La DNPDP es el órgano de control Argentino, creado para la efectiva protección de los datos personales.

Tiene a su cargo el Registro de las Bases de Datos, instrumento organizado a fin de conocer y controlar las bases de datos.

Asesora y asiste a los titulares de datos personales recibiendo las denuncias y reclamos efectuados contra los responsables de los registros, archivos, bancos o bases de datos por violar los derechos de información, acceso, rectificación, actualización, supresión y confidencialidad en el tratamiento de los datos.

También tiene por función investigar si la base de datos denunciada da cumplimiento o no a los principios que establece la ley.

El día miércoles 21 de abril, no asistimos a la inauguración (pues viajamos ese mismo día) en la que Don Juan Antonio Travieso, Director de la DNPDP daría las palabras de bienvenida.

Nos acomodamos en un hostal en Palermo esa misma tarde y al día siguiente asistimos a la jornada que duraría todo el día.

Algunas caras ya conocidas de seminarios anteriores, un lleno total del evento de gran convocatoria fue la tónica de todo el día. Primero se trataron temas como la importancia de la protección de datos en la economía internacional y a nivel latinoamericano. Uno de los invitados principales para estos efectos fue la AGESIC, pues recordemos Uruguay esta en vías de obtener la adecuación de la Unión Europea. Los brasileros, por su parte, ya aprobaron en una de sus cámaras del congreso el proyecto de acceso a la información pública, el de catastro de deuda positiva y en estudio (entre el Ministerio de Ciencias y Tecnología y el de Justicia) se encuentra en elaboración una ley general de protección de datos. En seguida, los paneles se avocaron a la protección de datos y el comercio, temas como el secreto bancario, los datos personales en la Web y en plataformas de intercambio de servicios como mercado libre.

En la tarde, los paneles desarrollados principalmente vincularon la protección de datos con los derechos del consumidor, y sobre la alianza entre las OMIC (Oficina de Información al Consumidor, el símil del SERNAC en Chile) y  la DNPDP para derivar reclamos de consumidores respecto al tratamiento de datos personales.

Posteriormente, en el panel de “la protección de datos y el abordaje profesional” se debatió cómo este “nuevo” derecho va influyendo en el desarrollo libre de la profesión de abogado, de médico, de auditor, etc. Finalizó la tarde con un panel sobre protección de datos y redes sociales.

En general, quedamos con una visión bastante positiva del evento. Si bien el lugar físico no cumplió nuestras expectativas, sí valoramos la gran convocataria e interés que despierta este tema, que no es del futuro, sino de presente.

Día a día, muchos de nosotros, vemos bombardeados nuestros correos electrónicos de publicidad no deseada o spam, o lo que pudiere ser aún más invasivo, con llamadas a nuestros teléfonos personales en que, luego de preguntar directamente por nosotros, ofrecen alguna promoción u oferta, vinculada a la adquisición de algún producto o servicio.

En Chile, la regulación de este tipo de publicidad encuentra principalmente dos fuentes. Primero, la Ley sobre Protección a la Vida Privada, señala que no se requiere el consentimiento para el tratamiento de datos personales (nuestra dirección de correo electrónico) que provengan o se recolecten de fuentes accesibles al público (que es casi la regla general), o cuando sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios (relación directa entre empresa y sus clientes), entre otros -artículo 4°-.

Segundo, la Ley del Consumidor intenta “salvar” esta situación -medida que podríamos analizar y criticar en otro post-, señalando que:

“Toda comunicación promocional o publicitaria enviada por correo electrónico deberá indicar la materia o asunto sobre el que versa, la identidad del remitente y contener una dirección válida a la que el destinatario pueda solicitar la suspensión de los envíos, que quedarán desde entonces prohibidos.
Los proveedores que dirijan comunicaciones promocionales o publicitarias a los consumidores por medio de correo postal, fax, llamados o servicios de mensajería telefónicos, deberán indicar una forma expedita en que los destinatarios podrán solicitar la suspensión de las mismas. Solicitada ésta, el envío de nuevas comunicaciones quedará prohibido”.

Pero, ¿por qué esperar que el receptor de comunicaciones de promoción comercial deba solicitar ser removido de esta lista de correos electrónicos masivos y no deseados?

En España, por ejemplo, la Federación de Comercio Electrónico y Marketing Directo (FECEDM) y la Agencia Española de Protección de Datos (AEPD), crearon un servicio de exclusión publicitaria: La Lista Robinson, cuyo nombre se debe al famoso náufrago Robinson Crusoe, quien estuvo por casi 28 años aislado. (Ojo que, conforme a lo previsto en la respectiva normativa sobre Protección de Datos, podrían ser creados otros ficheros, de carácter general o sectorial).

¿Cómo funciona la Lista Robinson? Las empresas (adheridas al servicio) deben consultar la Lista Robinson con el objeto de no enviar comunicaciones, con fines de promoción comercial o marketing, a aquellas personas inscritas en aquel, que no sean sus clientes, socios, usuarios, u otro, y no desean recibir publicidad no solicitada. Es más, de acuerdo al Reglamento de la LOPD, las empresas y organizaciones se encuentran obligadas a consultar este tipo de ficheros de autoexclusión antes de lanzar una campaña publicitaria.

Cualquier persona puede inscribirse en el Servicio de Lista Robinson de forma gratuita. Para ello, es necesario indicar, el medio (Correo, E-Mail, SMS, Teléfono y Fax) a través del cual no desea recibir publicidad de entidades con las cuales no mantenga ni haya mantenido algún tipo de relación.

Conforme a la LOPD, en las comunicaciones comerciales realizadas con datos obtenidos de fuentes accesibles al público, el destinatario debe ser informado sobre el origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten. Los interesados tienen el derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernen, en cuyo caso son dados de baja del tratamiento, cancelándose las informaciones que sobre ellos figuran en aquél, a su simple solicitud.

Ahora bien, si una persona entregó sus datos a una empresa o es cliente de alguna, cabe advertir que seguirá recibiendo publicidad de aquéllas aún inscrito en esta Lista.

En Perú, el 31 de julio de 2009, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI) abrió  el Registro de Consumidores Gracias…no insista, en el que los ciudadanos registran su número telefónico y/o correo electrónico si no desean recibir más promociones de productos y servicios. En este Registro se pueden inscribir hasta cinco números de teléfono (tanto fijos como celulares) y direcciones de correo electrónico. La inscripción es válida por dos años y puede renovarse de manera gratuita. Además, las personas pueden retirarse de la lista en cualquier momento, si así lo desean; así lo señala la prensa peruana.

Hasta la semana del 08 de agosto de 2009 se habáan registrado más de nueve mil personas.

Needish se define como una red social que “busca resolver necesidades locales en todo el mundo”. Existe desde marzo de 2007 y está formada por un grupo internacional de jóvenes. Las personas publican sus necesidades y las empresas suscritas ofrecen sus servicios. La casa matriz se encuentra en Estados Unidos y el desarrollo de sus oficinas en Santiago de Chile.

No todas las personas previenen lo que significa entregar sus datos personales al inscribirse en una red social y tampoco se preguntan qué hace la empresa cuando recibe esta información. En el caso de quienes si lo pensamos, buscamos que al menos el contrato (términos de uso y la política de privacidad) se encuentren en el idioma nativo, en este caso, español.

Preguntamos a Needish por qué estando la plataforma en varios idiomas las Políticas de Privacidad y los Términos de Uso están disponibles en inglés. ¿Cómo deben hacerlo las personas que no hablan el idioma? ¿Están cumpliendo con los principios generales de contratación y de protección de datos en particular? La respuesta fue:

Hola Needish es una empresa de Estados Unidos, por eso las políticas están en inglés.

El Disclaimers que aparece en el sitio señala que

Para clientes que hablan español: Needish.com y otros dominios y servicios de Needish se encuentran disponibles en varios idiomas. Los contratos que rigen tu relación con Needish se encuentran en inglés.

Una respuesta que por cierto no satisface ni mínimamente a los usuarios, puesto que servicios como Facebook, Gmail, Yahoo, Hotmail, entre otros, que son empresas norteamericanas, publican sus contratos en español. Francamente, esto es un abuso.

Por otra parte, importante resulta saber que, conforme a la traducción de las Políticas de Privacidad, Needish:

1. Puede utilizar y divulgar la información para varios propósitos.

2. Puede recoger automáticamente cierta información, analizar el uso del sitio, tal como su IP address, tipo de navegador, páginas alcanzadas, y duración de la visita. Esta información no necesariamente permite identificarle personalmente. Si esto se hace, se trata como información personal bajo esta política. Al asociar o combinar la información con la información personal, trataremos la información asociada o combinada como información personal bajo esta política.

3. Puede recibir la información sobre usted, incluyendo la información personal, a partir de los terceros, y podemos combinar esta información con la otra información personal que mantenemos sobre usted.

4. Puede utilizar la información personal para proporcionar los servicios y la información que usted solicita y para realizar mejoras en el sitio. (Esta misma cláusula autoriza el envío de comunicaciones –publicidad- pudiendo desactivar dicha opción).

5. Respecto a la protección de datos, el sitio se aloja en Estados Unidos y se piensa que sus visitantes son generalmente de Estados Unidos. Si el usuario es de la Unión Europea o de otras regiones con leyes de protección de datos, debe ser conciente que se está transmitiendo información personal a los Estados Unidos donde no existen las mismas leyes de la protección de datos que la UE y algunas otras regiones. Proporcionando la información personal, usted consiente a la transferencia de ella a los Estados Unidos y al uso de él de acuerdo con esta política

¿Hay normativa a este respecto? Desde luego, Chile posee una ley de protección de datos, y que consagra principios como el de información, consentimiento informado, finalidad, entre otros; lamentablemente, no contempla sanción alguna para quienes infrinjan dichos principios, quedando al desamparo la protección de nuestros datos de carácter personal. No obstante lo anterior, conforme a la normativa nacional de protección al consumidor –Ley N° 19.496-, la empresa Needish, como intermediario de empresas y personas para que éstas concreten una relación de consumo, estaría vulnerando lo dispuesto en el artículo 17° de la ley, que obliga que los contratos de adhesión estén escritos en idioma castellano. Pero nos hacemos la siguiente pregunta ¿Es Needish una empresa que ejerce actividades regidas por la ley del consumidor conforme al artículo 2° de la ley?