuerza incluso que la de servicios informáticos. Si los teléfonos nos espían registrando cada uno de nuestros movimientos, detrás existe un grupo de personas acumulando mucho dinero. Una situación distópica de la que nadie, en cualquier latitud del planeta, parece estar a salvo. Pero ¿realmente es esto así?

El Big Data, nombre que se adjudica a la inteligencia de datos en el universo informático, llegó al Perú hace algunos años. En nuestro país, cientos de empresas y organizaciones de diversa índole han empezado a trabajar de forma masiva con la información de sus usuarios. El dato, convertido en un mineral valioso, ha sido resignificado: ya no es un montón de letras llenando un formulario, sino un nuevo tipo de capital, tan importante, quizá, como el financiero. Una fuente de poder basada en el conocimiento.

Por ello, en 2013 el gobierno de Ollanta Humala aprobó el reglamento de la Ley N° 29733, Ley de Protección de Datos Personales, en la que se dispone una serie de normas que regulan el tratamiento de datos por parte de entidades públicas y privadas. Desde entonces, el territorio nacional ha sido un campo de batalla entre corporaciones, ciudadanos y organismos de justicia. Hoy millones de peruanos vivimos inmersos, tal vez sin saberlo, en una carrera interminable por la acumulación de información. Y todo mientras, en un rato de curiosidad, utilizamos el celular para completar la ficha de inscripción que exige la página web de alguna empresa.

La dinámica suele ser simple y los mecanismos de recolección  variados. “Uno es a través de cookies, que es información que guarda un sitio web en tu computadora cuando lo visitas. Se crearon para guardar información de login, así no tienes que poner tu usuario y contraseña a cada rato. Sin embargo, empresas como Google tienen servicios que centralizan información de distintas páginas web. Google ofrece Google Analytics a las páginas web para que sepan quien visitan la página, a qué hora, etcétera”, explica Gianfranco Rossi, programador de Ojo Público.

Entre cláusulas y pastillas

En 2017, un reporte de BMI Research sobre el mercado farmacéutico peruano indicó que la cadena de boticas Mifarma representaba el 20% de las ventas de este sector en todo el país. La cifra confirmaba que la empresa en la que más confiaban los peruanos para comprar medicinas, después de Inkafarma (con el 25%), era Mifarma. Aunque ahora ambas son parte de la misma corporación, desde entonces ya se perfilaban como farmacias gigantes, ejemplos de éxito comercial en el competitivo mundo de la venta de medicamentos. Lo que nadie imaginaba, sin embargo, es que tiempo después Mifarma estaría envuelta en uno de los casos más emblemáticos de tratamiento de datos en el Perú.

Como parte de su programa “Monedero del ahorro”, Mifarma ofrecía descuentos a sus clientes mediante la obtención y acumulación de puntos. Solo había que afiliarse y listo: a partir de la próxima compra empezarías a ahorrar unos cuantos soles de la siguiente, y así sucesivamente. La idea habría funcionado como el típico estilo de sistema de canje de puntos de no ser por un aspecto decisivo: la recopilación de información.

Libros sobre big data

1. El capitalismo de la vigilancia – Shoshana Zuboff

La recolección de datos significa una nueva forma de hacer dinero y parece ser el gran negocio del siglo XX1. Este libro explica como los datos han pasado a ser la nueva materia prima de la riqueza.

2. Superficiales: ¿Qué está haciendo internet con nuestras mentes? – Nicholas Carr

¿Alguna vez imaginaste que google pone sensores en computadoras que registran qué puntos de la pantalla nos llaman más la atención? este y otros datos son expuestos en superficiales, un viaje al mundo detrás de las pantallas.

3. Big Data: La revolución de los datos masivos – Viktor Mayer – Schonberger y Kenneth Cukier

Libro esencial para entender el big data. Los autores analizan, exhaustivamente, los mecanismos de recolección e inteligencia de datos que se han desarrollado en los últimos años.

En 2016 la Dirección General de Protección de Datos Personales fiscalizó a Mifarma y confirmó que, a través de dicho programa, se recopilaban datos personales de sus clientes, así como sus patrones de compra. De ese modo, el formato de afiliación no se ajustaba a lo que se suele esperar de un contrato de esta naturaleza, en la que otorgas tus datos y a cambio recibes ofertas o descuentos. Aquello que en el mundo digital se conoce como ‘términos y condiciones’ debe contener información detallada sobre la concesión que el usuario está pronto a ceder.

La cartilla informativa sobre las promociones contenía un formato de afiliación en el que se leía, a duras penas, una cláusula referida a la autorización que daba el consumidor a la cadena de farmacias para tratar sus datos personales. En ese formato se anunciaba el compromiso de la empresa por conservar de manera segura los datos de los clientes y también la finalidad de la recopilación: “elaborar perfiles de compra así como usar y/o transferir esta información a terceros”.

Pero ¿a qué se refería Mifarma con “terceros”? ¿Cualquier empresa ajena a la cadena farmacéutica puede comprar sus bases de datos y utilizarla para los fines que le plazca? “Con consentimiento, todo se puede; lo que sí existe es el criterio de que [el uso de datos] no debería escapar del propósito o naturaleza del servicio que brinda la empresa”, explica Miguel Morachimo, abogado especialista en tecnología y protección de datos. En el caso del “Monedero del ahorro”, afiliarse y ceder tus datos personales no debería significar que la empresa pueda perfilarte y vender esa información a otras que escapen del servicio médico o farmacéutico.

Luego de la primera fiscalización y advertidos del lío en que se metían al no precisar los destinatarios de la información de los clientes afiliados al programa, Mifarma cambió el texto de consentimiento y pasó a decir que la información recolectada podía ser transferida a “terceros vinculados a nuestra empresa”. Pero para la Dirección de Protección de Datos Personales no fue suficiente. Según el Artículo 11 de la Ley N° 29733, “los datos personales solo pueden ser objeto de tratamiento mediando el consentimiento del titular” y, cuando estos se transfieran, “el titular deberá ser informado de forma que conozca inequívocamente la circunstancia y finalidad de sus datos, además del tipo de actividad desarrollada por quien recibirá los mismos”.

La clave respecto al consentimiento es la información detallada. “Si yo comienzo a recolectar los datos de los estudiantes de la Universidad Católica y nunca les informé que los estoy recolectando, o los recolecto y no tengo las medidas de cuidado, o los recolecto y les digo que van a ser para sus notas y al final se las ofrezco a Burger King para que te venda hamburguesas, se violó el consentimiento. La regla de oro es: hay consentimiento o no hay consentimiento”, señala Erick Iriarte, abogado especialista en temas informáticos y propiedad intelectual.

La cadena de boticas Mifarma fue acusada de vender los datos de sus clientes a compañías ajenas al servicio farmacéutico.

Ofertas que nadie pidió

El caso de Mifarma, sin embargo, no ha sido el único que involucró a un nombre conocido en el mercado local. Los peligros del Big Data y sus usos con fines comerciales se infiltran también en capitales extranjeros con presencia en nuestro país. Prueba de ello fue lo sucedido con Banco Ripley, brazo financiero del conglomerado chileno Grupo Ripley.

Un ciudadano peruano reportó que Banco Ripley le hacía llegar información publicitaria sin que él la haya solicitado. El 3 de marzo de 2015, el denunciante —cuya identidad fue protegida por las autoridades y a quien llamaremos “Pedro”— presentó ante el banco una solicitud “de ejercicio del derecho de acceso” para poder saber qué datos personales suyos eran tratados por la empresa. Los denominados derechos ARCO —que contemplan derechos de acceso, rectificación, cancelación y oposición— constituyen un conjunto de acciones que puede tomar una persona para ejercer control sobre su información.

El marco legal dice que la solicitud debe ser respondida en un máximo de 20 días. Al cabo de dos meses, “Pedro” continuaba sin recibir respuesta. Decidió presentar ante la Dirección General de Protección de Datos Personales una denuncia contra el Banco Ripley por negarse a atender su solicitud de derechos ARCO. Complementó su denuncia afirmando que el banco estaría utilizando sus datos personales “de forma inadecuada”. En junio del mismo año, la Dirección de Supervisión y Control solicitó al banco información detallada de sus mecanismos para ejercer los derechos ARCO. Esta incluía las cláusulas generales de contratos con sus clientes, los formatos de recolección de información personal de sus clientes, entre otros puntos fundamentales. Un mes después, pidieron además los nombres de las instituciones a las que el banco realizaba encargos de tratamiento de datos personales y la finalidad de esos encargos, así como el nombre de las entidades a quienes realizaba transferencia de datos. Y lo más significativo: el contrato entre Banco Ripley y Oncosalud, mediante el cual el segundo contacta a los clientes del primero para ofrecer sus servicios aseguradores.

La gran pregunta de las instancias fiscalizadoras en este caso fue: ¿quiénes tienen acceso a tu información personal y con qué finalidad? Tras casi un año de diligencias, la Dirección de Sanciones decidió iniciar el proceso de sanción al Banco por, presuntamente, cometer dos infracciones. La primera consistió en no atender a tiempo la solicitud de acceso a derechos ARCO, debido a que respondió cinco meses después, excediendo el plazo permitido por ley. La segunda fue dar tratamiento a los datos personales de sus clientes mediante el “Formato de obtención de consentimiento” que figuran en el contrato de la tarjeta de crédito de dicho banco.

A partir de allí el problema se agudiza: luego de las diligencias a este segundo punto, se evidenció que el consentimiento propuesto por el Banco Ripley a través de estos formatos era inválido. El contrato de la tarjeta de crédito no es libre. Al firmarlo, estás aceptando que tus datos también alimenten una data cuyo fin es el envío de publicidad comercial de otros productos afiliados al sistema del Grupo Ripley. Si bien el contrato dice que el cliente tiene la posibilidad de revocar el consentimiento en cualquier momento, esto debe hacerse mediante otra comunicación y con un formato aparte. Esta situación implica un peligro por dos motivos. Primero, porque así el Banco “recorta y distorsiona la libertad de decisión de los clientes”, quienes, al firmar el contrato de la tarjeta, solo pueden suscribir el consentimiento y aún si tienen la negativa, deberán emplear otro formulario. El segundo problema, según Morachimo, reside en que “ninguna empresa debería recolectar datos por fuera de la prestación normal de sus servicios”. Si el cliente acepta que usen sus datos para obtener una tarjeta de crédito, ¿por qué de pronto recibe publicidad de Oncosalud?

Al saber quiénes pueden ver nuestros datos y para qué, tenemos la facultad de decidir si aceptar o no ese acceso. “Los datos personales que nos identifican tienen el poder de representar cosas de nosotros, y nosotros deberíamos tener derecho a elegir quién accede a eso y quién no”, añade Morachimo.

En el caso de “Pedro”, la Dirección de Sanciones pertinente concluyó que “la transferencia de datos personales de los clientes de Banco Ripley a empresas de Seguros y Asistencia se había realizado con consentimientos inválidos porque los formularios buscaban obtener un consentimiento amplio, genérico y ambiguo”.

Ambos casos, al afectar directamente el derecho fundamental de protección de datos personales normados en la Ley N° 29733, han sido sancionados. Mifarma ha recibido una multa de 4 UIT (S/ 16 800), mientras que Banco Ripley una de 7 UIT (S/ 29 400).

Hacia una nueva vigilancia

“No todo es perjudicial en el uso de datos”, afirma Raúl Castro, antropólogo y director académico de la carrera de Comunicación y Publicidad de la Universidad Científica del Sur. Si bien hay una sensación de que estamos siendo monitoreados por las corporaciones que recolectan nuestros datos personales a través de sus servicios, bajo la mirada antropológica no se está ante una realidad robótica. “La gestión y monitoreo no se da únicamente sobre un conjunto de seres humanos cuyas actividades son rutinarias o preprogramadas; el ser humano, al ser un ser social, puede adaptarse a las condiciones [del monitoreo] y dar pie a la normatividad pública”, comenta Raúl. La meta es que nuestros datos y patrones de comportamiento se utilicen en virtud de la creación de políticas públicas acertadas y representativas.

Para el antropólogo Raúl Castro, el uso adecuado de datos podría dar pie a políticas públicas acertadas e inclusivas.

Para que este panorama no se disuelva en una ilusión, se requiere una revolución civil. “Si nuestros datos están al servicio del Estado y de las corporaciones, los civiles debemos monitorearlos y no al revés”, añade Castro. La ciudadanía debe monitorear a quienes nos monitorean en una especie de modelo de empoderamiento colectivo que impulse a estar alertas ante los riesgos que corre nuestra información personal. El futuro de celulares espías ya es nuestro presente. Nuestra tarea es impedir que, en el futuro, sepan más de nosotros que nosotros mismos.