Ley anti-spam es una ley parche

Necesitamos soluciones integrales a los problemas de tratamientos de datos personales, no parches.

Ley de “prohibición de publicidad no autorizada” no soluciona el problema del tratamiento de datos personales, sino que se vuelve una barrera muy baja y por lo tanto sencilla de burlar.

La Ley “Que prohíbe la publicidad no autorizada por los usuarios titulares de telefonía móvil” fue creada a partir del disgusto popular por estar recibiendo constantemente y de forma invasiva publicidad no solicitada. Los medios utilizados por los spammers para asediar a los posibles consumidores son variados: llamadas telefónicas, SMS o mensajes de WhatsApp, Facebook, etc..

En la etapa de discusión legislativa, liderada por la Cámara de Diputados, el proyecto obligaría a las proveedoras de Internet (ISP) a bloquear estos mensajes no deseados. Las empresas por su parte, mostraron su preocupación y empujaron modificaciones para evitar aplicaciones y sanciones legislativas, amparándose en el “principio de responsabilidad del intermediario”. Finalmente la Ley salió sin esta obligación con las ISP.

Por otro lado, no se tuvo en cuenta la Ley 4868/13 de Comercio Electrónico sobre regulación de publicidad no autorizada, que está vigente y tiene un apartado específico sobre publicidad no deseada en sus artículos 20 al 23. Lo que establece es que en caso que los proveedores de bienes y servicios deseen enviar comunicaciones no solicitadas, deben indicar expresamente que la misma no fue solicitada; incluir formas sencillas de salida del usuario de la lista de destinatarios; y que los mismos no hayan infringido los derechos de privacidad (art 23), buscando un balance entre “prohibición al envío sin autorización” y “comercio”.

Según los proyectistas, esta ley anti-spam está inspirada en la la normativa argentina coloquialmente denominada “No me llames”, que establece un listado de personas que no desean recibir la publicidad no solicitada. En Paraguay dicho listado será administrado por la Secretaria del Defensa al Consumidor y el Usuario (SEDECO). En caso que esta solicitud sea ignorada y la persona reciba publicidad no deseada, será ella misma que podría accionar legalmente contra el emisor del mensaje (Art 6).

Sin embargo, esta nueva Ley vigente no soluciona el problema de fondo, pues carece de un enfoque integral para el tratamiento de datos personales. Un problema tan complejo como el de los datos personales en la actualidad, no se puede abordar con regulaciones que simplemente prohíban el spam, que no tomen acciones contra la venta descontrolada de bases de datos personales y que dejen en soledad a las personas en el caso de posibles abusos. La protección de los datos personales debe ser enfrentada con un enfoque de derechos, aplicando como piedra angular, la estructura del sistema de protección de datos personales que son: el consentimiento y la autodeterminación informativa.

Con relación a esta Ley, el consentimiento debe ser previo a una lista del tipo “No me llames”. El mismo debe aplicar al tratamiento de los datos personales desde su misma recolección. La persona debe consentir de manera previa, expresa, libre e informada sobre el tratamiento de sus datos, en el momento mismo de la recolección, es decir los fines para los cuales son recolectados y almacenados independientemente de estar o no en una lista “No me llames”.

Este debate debe contemplar también los problemas que podría generar una cesión de datos personales, si se recolectan o usan fuera de la competencia del sector público o privado. Por ejemplo, ¿qué ocurre cuando los datos personales que uno completa en un sorteo del supermercado terminan en la base de datos de una empresa de venta de créditos? o ¿qué pasa si mis datos de salud terminan en una base de datos sobre seguros?

Regulación de spam en la era digital

La regulación de spam no es un tema nuevo, sino que desde hace unos 12 este tema viene cobrando una gran relevancia en los diferentes foros sobre Internet y datos personales. La Agenda de Túnez para la Sociedad de la Información se pronunció al respecto en los siguientes términos:

Estamos decididos a hacer frente eficazmente al problema cada vez más importante que plantea el correo basura. Tomamos nota de los actuales marcos multilaterales de cooperación regional e internacional de las distintas partes interesadas en materia de correo basura, por ejemplo, la Estrategia contra el correo basura del APEC, el Plan de Acción de Londres, el Memorándum de Entendimiento de Seúl-Melbourne contra el Correo Basura, así como las actividades que realizan en este ámbito la OCDE y la UIT” Agenda de Tünez (2005).

En ese sentido, el Plan eLAC 2007 de Agenda Digital para América Latina y el Caribe, dependiente de CEPAL, planteó promover los diálogos, intercambios y cooperación regional sobre experiencias nacionales en materia de spam y aspectos institucionales y tecnológicos relacionados. Desde entonces, busca generar políticas de armonización de normas y estándares, con el fin de crear marcos legislativos que brinden confianza y seguridad, tanto a nivel nacional como a nivel regional, prestando especial atención a la legislación en materia de spam como marco para el desarrollo de la sociedad de la información.

Por otro lado, la Resolución 39/248 sobre las Directrices para la Protección de los Consumidores, aprobada por la Asamblea General de las Naciones Unidas en 1985, establece los principios básicos para las relaciones de consumo y establece el derecho de los consumidores a una efectiva protección de las transacciones efectuadas a través de medios electrónicos y a la adecuada utilización de sus datos personales.

En el artículo 39 de la Agenda de Túnez para la Sociedad de la Información se advierte la necesidad de continuar con la promoción, desarrollo e implementación de una cultura mundial de ciberseguridad, que implique la acción nacional y una mayor cooperación internacional para fortalecer la protección de la información, así como la privacidad y la protección a los datos personales, ello de conformidad con la Resolución 57/239 de la Asamblea General de las Naciones Unidas.

Paraguay, a través de sus instituciones como SENATICs y CONATEL, participan de estas instancias internacionales, y contando con una gran capacidad técnica, pero sin tener en cuenta el enfoque y protección de las personas y sus datos con perspectiva de derechos. Para lograr una mirada integral es necesario que se articulen con otras instituciones que sí trabajan en perspectiva e derechos, de género, de niñez etc., así como otros actores de la sociedad civil. Este es el mismo desafío que tienen los organismos técnicos de los otros poderes del estado: legislativo y judicial.

Los desafíos para una protección integral

Las siguientes son elementos que resultan centrales a la hora de proteger a las personas de una forma integral, frente al spam o a publicidad no autorizada:

1) Elevar los estándares de protección de datos personales: compromiso asumido por Estado paraguayo ante la OECD y CEPAL.

2) La discusión y creación de una ley de protección de datos personales. Uno de los temas claves para lograrlo será encontrar la medida justa, para que esta ley no impida el desarrollo de la tecnología. Además se debe ser muy cauteloso para que esta futura ley no genere conflictos con otros derechos fundamentales, y logre así cumplir con los principios de autodeterminación informativa y consentimiento informado.

3) Velar por el cumplimiento de la Ley de Comercio Electrónico, Título III sobre comunicaciones comerciales por vía electrónica, y reforzar las capacidades del Ministerio de Industria y Comercio (MIC) como autoridad de aplicación de la presente Ley (art 41).

4) El plan nacional de ciberseguridad de Paraguay debe tomar en cuenta las sugerencias de enfoque que la agenda de Túnez para la sociedad de la información y Naciones Unides subrayan para una protección integral de los datos de las personas que utilizan Internet.