La semana pasada comenzó a circular una web que promovía que la gente llenara un cuestionario similar al del censo que está llevando adelante el INE, con la intención de demostrar -según sus creadores- que el censo se podía llevar a cabo en línea, en lugar de puerta a puerta.

Estas son algunas de las explicaciones dadas en la página:

"Un grupo de personas pensamos que se podría hacer un censo online para que cada persona llene su propio censo, evitando así malgasto de dinero y tiempo.

La penetración de Internet hoy en día gracias a los planes de Antel junto con el plan ceibal es tan grande que la efectividad de este censo no esta en dudas [sic]

Rogamos que sean lo mas sinceros posibles con los datos aportados."

En lo personal, yo sí creo que la efectividad de esta propuesta está en duda. De hecho, estoy convencido de que cualquiera que haya pasado por una materia donde se haya apenas tocado metodología de la investigación estaría de acuerdo conmigo. Las razones van desde la confianza de un cuestionario autoadministrado (al censista se le puede mentir en algunas cosas pero no puedo ir y decirle que soy una vieja de 80 llamada Raquel, ni que mi casa es de barro cuando lo atiendo en la puerta de mi edificio), hasta pretender que todo el mundo sepa cómo contestar preguntas que a un cencisita le implican tener que hacer un curso de preparación.

Además, aunque no discuto la importante penetración de Internet en Uruguay, no estamos (como ninún país del mundo lo está) en condiciones de alcanzar al 100% de la población mediante la web. Me encantaría, pero no es realista.

Pero no es la confiabilidad de los resultados que obtenga esta iniciativa lo que me preocupa ahora. De hecho, a pesar de no creer que sea equiparable a un censo, no deja de resultarme interesante como experiencia. Por ejemplo, se podría comparar los datos obtenidos con los reales del censo para ver qué diferencias surgen.

Lo que me preocupa es que una página sin la menor pista de quién está detrás de la iniciativa pida datos sumamente personales como qué pertenencias tiene una persona o si fue a terapia y casi 13.000 personas contesten, sin la menor de las garantías.

La única información sobre el destino de la información en la web es el siguiente párrafo:

"TODOS los datos aportados son anónimos, solamente se utiliza facebook para validar el usuario y no permitir que una persona ingrese datos duplicados".

No hay ninguna información sobre quién almacena esos datos, de qué forma, para qué, ni qué usos se podrán dar a los mismos. No hay garantías ni implícitas ni explícitas de ningún tipo.

Escuché hace poco gente quejándose de que en el Censo se pidiera el nombre de las personas (a pesar de que no era obligatorio, como bien lo aclara @fedelosa en su blog). Eso en el contexto de una iniciativa oficial que no sólo tiene garantías informáticas sobre seguridad de la información, sino que se maneja bajo un marco legal que incluye -entre otras- la Ley 16.616 que en su artículo 17 garantiza el secreto estadístico de los datos brindados.

Realmente espero que ninguna de esas personas haya llenado este "censo no oficial" porque sería digno de un "Plop" al mejor estilo Condorito.

Permítanme que insista con que no estoy tratando de ir en contra de la iniciativa en sí misma. Lo que no puedo creer es que tanta gente no piense dos veces antes de dar -básicamente- toda su información personal.

Este tipo de ingenuidad realmente es peligrosa y el antecedente me deja preocupado. Mañana podría hacer cualquier convocatoria medianamente convincente (por ejemplo, algún tema político en boga como estar a favor o en contra de la baja de la imputabiliad penal) y seguramente tenga a miles de personas dispuestas a dar sus datos.

Uruguay cuenta con una Ley de Protección de Datos Personales (de la que ya hablamos) y de hecho tiene una Unidad de Reguladora y de Control de los Datos Personales. De poco sirven, si nosotros seguimos tratando a los datos como algo sin valor y los vamos entregando por ahí al primero que los pida.

Desde hace muy poco Uruguay cuenta con un decreto que regula la Ley 18.331 de Protección de Datos Personales y Acción de Habeas Data, aprobada en 2008. Ese decreto también crea la Unidad Reguladora y de Control de Datos Personales, presentada el último viernes.

¿Qué es esto? Es un órgano cuyo objetivo es "controlar el cumplimiento de las normas sobre el manejo de información personal, asegurando el derecho humano de la privacidad a través del cumplimiento de estándares fijados". En otras palabras, se encarga de que la información que personas o personas jurídicas -sean públicas o privadas- manejen sobre nosotros cumpla con determinados estándares de seguridad, de privacidad (no toda la información puede formar parte de una base de datos) y su existencia dependa en última instancia de una decisión propia.

¿Porqué es importante esto? Fundamentalmente porque en la sociedad de la información estamos permanentemente intercambiando nuestros datos y es necesario protegerlos en función de nuestro derecho (se considera como un derecho humano) y del valor económico -que vaya si lo tiene- que esos datos implican.
En este sentido vale aclarar que Uruguay está corriéndola muy de atrás; la ONU fijó directrices al respecto en 1990 y la Unión Europea (que es el referente) en 1995.

En el artículo de hoy lo que pretendo hacer es dar una visión general de lo que son los "pro" y los "contra" de esta ley. Por supuesto que no soy experto en el tema, por lo que se agradece cualquier aporte o corrección y desde ya agradezco al amigo Eduardo que no sólo fue el primero que me avisó sobre el tema, sino que me dio su visión que ayudó mucho en la confección de lo que viene a continuación.

Contras

Arranquemos por lo malo, que siempre hay tiempo para mejorar después.

Lo primero que llama la atención es lo enormemente abarcativa que es la ley. Eso no está necesariamente mal, pero trae aparejado casi inexorablemente una enormidad de situaciones irregulares que se generan a partir de todas las personas que no cumplen con lo que exige la ley.
Básicamente todo listado, físico, digital o de cualquier formato que no sea una agenda personal, debe figurar en el registro de este nuevo organismo. Esa pretensión, aunque comprensiblemente bienintencionada, no deja de ser un tanto megalómana y por defecto, incompatible con la realidad. ¿Está mal? No lo sé, talvez lo mejor sea que la ley sea así, aunque eso signifique un bajo nivel de acatamiento, por lo menos eso deja bien claras las responsabilidades.
Dentro de la misma línea esa pretensión abarcativa significa que la fiscalización efectiva de la ley es literalmente imposible. Jamás se podría saber de la existencia de cada lista de contactos para mandar SPAM, de cada almacenero que le manda calendarios con fotos de paisajes a sus clientes, de cada grupo de Facebook creado con intereses comerciales.

Relacionado a lo anterior, vale mencionar que se contemplan las consultas y denuncias sobre cualquier base de datos donde uno esté. Aunque en sí es una medida lógica y completamente razonable (tengo derecho a saber quién hace qué con mi información), es muy probable que ante la dificultad de aplicación que veníamos hablando, termine siendo una forma fácil de "pudrirla" si alguien quiere vengarse, perjudicar a otro (su competencia, por ejemplo), etc.

Otra debilidad, aunque es inevitable, es que la ley sólo puede aplicar para el territorio nacional. Poco puede hacer si estamos en una base de datos en Eslovenia que nos inunda de correos.
El mayor problema ahí radica en la situación que se genera cuando dos empresas (una nacional y una extranjera) compiten por nuestra atención. En ese caso la nacional está obligada a registrar la base de datos y está sometida a las limitaciones de la ley 18.331, pero la extranjera no. No significa que esté mal que la empresa nacional tenga que cumplir esa ley, lo que es "injusto" es que no se puede realmente aplicar la ley para todos los que están en juego en un caso así.

Por último, pero sin duda el más preocupante de los puntos en contra, es la incertidumbre que genera la utilización de esta ley en base a la experiencia española. España está asesorando a Uruguay en este tema, al punto que el texto de la ley se basa en la española. El asunto es que en España hoy en día se vive en cierta polémica sobre el uso supuestamente abusivo de esa ley por parte del estado.
¿Esto significa que es una mala ley o que en Uruguay se usará de mala manera? No, para nada, sin embargo no deja de ser una perspectiva que no se puede desatender.

Pros

Antes que nada vale aclarar que lo mejor de esta ley es su mera existencia, ante la evidente necesidad de proteger algo tan sensible como nuestros datos.
Especialmente por la equiparación que esto significa para los datos personales con respecto a los comerciales. Mientras que los comerciales ya estaban protegidos, recién hoy en día se regula qué datos personales son sensibles (entre ellos salud y morosidad), cuánto tiempo y cómo se pueden guardar -si es que se puede-, cómo se pueden pedir y obtener, etc.

Otro punto contemplado es la obligación de corregir datos, por lo que casos como un nombre equivocado o una cédula mal inscripta ya no deberían ser un problema para el usuario, sino para las empresas.

Hago énfasis en el "cómo" se pueden guardar. Como decíamos antes las bases de datos tienen un valor económico y permanentemente se busca generar nuevas. Eso hace que sea muy importante que nuestros datos estén a salvo, almacenados de una manera que no terminen disponibles para cualquiera y nosotros terminemos inundados de SPAM en el mejor de los casos.

Otro punto es que adecuarse a la normativa internacional implica una ayuda para atraer algunos negocios que tienen que ver con el procesamiento de datos. Se ha insistido bastante, por ejemplo, con la dificultad que encontraron call centers internacionales a la hora de instalarse en el país, por la inexistencia de una ley así.

Hablando de adecuarse, otro punto a favor de la ley es que explícitamente reconoce a Internet y sus particularidades en el texto. El artículo 21 es en particular uno muy "esperado" ya que regula lo que sería el SPAM. En él se explicita la remoción de cualquiera que lo solicite de una base de datos comercial, cosa que hoy es bastante difícil de lograr, incluso con empresas grandes y "serias".

Fin

En términos generales la sensación que me queda personalmente es buena, más allá de alguna cosa que aún pueda generar alguna duda. Pero nadie tiene que quedarse con una opininión ajena, lo primero que se puede hacer si se quiere saber más, es ver la sección de preguntas y respuestas del sitio creado para la Unidad Reguladora y de Control de Datos Personales.