Por José Caparroso

El brote del coronavirus ha obligado a millones de colombianos a quedarse en sus casas acudiendo en masa a la plataforma de videoconferencias Zoom, que se usa para desde cumpleaños, hasta para las sesiones del Congreso y a la aplicación de videos cortos TikTok, que se ha propagado como pólvora. Pero el aumento de la popularidad está levantando una ola de escrutinio, particularmente en torno a la privacidad.

Ambas están bajo investigación de varios gobiernos del mundo. En Colombia, el regulador de protección de datos, la Superintendencia de Industria y Comercio (SIC), está indagando si Zoom cumple con la regulación local relativa a los principios de seguridad, acceso y circulación restringida, tratando de determinar, además, si ha implementado el principio de responsabilidad demostrada en el tratamiento de los datos que usan sus servicios.

Un portavoz de Zoom dijo a Forbes que esa compañía se toma “muy en serio” la seguridad del usuario y se compromete a garantizar la privacidad, seguridad y confianza para todos los usuarios. “La compañía se está comunicando con la Superintendencia de Industria y Comercio de Colombia y se enfoca en proporcionar la información que necesitan”, comentó.

Entre tanto, la filial del gigante chino ByteDance TikTok tendrá que responder a las autoridades colombianas si está cumpliendo las normas de recolección y tratamiento de datos personales de niños, niñas y adolescentes, que representan la mayor base de usuarios de la plataforma, que en total son más de 800 millones alrededor del mundo, de acuerdo con Sensor Tower.

Forbes abordó a TikTok pero esa firma no respondió a la solicitud al momento de la publicación de esta historia. El silencio de TikTok es relevante porque el año pasado tuvo que pagar una multa de US$5.7 millones en Estados Unidos, que le impuso la Comisión Federal de Comercio (FTC, por sus siglas en inglés), por haber violado la ley de privacidad de los menores.

Además de la creciente popularidad, Zoom y TikTok tienen más cosas en común: sus sedes principales están en el estado de California (Estados Unidos), pero ninguna de las dos firmas tiene operación directa en Colombia y su relación con este mercado es en su totalidad digital, por lo que cualquier intento de bloqueo atentaría contra la neutralidad de la red.

Fuentes de la SIC explicaron a Forbes que, si una empresa no está domiciliada físicamente en Colombia, pero usa tecnologías en el territorio para recolectar datos, entonces debe cumplir la ley colombiana y si no lo hace, podría ser sancionada con millonarias multas que llegarían hasta 2.000 salarios mínimos.

La ley de protección de datos personales que rige desde 2012 es aplicable en otros países que, por ejemplo, recolectan datos personales en territorio colombiano por medio de las cookies que instalan en equipos o dispositivos de los usuarios de este mercado.

Ese marco regulatorio es aplicable a quien indirectamente que directa o indirectamente, a través de cualquier medio o procedimiento, físico o electrónico, recolecta, usa, almacena o trata datos personales en el país.

Relacionado: Usuarios en Colombia, sus datos no están en buenas manos

María Mercedes Díaz, managing parter de M&M Lawyers considera que “en caso de encontrar hallazgos que permitan concluir que existe una vulneración, pueden ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data”. Para esta abogada, aunque este tipo de compañías estén por fuera del país, no significa que la SIC no pueda iniciarles investigaciones, teniendo en cuenta que la ley aplica para el tratamiento de datos en territorio nacional y que a los responsables les sean aplicables los tratados internacionales.

Entre tanto, para Sebastián Alfonso Rueda, de la firma Legal Shield y miembro de la Asociación Internacional de Profesionales de Privacidad (IAPP, por sus siglas en inglés) explica que las indagaciones de la SIC pueden desencadenar sanciones económicas como las que se han visto en los últimos años contra Rappi y Banco Falabella o en órdenes administrativas contra Facebook y Uber, siendo estas dos últimas, empresas domiciliadas fuera de Colombia.

“No obstante dichos actos administrativos se encuentran en revisión de los recursos de ley, por lo que no se encuentran en firme, pues plantean serios debates frente a la facultad de la SIC para impartir dichas instrucciones a sociedades fuera de territorio colombiano. En buena hora las normas de protección de datos han entendido que el tratamiento de información es por excelencia transnacional, y en esa medida, busca protecciones locales desnaturaliza la función de garantizar la privacidad e intimidad del individuo”, comentó Rueda a Forbes.

Estos abogados coinciden en que la resolución de estos casos debe hacerse respetando el derecho de defensa de los investigados y con los instrumentos jurídicos de las redes de cooperación de autoridades en protección de datos.

Más expertos opinan

  • Jaime Bejarano, country lead de Red Hat en Colombia: “Las redes sociales deben cumplir y respetar la legislación en cada país, por lo anterior cualquier red debe cumplir todo lo referente a la protección de datos de todos los colombianos. Y se debe ser mucho más cuidadoso cuando hablamos de nuestros menores de edad”.
  • Andrés Guzmán Caballero, CEO Adalid Corp: “Son investigaciones preliminares, básicamente tienen que saber si hay o no hay mérito para una investigación formal. Evidentemente la SIC tiene la competencia para investigar compañías que no tengan filiales en Colombia, en el caso de Zoom y TikTok ejercen actividades de comercio porque venden sus servicios en el territorio nacional. El hecho de que no contesten la SIC podría suspender esas operaciones, hay precedentes”.
  • Henry León Galindo, profesor de regulación de telecomunicaciones en las especializaciones de diseño y seguridad de redes telemáticas de la Universidad El Bosque: “En el caso de estas plataformas como TikTok, recolectan los datos personales de los usuarios en el territorio colombiano, hecho que permite a la autoridad nacional de datos, mediante el desarrollo de la legitimación pasiva, ser competente para la protección del habeas data frente a responsables de tratamientos de datos que no se encuentran domiciliados en el territorio colombiano, más aún cuando hay menores de por medio. La SIC puede requerir colaboración de entidades internacionales o extranjeras cuando se afecten los derechos de los titulares por fuera del territorio colombiano”.
  • Bayron Prieto, profesor del diplomado de Ciberseguridad y Compliance de la Universidad Ean: “La SIC tiene un reto importante en cooperación con otras autoridades que ya tienen en la mira a TikTok como la FTC de Estados Unidos y la Comisión Europea. Sería un magnifico precedente en materia de cumplimiento de protección de datos personales, no solo para Colombia sino para la región. El otro reto es como se pagarían sanciones, eso implica un engranaje institucional de instituciones nacionales e internacionales que puede llegar a ser muy complejo”.
  • Yonatan Gómez Sánchez, especialista Jurídico Tivit Colombia: “De forma general y no para el caso en concreto que apenas se encuentra en etapa de apertura de investigación, la SIC cuenta con la facultad de impartir medidas cautelares preventivas, tomando en consideración el potencial riesgo frente a un indebido y masivo tratamiento ilegal de datos personales de los colombianos, recolectados mediante la descarga de aplicaciones, lo que puede conllevar a la orden de bloqueo de descarga de las mismas como fue el caso de PIG.GI”.
  • Alex Aguirre, de Unisys: “Vivimos tiempos de incertidumbre. Más que nunca, las plataformas digitales son esenciales para hacer negocios y para ponernos en contacto con el mundo. Pero hay que tomar cuidados porque la seguridad de la información nunca estuvo tan amenazada y muchos lo olvidan y ponen en riesgo sus datos y los datos de sus compañías”.

Este texto se publicó originalmente en Forbes Colombia