Hace unos meses, motivado por la pandemia y los respectivos toques de queda, Ignacio Fernández (31) decidió hacer una limpieza de su información en las redes. Plataformas poco utilizadas, pero que tenían sus datos, como Pinterest y Last.fm, entre otras, disponían aún de sus antecedentes y pudo darlas de baja. Más curiosidad le produjo que Neopets, un popular sitio de juegos y comunidad infantil de principios del 2000, tenía aún su perfil registrado. Dieciocho años sin ingresar y sus mascotas virtuales, con las que jugaba y alimentaba, seguían esperándolo. En un intento desesperado por hacer log in y bajar del sistema sus credenciales, envió su carnet e información al sitio, que recién accedió a aceptar su solicitud después de 16 meses.
Según la Ley de Lavoisier, la materia no se crea ni se destruye, solo se transforma. Y en internet el mundo de los datos corre de forma similar. Los usuarios entregan cada vez más información a las redes sociales, ingresan sus identificaciones a los marketplaces, y dejan abandonadas sus cuentas, pensando que por inactividad estas serán dadas de baja, como Fernández hizo con Neopets. Pero resulta que gran parte de las plataformas mantienen los datos y quedan dormidos ahí, esperando a que los cibernautas se dignen a regresar e incluso por otros motivos, como el denominado mercado de los datos.
Juan Carlos Lara, director de investigación y políticas públicas de la ONG Derechos Digitales, afirma que los datos van a donde quien nos los solicitó decide que vayan y así se arma otra cadena. “A menudo, estas mismas empresas o personas los envían a otras instituciones o firmas, que a su vez deciden a dónde van esos datos. ¿Y qué control tenemos sobre eso? Muy poco, porque las políticas de privacidad y términos y condiciones de uso, en general, no son explícitos de hacia dónde van ni por cuánto tiempo los van a retener”, dice el abogado, quien añade que si esa información de los usuarios es facilitada por las empresas a firmas de marketing, el seguimiento se vuelve mucho más difícil. “Y eso pasa regularmente”, sugiere.
De acuerdo a un informe realizado durante el primer trimestre por la firma suiza de almacenamiento en la nube pCloud, Instagram es la aplicación más invasiva y comparte el 79% de la data de sus usuarios con terceros, incluida información de compras, datos personales, historial de navegación y búsquedas. Detrás queda Facebook, miembro del mismo grupo y hermano mayor de la compañía, con el 57%, y le sigue Linkedin, con el 50%.
La respuesta legal, propone Lara, es que los usuarios que tengan conflicto con sus datos y con poder acceder a ellos, se dirijan a las mismas empresas y ejerzan su derecho de acceso a los datos personales. “Pero eso igualmente enfrenta algunos problemas, porque a menudo en Internet no sabemos a quiénes tenemos que dirigirnos y mucho menos cuando las empresas extranjeras no están sujetas a la ley chilena. Si no responden adecuadamente, es aún más difícil, porque no podré ejercer mi derecho bajo la ley chilena en Estados Unidos, por ejemplo”, explica.
En muchas ocasiones, apunta el abogado, cuando las cuentas se han dejado abandonadas y los usuarios esperan a que sean dadas de baja por inactividad, se corre el riesgo que las empresas cambien de dueños y no se tenga la total certeza de a quién se puede acudir. Le ha pasado, afirma, a usuarios en Yahoo o Flickr, “que tienen muchísima información, pero han pasado de una empresa a otra. Y eso hace muy difícil el seguimiento de a dónde puedo dirigirme para pedir mi información y, a la vez, si ha sido facilitada a otras empresas”, señala. Lo mismo pasó con Neopets, que en 2005 pasó a Viacom y en 2014 a Jumpstart.
Carlos Reusser, abogado socio de la oficina centrada en derecho y tecnologías Reusser Donoso & Asociados, dice que como parte de la Ley 19.628, todos los usuarios tienen el derecho a dirigirse a alguien y solicitar que elimine sus datos, pero faltan los mecanismos para facilitar ese proceso y en Chile no existe un sistema de auditoría y nadie que controle que efectivamente se haya cumplido con lo requerido. “Una compañía puede perfectamente decir que borraron todo, pero no hay nadie que tenga facultades de ir e inspeccionar los sistemas para verificar que es así realmente”, comenta el experto.
Estos casos, afirma, pueden tener incluso connotaciones más graves y toma como ejemplo la información disponible en los bancos. “En múltiples casos que hemos recibido se revela que en realidad no se eliminan los datos, sino que siguen manteniéndolos e incluso almacenan en respaldos y esconden en otras partes, cuando en verdad debiesen ser destruidos”, asegura. “Está el derecho a la cancelación de los datos, pero se convierte en nada cuando no existe nadie que tenga atribuciones para inspeccionar o auditar a determinadas instituciones, y eso pasa porque no tenemos una autoridad de protección de datos”, señala Reusser.
Ambos abogados dicen que las compañías debiesen, al momento de crear un usuario, explicitar durante cuánto tiempo almacenarán la información de los individuos. “Lo ideal es que cuando cierres una cuenta, la empresa debiese borrar tu información, pero es posible que uno haya consentido a que esos datos no sean eliminados o no haya un acuerdo al respecto”, dice Lara, de Derechos Digitales, y luego añade: “Que tengan datos míos de hace años, puede que a ellos les valgo muy poco y no haya mayor problema mientras esa información siga abajo de un cerro de polvo, pero algún día podría tener problemas de hackeo, filtraciones o robo de información”.
Reusser se suma a Lara, pero dice que es discutible que una empresa cierre cuentas inactivas, “porque al final uno nunca le avisó a la compañía que tomaría distancia, así que se entiende como la voluntad del cliente dejarla ahí, sería arbitrario para ellos y una especie de incumplimiento contractual y es parte de su negocio de bases de datos”. Además, dice que existen formas muy marcadas en algunas plataformas para entorpecer los mecanismos de eliminación.