Protección de datos personales: El rezago de Chile y la interacción con libre competencia

7.08.2024

CeCo Chile

Daniela Gorab Abogada de la Universidad de Chile (2007), Master in Public Administration and Economic Policy de la London School of Economics (2011) y LLM en Competition Law de University College, London (2012). Se desempeñó como Ministra Titular del TDLC entre 2018 y 2023. Es profesora de la U. Adolfo Ibáñez en libre competencia y ha realizado varias publicaciones en materia de libre competencia.

En Chile, a pesar de que el 72% de las personas han declarado estar extremadamente preocupadas de que sus datos personales[1] puedan ser recopilados en Internet, el 49% señala que nunca leen la política de privacidad de los sitios web que visitan y sólo el 4,1% indica que siempre las lee (Sernac, 2022). En los países más desarrollados el panorama es similar: en EE.UU., el 86% de los ciudadanos declaran que el uso de sus datos personales es más importante que el estado de la economía, pero 2/3 desconoce cómo su data se utiliza en Internet (Forbes, 2023); y en Europa, 70% ha expresado estar preocupado sobre el uso de sus datos en Internet, mientras que al 2023 solo un 36% de los usuarios señaló que lee las declaraciones de privacidad (Comisión Europea, 2024).[2]

Las cifras expuestas son inquietantes porque implican que la mayoría de los usuarios del mundo digital -cuando usan apps o visitan sitios web- entregan datos personales sin entender el uso que las firmas les pueden dar. Así, permitimos que las empresas recolecten y procesen nuestra data y eventualmente la comercialicen a terceros, haciendo seguimiento de los sitios web que visitamos, de nuestra ubicación geográfica, nuestra salud y nuestro comportamiento en el consumo de productos y servicios.

«Chile está rezagado en materia de protección de datos personales. Es urgente cerrar la brecha con los países desarrollados y así, una vez que se instaure la Agencia de Protección de Datos Personales, definir el modelo de coordinación que regirá con las autoridades de libre competencia y del consumidor.»

En la economía digital, las firmas tienen incentivos para recolectar y usar datos personales porque así alimentan y entrenan los sistemas de inteligencia artificial (“IA”) que, en forma progresiva, se han integrado a los modelos de negocios. Los sistemas de IA tienen un apetito insaciable por datos -datos históricos y en tiempo real- para diseñar publicidad personalizada, recomendar productos, generar contenido, e incluso evaluar postulaciones a créditos y trabajos. En este contexto, se están discutiendo las limitaciones del marco regulatorio actual relativos a la protección de datos personales frente al desarrollo de los sistemas de IA (White Paper Stanford, 2024).

¿Y Chile? En 2018, la Ley Nº 21.096 introdujo una modificación a la Constitución incorporando la protección de datos personales dentro de su catálogo de derechos fundamentales, lo que ha sido bienvenido por la doctrina (Álvarez, 2020). Sin embargo, a nivel legal, continúa vigente la Ley N°19.628/1999, que ha sido objeto de críticas desde sus inicios (Ibidem) y no contamos con una institucionalidad que vele por la protección de los datos personales con potestades sancionadoras, solo existiendo normas dispersas que entregan facultades a distintos organismos como el Consejo de la Transparencia y el Sernac (V.gr. N°20.285 y N°19.496).

Con motivo de las recomendaciones formuladas por la OCDE a nuestro país en 2013 sobre protección de datos y su flujo transfronterizo, en 2017 se presentó un proyecto de ley (“Proyecto”).[3]  El Proyecto busca modernizar la legislación siguiendo el modelo europeo y propone crear una Agencia de Protección de Datos Personales con potestades sancionadoras. Sin embargo, según información disponible a esta fecha, el proyecto se encuentra empantanado en comisión mixta desde enero de este año. Habiendo transcurrido siete años desde su ingreso, es imperativo que se agilice la tramitación del proyecto de ley para contar con estándares acordes con los países desarrollados, con instituciones eficaces y garantizar adecuadamente los derechos de las personas (titulares de datos) en la economía digital.

¿Y qué importancia tiene la protección de datos personales para la libre competencia? Esta pregunta supone determinar en qué medida pueden o debieran incidir las consideraciones de privacidad y protección de datos personales en el análisis de competencia. Es un tema que ha mostrado una evolución significativa a nivel comparado en los últimos 20 años: hasta 2020, se podía observar una divergencia entre la aproximación de las autoridades de competencia de EE.UU. y Europa; desde entonces, ambas han coincidido en que la protección de datos personales es un insumo clave y una fuente de ventaja competitiva que debe considerarse en el análisis de casos de abuso de dominancia y control de fusiones.

En los años previos a 2020, EE.UU. estimaba que las consideraciones de protección de datos no formaban parte del ámbito de escrutinio de las autoridades de competencia. Por ejemplo, en el marco de la fusión Google/Double Click, la Federal Trade Commission (“FTC”) desestimó que la protección de datos personales era un elemento a considerar en su análisis (2007). Una declaración del DoJ es un epítome de esta postura, cuando expresó que “cuando no hay daño demostrable a la competencia y a los consumidores, somos reticentes a imponer deberes especiales a las plataformas digitales; esos deberes especiales pueden sofocar la innovación que ha creado una competencia dinámica en beneficio de los consumidores” (2018). Esta posición se explicaba porque las plataformas ofrecían sus servicios “gratis” y no competían por precios. En consecuencia, no se vislumbraba cómo podían afectar el bienestar del consumidor porque no se contaba con evidencia económica que mostrara ineficiencia asignativa -en forma de mayores precios y una menor cantidad de producción (véase Stucke, 2018).

En Europa, hasta 2016, la Comisión Europea señalaba que los problemas asociados a la privacidad y una mayor concentración en la data no pertenecían al ámbito de la libre competencia (V.gr. Google/Double Click, 2008). Sin embargo, la aprobación de la fusión de Microsoft/Linkedin en 2016 fue un punto de inflexión: la Comisión Europea reconoció que las firmas pueden competir por el nivel de protección de datos que ofrecen a los usuarios. Así, la Comisión Europea (“CE”) señaló explícitamente que los datos personales constituían un parámetro de competencia vinculado a la calidad de los servicios, esto es, que las firmas competían por esta variable en los mercados de redes sociales profesionales (Microsoft-Linkedin, §350).[4] En la misma línea, en el caso Google Shopping la CE resolvió que “a pesar de que los usuarios no pagan dinero por el uso de los servicios de búsqueda generales, éstos contribuyen a la monetización del servicio en cuanto entregan data con cada búsqueda” (§158).[5]

Así, la CE cristalizó que existe una falacia en la “gratuidad” de algunas plataformas digitales: los servicios no son realmente gratis porque pagamos con nuestros datos; y la protección de datos personales es un parámetro de competencia que afecta la calidad de los servicios y, en ese entendido, puede degradarse la calidad y así, afectar el bienestar de los consumidores. Esta posición se ha consolidado con el tiempo, incluso con apoyo de la Corte de Justicia Europea (2023, C-252/21, cuando se pronunció sobre el caso Bundeskartellamt v. Facebook).

Volviendo a EE.UU., desde que Lina Kahn asumió la presidencia de la FTC en 2021, este país dio un giro y ha confluido con la postura europea. La FTC recientemente ha señalado que “las firmas pueden usar datos personales para alcanzar o consolidar su poder de mercado, explotar su poder de mercado al extraer excesivos datos personales o extraer data para erigir barreras a la entrada o competir deslealmente” (contribución EE.UU., OCDE, 2024). Ello se plasma en la demanda contra Facebook, en que la FTC señala que las firmas pueden competir en la protección de datos personales y que éstos pueden devenir en barreras a la entrada (2021, §220 y 221). En la misma línea, la nueva guía de fusiones de EEUU (2023), incluye nuevos instrumentos para evaluar condiciones distintas al precio a través de un test nuevo (“SSNIPT”, en donde la T se refiere a terms).

De este modo, hoy existe consenso en ambas jurisdicciones en que los datos personales son un parámetro de competencia asociado a la calidad de los productos o servicios que se ofrecen y que puede facilitar conductas anticompetitivas, afectando el bienestar de los consumidores. Ello se traduce en que las autoridades de competencia incluyen consideraciones de privacidad y protección de datos personales en su análisis de los mercados digitales. En el caso de Chile, la autoridad de competencia ha seguido este razonamiento: en el informe de aprobación de la fusión Uber-Cornerhop, la FNE consideró la protección de datos personales (políticas de privacidad) como una variable de competencia asociada a la calidad; en particular, al analizar los riesgos unilaterales -explotativos- derivados de la operación respecto de consumidores finales (FNE, 2020, p. 43 y 84 y ss.).

En adición a lo anterior, algunas conductas como la recolección excesiva de datos personales y la degradación en la calidad (protección de datos de los usuarios), pueden dar lugar a interacciones con otro marco regulatorio: se entrelazan elementos de protección al consumidor cuando las firmas – aun sin posición dominante- engañan o manipulan a los consumidores en relación con la privacidad de sus datos o cuando se les induce a aprobar políticas de privacidad a través de patrones oscuros.

Estas interacciones entre protección de datos personales y libre competencia; y protección de datos personales y protección al consumidor genera la necesidad de evitar la regulación por silos y de contar con una estrecha colaboración y coordinación entre las autoridades con distintas competencias[6] (sobre este enfoque “integracionista” y distintos modelos de colaboración, véase OCDE, 2024). Como se vio, Chile está rezagado en materia de protección de datos personales. Es urgente cerrar la brecha con los países desarrollados y así, una vez que se instaure la Agencia de Protección de Datos Personales, definir el modelo de coordinación que regirá con las autoridades de libre competencia y del consumidor.

Bibliografía

• Acquisti, A., Brandimarte, L., Loewenstein, G. (2022). Privacy and Behavioral Economics. In: Knijnenburg, B.P., Page, X., Wisniewski, P., Lipford, H.R., Proferes, N., Romano, J. (eds) Modern Socio-Technical Perspectives on Privacy. Springer, Cham. Disponible en: https://doi.org/10.1007/978-3-030-82786-1_4
• Alvarez, D. (2020), La protección de datos personales en contextos de pandemia y la constitucionalización del derecho a la autodeterminación informativa, Revista Chilena de Derecho y Tecnología, Universidad de Chile, volumen 9, N°1, p. 1-4.
• Bundeskartellamt Bundeskartellamt (2019), Background information on the Bundeskartellamt’s Facebook proceeding, https://www.bundeskartellamt.de/SharedDocs/Publikation/EN/Pressemitteilungen/2019/07_02_2019_Facebook_FAQs.pdf?__blob=publicationFile&v=6
• Comunicado de prensa Microsoft/Linkedin, Comisión Europea (2016), disponible en: https://ec.europa.eu/commission/presscorner/detail/en/IP_16_4284
• Contribución EEUU a OCDE (2024), The intersection between competition and data privacy – Note by the United States. Disponible en: https://one.oecd.org/document/DAF/COMP/WD(2024)29/en/pdf
• Departamento de Justicia, Estados Unidos (2018), Good Times, Bad Times, Trust Will Take Us Far: Competition Enforcement and the Relationship Between Washington and Brussels, Delrahim M. , Assistant Attorney General, Antitrust Division, U.S. Department of Justice, disponible en: https://www.justice.gov/opa/speech/file/1036541/dl
• FTC, Estados Unidos, Demanda contra Facebook, 2021: Substitute Amended Complaint, FTC v. Facebook, Inc., No. 20-cv-03590-JEB (D.D.C. Sept. 8, 2021), disponible en: https://www.ftc.gov/system/files/documents/cases/ecf_75-1_ftc_v_facebook_public_redacted_fac.pdf
• Fiscalía Nacional Económica, (2020), Informe de aprobación, Adquisición de Cornershop por
• parte de Uber Technologies, Inc. Rol FNE F217-2019
• Forbes, 2023: https://www.forbes.com/sites/garydrenik/2023/12/08/data-privacy-tops-concerns-for-americans–who-is-responsible-for-better-data-protections/
• Comisión Europea, 2024: https://ec.europa.eu/eurostat/web/products-eurostat-news/w/ddn-20240126-1
• Decisión Microsoft/Linkedin: Comisión Europea, (2016), Caso M.8124, Microsoft/LinkedIn. Disponible en: http://ec.europa.eu/competition/mergers/cases/decisions/m8124_1349_5.pdf
• OCDE (2013), Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Disponible en: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0188.
• OCDE (2024), The intersection between competition and data privacy, Policy Papers N.310. Disponible en: https://doi.org/10.1787/20758677
• Sernac (2022), encuesta, disponible en: https://www.sernac.cl/portal/604/w3-article-64751.html
• Stucke M. E. (2018), Should we be concerned about dataopolies?, Geo. L. Tech. Rev. 275.
• White Paper Stanford (2024): Human-centered artificial intelligence, King. J y Meinhardt C., White paper: Rethinking Privacy in the AI Era, disponible en: https://hai.stanford.edu/sites/default/files/2024-02/White-Paper-Rethinking-Privacy-AI-Era.pdf

[1] Respecto a los conceptos de privacidad y protección de datos personales, véase Derechos Digitales, 2014; en este artículo, se utilizan ambos vocablos indistintamente.

[2] Estas estadísticas dan cuenta de lo que se conoce como la paradoja de la privacidad, esto es, la discrepancia existente entre la preocupación que expresan los usuarios por su privacidad y el poco esfuerzo que despliegan para protegerla (la economía del comportamiento proporciona explicaciones plausibles para esta dicotomía, véase V.gr., Acquisti et. al. 2022).

[3] Boletines N°11.092-07 y N°11.144-07, que se refundieron en marzo 2017.

[4] La declaración de prensa de la CE es aun más explícita: “In this instance, the Commission concluded that data privacy was an important parameter of competition between professional social networks on the market, which could have been negatively affected by the transaction.”

[5] El mismo razonamiento se puede apreciar en el caso de Alemania en contra de Facebook por un abuso de posición dominante explotativo (Bundeskartellamt, 2019).

[6] Salvo el caso de EEUU, en que la FTC tiene competencia en los tres ámbitos.

También te puede interesar

El impacto de los algoritmos en los abusos de dominancia exclusorios

OCDE: IA Generativa, riesgos anticompetitivos y recomendaciones de enforcement

Sesgos cognitivos, algoritmos y adicción: ¿se puede confiar en las pantallas?