Para quien acostumbre a tomar transporte público o caminar por la ciudad, ya conoce mil y una maneras de esconder sus objetos personales y de moverse entre personas que pueden ser tanto amigos como enemigos. Miramos a todos con desconfianza y nos aferramos a nuestros celulares como si toda nuestra vida se escondiera en aquel diminuto objeto. Y con razón, porque, hoy en día, ni el más escondido rincón de nuestra alcoba esconde tantos secretos como nuestro celular.
No es un secreto que la seguridad es uno de los grandes problemas de Bogotá. Aproximadamente, 57 celulares son hurtados diariamente en Bogotá y cada dos minutos se roban un celular en el país; por tanto, el gobierno decidió actuar con un sistema de registro de celulares que busca identificar qué celulares han sido robados y siguen circulación. Pero para la Fundación Karisma, Una organización de la sociedad civil dedicada a apoyar y difundir el buen uso de las tecnologías en los entornos digitales, este sistema no es perfecto y, de hecho, lo que hace es violar los derechos de los usuarios.
El sistema que critica la Fundación Karisma parte del artículo 106 de la Ley 1453 de 2011, el cual definió las condiciones en las que los operadores de comunicaciones debían garantizar que las bandas de los terminales móviles estén desbloqueadas para que el usuario pudiera activarlos en cualquier red. También dio pie para la creación de bases de datos, tanto positivas como negativas, que contuvieran la información de identificación de equipos terminales móviles y la obligación de los operadores de reportar dicha información a la Comisión de Regulación de Comunicaciones.
Este sistema, después del artículo 106, se basa en la identificación de la identidad internacional de equipo terminal móvil (IMEI), el cual es un número único que identifica a cada celular. Este registro gira alrededor de dos listas, la positiva y la negativa, administradas por los operadores de comunicaciones. La lista positiva se alimenta con aquellos IMEI debidamente registrados mientras que la negativa de los IMEI inválidos, sin formato, no homologados, duplicados o no registrados. Además, también existe una base de datos centralizada –llamada BDA– que recoge todos los IMEI en las listas de los operadores. De esta forma, los operadores (Claro, Tigo, ETB, etc.) pueden cruzar información y tener claro que IMEI están debidamente registrados y cuáles no. Así los operadores pueden luchar más efectivamente contra el hurto de los celulares, ya que el IMEI se asocia a varios datos personales: número de identificación, número único del suscriptor, dirección y teléfono del usuario (que son datos que recogen los operadores). Pero lo que es más importante acá es que también se recogen “metadatos”, es decir, datos sobre los datos. Por ejemplo, la ubicación geográfica del dispositivo, la duración de la llamada, el origen y destino de la llamada y el tipo de comunicación. Con esto se busca identificar con mayor precisión el propietario de cada celular.
A primera vista este sistema se ve robusto, fuerte, consolidado. Pero para Karisma no es más que cobre: pulido y brillante, pero al examinarlo con profundidad, sin mucho valor. Primero, el Titular de los datos personales no da su autorización para el tratamiento de estos datos. Si bien el Decreto 1630 de 2011 sí señala específicamente que el IMEI de cada celular debe asociarse con el “número de identificación de cada propietario del equipo”, también se recogen otros datos personales y en el decreto no hay una justificación de la necesidad de cruzar esa información. Para ellos el sistema es maquiavélico, pues las finalidades por las cuales los operadores recogen estos datos son bastante ambiguas y luchar contra el hurto de celulares no justifica tener el control total de las comunicaciones de las personas. Al final, el resultado de no situar a los titulares en el corazón del sistema es la violación al principio de finalidad y libertad del tratamiento de datos personales: informar previamente todos los fines del tratamiento y tratar los datos personales estrictamente necesarios para cumplirlos.
Por si fuera poco, la Fundación advierte que, siguiendo el artículo 15 de la Constitución Política de Colombia, únicamente se puede interceptar las comunicaciones privadas por orden judicial y en los casos en que la Ley lo permita. El Decreto 1630 y la Resolución 3128 de 2011 obliga a los operadores a dar acceso a las autoridades administrativas, policivas y judiciales a las listas tanto positiva como negativa sin cumplir con el artículo 15 superior, lo cual vulnera el derecho a la privacidad. La problemática se agrava por el hecho de que, al tener acceso a los metadatos, las autoridades aumentan su control pues podrían descifrar hábitos de las personas, forma de vida y, eventualmente, crear un perfil de cada titular de datos personales.
Para quienes no hayan leído “1984” de George Orwell, en este universo un Gran Hermano constantemente vigila los hábitos, movimientos y hasta pensamientos de las personas. ¿No les parece que ésta es una situación escalofriantemente parecida al sistema de registro del IMEI? Una vigilancia constante ya no es cosa de un universo orwelliano o de la ciencia-ficción, pero no se preocupe, la Fundación Karisma ataca los miedos de George Orwell proponiendo un modelo en el que cada operador reciba un reporte voluntario de los celulares robados y lo comparta con los demás operadores. Este modelo limita la obligación de los operadores a tener una lista negativa, y así, se garantizaría el derecho a la protección de datos personales de las personas.
Con un celular hurtado cada dos minutos, de acuerdo con Karisma habría que tener 720 órdenes judiciales diarias, 21.600 al mes y 259.200 al año para procesar los miles de ladrones y carteles
La Fundación Karisma hizo un excelente trabajo a la hora de identificar los escollos legales que tiene el actual sistema de registro y verificación de IMEI, pero el trabajo quedó a medias. Se concentraron en recomendar un modelo garantista, lo cual está muy bien, pero relegaron la efectividad del modelo a un segundo plano.
Esto en parte era predecible. En materia de protección de datos personales existen dos modelos –el europeo y el estadounidense–, los cuales doctrinariamente se han analizado como el agua y el aceite. Si bien hay varias diferencias, vale la pena aclarar que el modelo europeo ordena a los responsables del tratamiento a obtener consentimiento previo para tratar todo tipo de datos e informar todas y cada una de las finalidades para las cuales los tratarán. Por su parte, Estados Unidos tiene la Sección 5 de la Ley de la Comisión Federal del Comercio (FTC), la cual prohíbe prácticas comerciales injustas o engañosas; por consiguiente, bajo este modelo no es necesario informarle previamente al titular para qué se tratarán los datos personales, empero, serán sancionados en caso que traten los datos personales para fines no congruentes con la naturaleza del tratamiento.
Colombia sigue el modelo europeo, por lo cual, es claro por qué la Fundación Karisma criticó tanto la falta de garantías del sistema de registro y verificación del IMEI, pero este modelo tiene sus falencias a pesar de su fama. Con un celular hurtado cada dos minutos, de acuerdo con Karisma habría que tener 720 órdenes judiciales diarias, 21.600 al mes y 259.200 al año para procesar los miles de ladrones y carteles. Habría que procesarlos sin más datos que tal vez el número de identificación del propietario del dispositivo y el mismo IMEI. Y mientras se lleva a cabo este arduo proceso, más hurtos se suman a una interminable cadena.
Que no me oigan aquellos maestros de pregrado y maestría que me inculcaron las bondades del modelo europeo en protección de datos personales, pero viendo esta situación, le veo el encanto al modelo estadounidense. Sí, es necesario coordinar acciones con entidades de otros países, como bien lo nombra la Fundación Karisma. El hurto de celulares se compone de criminales individuales y de carteles transfronterizos que exportan los dispositivos y los venden en otros países, por lo que la existencia de convenios y acuerdos que faciliten el enjuiciamiento y sanción de estas conductas punibles son indispensables. Sin embargo, mantener la administración y alimentación de la lista positiva también se debe mantener. Claro, las medidas de seguridad deben ser escrupulosas y el acceso por parte de terceros debe ser restringido, pero, dado que la duplicación de IMEI es bastante común, datos personales contenidos en esta lista pueden llegar a ser útiles.
Igualmente, los principios de limitación de los fines y minimización de los datos no tienen ningún sentido en un mundo cada vez más hiperconectado. Estos conceptos se basan en la antigua idea de que es posible decidir las finalidades de un tratamiento específico de forma previa, y por ende, saber qué datos serán necesarios para el tratamiento. Con la facilidad de cruzar información y determinar correlaciones entre datos, las finalidades para las cuales se puede usar un dato que beneficie al titular se multiplican; finalidades que previamente no podría vislumbrar el responsable del tratamiento. En este caso, para perseguir ladrones aquí y allá e identificar carteles que se mueven entre fronteras tan rápido como evoluciona la tecnología, el tratamiento de ciertos metadatos puede requerirse. Si se tiene definido el perfil del propietario y súbitamente dichos hábitos cambian, la ubicación geográfica del dispositivo, el origen de la llamada o el tipo de la comunicación se vuelven imprescindibles para realizar una persecución efectiva. En este punto, la adopción del modelo estadounidense es mejor. Si se utilizan los datos personales de los usuarios dentro de un marco definido, manteniendo su seguridad, el sistema de persecución será más efectivo. Si se salen de ese marco, se impondría una sanción. Esta práctica ha demostrado ser positiva en Estados Unidos dadas las sanciones que han sido impuestas a empresas como Google y Facebook. No veo que en este caso tenga que ser diferente.
Lo analizado por la Fundación Karisma es loable, pero es sólo un primer paso en la lucha contra el hurto de celulares. Su miedo a un universo orwelliano es fundado, pero el miedo impide actuar. Así que, Karisma, acepten esta invitación: tomen riesgos, suéltenle un poco las riendas a esta proposición y sean conscientes de los vacíos que tiene nuestra regulación en tratamiento de datos personales.
*Juliana Vargas es abogada con opción en literatura y periodismo de la Universidad de los Andes. Cursó una maestría de Derecho & Tecnología en Tilburg University y su práctica profesional se ha centrado en la aplicación del Derecho en el contexto digital y proyectos de infraestructura.