Por: Rodrigo Momberg U., profesor de Derecho Civil, Pontificia Universidad Católica de Valparaíso, consejero en Alessandri Abogados
“Crea una cuenta. Es gratis y lo será siempre”. Este mensaje aparece en letras destacadas en la página de inicio de Facebook. Y para la mayoría de los usuarios – 2.200 millones según las últimas estimaciones – dicha afirmación parece obvia.
Sin embargo, las cosas son un poco más complicadas. Facebook es una de las compañías con mayor valor a nivel mundial: sus ingresos en 2017 fueron de 40 mil millones de dólares. Su éxito comercial no se relaciona con la producción de bienes; tampoco con algún servicio que venda a sus usuarios. Su modelo de negocios está basado en la recolección, tratamiento y comercialización de datos personales.
Ello ha llevado a reconocer que los datos constituyen un “bien” con valor económico. Aun cuando la naturaleza jurídica de dicho “bien” es actualmente objeto de discusión, el derecho ya se ha empezado a hacer cargo de este tema. Así, por ejemplo, la propuesta de Directiva Europea sobre Contratos de suministro de contenidos digitales no solo incluye dentro de su regulación a los contratos en que el usuario paga en dinero por tal suministro, sino también a aquellos en que la contraprestación consiste en la facilitación de datos personales u otro tipo de datos. Es decir, si lo que entrega el usuario a cambio del servicio es el acceso a sus datos personales, se considera que hay un intercambio económico y por tanto, que el contrato no es gratuito sino oneroso. El mercado también lo ha reconocido así, con afirmaciones como que el recurso más valioso a nivel mundial ya no es el petróleo, sino los datos.
Ahora bien, ¿cuáles son los datos que Facebook trata y comercializa? Los de sus usuarios. ¿Cómo los obtiene? Mediante la autorización que éstos le otorgan al crear una cuenta. Y es aquí dónde la cuestión se pone interesante.
Para crear una cuenta es requisito imprescindible hacer clic en un recuadro denominado “Crear cuenta”, sobre el cual se informa que “Al hacer clic en “Crear cuenta”, aceptas las condiciones y confirmas que leíste nuestra política de datos, incluido el uso de cookies”. Hoy no parece haber duda que un contrato electrónico se pueda perfeccionar por medio de un clic. Sin embargo, es dudoso que la forma en que Facebook ha obtenido la autorización para el tratamiento de los datos personales, cumpla con las normas de la ley 19.628 sobre protección de la vida privada y de datos de carácter personal. Esencialmente, dicha ley requiere el consentimiento expreso del usuario para el tratamiento de sus datos personales, y que aquel sea debidamente informado respecto del propósito del almacenamiento.
¿Qué sucede en el caso de Facebook? Lo primero es que el clic no se ejecuta específicamente respecto de la política de datos. Tampoco se cumple con que el usuario sea debidamente informado sobre el propósito del almacenamiento. Por otra parte, la política de datos de Facebook no puede leerse en un solo documento, sino que requiere un constante deslizamiento por la página, y acceder constantemente a links de referencia que la particularizan. Tiene una extensión de 2980 palabras, esto es, 6 páginas tamaño carta con letra Times New Roman 12 a espacio simple. Ello sin contar otros links relevantes para la privacidad del usuario, como la política de cookies, que cuenta con su propia regulación. Se trata, la verdad, de un ejercicio difícil y tedioso, que hará que un usuario racional desista de intentarlo. La consecuencia de no cumplir con la ley 19.628 es obvia: el tratamiento de los datos de los usuarios chilenos por parte de Facebook podría considerarse ilícito.
Además, el calificar el servicio que presta Facebook como oneroso o gratuito tiene, al menos en Chile, consecuencias prácticas importantes. El derecho de contratos regula de manera distinta a un contrato oneroso de uno gratuito, por ejemplo, en cuanto al grado de diligencia que se les exige a las partes. Pero asimismo, el calificar como onerosa la relación entre Facebook y sus usuarios, hace que puedan aplicarse a su respecto las normas de la ley 19.496 sobre protección de los derechos de los consumidores, lo que a su vez, implica que los “términos y condiciones” puedan ser examinados como contratos de adhesión regidos por dicha ley. Ello podría implicar, entre otras cosas, que algunas de sus cláusulas fueran declaradas abusivas -y por tanto nulas – por contrariar el artículo 16 de la mencionada ley. Y quizás lo más relevante, los consumidores tendrían a su disposición las acciones para la defensa del interés difuso o colectivo que contempla la ley.
El escándalo relacionado con el uso y tratamiento de los datos de 50 millones de usuarios de Facebook por Cambridge Analytica ha puesto de relieve las consecuencias que el tratamiento de datos puede tener. No es que esto no se supiese. El modelo de negocios de Facebook siempre ha sido conocido, y autores como Cathy O’Neil, en Weapons of math destruction habían puesto de relieve los peligros del producto natural del tratamiento de big data: el perfilamiento y la segmentación de los usuarios. Ya en 2014, se descubrió que Facebook había estado mostrando determinado contenido a ciertos usuarios para investigar si las emociones de dichas personas podían ser manipuladas. La diferencia es que, en esta oportunidad, esta cuestión ha sido expuesta al público en general, por la actividad de una compañía que, entre otras cosas, se arroga la capacidad de influir decisivamente en procesos democráticos, tan importantes como las elecciones presidenciales norteamericanas o el referéndum sobre el Brexit.
Por cierto, la utilización comercial de los datos personales no se limita a Facebook. Actualmente se puede decir que prácticamente toda nuestra actividad, tanto en el ámbito digital como en el mundo material, deja datos que pueden ser rastreados, almacenados y tratados. El uso de dispositivos portátiles como smartphones ha hecho que la generación de datos se multiplique aún más, a lo cual debemos sumar la expansión del denominado internet de las cosas: automóviles, relojes, televisores, electrodomésticos y un sinfín de aparatos de uso diario, se encuentran conectados a internet, generan datos sobre cómo, cuándo y quién los usa. Y las empresas que obtienen dichos datos los utilizan comercialmente, ya sea en la explotación de su propio negocio o bien mediante su comercialización a terceros.
Sin duda, se trata de asuntos que deberían preocuparnos. Sin embargo, no debemos perder de vista que necesitamos, y es útil, que las empresas que nos prestan servicios sepan sobre nosotros. Cuando compramos en internet, cuando viajamos, etc., se requiere que el sistema nos reconozca. Si queremos ubicar un email entre los cientos o miles que hemos recibido el último año, es esencial que Google pueda acceder a ellos. Parece que de lo que se trata es de encontrar un equilibrio, en este caso, entre los intereses de las partes, las expectativas razonables que cada una tiene al relacionarse con la otra, y evitar que una abuse de la ignorancia o buena fe de la otra.
Estas ideas deben tenerse especialmente en cuenta al regular el uso y tratamiento de datos personales. Recordemos que existen dos proyectos de ley sobre esta materia tramitándose en el Congreso. Ambas iniciativas aumentan sustantivamente, al menos en teoría, las condiciones para el tratamiento de datos. Uno de los proyectos contempla además, la creación de un órgano administrativo, la Agencia de Protección de Datos Personales, con facultades normativas, fiscalizadoras y sancionatorias, al estilo de las autoridades de control establecidas en la Regulación de la UE sobre esta materia, y que también responde a presiones de la OCDE. Sin embargo, sería un error caer en la tentación de limitar excesivamente o incluso prohibir el tratamiento de datos personales. Lo que debe buscarse es regular adecuadamente dicha práctica, de manera de salvaguardar los intereses de las empresas y al mismo tiempo, proteger los derechos de los usuarios, equilibrio, que debe reconocerse, no siempre es fácil de alcanzar.