El pasado 14 de julio de 2022, la Secretaría General de la Comunidad Andina emitió la Decisión No. 897, Decisión que obedece a la transformación de la economía mundial convertida en los últimos años en una economía digital en la que las telecomunicaciones, el Internet y las recientemente desarrolladas tecnologías digitales se han convertido en una de las bases sobre las cuales se mueven los sistemas económicos innovadores modernos.
El principal objeto de la mencionada Decisión es establecer los lineamientos comunitarios relativos a la protección de los derechos de los usuarios que acceden y utilizan las redes de servicios de telecomunicaciones.
En Bolivia se ha visto la creciente necesidad de contar con una regulación específica que verse sobre los derechos de usuarios de redes de comunicación, así como derechos específicos relativos a la privacidad y protección de datos personales. Al presente, se cuenta con dos proyectos de ley presentados a la Asamblea Legislativa Plurinacional (Órgano del Estado formado por representantes de los nueve departamentos con la facultad de aprobar y sancionar leyes que rigen para todo el territorio nacional) que justamente proponen regular el derecho a la privacidad, relacionado al control de las personas sobre sus datos personales.
La Decisión recientemente emitida y sus lineamientos, son aplicables específicamente a los operadores, proveedores, prestadores y comercializadores de redes de servicios de telecomunicaciones, los usuarios de dichos servicios y los Países Miembros de la Comunidad Andina.
Las definiciones incluidas dentro de la Decisión incluyen conceptos básicos que hoy en día se encuentran en boga, principalmente por el masivo uso de tecnologías de la comunicación y redes de comunicación a nivel mundial, que se han visto resaltados por la globalización y la pandemia del Covid-19. Muchas personas que antes no conocían o no hacían uso de plataformas de pago por Internet, medios de comunicación, educación y trabajo como Zoom, Google Meet y otros, se han visto en la necesidad de familiarizarse con las mismas. En este entendido, se ha visto necesario regular a detalle los derechos de las personas en el ámbito de las nuevas tecnologías a efectos de evitar el mal uso de las mismas y prevenir sobre posibles violaciones a los derechos más inherentes al ser humano, como son el derecho a la intimidad y la privacidad.
En este entendido, la Decisión aquí analizada propone una serie de definiciones que pasamos a citar:
Cookies: Fragmentos de texto enviados por el navegador web por un sitio web visitado por el usuario con el objetivo de recolectar, almacenar o realizar tratamiento de su información.
Dato personal: Cualquier información o dato sobre una persona física identificada o identificable (nombre, número de identificación o telefónico, datos de localización, o varios elementos propios de identificación física).
Operador: Proveedor, prestador u operador debidamente habilitado para la provisión de servicios de telecomunicaciones en cualquiera de los Países Miembros de la Comunidad Andina.
Responsable del tratamiento de datos personales: Persona natural o jurídica de carácter público o privado que, solo o junto con otros, determine los fines y medios del tratamiento de datos personales, de acuerdo a la normativa de cada uno de los Países Miembros.
Titular de datos personales: Persona natural a quien le conciernen o corresponden los datos personales, susceptibles del tratamiento.
Tratamiento de datos personales: Cualquier actividad o conjunto de operaciones que se realice de manera manual o automatizada con o sobre datos personales como, entre otras, su recolección; uso; almacenamiento; circulación; organización; estructuración; adaptación; interconexión; indexación; acceso; registro; modificación; consulta o difusión.
Usuario: Persona natural o jurídica que, en forma eventual o permanente, use algún servicio de telecomunicaciones, de conformidad con la normativa interna de los Países Miembros.
Los anteriores son, según nuestro criterio, los principales conceptos a ser tomados en cuenta para la correcta aplicación de la norma en beneficio de los ciudadanos de los Países Miembros de la CAN, y que además deberán ser incluidos en aquella norma que, esperemos muy pronto, regule la recolección, administración, publicación y tratamiento de los datos personales en Bolivia.
La Decisión reconoce y garantía el derecho de los usuarios al debido tratamiento de sus datos personales y a la titularidad de los mismos y enuncia dichos derechos, comúnmente conocidos como y denominados derechos ARCO (Acceso, Rectificación, Cancelación, Oposición, Uso y Eliminación).
Asimismo, reconoce la vigencia de los principios de licitud, lealtad, legitimación, transparencia, finalidad, proporcionalidad, calidad, veracidad y exactitud, seguridad, confidencialidad y responsabilidad demostrada que deben regir el tratamiento de los datos personales.
Tanto los derechos ARCO como los principios aplicados al tratamiento de datos personales son conceptos mundialmente reconocidos, aceptados y regentes de la actividad de los gobiernos en cuanto garantes de los derechos individuales de las personas, que además deben, obligatoriamente, ser incluidos en toda normativa relacionada a dicho tratamiento. En nuestro país, de forma indirecta se recogen estos derechos en la Constitución Política del Estado del año 2009, así como en normas dispersas que regulan áreas específicas como las Telecomunicaciones (Ley General de Telecomunicaciones No. 164 y sus Reglamentos), y el sector de regulación de Entidades Bancarias y Financieras (Ley No. 393 de Servicios Financieros). Como se mencionó líneas arriba, se hace necesario contar con una Ley específica que regule, proteja y permita a los ciudadanos ejercer sus derechos a la protección de la privacidad y sus datos personales, ya que Bolivia es si no el único, uno de los últimos países de América del Sur en contar con una norma tan importante.
Otro aspecto importante contenido en la Decisión No. 638 es el que trata sobre la libre circulación de datos personales, circulación reconocida y garantizada dentro de los Países Miembros, cuando el país destinatario de los datos personales hubiere sido reconocido como uno que cuenta con un nivel adecuado de protección de datos personales por parte del país transferente. Un requisito importante en cuanto a la libre circulación, transferencia y flujo transfronterizo de datos personales es que los Países Miembros deben contar con una legislación interna que respalde la garantía de contar con un nivel adecuado de protección de dichos datos. Se ha visto que legislaciones más avanzadas en este tema, han seguido los lineamientos otorgados por la normativa vigente en Europa, por ejemplo, siendo la GDPR (General Data Protection Regulation – Regulación General de Protección de Datos) un referente importante para legislaciones de Latinoamérica, como la LGPD brasilera, el más claro ejemplo de cumplimiento, respeto y garantía de dichos lineamientos.
Como mencionamos anteriormente, el derecho a la privacidad e intimidad de las personas es de obligatoria inclusión en las normas que regulen la protección de datos personales. Cumpliendo esta debida inclusión, la Decisión analizada reconoce y garantiza ambos derechos, enfatizando la obligación que tienen aquellos alcanzados por la aplicación de la norma de velar por la protección, confidencialidad y seguridad de las comunicaciones. Se considera que el enfoque dado al derecho de privacidad e intimidad debe ser el de considerarlos como derechos inherentes a las personas. Estos derechos se encuentran explícitamente reconocidos por la C.P.E, sin embargo, de nada sirve que sean simplemente enunciativos. Se requiere, además, crear las condiciones necesarias para su ejercicio, cumplimiento y protección, condiciones que deben ser transmitidas a los ciudadanos mediante recursos adecuados de educación, información y capacitación.
Los derechos de los usuarios están debidamente mencionados y desarrollados en la Decisión No. 638, entre ellos, como ya mencionamos, el derecho a la privacidad e intimidad y, además:
Derecho a la confidencialidad, intimidad, integridad e inviolabilidad del contenido de las comunicaciones, incluyendo la remisión de contenidos a través de mensajes de texto, voz, videos, imágenes, sonidos, datos personales, metadato y todo tipo de información;
Derecho a la información, relativo a la transparencia y publicación de información comparable, pertinente y actualizada relacionada con redes y servicios de telecomunicaciones;
Derecho a la conservación del número en caso de cambio de operador de servicios;
Derecho al libre acceso de contenidos, aplicaciones y servicios y su correspondiente uso, sin más limitaciones que las establecidas en los tratados internacionales de derechos humanos aprobados por los Países Miembros;
Derecho al trato equitativo y no discriminación del tráfico, independientemente del emisor y receptor, tipo de contenido, aplicaciones o servicio;
La protección otorgada por la Decisión en análisis incluye la protección al usuario frente a prácticas comerciales, garantizando e incluyendo la medición de consumos de los servicios contratados para la adecuada facturación y cobro, el establecimiento de parámetros claros de medición de calidad, atención y satisfacción de los usuarios, reintegro por el tiempo que un servicio no haya estado disponible por causas ajenas al usuario, entre otros, siempre supeditadas a las condiciones previstas en la normativa interna de cada País Miembro.
Un aspecto importante y vinculado a la protección de datos, es la garantía otorgada por la norma de que los operadores contarán con medidas de seguridad y ciberseguridad que mejoren la protección de los intereses de los usuarios en los aspectos de confidencialidad, integridad, disponibilidad y resiliencia de las redes, equipos, sistemas de telecomunicaciones e informáticos de los operadores para así incrementar la confianza y la seguridad de las comunicaciones. Este, por ejemplo, es un aspecto que deberá ser profundamente trabajado por algunos gobiernos y operadores privados si se quiere llegar al nivel de protección y. garantía de derechos que otorga la normativa europea.
Como contrapartida a la garantía de protección de los derechos de los usuarios, debidamente enunciados en la Decisión, se enumera una serie de deberes a cargo de los usuarios, como ser: pagar oportunamente los valores contratados y facturados, informar a los operadores sobre cualquier interrupción, deficiencia, daño o hurto en la infraestructura o equipos, utilizar equipos debidamente homologados, no alterar los equipos que posea con el objeto de producir la evasión del pago de las tarifas correspondientes, cumplir la normativa interna del País Miembro en el que reside respecto a la legalidad de los contenidos, aplicaciones y servicios que descarga, comparte, distribuye, utiliza o accede a través de cualquier servicios de acceso a Internet que emplee.
Ahora bien, ¿qué sucede cuando el País Miembro en el que reside el usuario no cuenta con normativa interna relacionada a la legalidad de contenidos, aplicaciones y servicios de descarga? ¿Qué sucede cuando en uno de los Países Miembros no existe legislación específica de protección y garantía de los derechos ARCO y los lineamientos mencionados en la Decisión 638?
Urge, más que nunca, la necesidad de tomar la reciente Decisión emitida por la Secretaría General de la Comunidad Andina como un llamado de atención sobre la necesidad de contar con una normativa específica sobre protección de datos personales, y como una norma rectora para el perfeccionamiento del Anteproyecto de Ley de Protección de Datos Personales del año 2019 preparado por Access Now (organización internacional sin ánimo de lucro, dedicada a los derechos humanos, la política pública y el activismo por la defensa del Internet abierto y libre) y la Fundación Internet Bolivia.org (grupo de ciudadanos comprometidos con fortalecer el acceso a una Internet segura, libre y potenciadora de la democracia).
Paula Bauer
C.R. & F. ROJAS ABOGADOS
El presente artículo no se trata de un análisis, es un breve comentario sobre la norma legal vigente en Bolivia
Anteriores Boletines
