El pasado 14 de enero Zuckerberg estuvo Bogotá. No sé si él haya leído el Concepto de la SIC del 24 de noviembre de 2014 , mediante el cual dicha entidad considera y concluye lo siguiente:
“En consecuencia, el tratamiento de los datos personales registrados en las redes sociales no encajan dentro del ámbito de competencia de la Ley 1581 de 2012, pues la recolección, el uso, la circulación, el almacenamiento o supresión de los datos personales no se realiza dentro del territorio Colombiano,puesto que las redes sociales no tienen domicilio en Colombia.
En efecto, el Director de Investigaciones de Protección de Datos Personales mediante comunicación enviada a esta Oficina Asesora Jurídica bajo el radicado 14-218349-1, respecto a su interrogante manifestó lo siguiente: Respecto del punto (1) uno de la petición consideramos que el ámbito de aplicación de la Ley 1581 de 212 (sic), se circunscribe al tratamiento de datos personales efectuados en el territorio Colombiano, luego esta Superintendencia de Industria y Comercio no tiene competencia respecto del tratamiento de la información personal registrada en la página de www. Facebook.com, por cuanto dicha compañía en la actualidad no tiene domicilio en Colombia”. (Subrayamos)
Más adelante la SIC reitera que “nos remitimos a la respuesta del numeral primero, respecto a la falta de competencia de esta Entidad para investigar el tratamiento de datos personales en las redes sociales”.
Sobre las apreciaciones y conclusiones de la SIC nos parece pertinente poner de presente lo siguiente:
1. El ciberespacio es un “mundo virtual” en donde los (as) ciudadanos (as) son miles de millones de personas reales de diferentes nacionalidades y domiciliadas en prácticamente cualquier lugar del “mundo físico” y cuyas actividades tienen impacto o consecuencias en el “mundo real”. En internet, lo que sucede en un país (por ejemplo el país del recolector internacional de datos) puede afectar a personas ubicadas en otros países (como el titular del dato ubicado en un país diferente al del recolector). Aunque las actividades se realicen en el ciberespacio, ello no significa que automáticamente las autoridades locales dejen de ser competentes para defender los derechos de sus ciudadanos, ni mucho menos que las normas locales y territoriales no sean aplicables a las conductas y hechos que suceden en ese contexto virtual.
El ciberespacio no es un lugar inmune a las autoridades y a las regulaciones locales. No obstante, su característica transfronteriza genera retos a las autoridades y obliga a replantear los sistemas jurídicos cuyas normas y autoridades, en algunos casos, se circunscriben a un territorio delimitado geográficamente. El ciberespacion está erosionando y desintegrando esos límites. Las autoridades y los reguladores deben replantear sus esquemas jurídicos para operar eficientemente en el ciberespacio. El mundo ha cambiado y por eso no pueden seguir haciendo más de los mismo.
Siempre he reiterado que no debemos dejarnos impresionar, deslumbrar o “tecnofascinar” por el ciberespacio. Es una realidad de nuestra cotidianeidad. Ya está acá desde que se empezó a masificar el uso de internet en el mundo. Lo que se debe hacer es revisar las herramientas jurídicas actuales para que sean útiles en ese escenario global, transfronterizo y tecnológico en donde, valga decirlo, es poco o nada lo que se puede hacer en algunos casos reales para garantizar el respeto de los derechos de las personas por parte de otros sujetos ubicados fuera del territorio colombiano.
2. La falta de domicilio en Colombia no es el único criterio para definir el ámbito de aplicación de la ley 1581 de 2012. La SIC omitió analizar otros factores establecidos en el artículo 2 de dicha ley que le permitirían llegar a una conclusión totalmente diferente. Para efectuar tratamientos de datos personales en Colombia no es imprescindible estar domiciliado en nuestro país. Afirmar lo contrario sería como negar la realidad de lo que está sucediendo en el ciberespacio en donde no se requiere estar en un sitio físico para interactuar y, eventualmente, afectar los derechos de personas ubicadas en cualquier parte del mundo.
3. Como es sabido, la ley 1581 de 2012 es aplicable, entre otras, al tratamiento de datos efectuados en el territorio colombiano (Párrafo 2 del art 2). El tratamiento comprende cualquier actividad sobre los datos como, por ejemplo, la recolección y el almacenamiento. Llama la atención que la SIC no estudiara este punto. Es decir,que entrara a determinar si el tratamiento de datos que efectúa una Red Social Digital (RSD ) se realiza o no en Colombia, al margen de dónde están domiciliados los responsables y encargados. La SIC no estableció ¿dónde se entienden recolectados los datos de las colombianas y los colombianos que hacen parte de las RSD?. Si es en Colombia, entonces la ley 1581 sí aplica a las RSD que no tengan domicilio en el país.
En el caso de Google en España, la AEPD dijo lo siguiente: “En todo caso, e incluso en los supuestos en los que el servicio no se financia con la publicidad, la entidad Google Inc. recurre a medios situados en el territorio español con el fin de captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, así como ejecutando código en dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos”. (…) “la Agencia Española de Protección de Datos también es competente para decidir sobre el tratamiento llevado a cabo por un responsable no establecido en territorio del Espacio Económico Europeo que ha utilizado en el tratamiento de datos medios situados en territorio español, por lo que debe concluirse, igualmente, que la LOPD es aplicable al presente supuesto y procedente la intervención de la Agencia Española de Protección de Datos, por virtud de lo dispuesto en el artículo 2.1.c) de la LOPD“. Sobre este caso nos remitimos a nuestra columna titulada: Google Inc, recolección internacional de datos, cookies y Latinoamérica en donde planteamos algunas consideraciones sobre los retos que internet genera a las autoridades locales.
4. Según la Cámara de Comercio de Bogotá, la sociedad FACEBOOK COLOMBIA SAS fue creada el 3 de febrero de 2014.
- NIT: 900710525-6;
- Matrícula mercantil: 02408954 del 4 de febrero de 2014
- Dirección: Calle 82 10- 50 de Bogotá;
- Teléfono: 6341500.
Facebook Colombia SAS hace parte de un grupo cuya sociedad matriz es Facebook Global Holdings II LLC quien ha reconocido situación de control de citada sociedad colombiana. (Certificado E&R Facebook Colombia 14I2015)
Ahora bien, puede que se concluya que la ley Colombiana si es aplicable al responsable del tratamiento no domiciliado en Colombia. Lo que sigue es otra historia igual de importante: ¿Cómo hacer exigible una eventual sanción que la SIC imponga a un responsables del tratamiento no domiciliado en Colombia? ; Qué fuerza vinculante tiene en un país la decisión adoptada por una autoridad de otro país? (eficacia extraterritorial de las decisiones judiciales y administrativas).
Creo que el tema debe analizarse con mucho cuidado porque de ello dependerá, en algunos casos, la defensa de los derechos de los titulares de los datos personales ubicados en Colombia.
Conclusión: La SIC en su calidad de Autoridad de Protección de Datos Personales no debió limitarse a decir que “si no tienes domicilio en Colombia, entonces no te aplica la ley 1581 de 2012”. Dicha ley consagra otros elementos para determinar su ámbito de aplicación.
La SIC no sólo es competente para investigar el tratamiento de datos personales en las redes sociales digitales sino para exigir el respeto de los derechos de las colombianas y los colombianos en el ciberespacio.
Ojalá la SIC revise sus consideraciones y conclusiones.
