¿Dónde van nuestros datos cuando decidimos cerrar una cuenta en la web?

Hace unos meses, motivado por la pandemia y los respectivos toques de queda, Ignacio Fernández (31) decidió hacer una limpieza de su información en las redes. Plataformas poco utilizadas, pero que tenían sus datos, como Pinterest y Last.fm, entre otras, disponían aún de sus antecedentes y pudo darlas de baja. Más curiosidad le produjo que Neopets, un popular sitio de juegos y comunidad infantil de principios del 2000, tenía aún su perfil registrado. Dieciocho años sin ingresar y sus mascotas virtuales, con las que jugaba y alimentaba, seguían esperándolo. En un intento desesperado por hacer log in y bajar del sistema sus credenciales, envió su carnet e información al sitio, que recién accedió a aceptar su solicitud después de 16 meses.

Según la Ley de Lavoisier, la materia no se crea ni se destruye, solo se transforma. Y en internet el mundo de los datos corre de forma similar. Los usuarios entregan cada vez más información a las redes sociales, ingresan sus identificaciones a los marketplaces, y dejan abandonadas sus cuentas, pensando que por inactividad estas serán dadas de baja, como Fernández hizo con Neopets. Pero resulta que gran parte de las plataformas mantienen los datos y quedan dormidos ahí, esperando a que los cibernautas se dignen a regresar e incluso por otros motivos, como el denominado mercado de los datos.

Juan Carlos Lara, director de investigación y políticas públicas de la ONG Derechos Digitales, afirma que los datos van a donde quien nos los solicitó decide que vayan y así se arma otra cadena. “A menudo, estas mismas empresas o personas los envían a otras instituciones o firmas, que a su vez deciden a dónde van esos datos. ¿Y qué control tenemos sobre eso? Muy poco, porque las políticas de privacidad y términos y condiciones de uso, en general, no son explícitos de hacia dónde van ni por cuánto tiempo los van a retener”, dice el abogado, quien añade que si esa información de los usuarios es facilitada por las empresas a firmas de marketing, el seguimiento se vuelve mucho más difícil. “Y eso pasa regularmente”, sugiere.

De acuerdo a un informe realizado durante el primer trimestre por la firma suiza de almacenamiento en la nube pCloud, Instagram es la aplicación más invasiva y comparte el 79% de la data de sus usuarios con terceros, incluida información de compras, datos personales, historial de navegación y búsquedas. Detrás queda Facebook, miembro del mismo grupo y hermano mayor de la compañía, con el 57%, y le sigue Linkedin, con el 50%.

La respuesta legal, propone Lara, es que los usuarios que tengan conflicto con sus datos y con poder acceder a ellos, se dirijan a las mismas empresas y ejerzan su derecho de acceso a los datos personales. “Pero eso igualmente enfrenta algunos problemas, porque a menudo en Internet no sabemos a quiénes tenemos que dirigirnos y mucho menos cuando las empresas extranjeras no están sujetas a la ley chilena. Si no responden adecuadamente, es aún más difícil, porque no podré ejercer mi derecho bajo la ley chilena en Estados Unidos, por ejemplo”, explica.

En muchas ocasiones, apunta el abogado, cuando las cuentas se han dejado abandonadas y los usuarios esperan a que sean dadas de baja por inactividad, se corre el riesgo que las empresas cambien de dueños y no se tenga la total certeza de a quién se puede acudir. Le ha pasado, afirma, a usuarios en Yahoo o Flickr, “que tienen muchísima información, pero han pasado de una empresa a otra. Y eso hace muy difícil el seguimiento de a dónde puedo dirigirme para pedir mi información y, a la vez, si ha sido facilitada a otras empresas”, señala. Lo mismo pasó con Neopets, que en 2005 pasó a Viacom y en 2014 a Jumpstart.

Carlos Reusser, abogado socio de la oficina centrada en derecho y tecnologías Reusser Donoso & Asociados, dice que como parte de la Ley 19.628, todos los usuarios tienen el derecho a dirigirse a alguien y solicitar que elimine sus datos, pero faltan los mecanismos para facilitar ese proceso y en Chile no existe un sistema de auditoría y nadie que controle que efectivamente se haya cumplido con lo requerido. “Una compañía puede perfectamente decir que borraron todo, pero no hay nadie que tenga facultades de ir e inspeccionar los sistemas para verificar que es así realmente”, comenta el experto.

Estos casos, afirma, pueden tener incluso connotaciones más graves y toma como ejemplo la información disponible en los bancos. “En múltiples casos que hemos recibido se revela que en realidad no se eliminan los datos, sino que siguen manteniéndolos e incluso almacenan en respaldos y esconden en otras partes, cuando en verdad debiesen ser destruidos”, asegura. “Está el derecho a la cancelación de los datos, pero se convierte en nada cuando no existe nadie que tenga atribuciones para inspeccionar o auditar a determinadas instituciones, y eso pasa porque no tenemos una autoridad de protección de datos”, señala Reusser.

Ambos abogados dicen que las compañías debiesen, al momento de crear un usuario, explicitar durante cuánto tiempo almacenarán la información de los individuos. “Lo ideal es que cuando cierres una cuenta, la empresa debiese borrar tu información, pero es posible que uno haya consentido a que esos datos no sean eliminados o no haya un acuerdo al respecto”, dice Lara, de Derechos Digitales, y luego añade: “Que tengan datos míos de hace años, puede que a ellos les valgo muy poco y no haya mayor problema mientras esa información siga abajo de un cerro de polvo, pero algún día podría tener problemas de hackeo, filtraciones o robo de información”.

Reusser se suma a Lara, pero dice que es discutible que una empresa cierre cuentas inactivas, “porque al final uno nunca le avisó a la compañía que tomaría distancia, así que se entiende como la voluntad del cliente dejarla ahí, sería arbitrario para ellos y una especie de incumplimiento contractual y es parte de su negocio de bases de datos”. Además, dice que existen formas muy marcadas en algunas plataformas para entorpecer los mecanismos de eliminación.

En el caso de Facebook, ejemplifica Reusser, son 30 días los que un usuario tiene para cancelar el proceso de borrado y, posterior a eso, la decisión será definitiva. Transcurridos ese periodo, pueden tardar hasta 90 en terminar la eliminación. Eso sí, la red social advierte de todas maneras que “puede que almacenemos tu información para ciertos casos, como asuntos legales, infracción de condiciones o prevención de daños”. “Es como decirle al usuario, ‘Si superas tu adicción en unos días, la elimino’, pero ni siquiera dan las garantías de que pasado el tiempo lo hagan”, señala el abogado, quien dice que durante la pandemia las solicitudes de casos vinculados a cuestiones digitales se han más que duplicado.

Si bien no es una red social, la información pública de la ciudadanía en la red sí representa un peligro. La vertiginosa transformación digital, y mucho más en el contexto de la pandemia, forzó a todas las plataformas y sistemas sociales a digitalizarse. La “datificación”, dice Gloria de la Fuente, Presidenta del Consejo para la Transparencia (CPLT), ha colmado todo aspecto de la actividad humana, incluso los más íntimos. Desde la banca, el retail, la salud (la telemedicina, por ejemplo), el urbanismo (las smart cities), la educación, entre otros, menciona la cientista política. “Con este estado de cosas, lamentablemente en Chile no tenemos marcos regulatorios que estén a la altura de la protección de la privacidad de los usuarios, es decir, nuestros derechos fundamentales se mantienen siempre expuestos a vulneraciones”, explicita la especialista.

Uno de los casos relevantes para el CPLT, considerando que se trata de una entidad pública, es el de los rutificadores. De la Fuente dice que, aunque para el caso particular de Servel se ha dicho que el padrón electoral es público, es necesario realizar una precisión. “La entrega de datos vía padrón es desproporcionada, puesto que además de nombre se difunde el RUT, el género del votante y su domicilio, cuestiones no del todo necesarias para dar cumplimiento a lo que persigue la ley electoral, que es la difusión del padrón”, dice la autoridad, y luego añade que la ley actual, que data de 1999, está obsoleta y no genera las condiciones propicias para dar resguardo al derecho fundamental de protección de datos personales.

Actualmente se tramita un proyecto de ley en el Congreso, que fue presentado en 2017, y que “busca modernizar la regulación y mejorar el estándar de protección acercándonos al Reglamento Europeo de Protección de Datos o GDPR (por sus siglas en inglés)”. La regulación es una línea de trabajo fundamental en la que no se ha avanzado, destaca ella, puesto que esta iniciativa no registra movimiento legislativo desde hace más de un año y está recién en su primer trámite constitucional, dificultando así la protección de datos de la ciudadanía en la red.

Como CPLT, la presidenta afirma que tienes cuatro retos en materia de protección de datos personales para poder abordar los desafíos del contexto actual. El primero, dice De la Fuente, es la actualización de la ley sobre protección de datos personales; segundo, el establecimiento e implementación de un órgano de control en materia de protección de datos personales con facultades suficientes para fiscalizar y sancionar; tercero, el reconocimiento de la protección de datos personales en la nueva Constitución junto con su eventual profundización; y, en último lugar, la construcción de un ecosistema normativo de protección de datos personales que sea coherente, eficiente, efectivo y a prueba de las exigencias del presente y del futuro.

Dónde están finalmente los datos de los usuarios es un tema sin solución y una eterna cadena de intercambios que comienza al momento de crear una cuenta, por ejemplo, en redes sociales. Por eso mismo Juan Carlos Lara, de Derechos Digitales, dice que se debe educar a la población desde una edad temprana.

Primero, plantea, se debe formar a los más jóvenes respecto a la información personal que entregan. Lo mismo respecto a sus padres, que están publicando más datos de los que deberían, desde el rostro de sus hijos, los nombres y apellidos, entre otros detalles. “Y por eso es importante diferenciar que hay una dimensión de la educación respecto a los datos que los niños y menores de edad entregan, pero también la que ceden sus padres y, a una edad temprana, se puede decir que el interés de tener una red social no viene necesariamente de los niños”, señala.

En segundo lugar, dice que las empresas deben crear mejores prácticas, para así ser más transparente con sus usuarios y, a la vez, poder resguardar los datos que les ceden. En tercer lugar, se requiere una mejor fiscalización y de una autoridad de protección de datos y que hoy día no existe en el país. “Eso hoy requiere de un entramado legal que está paralizado en el Senado y sería bueno que estas prácticas de las personas y empresas puedan tener algún correlato fáctico y con ejecutabilidad por parte de la autoridad”, afirma.

Los usuarios, en ese sentido, deben cuidar su información personal y tener una visión más crítica respecto a los datos que entregan. También deben investigar si las empresas en cuestión han tenido problemas en el pasado y limitar el flujo de datos en base a eso. Además, hay que interactuar con las compañías y no es un crimen preguntar qué están haciendo con esos antecedentes o por qué piden tanta información.

“No tenemos autoridad de datos personales y el Sernac no tiene capacidad tampoco para enfrentar estas cuestiones como cláusulas abusivas, mientras las empresas siguen pidiendo información... Y pueden hacerlo, claro, pero son contrarias a las ideas del principio de minimización de datos”, asegura Lara, y luego añade que las firmas no necesitan tanto como piden y, si lo van a hacer, necesitan mejorar sus prácticas y ser más explícitos al respecto de la eliminación de datos cuando ya no los necesitan.