SIC inicia investigación a WhatsApp. Estos son los argumentos del Superintendente

Colombia es uno de los cuatro países que ha iniciado investigación a la gigante tecnológica WhatsApp, luego de anunciar que cambiaba su política de privacidad y se permitiría utilizar información de los usuarios del servicio de mensajería para compartirlos con Facebook.

Italia, India y Turquía también hicieron lo mismo. Colombia, en particular, busca la información que le permita actuar, si así se requiere, para poder garantizar la protección de datos de sus ciudadanos.

En entrevista con SEMANA, el superintendente de industria y Comercio, Andrés Barreto, expuso los argumentos de la acción que adelanta la SIC ante los anuncios de WhatsApp.

SEMANA: ¿Cuánto tiempo se puede tardar en responder WhatsApp el requerimiento de Colombia a través de la SIC?

ANDRÉS BARRETO: Nosotros les hemos dado quince días calendario para dar la respuesta a un cuestionario de quince preguntas y al envío de cinco documentos que les pedimos.

SEMANA: ¿Cuáles son los escenarios de las sanciones que podría usted imponer, hipotéticamente, o lo que permite la ley en un caso como este?

A.B.: Una vez verificado el cuestionario y adelantada la averiguación, si nos satisfacen las respuestas, no pasa nada. Pero si encontramos fallas, se procede a emitir una orden, a través de la cual proponemos cambios, de manera que se ajusten a las leyes nacionales. Si hay un incumplimiento en ello, ahí si se adelantaría una investigación administrativa que podría llevar, inclusive, a la imposición de una multa por conducta de hasta de 2.000 salarios mínimos. Pero eso ya dependería de qué tanto se está infringiendo.

SEMANA: ¿Podría haber un escenario jurídico en el que se produzca la suspensión total del servicio en Colombia, como le pasó a Uber?

A.B.: No, porque el caso de Uber es un asunto jurisdiccional, no de protección de datos. Una autoridad administrativa no tiene la facultad de suprimir o limitar una aplicación. Eso ya correspondería a una orden judicial. En este tema administrativo lo que hemos visto es que, por lo general, las empresas de tecnología buscan darle cumplimiento a los requerimientos de las autoridades. Cuando hay infracciones se multan y las multas se pagan, de lo contrario incurren en sanciones. Es decir, se desata un procedimiento administrativo. Ya, en última instancia, lo que sucedería es que uno seguiría multando tantas veces como se incumplan las infracciones.

Cuando ya hay situaciones de carácter criminal o penal, por ejemplo, la de Zoom, es porque se presentó un episodio que potencialmente podía revestir situaciones de pedofilia o de pornografía infantil. Entonces, además de la investigación administrativa, nosotros le damos paso a la Fiscalía para que adelanten proceso penal. Ellos ya podrían tomar otras medidas. Pero nosotros, por dos aspectos, no hemos llegado allá: uno, por situaciones legales. Nosotros no somos jueces. Y existe un principio de neutralidad en las redes, donde tendría que ser algo totalmente criminal y sería una decisión judicial. Y lo segundo, porque en la práctica, las empresas han cumplido las órdenes que les ha impuesto esta autoridad. Nunca se ha llegado a tener que pensar en el escenario judicial.

SEMANA: Se tiene la sensación de que la nueva política de privacidad que lanza WhatsApp va en contra de la ley nacional de protección de datos. ¿Se podría llegar al punto de censurar esta aplicación, tal como lo hizo China?

A.B.: No. Y ahí hay que tener en cuenta dos situaciones. La primera es que el cambio de términos y condiciones puede obedecer a la integración de esas plataformas a raíz de que las compra una misma empresa que está adecuando sus términos y condiciones en las tres: Facebook, Instagram y WhatsApp. La segunda, es que a partir de las preguntas que les formulamos y los documentos que les pedimos, se concluya que hay una afectación al estándar de protección de datos y tengamos que emitir las órdenes. Pero a esa conclusión únicamente podremos llegar una vez tengamos la información.

Cuando tengamos esas dos conclusiones, podremos tomar una de tres determinaciones: o imponer una orden, o solicitar unos cambios o variaciones, o seguir adelante, porque al final del día pudimos comprobar que realmente no cambia nada. Pero, por ahora, no podría emitir una opinión. La investigación es precisamente para llegar a una conclusión técnica y jurídica.

SEMANA: Debido a la presión creada por parte de sus usuarios, ¿usted cree que el mejor camino para WhatsApp sería echar reversa en la nueva política de privacidad que planteó?

A.B.: El análisis que uno haría es de dos vías: el primero, que si realmente esto obedece a que hubo una mala comunicación respecto al cambio de términos y condiciones, que corrijan esa situación para no generarle inquietudes, miedos, o sensibilidades a los consumidores.

Lo segundo es esto, hay que diferenciar dos discusiones que se han ido confundiendo en el mundo: Colombia tiene, por lo menos desde el punto de vista de la arquitectura institucional, el mejor escenario porque tiene una autoridad de datos, pero también tiene una autoridad de competencia, y funcionan en la misma entidad, en la Superintendencia. Nosotros podemos tener una visión holística de esos problemas de competencia y datos. En algunos otros lugares, por ejemplo Estados Unidos, siendo un país tan avanzado, hay autoridad de competencia, pero no hay una autoridad de datos y no hay una ley, entonces les es más difícil hacer estos análisis y por eso terminan en unas discusiones distintas. En Europa pasa lo mismo que en Colombia: el estándar de datos es muy exigente, hay autoridades de datos y de competencia.

SEMANA: ¿Qué debería detonar esta situación entonces?

A.B.: Lo primero, que si WhatsApp hizo una mala información, o no supo comunicarle a los usuarios, que corrija eso. Nosotros lo verificaremos una vez recibamos sus respuestas. Lo segundo, ya desde el punto de vista de competencia: esta discusión ha detonado es que hay más servicios de mensajería que a veces la gente no conoce o no usa, y eso genera más competencia. La tercera es, desde el punto de vista de protección de datos, es que es importante que el tema ya se está metiendo en la cabeza de la gente. Ya se está empezando a entender la valoración que tienen los datos, que son un derecho fundamental, pero también una tentación en términos de monetización. El propio mercado termina por corregir la situación. Yo, como cliente, si WhatsApp no me da confianza, me voy a pasar a otra plataforma.

SEMANA: En medio de este boom de redes sociales y uso de datos personales, ¿qué avance hay en Colombia para enfrentar el tema?

A.B.: Los datos personales son un activo digital de los negocios pero también son un derecho de las personas. En las dos discusiones que ha habido en el mundo, los gigantes de tecnología siempre buscaron invisibilizar el valor que eso tiene porque siempre se confundió con algo que era un tema de información.

La Unión Europea lo que hizo fue avanzar y ser muy exigente en protección de datos, no solamente para proteger un derecho fundamental, sino porque con los derivados de esos datos se pueden construir muchas más situaciones, por ejemplo, temas que afectan al consumidor y a la competencia y de allí la gran discusión actual. Las plataformas per se han sido objeto de investigaciones de las autoridades de competencia porque los datos son un activo digital de ese negocio, pero además de eso generan unas externalidades en muchas otras líneas: la protección del consumidor digital, y cómo se comportan esas plataformas en el mercado.

SEMANA: ¿Qué ha pasado con los procesos que lleva la SIC con otras plataformas?

A.B.: El 24 de enero del 2019 se le impuso la orden a Facebook, que es la plataforma más utilizada en Colombia. Les ordenamos tomar unas medidas para mejorar lo que tenían en seguridad y en protección de datos. Facebook hizo los cambios y nos reportó el informe de auditoría que cada cuatro meses se envía. Nosotros, incluso, desde 2019 hasta el 2020, sostuvimos más de diez reuniones con Facebook Colombia y con el vicepresidente de asuntos corporativos de Facebook en Estados Unidos para garantizar el cumplimiento, y se cumplió. Pero que se esté cumpliendo el acuerdo no significa que nosotros no lo sigamos monitoreando.

El 4 de septiembre de 2020 se emitió la orden para Google LLC en el mismo sentido, ya que Google es el dueño de YouTube y hubo una situación con el uso de datos de menores y otra situación con la adecuación de términos y condiciones al estándar colombiano. Se está recibiendo la información porque se hizo lo mismo; se les emitió un cuestionario y ellos nos tienen que reportar en este primer trimestre el informe de la auditoría de la empresa que ellos contraten si verdaderamente se hicieron los cambios y adecuaciones.

Las siguientes fueron el 29 de septiembre de 2020, las de Uber. Ahí hubo también una falla de seguridad. Se filtraron unos datos de tarjetas de crédito de casi 267.000 colombianos que utilizaban la plataforma. Entonces ahí la orden lo que buscaba era decir: 1) ¿Por qué no me reportó el incidente de seguridad? 2) ¿Qué va a hacer para garantizar los datos de esas tarjeta de crédito? Y 3) ¿Qué medidas implementó para mejorar? Y se cumplió con lo mismo: contrataron una auditoría, nos reportan cada cuatro meses, y nosotros vamos verificando.

El 8 de octubre de 2020 se abrió la de TikTok. Esa fue interesante porque ya se venía trabajando desde 2019 cuando tuvimos la reunión mundial de autoridades de datos. Durante 2019 y 2020, esto se volvió una guerra comercial y política entre China y Estados Unidos. A nosotros lo que nos importaba era que TikTok detonó en la pandemia, antes no era tan utilizado en Colombia.

Después de hacer el análisis descubrimos que incumplía en un gran porcentaje la política de protección de datos de Colombia, muy similar a lo que pasó en Europa, entonces lo que hicimos fue emitirles una orden para que ellos nos respondieran un cuestionario y nos enviaran unos documentos. Lo que hay que hacer es que deben adecuar la política de datos y reportar una auditoría independiente con los cambios que les pedimos, y periódicamente reportar los cumplimientos.

La última fue Zoom, el 26 de noviembre de 2020. Zoom se volvió, durante la pandemia, el principal vehículo para hacer reuniones y conferencias. Para Zoom fueron más incidentes de seguridad porque es muy fácil que terceros entren a las reuniones, y hubo un caso muy grave en el que unas personas accedieron a la reunión de un congreso médico y pusieron videos de pornografía infantil. Le mandamos entonces lo mismo a Zoom; su cuestionario y unos documentos y le dijimos que tenía que tomar estas conductas para mejorar sus estándares de seguridad. Ese caso también lo llevamos a la Fiscalía por si había mérito para abrir una investigación penal.