¡Chanfle! Colombia declaró adecuada la protección de datos de Estados Unidos

La Superintendencia de Industria y Comercio considera que Estados Unidos ofrece una protección adecuada para los datos de los colombianos. Lo hace a pesar de que no de a los extranjeros las garantías que da a sus nacionales, ¿ahora quién podrá defendernos?

La autoridad de protección de datos del país, la Superintendencia de Industria y Comercio, expidió una circular el 10 de agosto en la que reconoce a Estados Unidos como un país con “adecuada protección” para la transferencia de datos.

Puede que algunas empresas de Estados Unidos tengan un compromiso con la protección de datos de las personas, pero ciertamente no es por las garantías legales que ofrece su país. Si tienen paciencia les explico cuál es el problema, lo que pasó y por qué se equivocó la Superintendencia.

La Superintendencia de Industria y Comercio tiene la obligación legal (artículos 21 y 26 de la Ley 1581 de 2012) de garantizar la adecuada protección de nuestros datos cuando hay procesos de transferencia internacional de información. Es decir, legalmente debe analizar si el país receptor cuenta con los estándares mínimos de protección establecidos en la ley colombiana, que sería el país exportador.

La decisión de qué país tiene protección adecuada, y cuál no, es delicada, pues impacta el ecosistema de internet, puede suponer una barrera importante para el comercio electrónico, en la definición de quién puede legalmente ofrecernos servicios por la red y, en suma, porque puede suponer fronteras a un espacio que usualmente no relacionamos con esos límites.

Sin embargo, de ese tipo de medidas es que depende la defensa de nuestros derechos en la red, especialmente nuestra intimidad. El rol de la Superintendencia es proteger nuestros datos y su dilema es protegerlos afectando lo mínimo posible los servicios y, en general, el funcionamiento de internet. Eso es lo que está en juego cuando define las reglas de transferencia de datos.

El problema: Estados Unidos no reconoce protección a los no nacionales

Aunque internet es global, las legislaciones siguen siendo nacionales y cómo se protege la privacidad depende de cada país. En temas de protección de datos, Estados Unidos y Europa han desarrollado dos formas diferentes de aproximarse y el resto de los países tenemos mezclas más o menos cercanas a uno u otro sistema.

Entre los especialistas hay discusiones sobre la idoneidad y efectividad de cada uno de esos sistemas. Sin embargo, el principal problema que un país debe afrontar a la hora de integrarse a ese concierto mundial es que el marco jurídico de Estados Unidos no ofrece a los extranjeros las garantías con que cuentan sus nacionales.

Edward Snowden evidenció la falta de garantías para las personas extranjeras, pues, sus datos pueden ser objeto de espionaje masivo mientras pasan por Estados Unidos, sin que existan acciones legales que los protejan.

El tema también fue central en la sentencia del Tribunal de Justicia de la Unión Europea que, en 2015, revocó una decisión de la Comisión Europea que avalaba la transferencia de datos a Estados Unidos considerándolo un “puerto seguro”. El Tribunal concluyó que no era claro que los datos de las personas en la Unión Europea estuvieran protegidos en ese país.

Dado que las principales empresas intermediarias de internet son de Estados Unidos, decidir que ese paísno tiene una protección adecuada puede suponer una afectación grave para el funcionamiento internet, complicando el intercambio de datos que es central a la red. El dilema entonces para los países es ¿cómo mantener el flujo de datos en internet y garantizar que sus nacionales estén protegidos en esas transacciones?

Europa enfrenta el dilema frente a la situación de las personas extranjeras en Estados Unidos con el privacy shield, un mecanismo para que las empresas de ese país demuestren que cumplen con estándares de protección de datos europeos y que se comprometen a hacerlos respetar. Estas empresas se “vinculan” a ese acuerdo y están obligadas a renovar su “membresía” anualmente.

El privacy shield tiene detractores. Actualmente, está siendo cuestionado ante los tribunales. Debido a recientes actuaciones del gobierno de Trump, para muchas personas es un instrumento cada vez más débil. Sin embargo, es una solución elaborada para un problema complejo.

De acuerdo con el texto con que reformó la Circular Única, la Superintendencia dice que su modelo para la “protección adecuada” de la ley colombiana es el europeo. Ante eso es razonable pensar que la solución que adoptó para el dilema es, como lo hizo Uruguay recientemente, adoptar un mecanismo para “certificar” a las empresas de Estados Unidos. Así, acogería sustancialmente la justificación y análisis de ese modelo. El reto es localizarlo a sus marcos legales internos.

Sin embargo, esto no fue lo que decidió la Superintendencia para Colombia. La decisión acá fue que Estados Unidos, como país, ofrece adecuada protección. Entonces, con esa decisión sobre la mesa, la pregunta es si al hacerlo Colombia construyó un modelo nuevo o uno híbrido, e importa ver cómo lo justifica y desarrolla.

En suma, uno puede o no estar de acuerdo con lo que decida la Superintendencia, pero esta autoridad tiene que enfrentar los problemas regulatorios explicando, justificando y construyendo la solución completa.

La decisión que construyó la Superintendencia no la justificó debidamente, es contradictoria y no está desarrollada totalmente

La Superintendencia llegó al texto final de la circular del 10 de agosto después de dos borradores. En el primer borrador, publicado en marzo pasado, Karisma (donde trabajo) presentó sus comentarios resaltando que solo aparecía el listado de los países que consideraban con protección adecuada.

En este texto no se planteaba el modelo que se había seguido para definir la lista. Tampoco aparecían los criterios usados para darles la adecuación, ni explicaban los criterios y procedimientos que usarían a futuro. La lista no era la de los países que Europa considera como adecuados, incluía otros, y en ella no estaba Estados Unidos tampoco se decía cómo mitigaría el país esa situación.

Aunque consideramos correcta la decisión de no otorgar la adecuación a Estados Unidos como país, los efectos negativos obligaban a establecer las alternativas, las opciones, para evitar la afectación de internet. Sin embargo, el proyecto de circular no abordaba ese tema.

En el segundo borrador, que se publicó a mediados de julio justo antes de la expedición del texto final de la Circular, está la lista de países que Colombia consideraría que tienen adecuada protección. Se afirma que se sigue el modelo europeo y se incluyen los criterios para considerar la protección de un país como adecuada (derivados de la Ley de protección de datos y de la Sentencia C-748-11 de la Corte Constitucional sobre el tema). Adicionalmente, explica la Superintendencia que la lista la elaboró una firma de abogados por encargo.

Estados Unidos sí aparece en esta lista, pero indicando que su adecuación se hacía “en relación con las empresas que se adhirieron al marco ‘Safe Harbor’ o Puerto Seguro, el cual fue reemplazado en el 2016 por el marco ‘Privacy Shield’ o Escudo de Privacidad”.

En este segundo borrador la Superintendencia llenó el vacío decidiendo apoyarse en la regulación europea para manejar el problema de la falta de estándares legales en Estados Unidos para las personas no nacionales. En Colombia se reconocería a las empresas que cumplieran con el privacy shield, no al país.

La solución, anunciada en una frase que confundía el viejo y el nuevo sistema europeo, era vaga, no se justificaba y, sobre todo, no tenía los detalles procedimentales para hacerla operativa, para garantizar la protección de nuestros datos y la inseguridad jurídica para las empresas beneficiarias. Aún así, el espíritu era buscar opciones al problema del vacío en la legislación estadounidense de protección para personas extranjeros.

Una semana después, y a pesar de las críticas que le llovieron, del texto final del 10 de agosto desaparece toda referencia a las empresas y se le otorga directamente la adecuación al país, a Estados Unidos. Advierto que Karisma no participó con comentarios en julio porque la práctica del Estado de dar plazos cortos y no usar métodos más efectivos de aviso para la participación ciudadana es una barrera muy grande que estoy cansada de denunciar.

Ahora la Circular afirma que tienen una lista que no es exhaustiva y que la componen los países de la Unión Europea, los que han sido aprobados como adecuados por la Comisión Europea y agregan a México, República de Corea, Costa Rica, Serbia, Perú, Noruega, Islandia y Estados Unidos.

La circular explica que se considera adecuada la protección en la Unión Europea y en los países que la Comisión Europea aprueba; hasta ahí estamos con el modelo europeo. Ahora, ¿por qué se consideran adecuados los demás países? y, sobre todo, ¿cómo se justifica otorgar el reconocimiento a Estados Unidos? Esto no se explica.

La decisión de la Superintendencia en el texto final del 10 de agosto es contradictoria. Aunque nominalmente diga que sigue el modelo europeo, en la práctica, como acabo de explicar, no es así. La solución tiene elementos europeos, pero se aleja en el polémico tema de Estados Unidos.

¿Cuál es el modelo híbrido que se adoptó para garantizar nuestros derechos? No digo que debemos elegir el europeo. Podemos ser creativos, lo que obliga a explicar su ajuste al marco legal colombiano, a desarrollar el detalle y a explicar profusamente cómo operará, esto no sucedió y la pregunta se mantiene.

Finalmente, debo decir que la nueva circular tampoco define cómo se mantendrá la adecuación de estos países (pues las legislaciones van cambiando con el tiempo), ni cómo se evaluará a futuro la de otros países. Solo dice que es potestad de la Superintendencia hacerlo cuando quiera.

Y, aunque Karisma lo advirtió en los comentarios de marzo, la nueva circular tampoco prevé el procedimiento para controvertir la decisión de “protección adecuada” cuando estemos en desacuerdo; un elemento que también hace parte del modelo europeo.

La Superintendencia debió –más bien, debe– establecer un recurso sencillo que le permita a cualquiera protestar sus decisiones de “protección adecuada”. Esto es importante, pues, esta es una prerrogativa prevista en la Directiva Europea 95/46/CE –que se supone es el modelo que sigue la regulación colombiana– y, precisamente, este fue el mecanismo que dio la base legal para el caso que llevó al fallo de 2015 del Tribunal de Justicia de la Unión Europea, que declaró que el marco legal de Estados Unidos no cumplía estándares mínimos legales para ser considerado como adecuado.

Señores Superintendencia de Industria y Comercio, ¿ahora quién podrá defendernos?

¡Chanfle! Colombia declaró adecuada la protección de datos de Estados Unidos

Carolina Botero Botero

Enfoque apreciativo: hace sostenibles los proyectos del campo

Una sociedad secuestrada

Lo último

La financiación de Galán: 8 de cada 10 pesos los pusieron empresas

Cancillería de Leyva cocinó el desastre de la licitación de pasaportes

El precio oculto del contrato de energías limpias de Pumarejo, Vélez y Daes

El tren del orgullo caleño une el destino político de Eder y Toro

Sobre La Silla Vacía

Secciones

Iniciar sesión