Recolección de Datos de Geolocalización sin Consentimiento Explícito
El GPS no es magia, es un dato personal (y muy sensible)
Resulta casi conmovedor tener que explicar lo obvio: ese punto azul que te indica en un mapa dónde estás, no es producto de la magia ni de la buena voluntad del universo digital. Es el resultado de una serie de tecnologías que, trabajando en conjunto, triangulan tu posición con una precisión a veces escalofriante. Hablamos del GPS de tu celular, de las redes Wi-Fi a tu alrededor, de las antenas de telefonía a las que tu dispositivo se conecta. Cada una de estas señales es una miga de pan digital que va trazando tu camino.
Ahora, la revelación que parece sorprender a tantos: esa información, ese historial de coordenadas, es un dato personal. La Ley de Protección de Datos Personales (N° 25.326), nuestra columna vertebral en la materia, es bastante clara al respecto. Un dato personal es cualquier información referida a personas físicas determinadas o determinables. Y si un conjunto de coordenadas puede identificar inequívocamente dónde vivís, dónde trabajás, a qué médico visitás o en qué manifestación participaste, no cabe duda de que es un dato personal.
Pero la cosa no termina ahí. Me atrevo a ir más lejos y calificarlo, en la mayoría de los casos, como un dato sensible. La ley define a los datos sensibles como aquellos que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. ¿Acaso un registro de tus movimientos no puede revelar todo eso y más? Un seguimiento continuo de tu ubicación puede inferir tu asistencia a un templo, a un local partidario, a una clínica especializada o a un bar de ambiente. Por lo tanto, tratar este dato con la liviandad de quien recopila ‘estadísticas anónimas de uso’ no es solo una negligencia técnica, es una ceguera legal voluntaria.
El consentimiento: ese requisito que tantos prefieren olvidar
Aquí yace el corazón del problema. Para que el tratamiento de tus datos personales sea lícito, la ley exige tu consentimiento libre, expreso e informado. Analicemos este tridente conceptual, que parece ser eludido con la habilidad de un contorsionista por gran parte de la industria tecnológica.
Libre: Significa que no podés ser coaccionado. Si una aplicación te dice ‘o me das acceso a tu ubicación 24/7 o no podés usar esta simple linterna’, el consentimiento no es libre. Estás siendo forzado a entregar un derecho a cambio de una funcionalidad que no lo requiere en lo más mínimo. Es una extorsión digital vestida de ‘elección del usuario’.
Expreso: Significa que debe haber una acción positiva e inequívoca de tu parte. Un clic en una casilla que diga ‘Acepto que se recopile mi ubicación para X fin’. No vale, bajo ningún concepto, el silencio, la inacción o las casillas pre-tildadas. Tampoco vale esconder la autorización en una maraña de texto legal. El consentimiento debe ser un acto, no una omisión.
Informado: Quizás el más bastardeado de los tres. Para que tu consentimiento sea válido, debés saber con exactitud qué datos se recaban (¿solo la ubicación actual o un historial completo?), para qué finalidad (¿para mostrarte el clima o para vender tu perfil a terceros?), quién es el responsable de esa base de datos y por cuánto tiempo se almacenará. La típica frase ‘para mejorar nuestros servicios’ es una abstracción tan vacía y carente de información como un horóscopo.
La anatomía de una acusación: cómo construir un caso
Si sospechás que una empresa está de paseo con tus datos de geolocalización, no todo está perdido. El sistema legal, con su parsimonia característica, ofrece algunas herramientas. Para tener éxito, hay que ser metódico.
Paso 1: La evidencia. La memoria es frágil, pero las capturas de pantalla son bastante persistentes. Documentá todo. Capturas de los permisos que pide la app, de las políticas de privacidad (si tenés la paciencia para encontrarlas y leerlas), del comportamiento anómalo de tu dispositivo. Cualquier prueba que demuestre que la recolección existe y que no prestaste un consentimiento válido, sirve.
Paso 2: La intimación formal (Derecho de Acceso y Supresión). Antes de ir a la guerra, hay que enviar un explorador. La ley te concede el derecho de acceso (Art. 14) para preguntarle a la empresa qué datos tuyos tiene, y el derecho de supresión (Art. 16) para exigir que los borren. Esto se hace, preferentemente, mediante una carta documento. Este paso no es un mero formalismo; obliga a la empresa a responder y su silencio o respuesta evasiva es un antecedente de peso para lo que sigue.
Paso 3: La denuncia administrativa. Si la empresa ignora tu intimación o su respuesta es insatisfactoria, el siguiente escalón es la Agencia de Acceso a la Información Pública (AAIP). Es el órgano de control de la Ley 25.326. La denuncia es gratuita y, aunque sus tiempos pueden ser exasperantes, una resolución a tu favor puede implicar sanciones para la empresa y un precedente fundamental.
Paso 4: La artillería pesada (Habeas Data). Si todo lo anterior falla o si el daño es grave y urgente, existe la acción judicial de Habeas Data. Es una garantía constitucional diseñada específicamente para proteger los datos personales. Aquí ya hablamos de un juicio, con abogados, pruebas y un juez que decidirá sobre el fondo del asunto. Es la herramienta más poderosa, pero también la más compleja y costosa.
Manual de supervivencia para el acusado (o cómo intentar justificar lo injustificable)
Ahora, pongámonos en los zapatos del otro lado del mostrador. Supongamos que tu empresa fue ‘sorprendida’ recolectando datos de geolocalización sin un consentimiento muy claro que digamos. La carta documento llegó y el pánico cunde. Existen algunas líneas de defensa, cuya solidez varía entre la de un castillo de naipes y la de un flan a medio hacer.
1. La defensa del ‘error técnico’: Un clásico. ‘Fue un bug’, ‘un error en la última actualización’, ‘el código lo escribió un pasante’. Es una estrategia que busca minimizar el dolo, presentándolo como un accidente. Puede funcionar para ganar tiempo, pero es difícil de sostener si la ‘falla’ persiste durante meses y genera beneficios económicos.
2. La falacia del ‘consentimiento implícito’: El argumento estrella. ‘Al usar nuestro servicio, el usuario aceptó implícitamente nuestras prácticas’. Esta defensa choca de frente con el requisito de consentimiento ‘expreso’ de la ley. Salvo que la funcionalidad principal e inseparable del servicio sea la geolocalización (como en una app de mapas), es una justificación que rara vez prospera ante un tribunal con un mínimo de conocimiento en la materia.
3. El mito de la ‘anonimización’: ‘No recolectamos datos personales, sino data agregada y anónima’. Una afirmación audaz. Anonimizar datos de geolocalización es técnicamente complejo y, a menudo, una fantasía. Múltiples estudios han demostrado que con apenas cuatro puntos de ubicación en el tiempo se puede re-identificar al 95% de los individuos. El lugar donde un teléfono ‘duerme’ es un hogar. El lugar donde pasa ocho horas de lunes a viernes es un trabajo. La ‘anonimización’ suele ser un disfraz muy delgado.
4. El refugio de la ‘letra chica’: La última trinchera. ‘Pero si estaba en los Términos y Condiciones, en la página 37, párrafo 8’. Si bien los términos y condiciones son un contrato, la justicia es cada vez más reacia a validar cláusulas abusivas o tan oscuras que requieran un doctorado en derecho para ser comprendidas. El consentimiento informado no se cumple escondiendo la verdad a plena vista.
En definitiva, la mejor estrategia de defensa es, paradójicamente, una que se aplica mucho antes de recibir cualquier acusación: cumplir la ley. Diseñar los productos y servicios con la privacidad por defecto, solicitar un consentimiento claro y granular, y ser transparente con el usuario. Una idea revolucionaria, lo sé. Pero a la larga, resulta bastante más barato y mucho menos estresante que intentar justificar lo injustificable.
