En algunos de nuestros países aplica un principio legal que dice palabras mas, palabras menos, que “todo lo que no está expresamente prohibido, queda permitido”. Me explican amigos abogados que es una herencia del derecho francés. El asunto es que cuando se habla de tecnología, los avances van mucho mas rápido que las discusiones de los legisladores. Por ende, aparecen temas que no alcanzan a ser legislados, perjudicando a los usuarios.
Una de las leyes mas importantes que rigen el mundo de la tecnología en Colombia es la Ley de Habeas Data (Ley 1581). Se trata de la ley que protege a los ciudadanos, como usted y como yo, del uso indebido de nuestra información personal. En un mundo cada vez mas digital, la Ley de Habeas Data es la bitácora que dice que pueden, o no pueden hacer, las empresas con la información que capturan.
Una de las discusiones mas difíciles que han tenido los legisladores y abogados respecto a la Ley de Habeas Data, tiene que ver con la ambigüedad respecto al lugar de aplicación de la misma. Es un concepto muy complicado, así que permítanme ilustrarlo con un ejemplo:
El banco que “no duerme” guarda la información de sus clientes Colombianos en un data center que posiblemente queda en Estados Unidos. Ud., como usuario o cliente potencial de ese banco, recibe llamadas que no quiere recibir para ofrecerle nuevos servicios que seguramente no quiere comprar. Esto de por si ya es sospechoso de ser ilegal. La persona que lo llama, trabaja en un contact center que opera desde un tercer país (digamos que es en Centroamérica). ¿A cuales autoridades debe ir para quejarse por el uso indebido de sus datos personales? ¿A las de Colombia, donde están usted y el banco? ¿A las de Estados Unidos, donde está la información? ¿A las del país centroamericano, donde esta el operador del contact center? Los abogados llevan mas de un lustro discutiendo este problema, y no han podido resolver el conundro.
Como no es posible ponerse de acuerdo, es mejor lanzar un decreto regulatorio que facilite el trabajo del regulador
En Colombia quien vigila el cumplimiento de la Ley de Habeas Data es la Delegatura de Protección de Datos Personales de la Superintendencia de Industria y Comercio. Es una oficina con recursos insuficientes, con muchísima voluntad de hacer lo mejor para el ciudadano y con personas que entienden muy bien la regulación. Ellos tienen una tarea muy difícil. Deben responder a las quejas que imponen los ciudadanos cuando las empresas abusan con su información. Pero se encuentran con que la información está en la nube. Así que quedan maniatados en su esfuerzo. No saben si son competentes para efectuar la vigilancia.
Para resolver este problema quieren reglamentar el transporte de la información a través de las fronteras. De esta manera pueden asegurar que siempre tienen la competencia para investigar y castigar los abusos. Han producido un decreto cuyo texto pueden encontrar en este enlace. Se espera que el decreto será publicado en los próximos días. En resúmen, el decreto permite que los datos de los Colombianos queden alojados en los siguientes países:
a) Albania,
b) Alemania
c) Argentina
d) Austria
e) Bélgica
f) Bulgaria
g) Canadá
h) Chipre
i) Costa Rica
j) Croacia
k) Dinamarca
l) Eslovaquia
m) Eslovenia
n) Estonia
o) España
p) Finlandia
q) Francia
r) Grecia
s) Hungría
t) Irlanda
u) Islandia
v) Italia
w) Letonia
x) Lituania
y) Luxemburgo
z) Malta
aa) México
bb) Noruega
cc) Nueva Zelanda
dd) Países Bajos
ee) Perú
ff) Polonia
gg) Portugal
hh) Reino Unido
ii) República Checa
jj) República de Corea
kk) Rumania
ll) Serbia
mm) Suecia
nn) Suiza
oo) Uruguay
¿Que tiene de raro esa lista? Que omite a Estados Unidos y Brasil, los países donde se alojan el mayor número de Data Centers para la región. En Data Centers localizados en esos países está la informacion de servicios como Amazon, Salesforce, Google, Facebook, etc….
¿Cuántos servicios en la nube van a cambiar sus data centers de país para atender a Colombia?
La respuesta es 0, ninguno, nadie, nada. Yo he trabajado en casa matriz de una multinacional de la tecnología. Les puedo decir que Colombia NO EXISTE en su radar. No somos un mercado estratégico ni importante. Así que podemos esperar que suceda una de 2 opciones. 1. La empresa se retira del mercado Colombiano y nos deja sin acceso a sus servicios o 2. Sigue atendiendo y cambia sus términos y condiciones. Si decidimos usar los servicios, y lo haremos porque no hay opción, seremos responsables y cómplices del delito.
Recordemos que el principio base de “la nube” es que operativamente no es importante en donde está alojada la información. Se le llama nube porque justamente es una figura gaseosa con muchos vacíos que a la hora de la verdad, como usuarios, no nos interesan. ¿Qué mas da, si el servidor esta en Estados Unidos, Siberia o las islas del pacífico sur?
Los afectados son los emprendedores nacionales
El gobierno nacional maneja un discurso doble respecto a la innovación y el emprendimiento. Por un lado dice que es el futuro de la economía nacional. Pero por el otro le clava nuevos impuestos y restricciones que impiden su desarrollo. El emprendimiento de base tecnológica es en buena parte viable gracias a la nube. Usándola se pueden desplegar masivamente servicios a un costo razonable. Si las nubes mas comúnmente usadas quedan prohibidas, los emprendedores nacionales quedan en el limbo operativo.
El problema del uso indebido de la información no es un problema de servidores o data centers. Es un problema de cultura organizacional. Las empresas que quieren abusar lo hacen sin importar en donde esté alojada la información. Pienso que los legisladores han debido mirar este asunto desde una óptica diferente. Pero no culpo a la Superintendencia de Industria y Comercio. Culpo al Ministerio de las TIC, que es el encargado de desarrollar la industria de la tecnología en Colombia. Es obvio que una vez mas lo ignoraron en la discusión. El Ministro Luna es el mas débil del gabinete. Lo tienen distraído entregando computadores y puntos de acceso a internet. Mientras tanto, la industria está postrada y no hay un rumbo claro para el desarrollo de la misma. ¡Es hora de cambiar de Ministro!
Andrés, gracias por al artículo. ¿Dónde se encuentra el borrador del Decreto?
En la práctica, sacar a EEUU es más una incomodidad. La región de Alemania – Frankfurt en Amazon sería viable, aumentando los tiempos de latencia al doble (213ms contra 117ms) por la distancia.
Hola, El texto del decreto esta aquí: https://drive.google.com/file/d/0BwFtdTUrROYxVnlKQWRSbzdiSzQ/view
btw. no es una incomodidad. Un ejemplo. Facebook no va a cambiar su estructura de data centers por un decreto de la SIC en Colombia. Pero allí va a quedar alojada ilegalmente información personal suya y mía. Entonces, nos cierran Facebook?
Tiene razón! Pensaba en servicios que estuvieran en Cloud donde la empresa puede escoger dónde los aloja.
El principal impacto sería Gmail y Facebook y efectivamente, todos los datos de todas las empresas/personas violarían la circular.
¿Esto está en firme? Salió ya en el diario oficial?
No se ha publicado aún. Dicen que sale mañana
Hola….en realidad quienes piensan que eeuu o brasil quedan por fuera estan en un error….la realidad es que simplemente deben existir clntratos de transmision de datos con la entidad que hace el tratamiento de cualquier forma en el exterior.
Esos dos paises, entre otros, no estan en la lista de paises seguros porque, en adicion a otras circunstancias carecen de normas de proteccion de datos como tal.
Un saludo
Pedro novoa
[email protected]