La demanda de Google a Colombia por la protección de nuestros datos personales

En el Tribunal Administrativo de Cundinamarca se está librando una disputa legal sobre los datos personales de los colombianos, sin que la opinión pública se haya percatado hasta ahora. El Espectador conoció la demanda que presentó Google en la que pide tumbar tres resoluciones emitidas en 2020 y 2021 por la Superintendencia de Industria y Comercio (SIC), durante el gobierno de Iván Duque, en las que se le ordenó cumplir con la ley de tratamiento de datos personales.

En el Tribunal Administrativo de Cundinamarca se está librando una disputa legal sobre los datos personales de los colombianos, sin que la opinión pública se haya percatado hasta ahora. El Espectador conoció la demanda que presentó Google en la que pide tumbar tres resoluciones emitidas en 2020 y 2021 por la Superintendencia de Industria y Comercio (SIC), durante el gobierno de Iván Duque, en las que se le ordenó cumplir con la ley de tratamiento de datos personales.

Lea: Emisiones de carbono de Google aumentaron 48% en cinco años por la IA

Según la demanda, la empresa californiana pide no estar sujeta a las leyes de protección de datos vigentes en Colombia, porque el tratamiento de esa información no se hace en el país, sino que, según Google, está sometida a leyes extranjeras. Las resoluciones demandadas hacen referencia a las cookies, un tipo de ficheros que se alojan en el navegador y reúnen información sobre los usuarios. La SIC afirma que Google, a través de las cookies, ha estado recolectando datos personales de los colombianos sin cumplir la normativa.

En su defensa, Google dijo en su demanda que “la SIC en ningún momento acredita que las cookies impliquen la recolección de información que pueda considerarse como Datos Personales. Si bien con el ejercicio de cookies se recopila información, no necesariamente son Datos Personales y con alta probabilidad no lo son”.

Le podría interesar: Los datos personales que Google puede saber de usted: ¿Cómo eliminarlos?

Sin embargo, para la SIC, esta vez en la era de Gustavo Petro, coincide en decir como en el gobierno Duque que “la utilización de cookies es una modalidad de Tratamiento de Datos Personales debido a que la ley colombiana no distingue la forma ni los mecanismos como se realiza el tratamiento en territorio colombiano, por lo que no le corresponde a la SIC excluir el uso de esas cookies como una de las herramientas por medio de las cuales se puede realizar dicho tratamiento”.

En términos más especializados, es verdad que no todas las cookies son datos personales. Hay mucha información que se guarda en estos ficheros para personalizar la experiencia del usuario cuando utiliza un navegador y visita páginas web. Por ejemplo, hay cookies que registran el idioma para que cuando navegue en internet se le muestren páginas en español o en su idioma. También hay cookies que registran las credenciales de acceso de sus cuentas, de modo que no tenga que ingresarlas cada vez que quiera iniciar sesión. Estas son las llamadas “cookies técnicas”.

Pero también hay cookies que no son técnicamente necesarias, pero se almacenan, por ejemplo, con fines publicitarios. Muchas de ellas registran su ubicación, sus búsquedas en internet, las redes sociales que utiliza y las publicaciones a las que les da “me gusta”. La controversia se centra en las que no son “técnicamente” necesarias.

En respuesta a un mensaje que les enviamos, Google explicó que “las cookies son tecnologías para el funcionamiento del Internet, las páginas web y los computadores. No puede suponerse que por existir cookies, haya tratamiento de datos personales y menos aún que este tratamiento se dé en Colombia”.

El manejo de cookies en Europa

Otro de los argumentos que expuso Google ante el tribunal fue que Colombia, a diferencia de la Unión Europea, no cuenta con una regulación emitida por el órgano competente en la que haya reglas claras respecto de las cookies. Francia es el país que más ha avanzado en la regulación de estos asuntos, y su estándar se generalizó para el resto de la Unión Europea en 2002.

La Comisión Nacional de Informática y de las Libertades de Francia (CNIL) estableció que las empresas de tecnología que utilizan cookies deben obtener consentimiento previo y explícito, y tales consentimientos deben ser granulares. Es decir, que el usuario debe poder activar algunas cookies y negar otras, sin estar obligado a dar su consentimiento para todas o ninguna. Además, el consentimiento debe poder retirarse tan fácilmente como fue otorgado. Por incumplir el estándar europeo, la CNIL ha impuesto sanciones y multas por más de 250 millones de euros a Google, Facebook y Amazon.

Los europeos incluyeron en su normativa una cláusula que obliga a todas las empresas, sin importar su origen, a cumplir la directiva de protección de datos siempre que el usuario esté ubicado en la Unión Europea. Sin embargo, ese principio de extraterritorialidad de la ley no existe en la legislación colombiana y, en opinión de Heidy Balanta, directora de la Escuela de Privacidad en Colombia, es el punto más débil de la regulación vigente.

“Google podría ganar la demanda si el Tribunal acoge su argumento de que no se pueden aplicar leyes colombianas a empresas domiciliadas en el extranjero, pero en realidad la SIC tiene razón. Hace ya tiempo que se estableció que las cookies sí tratan con datos personales, eso es un hecho”, explicó la experta.

Sobre este asunto, los apoderados de Google dijeron que de reconocerse la posibilidad que la SIC ejerza control y vigilancia sobre toda compañía extranjera que utilice cookies en Colombia, “esta debería empezar un proceso en todas las páginas web extranjeras que se pueden acceder desde Colombia, lo que implicaría una extralimitación en sus funciones y una violación de la norma que indica la territorialidad de la ley”, como se lee en la demanda que reposa en el Tribunal Administrativo de Cundinamarca.

Además, la empresa tecnológica dijo que “la SIC omitió pronunciarse sobre las pruebas y argumentos referentes a que Google LLC solicita autorización previa, expresa e informada conforme a las disposiciones legales y tomando las medidas correspondientes de conformidad con la edad y grado de madurez”. El Espectador envió un mensaje a la SIC para entender por qué considera insuficiente el consentimiento que Google solicita de sus usuarios, pero al cierre de esta edición no hubo respuesta.

¿Impuestos, sí, datos, no?

Aunque el principal argumento de Google en su demanda es que no está sujeta a las leyes colombianas de protección de datos, en términos tributarios sí se ha sometido a la normativa local. En noviembre de 2023, el Ministerio de Hacienda emitió el decreto 2039 que establece que “se encuentran sometidos al impuesto sobre la renta y complementarios las personas no residentes, no domiciliadas en el país, con presencia económica significativa en Colombia sobre los ingresos provenientes de la venta de bienes y/o prestación de servicios a favor de clientes y/o usuarios ubicados en el territorio nacional”.

Se entiende que una persona, natural o jurídica, que no reside en Colombia tiene presencia económica significativa cuando interactúa deliberada y sistemáticamente en el mercado colombiano, con clientes o usuarios ubicados en territorio colombiano. El decreto también obliga al pago del impuesto de renta a quienes vendan servicios de publicidad online y cualquier forma de monetización de información o datos de usuarios ubicados en territorio nacional.

Sin embargo, la cartera de Hacienda le abrió la posibilidad a las empresas con presencia económica significativa para que paguen una tarifa menor, solo del 3% sobre la totalidad de los ingresos brutos derivados de la venta de bienes o servicios digitales, desde el exterior, vendidos o prestados a usuarios ubicados en el territorio nacional. Google se acogió a esta disposición, como puede verse en su página web, en donde explica que “a partir de enero de 2024, para cumplir con las leyes locales, Google decidió pagar un impuesto a las ganancias del 3% sobre las ventas brutas a clientes colombianos sin solicitud de retención”.

El Espectador preguntó a Google por qué en términos tributarios ha decidido acogerse a las leyes colombianas, mientras que en asuntos de protección de datos se niega a hacerlo, pero al cierre de esta edición no obtuvo respuesta.

Mientras la demanda de Google se resuelve en el Tribunal Administrativo de Cundinamarca, el tema de la extraterritorialidad de la ley de datos que defiende Google está en capilla de ser debatido en el Congreso. “En la próxima legislatura, que comienza la próxima semana, se van a presentar dos proyectos de ley para avanzar en la protección de datos, y ambos incluyen la posibilidad de obligar a las empresas extranjeras a cumplir la ley local, como lo hacen en Europa”, explicó Balanta.

Consulta más temas de Investigación 🔍📓 de El Espectador aquí.

Si te interesan los temas de Investigación y quieres opinar sobre nuestro contenido y recibir o compartir más información, escríbenos al correo de Natalia Herrera Durán (nherrera@elespectador.com), al de Daniela Quintero (dquintero@elespectador) David Riaño (driano@elespectador.com) y David Escobar Moreno (jescobar@elespectador.com).