El uso y la cesión de los datos personales ha ido adquiriendo en los últimos años una gran importancia que ha motivado que tanto parlamentos nacionales como organismos internacionales hayan decidido regular de una forma u otra esta cuestión, siendo un claro ejemplo de ello el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, que lleva siendo de aplicación en todos los Estados miembros de la Unión Europea desde el 25 de mayo de 2018.
Asimismo, la trascendencia actual del tratamiento de datos personales no se limita a la Unión Europea. Otros Estados también han prestado atención a esta cuestión, como algunos gobiernos latinoamericanos, siendo un claro ejemplo de ello la Declaración de Santa Cruz de la Sierra resultante de la cumbre Iberoamericana de Jefes de Estado y de Gobierno que tuvo lugar los días 14 y 15 de noviembre de 2003, donde literalmente se concluyó que “la protección de datos personales es un derecho fundamental de las personas y destacamos la importancia de las iniciativas regulatorias iberoamericanas para proteger la privacidad de los ciudadanos contenidas en la Declaración de La Antigua por la que se crea la Red Iberoamericana de Protección de Datos, abierta a todos los países de nuestra Comunidad”. Igualmente, la Red Iberoamericana de Protección de Datos, que integra a diferentes Estados europeos y sudamericanos, ha mantenido 15 encuentros sobre esta materia, habiéndose celebrado el último de ellos el pasado mes de junio de 2017.
Hace años que la protección de los datos personales no resulta extraña a los ordenamientos jurídicos de Latinoamérica. Así, es posible encontrar referencias a esta protección en constituciones de diferentes Estados como, por ejemplo, el artículo 31 de la Constitución Política de Guatemala, donde se contempla el derecho de acceso a archivos y registros estatales; el artículo 5 de la Constitución de Brasil, donde se crea la figura jurídica del habeas data; el artículo 15 de la Constitución de Colombia, donde se menciona el derecho de acceso, actualización y rectificación de los datos recogidos tanto en archivos públicos como privados, vinculando dicho acceso al derecho a la intimidad personal y familiar y al buen nombre; el artículo 135 de la Constitución de la República del Paraguay, donde se define el concepto habeas data como el derecho de toda persona a acceder a la información y a los datos que sobre su persona y sus bienes se encuentren en registros oficiales y privados; el artículo 2 de la Constitución Política del Perú, que contempla el derecho a solicitar información a cualquier entidad pública y el derecho a que los servicios informáticos no suministren informaciones que afecten a la vida personal y familiar; el artículo 43 de la Constitución de la Nación Argentina, donde se señala el derecho de acceso a datos de registros públicos y privados y, en caso de falsedad, el derecho a exigir la supresión, rectificación, confidencialidad o actualización de estos datos; el artículo 28 de la Constitución de la República Bolivariana de Venezuela, donde se afirma que toda persona tiene derecho de acceso a sus datos y los datos relacionados con sus bienes que consten en registros oficiales o privados, a conocer el uso que se haga de los mismos, y a solicitar ante un tribunal competente la actualización, rectificación o destrucción de dichos datos si fuesen erróneos o afectasen ilegítimamente a sus derechos; el artículo 6 de la Constitución Política de los Estados Unidos Mexicanos, donde se afirma que los datos personales serán protegidos en los términos y con las excepciones que fijen las leyes, mencionando a su vez en el artículo 16 que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación, cancelación y a manifestar su oposición; y el artículo 130 de la Constitución Política del Estado de Bolivia, donde se recoge la acción de protección de privacidad como un medio para que toda persona individual o colectiva pueda conocer, objetar u obtener la eliminación o rectificación de los datos registrados por cualquier medio.
El tratamiento que de una u otra forma llevan a cabo las constituciones de estos territorios, muestra que la inquietud que se genera en los países europeos y en los organismos comunitarios sobre los efectos que puedan derivarse del tratamiento de datos personales es compartida por otros Estados, entre los que se encuentran países latinoamericanos. Cuestión distinta son las diferencias de regulación entre uno y otro Estado y el origen que pudieran tener dichas diferencias legislativas.
Sin lugar a dudas, el mercado actual y especialmente el acceso cada vez más generalizado de los consumidores a Internet en gran parte de los países, implica que los datos personales sean diariamente objeto de tratamiento por infinidad de empresas, sin que en muchas ocasiones el consumidor sea realmente consciente del tratamiento que se otorga a sus datos personales e incluso que esté consintiendo acceso alguno a dichos datos.
Así, no son raras las ocasiones en las que el consumidor recibe toda una serie de servicios electrónicos que, si bien no suponen un pago directo por su persona, sí que suponen que las empresas que proveen dichos servicios tengan acceso a toda una serie de información que puedan revelar datos personales de los consumidores.
Baste pensar en cómo el calendario de nuestro teléfono móvil es capaz de registrar automáticamente un vuelo que hayamos contratado y cuya confirmación hayamos recibido en nuestro correo electrónico, o como en la página web que estamos visitando se recojan anuncios publicitarios sobre bienes y/o servicios directamente relacionados con la última búsqueda que hayamos podido efectuar minutos antes a través de cualquier buscador de Internet. Y aunque estos comportamientos comerciales puedan parecer inofensivos, al final suponen que una gran cantidad de empresas sean plenamente conscientes de cuáles son nuestros comportamientos económicos y sociales, con la intromisión en nuestra intimidad como consumidores que ello puede suponer.
Un ejemplo de lo mencionado lo encontramos en las noticias que se han publicado en diferentes medios de comunicación, en las que se llega a afirmar que filtraciones de la red social Facebook incidieron en las últimas elecciones presidenciales de Estados Unidos. Dicho de otra forma, los datos personales recogidos en una red social que aparentemente ofrece servicios de comunicación gratuitos a sus usuarios, han podido incidir directamente en la elección del Gobierno de una de las principales potencias económicas del mundo.
Junto a los servicios electrónicos con los que los consumidores tienen cada vez mayor interacción, nos encontramos con la cesión y/o autorización del tratamiento de datos personales que el consumidor se encuentra obligado a aceptar para poder tener acceso a la contratación de determinados servicios y/o a la adquisición de determinados bienes. En estos casos, el consumidor se ve obligado a suscribir contratos que son redactados de forma unilateral por las empresas y sobre cuyo contenido no tiene capacidad alguna de negociación, lo que en España se conoce como contratos de adhesión.
Dicho de otro modo, si un ciudadano desea tener acceso al suministro eléctrico, tendrá que suscribir un contrato de adhesión que le ofrezca la empresa eléctrica correspondiente; si un usuario quiere tener acceso a servicios de telefonía y/o internet, tendrá que firmar el contrato de adhesión que le facilite la empresa de telecomunicaciones correspondiente; y así sucesivamente, con independencia del contenido de las cláusulas de tales contratos y, más concretamente, con independencia de la autorización al tratamiento de datos personales que puedan recoger estos contratos en su articulado.
¿Y qué ocurre si en esos contratos de adhesión que firma “voluntariamente” el consumidor, se recoge que sus datos pueden ser cedidos a terceros con fines comerciales? ¿Y si en dichos contratos se contempla que en caso de impago la empresa puede ceder sus datos a terceras empresas cuya actividad consiste en importunar al consumidor para que abone la cantidad supuestamente adeudada, o si se posibilita que sus datos personales sean cedidos a otras empresas privadas cuyo objeto es elaborar listados de personas supuestamente morosas para a su vez distribuir estos listados entre otras empresas y, así, dificultar el acceso del consumidor al mercado?
El recorrido que hemos realizado a través de los párrafos anteriores nos permite afirmar que el tratamiento de los datos personales de los consumidores y usuarios es una cuestión de total actualidad que puede afectar de forma directa a todos los usuarios que interactúan en el mercado, aún cuando desconocen que sus datos personales están siendo tratados de alguna forma, y todo ello en un escenario en el que el tratamiento de datos personales tiene su origen en gran parte de las ocasiones en relaciones comerciales en las que los consumidores suscriben contratos con empresas que poseen su domicilio en Estados diferentes al territorio en el que residen, y ante todo un elenco de normativa que, en muchos casos, y salvo normas y/o convenios internacionales, difieren de un Estado a otro.
Por ello, el mercado cada vez más globalizado al que gran parte de los consumidores tienen acceso implica que sea imprescindible que existan convenios y/o normativa internacional que regulen de alguna forma esta materia. Si un consumidor lleva a cabo una transacción con una empresa que posee su domicilio en un Estado diferente al que reside, ¿respetará esta empresa la normativa sobre protección de datos vigente en el Estado en el que vive este consumidor? ¿Podrán las autoridades públicas nacionales del país donde reside el consumidor exigir a dicha empresa el cumplimiento de esta normativa? ¿Podrán estas autoridades sancionar a estas empresas en caso de incumplimiento de las disposiciones vigentes en su territorio? Son muchas las dudas que pueden plantearse sobre la protección actual que el consumidor recibe en el tratamiento de sus datos personales.
Todo lo indicado nos permite finalizar este recorrido haciendo una mención a la misma norma con la que comenzábamos la redacción de estas páginas, el Reglamento Europeo 2016/679. Sin lugar a dudas, que desde la Unión Europea se haya optado por elaborar una normativa de aplicación directa en todos los países miembros de la Unión no es una cuestión baladí, por lo que merece de un análisis en mayor profundidad, que intentaremos abordar en una próxima publicación, de aquellos aspectos que puedan incidir directamente en el tratamiento de datos de los consumidores y usuarios que residan en uno de estos Estados.
BIBLIOGRAFÍA
DOUETTES ARAÚJO, Ludmila Albuquerque (2007), “Notas de Derecho comparado. Los ficheros de solvencia patrimonial y crédito: breves comentarios a su régimen jurídico”, Anuario de la Facultad de Derecho, Vol. XXV, págs. 179-194.
LINARES GUTIÉRREZ, Antonio (2014), “El chantaje de los ficheros de morosos: el principio de finalidad como requisito para la inclusión de datos en los ficheros sobre solvencia patrimonial y crédito. Tratamiento jurisprudencial”, Dereito, Vol. 23, n.º 1, págs. 113-126.
MILANES, Valeria (2017), “Desafío en el debate de la protección de datos para Latinoamérica”, Transparencia y sociedad, n.º 5, págs. 13-31.
OJEDA BELLO, Zahira (2015), “El derecho a la protección de datos personales desde un análisis histórico-doctrinal”, Nueva época, año 9, n.º 38, págs. 58-70.
VEGA CLEMENTE, Virginia (2013), “Comercio electrónico y Protección de Datos”, Revista de Estudios Económicos y Empresariales, N.º 25, págs. 205-244.
VEGA VEGA, José Antonio (2004), “Protección de datos de carácter personal en el comercio electrónico”, Revista de Estudios Económicos y Empresariales, N.º 16, págs. 147-192.
_________________________
Miguel Ángel Serrano Ruiz. Directivo de la Asociación de Consumidores y Usuarios en Acción-FACUA. Doctor en Ciencias Jurídicas y Políticas. Máster Derecho Patrimonial Privado en el Mercado Global. Licenciado en Derecho