Equilibrar la protección de datos y la competencia
protección de datos
Sin dejar de lado el objetivo primordial de proteger los derechos de las personas sobre los datos, se pueden elaborar disposiciones sobre protección de datos de forma tal que minimicen los efectos negativos sobre la competencia y la innovación.
Las regulaciones sobre protección de datos son fundamentales para salvaguardar el bienestar individual y fortalecer la confianza. Sin embargo, cumplir con las obligaciones en materia de protección de datos también puede aumentar los costos de ingreso al mercado y operación que deben afrontar las empresas; especialmente, las empresas más pequeñas.1 Las políticas de protección de datos que reducen los incentivos para compartir datos personales o limitan el uso de los datos que no han sido recopilados por una empresa pueden arraigar aún más las actitudes vigentes y reducir las oportunidades de innovación.2 Esto no significa que las preocupaciones por la competencia deban prevalecer por sobre la necesidad de salvaguardar los derechos de las personas respecto de sus datos; por el contrario, hay margen para revisar el diseño de los regímenes de protección de datos, de modo de minimizar los impactos adversos sobre la competencia y, a la vez, continuar respetando estos derechos.
Según las evidencias arrojadas por un estudio de 27 000 sitios web muy importantes, el Reglamento General de Protección de Datos (GDPR) tuvo la consecuencia no deseada de aumentar la concentración en el sector de la tecnología web, lo que provocó que los pequeños proveedores de este segmento perdieran más participación de mercado que cualquier otro actor. Además, esto tuvo como efecto una mayor concentración de la recopilación de datos personales tras la implementación del GDPR.3 En estos contextos, una opción puede ser diferenciar el tratamiento regulatorio que reciben las empresas en función de su tamaño o antigüedad, siempre que se tomen medidas para conservar los derechos de las personas sobre los datos.4
Al mismo tiempo, existe un consenso cada vez mayor acerca del valor que tiene para los consumidores que una empresa ofrezca protección de datos personales, lo que podría considerarse un resultado de la competencia que no está ligado al precio. Para analizar con precisión la dinámica del mercado, es importante conocer en qué medida las empresas ofrecen voluntariamente una mayor protección de los datos con fines de competencia.
En el primer caso de abuso de posición específicamente relacionado con la protección de datos que interpuso el organismo alemán de regulación de la competencia contra Facebook en 2019, una cuestión que se planteó durante el proceso de apelación fue la disposición de los usuarios a pagar por una mejora en la protección de datos.5 Sin embargo, las evidencias sobre el valor que las personas le asignan a la protección de datos en los diferentes mercados son variadas. Algunas pruebas indican que las preferencias declaradas de las personas sobre la protección de datos suelen no coincidir con las preferencias reveladas en la práctica.6 Más que implicar una menor valoración de la privacidad, el problema puede ser que los interesados (e incluso la empresa encargada de la recopilación) no entiendan plenamente cómo se podrían utilizar en el futuro los datos recopilados, dada la complejidad de los grandes conjuntos de datos y las políticas de protección de datos de las empresas.
Además, el efecto derrame puede generar complicaciones. Si una plataforma alberga suficientes datos sobre un grupo de personas de modo que sea posible hacer deducciones sobre los individuos que aún no han aportado datos, estos individuos pueden sentir que ya perdieron el poder de protegerse a sí mismos y, por lo tanto, ofrecer voluntariamente sus datos, a pesar de sus preocupaciones respecto de la privacidad. Estas cuestiones pueden verse exacerbadas en los países de ingreso bajo y mediano, donde las tasas de alfabetización, la exposición a modelos de empresas digitales y la elección entre empresas son más bajas.
No hay demasiadas pruebas sobre las preferencias en materia de protección de datos en los países de ingreso bajo. El Índice de Confianza en los Datos muestra que las preocupaciones respecto del impacto de internet en la “privacidad personal” parecen ser más serias en África, Asia y Oriente Medio, mientras que los encuestados de América Latina generalmente manifiestan niveles más altos de preocupación acerca de la forma en que las empresas utilizan sus datos personales.7 Según los resultados de experimentos realizados en India y Kenya, los clientes prefieren productos digitales de préstamo con más características de “privacidad de datos”.8 Sin embargo, los grupos de ingreso bajo que se ven más influenciados por el precio pueden mostrar mayor predisposición a obtener productos o servicios gratuitos y renunciar a la privacidad de sus datos.
En general, hay margen para mejorar la cooperación entre las autoridades que controlan la competencia y las autoridades de protección de datos. La colaboración entre los entes reguladores puede ayudar a las autoridades normativas a saber qué tipo de políticas previas de protección de datos minimizan las distorsiones de la competencia; cómo generar soluciones alternativas adecuadas relativas a la competencia centrada en los datos, sin dejar de garantizar la protección de estos, y qué casos antimonopolio deben impulsar cuando haya un posible vínculo con una recopilación de datos excesiva o una explotación de consumidores.
- Gal y Aviv (2020).
- Como ejemplos pueden citarse los siguientes: exigir a las empresas que controlen el cumplimiento de la política de datos de aquellas empresas con las que han compartido datos o limitar el uso de los datos a los fines para los que se los recopiló originalmente.
- Batikas y otros (2020). Es posible que este aumento se haya producido debido a que, después de la entrada en vigor del GDPR, y con la finalidad de reducir los riesgos vinculados con el cumplimiento, los sitios web (incluidos los que ofrecen servicios a ciudadanos ubicados fuera de la Unión Europea) redujeron sus conexiones con los proveedores de tecnología, especialmente en relación con solicitudes que incluían datos personales. Véase Johnson, Shriver y Goldberg (2021).
- Por ejemplo, el GDPR permite a las empresas con menos de 250 empleados contar con una cantidad limitada de exenciones para el mantenimiento de registros (UE, 2018). Del mismo modo, en Estados Unidos, la norma de privacidad de la Ley de Responsabilidad y Privacidad de la Información Médica no se aplica a los planes de salud con menos de 50 participantes que están administrados por un solo empleador. Véase Summary of the HIPAA Privacy Rule (Resumen de la norma de privacidad de la Ley de Responsabilidad y Privacidad de la Información Médica) (panel), Privacidad de la Información Médica, Departamento de Salud y Servicios Humanos de Estados Unidos, Washington, DC.
- Colangelo (2019).
- Sin embargo, esta evidencia normalmente proviene de experimentos que corresponden a tipos específicos de datos personales en contextos puntuales y, por ende, se dificulta su extrapolación a otros entornos. Véase Gerber, Gerber y Volkamer (2018) y OCDE (2020).
- El Índice de Confianza en los Datos se construye a partir de las inquietudes relacionadas con la privacidad expresadas por 391 130 encuestados de entre 16 y 64 años durante las tandas de investigación llevadas a cabo entre el primer y el cuarto trimestre de 2018 por GlobalWebIndex en 41 países (Datum Future y GWI, 2019). Los encuestados representan adecuadamente a las poblaciones en línea de los mercados abarcados.
- Fernández Vidal y Medine (2019).
- Batikas, Michail, Stefan Bechtold, Tobias Kretschmer y Christian Peukert (2020), European Privacy Law and Global Markets for Data (i), documento para discusión del Centro de Investigaciones de Política Económica (CEPR) 14475, CEPR, Londres, marzo de 2020.
- Colangelo, Giuseppe (2019), “Facebook and Bundeskartellamt’s Winter of Discontent” (i), CPI EU News (blog), Competition Policy International, eSapience Center for Competition Policy, Cambridge, MA, 23 de septiembre de 2019.
- Datum Future and GWI (GlobalWebIndex) (2019), The Data Confidence Index (i), informe, Datum Future, Londres.
- EU (Unión Europea) (2018), Recital 13: Taking Account of Micro, Small, and Medium-Sized Enterprises (i), GDPR.EU, Proton Technologies, Calgary, Canadá, 14 de noviembre de 2018.
- Fernández Vidal, María y David Medine (2019), Is Data Privacy Good for Business? (i), CGAP Enfoques, Grupo Consultivo de Ayuda a los Pobres, Washington, DC, diciembre de 2019.
- Gal, Michal S. y Oshrit Aviv (2020), “The Competitive Effects of the GDPR” (i), Journal of Competition Law and Economics 16 (3): 349-91.
- Gerber, Nina, Paul Gerber y Melanie Volkamer (2018), “Explaining the Privacy Paradox: A Systematic Review of Literature Investigating Privacy Attitude and Behavior” (i), Computers and Security 77 (agosto): 226-61.
- Johnson, Garrett A., Scott K. Shriver y Samuel G. Goldberg (2021), Privacy and Market Concentration: Intended and Unintended Consequences of the GDPR (i), documento presentado en la reunión anual virtual 2021 de la Asociación Estadounidense de Economía y Allied Social Science Associations, 3 al 5 de enero de 2021.
- OECD (Organización para la Cooperación y el Desarrollo Económicos) (2020), Consumer Data Rights and Competition: Background Note (i), documento DAF/COMP(2020)1, Comité de Competencia, Dirección de Asuntos Financieros y Empresariales, OCDE, París, 29 de abril de 2020.