La privacidad despus de Facebook1

Miguel Morachimo Rodrguez2 26 de abril de 2011 Esta es una historia escandalosa. Es la historia de cmo un grupo de universitarios desarroll una forma de conectar personas a travs de redes de telecomunicaciones y las convenci de abrir las puertas de su casa, de sus fiestas y de sus crculos ms ntimos para exponerlos al mundo a cambio de nada. Ms an, montaron un negocio de miles de millones de dlares alrededor del trfico de este tipo de informacin entre sus socios comerciales. En esta historia, los lmites de lo pblico y lo privado parece redibujarse y desafan a los operadores del derecho a traducir sus sistemas a estos nuevos escenarios. Esta es la historia de Facebook, el agente que amenaza con cambiar lo que se entendern las futuras generaciones como privado, y los cuestionamientos jurdicos que levanta su actividad. El presente artculo describe la problemtica existente entre el uso de servicios de redes sociales a travs de Internet y el derecho fundamental a la privacidad de datos. En particular, se analizan las posibles escenarios de vulneracin a este derecho mediante el acceso, obtencin y uso indebido de la informacin hecha pblica por y a travs de Facebook, el servicio de red social ms popular del mundo. En la primera seccin, se delimita el contenido del derecho a la privacidad y se sealan sus mecanismos de proteccin jurisdiccional. A continuacin, la Seccin II analiza el impacto que los servicios de redes sociales pueden tener para la regulabilidad de la Internet. La seccin siguiente presenta crticamente las condiciones de privacidad que regulan Facebook segn sus propios contratos y el impacto que sus sucesivas modificaciones han tenido entre sus usuarios. La cuarta seccin da cuenta de la importancia de elegir una

Una versin de este artculo se public originalmente en la revista Gaceta Constitucional, nmero 40, Lima, Gaceta Jurdica, abril de 2011, pginas 343 a 355.

2 Bachiller en Derecho por la Ponti cia Universidad Catlica del Per. Autor del blog Blawyer.org, sobre derecho y tecnologa (http://www.blawyer.org/). 1 Electronic copy available at: http://ssrn.com/abstract=1856713

regla legal adecuada sobre privacidad con la finalidad de preservar el desarrollo del mercado en Internet. Finalmente, la Seccin V aproxima las herramientas jurisdiccionales disponibles segn nuestra legislacin ante la vulneracin del derecho a la privacidad en entornos digitales como la red social Facebook. Por las consideraciones que se exponen a continuacin, este artculo concluye que el derecho a la privacidad est cambiando por el influjo de tecnologas como los servicios de redes sociales. En este escenario, es importante contar con reglas claras sobre la proteccin de datos personales. De un repaso a las vas jurisdiccionales disponibles, creo que es posible interponer una demanda de hbeas data contra Facebook o iniciar un proceso penal o constitucional contra un tercero por violacin de la intimidad en Facebook. I. 1.1. Derecho a la privacidad Delimitacin

El derecho fundamental a la privacidad se encuentra recogido como derechoregla en el inciso 7 del artculo 2 de la Constitucin cuando seala que toda persona tiene derecho a la intimidad personal y familiar3 . Partiendo de este reconocimiento, la propia Constitucin tambin ha reconocido que toda persona tiene derecho a que los servicios informticos, pblicos o privados, no suministren informaciones que afecten la intimidad personal y familiar4; y, a la

Constitucin Poltica del Per de 1993, Artculo 2. Toda persona tiene derecho: () 7. Al honor y a la buena reputacin, a la intimidad personal y familiar as como a la voz y a la imagen propias. Constitucin Poltica del Per de 1993, Artculo 2. Toda persona tiene derecho: () 6. A que los servicios informticos, computarizados o no, pblicos o privados, no suministren informaciones que afecten la intimidad personal y familiar. 2 Electronic copy available at: http://ssrn.com/abstract=1856713

inviolabilidad de su domicilio5 , comunicaciones y documentos privados6 y a mantener reserva sobre sus convicciones polticas, religiosas o de cualquiera otra ndole7 . Al respecto, el Tribunal Constitucional ha diferenciado en varias ocasiones el mbito de proteccin del derecho a la autodeterminacin informativa de aquellos del derecho a la vida privada. En el primer caso, el derecho a la autodeterminacin informativa busca garantizar la facultad de todo individuo de poder mantener la reserva de su vida privada ejerciendo un control en el registro, uso y revelacin de los datos que le conciernen8 . El derecho a la vida privada, en cambio, es un derecho ms amplio que busca proteger los datos, hechos o situaciones desconocidos para la comunidad que, siendo verdicos, estn reservados al conocimiento del sujeto mismo y de un grupo reducido de personas, y cuya divulgacin o conocimiento por otros trae aparejado algn dao9 . En otras palabras, siguiendo la distincin realizada por el Tribunal Constitucional10, el derecho a la intimidad protege al individuo de intromisiones ilegtimas en su vida ntima o familiar; mientras que el derecho a la autodeterminacin informativa le garantiza la facultad de poder cuidar su vida privada a travs del controlando de sus datos personales.
5

Constitucin Poltica del Per de 1993, Artculo 2. Toda persona tiene derecho: () 9. A la inviolabilidad del domicilio. Nadie puede ingresar en l ni efectuar investigaciones o registros sin autorizacin de la persona que lo habita o sin mandato judicial, salvo agrante delito o muy grave peligro de su perpetracin. Las excepciones por motivos de sanidad o de grave riesgo son reguladas por la ley. Constitucin Poltica del Per de 1993, Artculo 2. Toda persona tiene derecho: () 10. Al secreto y a la inviolabilidad de sus comunicaciones y documentos privados. Constitucin Poltica del Per de 1993, Artculo 2. Toda persona tiene derecho: () 18. A mantener reserva sobre sus convicciones polticas, los cas, religiosas o de cualquiera otra ndole, as como a guardar el secreto profesional. Sentencia recada sobre el Expediente nmero 4739-2007-PHD/TC, caso Pesquera Virgen del Valle S.A.C, fundamentos jurdicos del 2 al 5. Sentencia recada sobre el Expediente nmero 6712-2005-HC, caso Magaly Medina, fundamento jurdico 38. Sentencia recada sobre el Expediente nmero 1979-2002-HD/TC, caso Wilo Rodrguez Garca, fundamento jurdico 3. 3

10

1.2.

Mecanismos de proteccin del derecho a la privacidad

En correspondencia, la Constitucin ha establecido el proceso de hbeas data para la proteccin del derecho a la autodeterminacin informativa en dos casos, segn el artculo 61 del Cdigo Procesal Constitucional11 : (a) Acceder a informacin que obre en poder de cualquier entidad pblica, ya se trate de la que generen, produzcan, procesen o posean, incluida la que obra en expedientes terminados o en trmite, estudios, dictmenes, opiniones, datos estadsticos, informes tcnicos y cualquier otro documento que la administracin pblica tenga en su poder, cualquiera que sea la forma de expresin, ya sea grfica, sonora, visual, electromagntica o que obre en cualquier otro tipo de soporte material. (b) Conocer, actualizar, incluir y suprimir o rectificar la informacin o datos referidos a su persona que se encuentren almacenados o registrados en archivos, bancos de datos o registros de entidades pblicas o de instituciones privadas que brinden servicio o acceso a terceros. Asimismo, a hacer suprimir o impedir que se suministren datos o informaciones de carcter sensible o privado que afecten derechos constitucionales. En el primer caso, el hbeas data no busca proteger el derecho a la privacidad. Ms bien, est diseado como un recurso para acceder a la informacin pblica con la finalidad de ejercer derechos o fiscalizar la labor del Estado. El segundo caso sealado por el Cdigo Procesal Constitucional, en cambio, s est pensado en brindar proteccin a cualquier sujeto de derecho que pueda ver amenazado o vulnerado su derecho a la privacidad de datos a travs de bases pblicas o privadas. Para los casos en los que se vea amenazado o vulnerado el derecho a la intimidad o vida privada a travs de la revelacin de asuntos o informacin del fuero personalsimo del sujeto, corresponder iniciar un proceso de amparo,
11

Sentencia recada sobre el Expediente nmero 1979-2002-HD/TC, caso Wilo Rodrguez Garca, fundamento jurdico 3. 4

conforme al inciso 8 del artculo 37 del Cdigo Procesal Constitucional12 . Adems, el Cdigo Penal establece como un delito la violacin de la intimidad y contempla como modos agravados su difusin a travs de medios de comunicacin y en razn a la funcin del agente13 . Cabe sealar que, procesalmente, al ser el proceso de amparo un mecanismo extraordinario de proteccin de derechos, corresponder iniciar primero un proceso penal por violacin de la intimidad en tanto constituya una va efectiva para atender el pedido del demandante. Conforme a lo sealado, el derecho a la privacidad de datos puede ser tutelado mediante el proceso de hbeas data mientras que la violacin del derecho a la intimidad est penada por el Cdigo Penal y, extraordinariamente, mediante el proceso de amparo. II. 2.1. El camino hacia una Internet llena de rostros y nombres No una, sino varias redes

Internet no es una red esttica sino el resultado de la interaccin de varias computadoras corriendo al mismo tiempo una serie de cdigos informticos. Estos cdigos son el producto de un acuerdo entre distintas entidades privadas, quienes los asumen voluntariamente y, con el paso del tiempo, van actualizndolos. La Internet que usamos hoy, por tanto, es en cierta medida distinta a aquella que conect por primera vez una serie de universidades en

12

Cdigo Procesal Constitucional, Artculo 37. Derechos protegidos El amparo procede en defensa de los siguientes derechos: () 8) Del honor, intimidad, voz, imagen y recti cacin de informaciones inexactas o agraviantes; Cdigo Penal, Artculo 154. Violacin de la intimidad El que viola la intimidad de la vida personal o familiar ya sea observando, escuchando o registrando un hecho, palabra, escrito o imagen, valindose de instrumentos, procesos tcnicos u otros medios, ser reprimido con pena privativa de libertad no mayor de dos aos. La pena ser no menor de uno ni mayor de tres aos y de treinta a ciento veinte das-multa, cuando el agente revela la intimidad conocida de la manera antes prevista. Si utiliza algn medio de comunicacin social, la pena privativa de libertad ser no menor de dos ni mayor de cuatro aos y de sesenta a ciento ochenta das-multa. 5

13

Estados Unidos durante los aos setenta o de la que se us por primera vez en Per en 1991. No existe, por tanto, una naturaleza propia de Internet, entendida como un conjunto de caractersticas estables. Existen protocolos, convenciones de la industria y lineamientos determinados para ciertos aparatos conectados a la red pero no hay nada como un estado natural de Internet. Al ser su estado actual producto de una serie de acuerdos, no existe mayor barrera para que cualquiera pueda modificar su cdigo ms que su mera voluntad y disposicin a asumir las consecuencias derivadas del cambio implementado en su propia red. Estos cambios han sucedido a lo largo de estos aos y han operado en todos los niveles de la red. As, por ejemplo, en infraestructura, hemos pasado del dial up a la banda ancha. En la capa de cdigos, esperamos migrar de IPv4 a IPv6 antes de que termine este decenio. En la capa de aplicaciones, cada vez parecen tener ms presencia los sistemas peer-to-peer (P2P) y de VoIP. Con el paso del tiempo, el progresivo auge de las transacciones comerciales en lnea y la regulacin a las empresas que provean servicios de Internet demostr que esa naturaleza era un estado actual de la red y no una condicin inherente a ella. La regulacin y el mercado, por ende, podan cambiar la Internet imponindole distintos niveles de seguridad e identidad de sus usuarios: desde la red que conectaba los cajeros de un banco hasta la red de Internet inalmbrica que se ofreca en una cafetera. Algunas arquitecturas del ciberespacio son ms regulables o permiten un mayor grado de control sobre la actividad en lnea que otras. La naturaleza de Internet es una funcin de cmo estaba escrito su cdigo y, por ende, su mayor o menor regulabilidad depende directamente del diseo del hardware y software que la hace posible14. Este fenmeno se evidenci, por ejemplo cuando cambi parte del cdigo IP y se le permiti a los administradores de las pginas web conocer la procedencia de sus visitantes. La tecnologa de geolocalizacin permiti a las empresas segmentar el mercado en nichos regionales, ofreciendo contenidos, publicidades y aplicaciones optimizadas segn el lugar de procedencia de cada visitante. Sin embargo, tambin los oblig a cumplir con
14

LESSIG, Lawrence. Code Version 2.0. New York: Basic Books, 2006. p. 62. 6

las normas de todos y cada uno de los sitios desde los cuales se accede a su servicio y le permiti a las cortes, cuando lo consideren necesario, poder solicitar la informacin de procedencia geogrfica de determinado usuario de un servicio. Esta es la razn, por ejemplo, por la cual empresas como Google concurren en mercados tan restrictivos como China y en cabal cumplimiento con las normas legales. 2.2. Una red de usuarios con nombre propio

Al inicio, tuvimos muchas computadoras conectadas y personas usndolas en forma descoordinada para descargar informacin. Entonces llegaron el correo electrnico, el chat y, recientemente, la Web 2.0. Un nuevo abanico de herramientas permita a las personas en todo el mundo aprovechar la infraestructura de comunicaciones para estar permanentemente conectada, convirtiendo al mercado en una gran conversacin15 . En esta conversacin, el producto estrella eran las redes sociales y, dentro de ellas, Facebook. El lanzamiento de Facebook Social y su protocolo Open Graph16 termin por convertir a la marca Facebook en omnipresente. Que todos naveguemos por Internet conservando nuestras identidades de Facebook convierte a la red social en un componente articulador de la Internet, semejante a un sistema centralizado de identidad. En esa misa poca, el creador de Facebook dijo expresamente que Facebook pretenda construir una red donde lo social sea el ajuste o condicin por defecto17 . Qu nos quera decir con eso? Hoy en da, Facebook acumula una gran cantidad de informacin de sus usuarios. Esta informacin es de todo tipo: gustos musicales, nmeros
15

Una lectura peruana del advenimiento de la Web 2.0 puede revisarse en RODRIGUEZ LOBATN, Antonio. Hazas de Suerte, Panpticos y Avatares, Propiedad, Intimidad y Contratos en la Web 2.0. En: El impacto de las innovaciones tecnolgicas en el Derecho Privado. Alfredo F. Soria (Compilador). Lima: Fondo Editorial de la Universidad Peruana de Ciencias Aplicadas, 2009. pp. 235-284. Protocolo de Facebook mediante el cual pueden integrarse ciertos elementos de la red social (como la posibilidad de hacer comentarios a un elemento o agregar Likes) a cualquier pgina web. SCHONFELD, Erick. Zuckerberg: We Are Building A Web Where The Default Is Social. En: TechCrunch (blog). 21 de abril de 2010. URL: <http://techcrunch.com/2010/04/21/ zuckerbergs-buildin-web-default-social/>. Consultado: 19 de abril de 2011. 7

16

17

telefnicos, cantidad de amigos, pasatiempos, adscripciones polticas. Si esa informacin fuese solo un texto plano (como lo puede ser el texto de un comentario en una foto) tendra poco valor. Hace tiempo Facebook convirti esa informacin en hipervnculos que, al seguirlos, activaban una bsqueda que nos mostraba a otras personas que compartan ese mismo inters. Eso tiene un valor agregado para el usuario, quien podr contactarse con gente con la que comparte intereses y para cualquiera que, usando el motor de bsqueda de Facebook, quisiera encontrar un pblico para anunciar un producto o servicio. Recientemente, Facebook convirti esa informacin en nodos de red con entidad propia (denominadas Conexiones), similares a las Pginas y a los Grupos. A la vez, modific su poltica de privacidad para arrogarse el control de esa informacin y hacerla pblica por defecto. Es decir, los datos que no tenan ningn valor ahora tienen un valor inmenso ya que acompaan tu identidad y se reflejan en el resto de pginas que visitas. Sobre este cambio, volveremos en la siguiente seccin. Cuando Facebook habla de hacer una red donde lo social sea el ajuste por defecto, habla de una en donde todas las pginas puedan ofrecer contenidos en funcin de mis intereses, mi gnero o las redes a las que pertenezco (todos estos datos ahora pblicos). Al mismo tiempo, habla de que cualquier elemento en Internet pasa a ser un elemento de Facebook. Una entrada en Internet Movie Database, un artculo en un blog o un video de Youtube podrn ser comentados o valuados como si estuviesen en la propia red social y con la identidad que el usuario tienen en sta. Si bien, cierta informacin no se comparte directamente con terceros (ej. una pgina no tiene forma de saber quines recomiendan sus artculos, solo cuntos son), la idea de ir dejando un rastro trazable de toda la actividad en lnea ya no un IP, sino todo un paquete de informacin nos devuelve a una vieja discusin de los primeros aos de la masificacin de Internet: necesitamos redes annimas o redes de usuarios con nombre propio? Antes se pensaba que el comportamiento en Internet no se poda regular porque era una red que no necesitaba de una identificacin personal para acceder a ella, al estar compuesta por protocolos abiertos y no propietarios. Pero esta condicin era una funcin de su cdigo ya que, como sealbamos citando a Lessig, una red poda ser modificada de forma tal que requiera identificacin

para acceder a ella. Una red ms identificable no solo le interesara al Estado (que vera facilitada la tarea de hacer cumplir las leyes), sino tambin a los agentes comerciales (quienes podran saber quin entra a sus tiendas o evitar fraudes de identidad). Esa es la razn por la cual constantemente se exige estar registrado para realizar actividades sensibles como transacciones comerciales en lnea o, al entrar a un sitio de bebidas alcohlicas, se pregunta la fecha de nacimiento. Los agentes han creado, con mayor o menor xito, sistemas de identidad para poder saber quines los visitan ya sea a travs de sistemas manuales o cookies. Aqu es donde Facebook entra y les ofrece la posibilidad de acceder a todos los gustos, sabores y colores de las preferencias de sus usuarios a costo cero. El sueo de una red de usuarios con nombre propio ha sido soado muchas veces y desde hace mucho tiempo (podemos citar ejemplos como CompuServe, AOL, OpenID o Google, quienes en distintas formas intentaron que sus usuarios porten la identidad de su servicio durante toda su navegacin). Es difcil determinar si Facebook est cerca de lograrlo. Dada la gran cantidad de usuarios que tiene, la implementacin del Open Graph ha sido generalizada. Ms all del xito que llegue a tener en el tiempo, es un signo elocuente de que nos acercamos progresivamente hacia una Internet donde los usuarios cargan permanentemente su identidad en lnea. Una Internet, por ende, mucho ms regulable: con las consecuencias positivas y negativas que ello pueda acarrear. III. 3.1. Lo privado y lo pblico segn Facebook Polticas de privacidad de Facebook

En su afn por hacer de lo social el ajuste por defecto, Facebook ha cambiado numerosas veces sus polticas de privacidad. Se han contado hasta seis etapas distintas entre 2005 y 2010 en las que progresivamente Facebook ha ido modificando los trminos de su servicio y haciendo pblicos datos inicialmente privados18 . El nmero de usuarios de su servicio, sin embargo, ha crecido

18 OPSAHL, Kurt. Facebook's Eroding Privacy Policy: A Timeline. En: EFFs Deeplinks (blog). 28 de abril de 2010. URL: <https://www.eff.org/deeplinks/2010/04/facebook-timeline>. Consultado: 19 de abril de 2011. 9

exponencialmente durante ese mismo perodo. Se calcula que el 50% de sus usuarios entran al menos una vez al da al sitio19 , lo que ha puesto a la empresa en una curva ascendente que parece no tener lmites. Sus casi dos mil millones de dlares en utilidades por publicidad al 2010 as lo confirman20 . Acaso la privacidad de los datos personales ha dejado de importarnos? Facebook est escribiendo los estndares de privacidad que regirn esta dcada? Podramos formular a esta hiptesis la siguiente observacin, que bien vale para el resto del presente trabajo. Quien no quiere correr el riesgo de que sus informacin privada sea expuesta pblicamente, se abstiene de publicarla en la red social. Completamente cierto. Pero quien decide hacerlo, sin embargo, no renuncia inmediatamente al control sobre sus datos sino que se sujeta a un contrato, expresado en los Trminos del Servicio y la Poltica del Privacidad de Facebook. El problema es que este contrato de adhesin viene siendo modificado unilateralmente por Facebook al punto de decir exactamente lo contrario de lo que deca hace pocos meses. La siguiente tabla incluye la primera versin de las Polticas de Privacidad y sus tres ltimas modificaciones.
Fecha 2005 Contenido

Ninguna informacin personal que enves a Thefacebook estar disponible para los usuarios de la pgina que no pertenezcan a alguno de los grupos especificados por ti en tus ajustes de privacidad. Noviembre de 2009 Facebook est diseado para hacer ms fcil que compartas tu informacin con quien quieras. T decides la cantidad de informacin que te sientes a gusto compartiendo en Facebook y controlas cmo se distribuye a travs de la configuracin de privacidad. Debes de revisar la configuracin de privacidad por defecto y cambiarla, si es necesario, para reflejar tus preferencias. Diciembre de 2009 Ciertas categoras de informacin como tu nombre, foto de perfil, lista de amigos, pginas de las cuales eres fan, gnero, regin geogrfica y redes a las que perteneces son consideradas como pblicamente disponibles para todos, incluyendo las Aplicaciones autorizadas, y, por ende, no tienen ajustes de privacidad. Sin embargo, puedes limitar la posibilidad de que otros encuentren esa informacin a travs de bsquedas mediante los ajustes de privacidad para bsquedas.

19 Segn informacin publicada por la propia empresa en su portal institucional. URL: <http:// www.facebook.com/press/info.php?statistics>. Consultado: 19 de abril de 2011.
20

ODELL, Jolie. Facebooks Ad Revenue Hit $1.86B for 2010. En: Mashable (blog). 17 de enero de 2011. URL: <http://mashable.com/2011/01/17/facebooks-ad-revenue-hit-1-86bfor-2010/>. Consultado: 20 de abril de 2011. 10

Abril de 2010 (ver- La informacin configurada como todos est disponible pblicasin vigente) mente, como tu nombre, foto de perfil y conexiones. Dicha informacin permanece accesible y visible para todo aquel que entre en internet (incluidas las personas no registradas en Facebook), queda sujeta a indexacin por parte de motores de bsqueda de terceros y puede ser importada, exportada, distribuida y redistribuida por nosotros y otros sin limitaciones de privacidad. Dicha informacin puede asociarse contigo, incluido tu nombre y fotografa de perfil, incluso fuera de Facebook, por ejemplo, en motores de bsqueda pblicos y cuando visites otros sitios de Internet. La configuracin de privacidad predeterminada para ciertos tipos de informacin que publicas en Facebook est establecida en todos. Puedes revisar y modificar la configuracin predeterminada en tu configuracin de la privacidad. Si eliminas el contenido compartido con "todos" previamente publicado en Facebook, lo borraremos de tu perfil de Facebook, pero no podemos controlar su uso fuera de Facebook. () Cuando te conectas a una aplicacin o sitio web, stos tendrn acceso a Informacin general sobre ti. El trmino Informacin general incluye tu nombre y los nombres de tus amigos, fotografas de perfil, sexo, identificador de usuario, conexiones y cualquier contenido compartido usando la configuracin de privacidad Todos. () Si la aplicacin o el sitio web desea acceder a otros datos, tendr que pedirte permiso.
Fuente: Electronic Frontier Foundation, Facebook / Traduccin propia

Por tanto, al da de hoy, respecto de su Informacin General, un usuario puede elegir que otros usuarios de la red social no la vean pero no est en posibilidad de restringir a Facebook el intercambiarla con otras pginas y aplicaciones. Salvo, claro, que elimine esa informacin de Facebook. 3.2. Respuesta a las polticas de privacidad de Facebook Pese a estos cambios, el crecimiento de Facebook en nmero de usuarios y visitas ha seguido. De hecho, desde que introdujo el protocolo Open Graph e hizo los cambios en abril de 2010, gan diez millones de usuarios nuevos durante el mes siguiente21 y esta cifra sigue creciendo. El ltimo dato que se tiene del nmero de usuarios de Facebook asciende a 500 millones de usuarios22. Detrs de este fenmeno podran existir dos tipos de causas: Un primer grupo de usuarios de Facebook no ha comprendido bien los cambios y lo que stos significan para su privacidad porque no los ha
21

HEMPEL, Jesse. What backlash? Facebook is growing like mad. En: Fortune. 17 de mayo de 2010. URL: <http://tech.fortune.cnn.com/2010/05/17/what-backlash-facebook-is-growinglike-mad/>. Consultado: 11 de abril de 2011. Segn lo reportado por la propia compaa en su pgina web al mes de abril de 2011. URL: <http://www.facebook.com/press/info.php?statistics>. Consultado: 19 de abril de 2011. 11

22

ledo. En su versin en espaol, las Polticas de Privacidad de Facebook hacen ms de 6000 palabras. Aunque la empresa se ha esforzado en comunicar estos cambios en forma sencilla, probablemente estos usuarios encuentren engorroso leer las Polticas de Privacidad o no lleguen a comprenderlas. Otro grupo de usuarios, conociendo los cambios, ha seguido prefiriendo el servicio porque no les importa que dicha informacin sea pblica. O quizs s les importa pero valoran ms el continuar perteneciendo a la red social, lo que significa que les importa poco. Sospecho que esta sera la reaccin de la mayora de usuarios del primer grupo si llegaran a conocer las Polticas. Facebook recibi similares crticas cuando incluy el News Feed de actividad reciente de tus contactos (cmo as Facebook va a empezar a comunicar mi actividad a mis contactos sin mi permiso?, se preguntaban todos). Hoy en da, nadie puede concebir Facebook sin esa funcin y ha sido incorporada tambin en otras redes sociales. Es probable que lo mismo llegue a pasar con este tipo de informacin, pese a la presin de la Comunidad Europea y de algunos senadores estadounidenses. La gran pregunta es si Facebook est cambiando nuestros lmites entre lo privado y lo pblico, imponindonos la apertura que conviene a su modelo de negocio, o si somos nosotros los que estamos desarrollando nuevas formas de relacin en las que entendemos que estos datos ya son pblicos y Facebook simplemente se adapta a esto. 3.3. La redefinicin de la privacidad como un fenmeno social La era de la privacidad ha terminado dijo en enero de 2010 Mark Zuckerberg y aadi que, si inventara Facebook de nuevo, toda la informacin sera pblica por defecto23. Para Zuckerberg, de veintisiete aos, los cambios en
23

Kirkpatrick, Marshall. Facebook's Zuckerberg Says The Age of Privacy is Over. En: ReadWriteWeb (blog). 9 de enero de 2010. URL: <http://www.readwriteweb.com/archives/ facebooks_zuckerberg_says_the_age_of_privacy_is_ov.php>. Consultado: 19 de abril de 2011. 12

sus Polticas de Privacidad solo reflejan la nueva forma que tiene la gente de conectarse. Como ellos lo ven, sus Polticas solo se han ajustado a la dinmica del intercambio de informacin e interaccin actual. Comunidades sustentadas en la comparticin como Tumblr, Twitter y ccMixter nos han demostrado que, para muchos, el nuevo paradigma es que todos puedan usar el contenido de todos24 . Por qu no podra darse una flexibilizacin similar en la privacidad? No sera la primera vez que la tecnologa modifique las normas sociales. Sospecho que Facebook est lejos de ser un agente pasivo en esta revolucin de lo pblico y lo privado. Henry Ford deca que, si l le hubiese preguntado a sus consumidores, ellos habran pedido tener un caballo ms veloz. La nueva privacidad es un producto de un sistema compuesto por: (i) la apuesta de Facebook, (ii) la respuesta de sus usuarios, y (iii) la regulacin legal sobre privacidad. Por lo dems, nada muy distinto de la forma en la que se ajustan las condiciones en cualquier otro mercado competitivo (porque es competitivo, otra cosa es que Facebook tenga una buena cuota de mercado pero los usuarios tienen toda la chance de elegir otros servicio idnticos). Facebook va a seguir presionando para lograr mayor apertura porque eso conviene a su negocio y dejar de hacerlo cuando sus hoy 500 millones de usuarios empiecen a abandonar su servicio o cuando el sistema legal se lo prohba. En este tira y afloja, es importante que los usuarios comprendan a qu estamos renunciando cuando compartimos informacin en Facebook y pensemos si nos sentimos cmodos con ello. El sistema legal de Estados Unidos (donde se almacena la informacin) permite que el manejo de datos privados se regule por los trminos del contrato y no intervendr hasta que Facebook no incumpla el contrato (escenario lejano, si puede cambiarlo casi a su antojo). La interaccin entre los usuarios y el sistema legal podra darse si un Estado solicita a Facebook entregarle cierta informacin privada y Facebook se ve obligado a revelarla (bajo la legislacin posterior al 11 de Septiembre es totalmente posible). Los usuarios, frente a este nivel de exposicin y compromiso, tambin podran responder negativamente abandonando el
24 Sobre esta idea, puede revisarse: REVOREDO, Abel. Un Nuevo Paradigma: Todos Pueden Usar Mi Contenido?. En: Blawyer.org (blog). 1 de junio de 2009. URL: <http:// www.blawyer.org/2009/06/01/un-nuevo-paradigma-todos-pueden-usar-mi-contenido/>. Consultado: 22 de abril de 2011. 13

servicio. Bajo esta perspectiva, no tendremos un sistema de privacidad esttico sino dinmico. Pero, al ser producto de un sistema del que somos parte, tambin nos asegura un poder de participacin nada desdeable. IV. Regulacin del tratamiento de datos personales y publicidad basada en identidad 4.1. De cmo nuestros datos personales estn cambiando la industria de contenidos Google y Facebook son dos de las empresas ms rentables del mundo. Estas empresas tienen algo en comn, que las diferencia de viejos gigantes de la bolsa como General Electric, AT&T o la propia Microsoft: son gratuitas para sus usuarios. No nos cobran por usar el correo, ni por almacenar nuestras fotos, ni por ver videos en Youtube. Su nica y jugossima fuente de ingresos es la publicidad. Para cualquier anunciante, la inversin en publicidad est directamente relacionada con la posibilidad de que sea vista por su pblico objetivo, los clics hechos y la rentabilidad que ello le pueda generar. Si los medios en los que anuncian son capaces de asegurar que el pblico objetivo del anunciante ver su publicidad, el anunciante estar dispuesto a pagar ms y los medios (Google o Facebook) podrn mejorar sus servicios y se asegurarn de colocar publicidad poco intrusiva. Tener acceso a la informacin personal de sus usuarios, por ende, no solo beneficia su negocio sino que tambin beneficia a sus usuarios, quienes siguen disfrutando de los servicios en forma gratuita. Pero esto no es nada nuevo. En el mundo analgico, quien anuncia a en una revista como Gaceta Constitucional quiere llegar a un pblico distinto de quien anuncia en la revista Magaly TeVe. A menudo, cuando consumimos un determinado producto o servicio estamos revelando mucha informacin sobre nosotros y esto le permite a un anunciante mejorar identificar a su pblico objetivo y elevar la eficacia de su publicidad. Durante los primeros aos de Internet, esto resultaba complicado porque un sitio web saba relativamente poco sobre sus visitantes. El no saber quin y dnde ver una publicidad fue

14

siempre una traba para el financiamiento de los servicios en lnea. Entonces aparecieron las ventanas emergentes de mil colores y los sitios web que inducan con falsas promesas al usuario a hacer clic en sus anuncios. La buena noticia es que la materializacin del sueo de una red de usuarios con nombre propio como la de Facebook, por el contrario, est permitiendo que servicios de calidad como Gmail o Twitter sean gratuitos (y rentables). De hecho, esta podra ser la solucin al gran problema del financiamiento de las industrias de contenidos en Internet. Pensemos en Spotify, una aplicacin que permite acceder a una biblioteca de ms de ocho millones de canciones sin necesidad de descargarlas y en ptima calidad. Existe un servicio gratuito y uno de pago. El gratuito est financiado por publicidad, que se muestra en la pantalla como un banner y se escucha por veinte segundos cada cierto nmero de canciones. Nuevamente, la informacin que recolecta la empresa sobre nuestra localizacin geogrfica, hbitos de escucha y su reciente integracin con Facebook le permite subir el costo de sus anuncios y financiar su servicio retribuyendo a las discogrficas y artistas. Cada vez un nmero mayor de servicios empiezan a ver este modelo como viable (ej. Hulu, Lala, entre otros). 4.2. Regulacin de datos personales y publicidad basada en identidad Conforme crece la demanda de contenidos en Internet y sus aplicaciones se hacen ms sofisticadas, surgen modelos de negocio cuyo ingreso se sustenta en ofrecer publicidad dirigida a grupos de consumidores especficos seleccionados utilizando la informacin que poseen de ellos como edad, gustos, ciudad. Para Picker, cuando la regulacin establece que ciertos agentes pueden usar la informacin libremente y otros estn sujetos a una serie de obligaciones legales para hacerlo, modificamos sustancialmente el equilibrio competitivo de un mercado25 . Sin embargo, precisa, eso no significa que debamos construir nuestra regulacin desprotegiendo por completo a los usuarios. Por el contrario, la apuesta es por disear un marco legal que propicie el equilibrio

25

PICKER, Randal. Online Advertising, Identity and Privacy. University of Chicago Law & Economics, Olin Working Paper No. 475. URL: <http://ssrn.com/abstract=1428065>. Consultado: 18 de abril de 2011. 15

entre el uso de informacin personal con fines comerciales y el derecho de los usuarios. En este escenario, segn Picker, importa mucho dnde se coloque la regulacin sobre privacidad frente a la publicidad basada en identidad y en comportamiento del usuario, al ser un mecanismo de financiamiento privilegiado. El modelo de regulacin clsico, pensado para casos como el envo de publicidad no deseada, impide a las empresas utilizar la informacin de sus usuarios sin su consentimiento previo. Pero nuevos usos de esa informacin, como mostrar publicidad basada en identidad, nos hacen replantearnos este modelo si tenemos en cuenta que financia la mayora de contenido gratuito y, cuando no lo hace, puede ser til ver publicidad basada en su perfil (ej. las recomendaciones de compra Amazon). La pregunta es si dicho permiso debe ser un ajuste por defecto y con opcin a restringirlo por parte del usuario del servicio (sistema opt-out) o un ajuste que el usuario podra implementar manualmente si lo desea (sistema opt-in). 4.3. Modelos regulatorios En Estados Unidos, la Federal Trade Comission ha emitido cuatro principios de autorregulacin para la publicidad basada en identidad y comportamiento (como la de Facebook o la de Google, si usa mi historial de bsquedas anteriores) invocando a las empresas a transparentar sus prcticas al respecto, obtener autorizacin expresa siempre que se trate de datos sensibles (salud, finanzas) o cambie sus polticas y tomar las medidas de seguridad razonables para proteger los datos26 . Sobre la pregunta del ajuste por defecto, ha optado porque los servicios puedan usar sistemas opt-in u opt-out y que sean los usuarios quienes modifiquen sus preferencias de consumo segn el sistema con el cual se sientan ms cmodos. Se ha excluido expresamente de estos principios los supuestos de publicidad de la propia empresa y la publicidad contextual (ej. AdWords) porque considera que, en estos casos, no hay potenciales brechas de privacidad.

26

Federal Trade Comission Staff Report. Self Regulatory Principles For Online Behavioral Advertising. Febrero de 2009. URL: <http://www.ftc.gov/os/2009/02/ P085400behavadreport.pdf>. Consultado: 18 de abril de 2011. 16

Por su parte, la Unin Europea ha sealado que los buscadores y los servicios de redes sociales deben de ajustar sus polticas por defecto en forma respetuosa de la privacidad de los usuarios (privacy-friendly manner). Es decir, se ha indicado claramente que los proveedores de contenidos y servicios deben de implementar un sistema opt-in para recolectar informacin. Picker reconoce que este sera el modelo ms adecuado para el mercado y cree que existen las herramientas para que las empresas puedan incentivar a sus usuarios a cambiar su configuracin por defecto hacia una que permita la privacidad basada en conducta. Elegir un sistema opt-in, a la vez, protege los datos personales de los usuarios que no desean compartirlos. Lo que resulta de la concurrencia de ambos modelos regulatorios en un mercado internacional como Internet es una situacin inicial de desventaja entre competidores. De un lado Facebook, con base en Estados Unidos, puede programar por defecto que podr usar la informacin de sus usuarios para mostrarle publicidad dirigida. Del otro, Tuenti, un servicio de red social espaol competidor suyo, no podr aplicar ese ajuste por defecto y necesitar de la autorizacin expresa de sus usuarios. Como es evidente, esta diferencia de tratamiento pone en mejor posicin a Facebook que a Tuenti. La posibilidades de xito de la segunda depender de su capacidad para persuadir a sus usuarios. Picker cree que existen buenos incentivos para que los usuarios elijan revelar su informacin personal. Una Internet de consumidores identificados aumenta la posibilidad de que se haga clic en los anuncios y se puede cobrar ms por ellos. Una red de usuarios annimos relativiza esa posibilidad y es necesario incrementar la cantidad de anuncios, perjudicando la experiencia del usuario, o termina haciendo inviable el negocio. Con un nivel de informacin adecuada sobre sus beneficios (menos publicidad, anuncios ms relevantes), no sera muy difcil que los usuarios acepten que su informacin no sensible sea utilizada por los proveedores de contenidos para ofrecerle publicidad dentro del mismo servicio y mejorar su experiencia del servicio.

17

4.4. Propuesta de regulacin en Per En nuestro pas, el Proyecto de Ley de Proteccin de Datos Personales27 no sera aplicable a cualquier servicio que trate los datos personales fuera de Per, segn su Artculo 3, con lo que Facebook o Google quedan fuera del mbito de aplicacin (la normativa europea, en cambio, reconoce expresamente que podra aplicarse a quienes tratan datos en otras jurisdicciones)28 . La Poltica de Privacidad de Facebook claramente seala que: Al utilizar Facebook, das tu consentimiento para que tus datos personales sean transferidos y procesados en Estados Unidos29 . En el caso de servicios que traten datos personales en Per, el artculo 18 del Proyecto seala que si los datos personales son recogidos en lnea a travs de redes de comunicaciones electrnicas, las obligaciones informacin sobre la forma en la que se utilizarn los datos personales al usuario podrn satisfacerse mediante la publicacin de polticas de privacidad, que sern accesibles e identificables fcilmente30 .
27

Me re ero al Proyecto de Ley de Proteccin de Datos Personales presentado por el Poder Ejecutivo al Congreso de la Repblica en junio de 2010, de nmero 4079/2009-PE. A la fecha en la que se escribe este artculo, dicho Proyecto de Ley ha recibido el dictamen aprobatorio de la Comisin de Justicia y Derechos Humanos del Congreso de la Repblica y espera su discusin en el Pleno del Congreso. Proyecto de Ley de Proteccin de Datos Personales, Artculo 3. mbito de aplicacin. Esta ley es de aplicacin a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administracin pblica y de administracin privada, cuyo tratamiento se realice en el territorio nacional. Poltica de Privacidad de Facebook. Seccin 8. URL: <http://www.facebook.com/ policy.php>. Consulta: 19 de abril de 2011. Proyecto de Ley de Proteccin de Datos Personales, Artculo 18. Derecho de informacin. El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequvoca y de manera previa a su recopilacin, sobre la nalidad para la que sus datos personales sern tratados; quines sern o podrn ser sus destinatarios, la existencia del banco de datos en que se almacenarn as como la identidad y domicilio de su titular y, de ser el caso, del encargado del tratamiento de sus datos personales; el carcter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conservarn sus datos personales; y, la posibilidad de ejercer los derechos que la ley le concede. Si los datos personales son recogidos en lnea a travs de redes de comunicaciones electrnicas, las obligaciones del presente artculo podrn satisfacerse mediante la publicacin de polticas de privacidad, las que debern ser fcilmente accesibles e identi cables. 18

28

29

30

Segn el Proyecto, servicios de redes sociales como El Comercio o La Mula solo necesitaran de la autorizacin del usuario (que puede darse junto con la suscripcin al servicio) y no est obligado a ajustar por defecto su gestin de datos a un sistema opt-in u opt-out. En sus polticas de privacidad podra incluir que por defecto toda la informacin de los usuarios necesaria para mostrarle publicidad basada en su identidad y conducta. No habra problema mientras le de la oportunidad al usuario de cambiar posteriormente ese ajuste. Se trata, por tanto, un modelo ms parecido al que ha adoptado la FTC en Estados Unidos que al de la Unin Europea. Creo que si lo que queremos es que crezca el mercado de servicios peruanos en Internet, esta parece ser la regla ms adecuada en tanto permite que las empresas nuevas puedan acceder a financiamiento a travs de publicidad basada en perfiles y que ello sea un ajuste por defecto en su servicio. Cualquier brecha de privacidad o uso no autorizado por las Polticas, sin embargo, siempre podr ser reclamado administrativa o judicialmente. V. Proteccin del Derecho a la Privacidad en Internet

Lo relatado hasta ahora podra haber escandalizado a cualquier constitucionalista del siglo pasado. El hablar de mercado, privacidad y derechos fundamentales en un mismo prrafo le hubiese parecido un absoluto sacrilegio. Sin embargo, este es el escenario que se nos presenta y, como operadores del derecho, poco podemos hacer para moralizar el mercado. Corresponde, ahora, hacerse la pregunta de cmo proteger el derecho a la privacidad en las redes sociales. Al hablar de vulneracin del derecho a la privacidad en entornos digitales como Facebook hablamos de una multiplicidad de escenarios, donde cada uno presenta una problemtica distinta. De un lado, tenemos los casos en los que la propia red social puede incurrir en una brecha de privacidad no autorizada. Recordemos que todo usuario de Facebook es suscriptor de un contrato mediante el cual le otorga al servicio de

19

red social el acceso a una serie de datos personales que el mismo individuo elige compartir y le otorga la autorizacin para compartir estos datos con una serie de agentes con los que el usuario mismo elige vincularse (ej. Aplicaciones y Pginas). Si Facebook incurren en una violacin de su Poltica de Privacidad, incurrir en un incumplimiento contractual. En este caso, tiene habilitada la va jurisdiccional para reclamar los daos generados por dicho incumplimiento. Sin embargo, tendr que llevar a cabo este proceso en Estados Unidos ya que, conforme a la Seccin 15 de la Declaracin de Derechos y Responsabilidades de Facebook31 , todo usuario del servicio se somete voluntariamente a la jurisdiccin del Condado de Santa Clara en el Estado de California. Una segunda va es reclamar la vulneracin de su derecho a la privacidad de datos. Por tanto, tendra que iniciar un proceso de hbeas data en Per contra Facebook con la finalidad de impedir que se comparta su informacin con personas o empresas distintas a las que el usuario a autorizado. Creemos que, conforme al artculo 51 del Cdigo Procesal Constitucional, sera competente el Juez Civil o Mixto del lugar donde se afect el derecho, o donde tiene su domicilio principal el afectado, a eleccin del demandante. Lo mismo sucedera si se determina que quien est incurriendo en la brecha de privacidad es un tercero que tuvo acceso autorizado a la informacin compartida por el usuario a travs de Facebook, en cuyo caso tendra que interponerse la demanda ante este tercero. Por otro lado, estn los casos en los que un individuo vea afectado su derecho a la vida privada a travs de la publicacin de fotos o videos que violen su intimidad. En estas situaciones, Facebook se ha excusado de toda

31

Declaracin de derechos y responsabilidades, Seccin 15, Con ictos. 1. Resolvers cualquier demanda, causa de accin o con icto (colectivamente, "demanda") que tengas con nosotros surgida de o relacionada con la presente Declaracin o con Facebook exclusivamente en un tribunal estatal o federal del condado de Santa Clara. Las leyes del estado de California rigen esta Declaracin, as como cualquier demanda que pudiera surgir entre t y nosotros, independientemente de las disposiciones sobre con ictos de leyes. Aceptas dirigirte a la competencia por razn de la persona de los tribunales del condado de Santa Clara, California, con el n de litigar dichas demandas. 20

responsabilidad32 y, en principio, deber de dirigirse la accin jurisdiccional penal (por violacin de intimidad) o constitucional (proceso de amparo) contra quien subi o public la fotografa. Ser un caso complicado, sin embargo, probar que fue efectivamente esa persona quien subi el contenido y no un tercero con acceso a la contrasea. En un caso parecido, recientemente, la Corte Suprema de Chile ha resuelto un recurso de proteccin (similar al amparo) interpuesto contra una persona que subi la fotografa de dos menores a Facebook y ha ordenado su retiro a quienes la subieron33 .

32

Declaracin de derechos y responsabilidades, Seccin 15, Con ictos. 3. Intentamos mantener Facebook en funcionamiento, sin errores y seguro, pero lo utilizas bajo tu propia responsabilidad. Proporcionamos Facebook "tal cual" sin garanta alguna expresa o implcita, incluidas, de manera enunciativa pero no limitativa, las garantas de comerciabilidad, adecuacin a un n particular y no contravencin. No garantizamos que Facebook sea seguro. Facebook no se responsabiliza de las acciones, el contenido, la informacin o los datos de terceros y por la presente nos dispensas a nosotros, nuestros directivos, empleados y agentes de cualquier demanda o daos, conocidos o desconocidos, derivados de o de algn modo relacionados con cualquier demanda que tengas interpuesta contra tales terceros. (nfasis agregado) Corte Suprema de Chile. Recurso 9301/2010. Resolucin 5133. 28 de enero de 2011. URL: <http://dl.dropbox.com/u/199729/r5301.pdf>. Consulta: 20 de abril de 2011. 21

33

Este obra est bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 2.5 Per.

22