"No puedo dejar de pensar en ellos cuando veo que ciertas oficinas de abogados se precian de no conocer límites,...
Subprocesadores y ciudadanía
«La responsabilidad activa se vuelve por completo a quién es el titular de la información. Así, son los mismos ciudadanos los responsables exclusivos de ejercer sus propios derechos ARCOP y velar por un correcto uso de su información».
Cristián Oppliger - 8 febrero, 2021
Nuestra información viaja por el mundo y se usa para infinitos fines.
Damos nuestro “consentimiento activo” —léase las comillas casi en un tono irónico— con un click en una plataforma, generando una reacción en cadena, en virtud de la cual cientos de interlocutores involucrados con finalidades bien delimitadas a un momento y contexto en específico acceden a la misma.
En muchos de estos escenarios, para otorgar nuestro consentimiento, accedemos a términos y condiciones que contienen autorizaciones para que determinadas entidades denominadas “procesadores” puedan tratar la información, pero asimismo contienen autorizaciones generales para que ciertas figuras denominadas “subprocesadores” puedan acceder a la misma sin indicar específicamente las entidades a las que corresponden ni los fines a los que se sujetarán para dicho tratamiento.
En la actualidad es habitual que los procesadores deleguen funciones en estos subprocesadores permitiéndoles guardar, procesar e incluso utilizar la información y datos de maneras que pueden distar mucho del uso originalmente pretendido.
Estas circunstancias son en la práctica de difícil comprobación considerando que estas “autorizaciones” o “términos y condiciones” corresponden a textos unilaterales establecidos por los proveedores que no permiten preguntas, discusión o modificación alguna.
Estos cantos de sirenas, citando la metáfora de Ulises en términos de cómo estos grandes tecnológicos nos cautivan a aceptar lo propuesto, tienen toda una terminología en específico que nos induce a navegar o al menos probar su usabilidad.
Hablan de “usuarios”, refiriéndose a los titulares que dan su consentimiento parcial; “experiencia usuario”, al uso de la plataforma; “comunidad”, a toda la red que funciona como un gran hermano captador de usos y de vigilancia activa; “migas digitales”, para aquellos rastros que deja la gente en el uso de esta información y que se usa para los más variados fines de forma retroactiva. Todo esto para eventuales consecuencias en su uso, donde dimos el “consentimiento”, que —reitero— dista mucho respecto a la intención inicial.
Si no hay una persona natural con la suficiente proactividad para hacer simplemente “algo” respecto a su información, o dicho en términos jurídicos, ejercer sus “derechos ARCOP” —derecho de aclaración, rectificación, cancelación, oposición y portabilidad, establecidos para las personas naturales en el uso de su información personal—, todo queda en un limbo perdido, dejando sin delimitación precisa las consecuencias del procesamiento o la meta data generada —datos generados a partir del procesamiento de datos—, tanto por el responsable de cara al usuario como para los distintos encargados involucrados, con todas las consecuencias y eventuales perjuicios, actuales y potenciales, que esto implica.
Por tanto, ¿tenemos las herramientas para combatir a estos, muchas veces, gigantes del procesamiento y exhibición de la información? ¿tenemos al menos una noción de dónde podríamos exigir algún límite a los monopolios informáticos que actualmente se ejercen?
Al no haber un contrapeso efectivo por parte de las actuales instituciones, a excepción de Europa con las sanciones de GDPR o algún otro organismo aislado en Latinoamérica, la responsabilidad activa se vuelve por completo a quién es el titular de la información. Así, son los mismos ciudadanos los responsables exclusivos de ejercer sus propios derechos ARCOP y velar por un correcto uso de su información.
En la actual legislación chilena encontramos sólo algunos nichos que contienen regulaciones informáticas secundarias, que abordan solo una parte pequeña de este inmenso problema o simplemente dan soluciones generales sin criterios de especificidad. Así, no hay unificación normativa ni estructural ante este tipo de amenazas, generando distorsiones y anomalías ante el uso de la información anteriormente procesada y que puede seguir, en términos actuales y futuros, encontrándose en estado de evidentemente exposición.
Para esto, por ahora, no hay salvataje, ni hay un héroe externo que pueda remediar lo anterior, sobre todo ante el constante “reciclaje” de información disponible y ante la inyección de nuevas fuentes de información —u “opt-in”— mediante consentimientos parcializados y unilaterales. Solo depende de nosotros, los ciudadanos, tomar consciencia activa de los riesgos y perjuicios que esto implica y ejercer los derechos que corresponden.
Cristián Oppliger Zan es abogado de la Universidad Católica de Chile, especialista en materias de TI, Privacidad y Ciberseguridad. Actualmente, trabaja en la Gerencia Legal de TI de Falabella S.A.