En este documento analizamos las políticas de privacidad de 30 empresas con modelos de negocios basados en los datos en Colombia, e identificamos las prácticas que no han sido suficientemente contempladas por el régimen de datos personales actualmente aplicable a nuestro país.
Como nunca, está latente la preocupación de que la disponibilidad de grandes volúmenes de datos digitales y las capacidades actuales para encontrar correlaciones entre ellos puedan derivar en otros datos personales, exactos o inexactos, a partir de los cuales se puedan tomar decisiones –a veces injustas o discriminatorias– sobre los ciudadanos, sin que ellos mismos tengan seguridad, conocimiento ni control de lo que sucede a partir de sus datos.
Un ejemplo de estos riesgos se hizo evidente en el escándalo de Facebook y Cambridge Analytica, en el que Facebook permitió el uso de una aplicación que terminó recolectando información de 87 millones de perfiles de usuarios de todo el mundo, que luego sería utilizada por Cambridge Analytica para influenciar electores en la campaña presidencial de Estados Unidos en 2016, y en el referendo sobre la permanencia del Reino Unido en la Unión Europea.
Para enfrentar dicha vulnerabilidad en la que se encuentran ciudadanos de todo el mundo, en el 2018 entró en vigencia el Reglamento General de Protección de Datos de la Unión Europea y se expidió la Ley de Privacidad del Consumidor del estado de California, que buscan equilibrar el desarrollo de la economía digital con la garantía de los derechos a la intimidad y a la protección de datos personales.
¿Cómo? Por medio de la regulación de nuevas fuentes de datos, tipos de tratamiento y finalidades de tratamiento que son propias de la era digital, y que incluyen el uso de cookies, el web crawling, los algoritmos, el profiling, la toma de decisiones automatizadas, la comercialización de datos y la publicidad comportamental.
Ahora bien, ¿qué se ha hecho en Colombia para garantizar dichos derechos en el marco de la economía digital?
En este documento exploramos el grado de preparación de nuestro régimen jurídico de protección de datos personales y de nuestras autoridades competentes para enfrentar los riesgos que la era digital plantea para distintos valores y derechos, y así rendir cuentas a las empresas con modelos de negocios basados en los datos (EMNBD).
A partir de la revisión de sus políticas de privacidad, analizamos la forma de operar de una muestra ilustrativa de 30 EMNBD, dentro de las que sobresalen, por su poder económico, tecnológico y social los llamados GAFAM (Google, Apple, Facebook, Amazon y Microsoft).
Una vez hecho esto, identificamos varias prácticas –propias de la era digital– que no han sido suficientemente contempladas por el régimen de datos personales actualmente aplicable en Colombia, y cuya regulación, en comparación con el GDPR europeo y con el CCPA de California, posee un amplio campo de mejora. Asimismo, identificamos varias falencias en las capacidades de las autoridades de protección de datos colombianas para hacer rendir cuentas a las EMNBD, y se proponen, en consecuencia, algunas medidas correctivas.