“Google, WhatsApp y Tiktok sí están obligadas a cumplir la ley colombiana”: SIC

Luego de que este diario revelara la demanda que Google presentó ante el Tribunal Administrativo de Cundinamarca contra varias resoluciones de la Superintendencia de Industria y Comercio (SIC), que obligan a esa empresa californiana a cumplir la ley colombiana de protección de datos, conocimos los expedientes de otras dos demandas muy similares presentadas por WhatsApp y TikTok en el mismo tribunal.

Luego de que este diario revelara la demanda que Google presentó ante el Tribunal Administrativo de Cundinamarca contra varias resoluciones de la Superintendencia de Industria y Comercio (SIC), que obligan a esa empresa californiana a cumplir la ley colombiana de protección de datos, conocimos los expedientes de otras dos demandas muy similares presentadas por WhatsApp y TikTok en el mismo tribunal.

Los argumentos de las tres empresas son los mismos: que no se les puede aplicar leyes locales a empresas domiciliadas en el extranjero, que la SIC no ha probado que la “cookies” (un tipo de ficheros que se alojan en el navegador y reúnen información sobre los usuarios) hagan efectivamente tratamiento de datos personales, y que en caso de que se trate de datos personales, ese tratamiento no sucede en Colombia. El superintendente delegado para la protección de datos, Grenfieth Sierra, de la SIC, habló en entrevista para El Espectador sobre los argumentos de estas tres gigantes tecnológicas que se enfrentan a Colombia en los tribunales por la protección de nuestros datos personales.

¿Qué opina la SIC de que Google, WhatsApp y Tiktok aseguren que no están sujetas a las leyes colombianas de protección de datos?

Para la SIC es claro que la ley 1851 de 2012, que rige la materia, es de obligatorio cumplimiento para todas las empresas que recolecten datos en Colombia, independientemente de su origen o domicilio. Así se ha interpretado la norma y la SIC ha emitido decisiones basadas en esa interpretación a empresas como Uber y Facebook, que no han sido recurridas, porque tuvieron un término para demandar que ya pasó y entonces las decisiones quedaron ejecutoriadas. No es, de ninguna manera y como lo afirman las empresas demandantes, una extralimitación de funciones, sino el cumplimiento de la misionalidad de la Superintendencia de Industria y Comercio.

Pero ese es uno de los puntos que discuten estas empresas que aseguran que no hacen tratamiento de datos en Colombia, ¿no es así?

Los equipos terminales, como los celulares, tabletas o computadores, están en Colombia. Y una operación, de muchas que se hacen con los datos personales, es la recolección. No importa que otras operaciones se hagan por fuera, al menos la recolección sabemos que se hace en el país. La pregunta no es dónde está la empresa, sino frente a quién se recolectan los datos personales y se recolectan de ciudadanos colombianos, con direcciones IP colombianas, desde el territorio nacional.

¿Cómo sabe la SIC eso? Las empresas argumentan en su demanda que la SIC no ha probado que el hecho de que instalen “cookies” en los navegadores implique necesariamente que se recolecten datos personales.

En su momento, hubo una discusión frente a si las “cookies” extraían datos personales o no. Hoy no hay discusión, en el mundo, porque sí lo hacen. Hay diferentes tipos o finalidades para las cuales usan las “cookies”. Hay unas que son técnicas, necesarias para que funcione la página web, pero también hay “cookies” que registran cuánto tiempo me quedo en una página web, o cuánto tiempo me quedo mirando una foto. El dato personal ahí es el comportamiento en internet, que luego se utiliza para personalizar la publicidad.

Otro argumento que presentan es que la letra de ley 1851 de 2012 no dice específicamente que pueda aplicarse a empresas domiciliadas en el extranjero. ¿Debería decirlo?

Esa también es una discusión sobrepasada en el mundo. La ley no tiene que explicitar si empresas colombianas o empresas extranjeras porque mucho de lo que sucede en internet es, digamos, extraterritorial. Ya muchas autoridades alrededor del mundo han definido que no importa el origen ni el domicilio de la empresa, sino dónde recolecta datos personales. La Ley 1851 es neutral, temática y tecnológicamente. No especifica los mecanismos a través de los que se recolecta los datos, sean “cookies”, inteligencia artificial o el que sea. No es necesario que especifique. Se aplica por igual para todos. Así también con las empresas, toda empresa que recolecte datos personales en Colombia tiene que cumplir lo dispuesto en la Ley 1581, sea china, estadounidense, colombiana o cualquiera.

Aun así, hay consenso en el mundo académico sobre la necesidad de actualizar el marco normativo. La SIC va a presentar un proyecto de ley para modificar la Ley 1851, ¿no es así?

No es un proyecto para modificar la ley 1581, sino para complementarla, para adaptarla a los desafíos de inteligencia artificial y datos. Por ejemplo, se incluye el principio de precaución para el manejo de estas tecnologías disruptivas que tienen un altísimo margen de incertidumbre. Se trata de que la SIC pueda tener las herramientas jurídicas de interpretación y de actuación para identificar potenciales riesgos, aunque no estén incluidos específicamente en el texto de la ley. La tecnología cambia muy rápido y si las leyes especificaran cada mecanismo de recolección de datos que existe, correrían el riesgo de quedarse obsoletas muy pronto.

¿Qué es lo que se incluye con el principio de precaución? ¿Nuevas obligaciones para las empresas que antes no existían?

No, el principio de precaución es bastante amplio, es lo que se conoce como una norma abierta, que no tiene una aplicación plenamente definida, sino que se va a aplicar en la práctica. Viene del derecho ambiental, en materia de riesgos, y ha mutado en los reglamentos europeos e incluso los colombianos. La jurisprudencia constitucional colombiana ya lo ha incluido plenamente, en nuestro ordenamiento, a temas tecnológicos, donde evidentemente el tema del riesgo es consustancial, se da permanentemente. Se aplica con la responsabilidad demostrada, y es decirle a las empresas que demuestren que están actuando conforme a estándares, instrumentos y políticas empresariales orientadas a la protección de derechos de datos. Entonces lo que entraremos a hacer es fortalecer esos mecanismos de precaución, crear instrumentos proactivos como lo hace hoy la Unión Europea.

Pero, ¿qué implicaría para una empresa como Google, WhatsApp o Tiktok la inclusión del principio de precaución en la ley? ¿Que podrían ser sancionadas por no prevenir adecuadamente?

Sí, pero ellos ya lo están viviendo. Por ejemplo, hace unas semanas la autoridad brasileña sancionó a Meta porque está utilizando datos personales para entrenar inteligencia artificial. Las empresas ya conocen estas medidas, no es una novedad para ellas. En Colombia sí resultaría una novedad, pero lo hacemos para ajustarnos a los estándares más altos de protección. Son estándares que ya existen en la Unión Europea, en Ecuador, en Brasil, en Argentina hay un proyecto de ley que hace lo mismo. No estamos proponiendo modificar la 1581 porque sea mala, en realidad ha sido muy buena, simplemente que hace doce años no tenemos la noción de inteligencia artificial como la tenemos hoy, esa conciencia del riesgo. Y la necesitamos en nuestro ordenamiento.

Los representantes Duvalier Sánchez y María Fernanda Carrascal también van a presentar un proyecto de ley para modificar el régimen vigente de protección de datos. ¿Han hablado con ellos? ¿Qué pasa si los dos proyectos chocan en el Congreso?

Ellos ya habían presentado un primer proyecto de ley que retiraron en la legislatura pasada. Hicieron una audiencia pública a la que nos invitaron que fue muy amplia y muy positiva, pero son dos iniciativas distintas. Pero ambos representantes hacen parte de la coalición de gobierno y Carrascal, la autora, es del Pacto Histórico, así que yo creo que no habrá mayor dificultad en conciliar un solo proyecto.

Consulta más temas de Investigación 🔍📓 de El Espectador aquí.

Si te interesan los temas de Investigación y quieres opinar sobre nuestro contenido y recibir o compartir más información, escríbenos al correo de Natalia Herrera Durán (nherrera@elespectador.com), al de Daniela Quintero (dquintero@elespectador), al de David Escobar Moreno (jescobar@elespectador.com) o al de David Riaño (driano@elespectador.com).