Está a un debate de aprobarse en el Congreso un proyecto de ley que cambiará el marco legal de las estadísticas oficiales a cargo del Departamento Administrativo Nacional de Estadística (DANE). En el artículo 5 de definiciones se mencionan como fuentes alternativas para las estadísticas los “registros de teléfonos móviles”, los “sensores remotos o directos”, las “transacciones” y las “redes sociales”. El diablo está en los detalles decía mi abuelita.

A pesar de que son una innovación, los datos alternativos pasan por debajo del radar en el texto, son mencionados por encima solo en el artículo de definiciones —no están ni en el comunicado de prensa—. Sin una evaluación de impacto en derechos humanos que permita una gestión de los riesgos con medidas de protección y salvaguarda, esa definición no puede entenderse como la autorización legal para que las entidades públicas y privadas entreguen datos personales —muchos sensibles— al DANE sin consentimiento del titular.

Si el DANE va a usar los datos que se producen en nuestra relación con los teléfonos móviles, con los sensores de la internet de las cosas y en nuestra actividad con las redes sociales —incluso habla de transacciones sin indicar a qué se refiere ¿serán transacciones bancarias? — tendría que dimensionar también por qué lo pide, explicarnos cómo lo hace y mitigar el impacto que eso puede tener en los derechos de las personas.

Los operadores de telefonía, especialmente de celulares, tienen una gran cantidad de información con respecto a la localización, identificación y comunicaciones de las personas que usan sus servicios. En Brasil, durante la pandemia por Covid-19 una medida cautelar suspendió el cumplimiento de una norma expedida por el gobierno de Bolsonaro que ordenaba la entrega de datos de los operadores de celulares a la autoridad de estadísticas nacionales que por la pandemia no había podido realizar sus encuestas. La autorización no protegía a las personas pues “era vaga y se prestaba para abusos” dijo el tribunal supremo.

A medida que aumentan los aparatos que producen información de las actividades humanas, la información que se puede obtener de los sensores es cada vez mayor. Así sucede con los relojes que monitorean la actividad física, las neveras que indican cuando se acaba la leche, los sensores que facilitan el débito automático del valor de los peajes, los medidores de energía o de gas en las casas... todos cuentan nuestros hábitos de consumo, dan pistas de nuestra ubicación, muestran nuestro estado de salud y muchas otras dimensiones de nuestra vida.

Nuestra creciente interacción en redes sociales revela información sobre nuestros gustos, preferencias políticas y gastronómicas, redes de contactos familiares, profesionales o los que queremos ocultar. Puede decir dónde estamos y más. No quiero hablar de “transacciones” por lo indefinido de la expresión, pero pienso en bancos y —por tanto— en más información personal y sensible.

La ley no puede ser vaga porque el acceso irrestricto a estos datos puede ser abusado. A pesar de que el suministro de información puede ser positivo para mejorar la toma de decisiones en el país, su acceso irrestricto implica riesgos de discriminación, de vigilancia indebida, de invasión de la privacidad, incluso de abusos que violenten la protección de las fuentes periodísticas o de personas vulnerables o amenazadas.

El artículo 37 establece que los datos individuales a los que accedan solo podrán usarse para fines estadísticos. Dice expresamente que no pueden usarse para ninguna investigación, fiscalización, vigilancia, proceso judicial, decisión administrativa u otras cuestiones similares relativas a una persona natural o jurídica, por ninguna autoridad u organización, nacional o internacional; y apunta a que no podrá individualizarse a la persona. Sin embargo, no hay disposiciones que desarrollen esa protección para la privacidad desde los principios de derechos humanos de legalidad, necesidad, proporcionalidad e idoneidad.

En cambio, a nivel internacional se discuten ya las formas de esto. Por ejemplo, el Banco Mundial en 2018 produjo un informe sobre protección de datos y privacidad para datos alternativos, que analizaba su uso en la política pública de bancarización (¿quizá en línea con la idea de “transacciones” en el proyecto?). El informe reconoce el valor de los datos alternativos para tomar decisiones, pero también identifica los riesgos y propone medidas para mitigarlos en relación con la protección de datos. Un tema que está ausente de este proyecto de ley.

Si, el artículo 10 de la Ley 1581 de 2012 permite el tratamiento de datos personales sin consentimiento previo a las entidades del Estado en cumplimiento de su deber legal; pero eso no significa que no deba cumplirse con las garantías mínimas para su tratamiento. De hecho, la Corte Constitucional ha dicho que “el uso del dato también debe sujetarse a todos los principios y limitaciones consagrados en la Ley. Por el contrario, jamás podría interpretarse como una autorización abierta para que se acceda a datos personales sin consentimiento de su titular” (C 748/11).

Preocupa que —de pasar este texto— una simple definición pueda entenderse como una habilitación legal para la entrega de datos en manos de entidades públicas y privadas —cuando ejercen función pública—, sujeta a una bonita promesa sin garantías exigibles y que pueden hacer cumplir a través de sanciones que prevé la propia ley.

Entonces, la lectura correcta debe ser que mientras la ley no desarrolle las salvaguardas necesarias —detallando las condiciones y requisitos legales que deben atender tanto el DANE como quienes entregan información personal y sensible—, esa definición no debe entenderse como una excepción al uso de datos personales sin autorización del titular.

Hay cuestiones pendientes del tipo: ¿Cómo nos aseguramos de que el DANE y solo el DANE los usará para estos fines? ¿Acaso basta con lo establecido en el proyecto de ley? ¿Cuáles son los límites para este tipo de autorizaciones al DANE? Los límites podrían ser temporales y con menciones específicas al tipo de datos cuyo acceso se autoriza. Por ejemplo, en Inglaterra se estableció que los datos de los sensores de consumo eléctrico de las casas podían usarse con intervalos mensuales, pero lecturas más cerradas (intervalos de media hora) requerían consentimiento expreso.

Los países suscriptores de la Convención 108 (Consejo de Europa) aceptan que algunas categorías de datos sensibles no pueden ser procesados automáticamente sin importar si hubo consentimiento o no, a menos que en la ley que lo autorice y que existan las debidas protecciones. Colombia no ha firmado este tratado, pero puede discutir este tipo de medidas antes de girar lo que pueda ser percibido como cheque en blanco al DANE para acceder a datos personales en manos de entidades públicas o privadas.