En la economía digital, los datos son más que simple información: son un activo con un inmenso valor económico y estratégico. Sin embargo, a pesar de su importancia, queda una cuestión jurídica fundamental sin resolver: ¿los datos pueden ser propiedad de alguien? Mientras que las leyes de privacidad a nivel mundial se centran en proteger los derechos de los individuos sobre sus datos personales, a menudo evitan abordar el tema de la propiedad. Esto ha generado incertidumbre jurídica, especialmente en Sudáfrica, donde la Ley de Protección de la Información Personal (Popia) otorga a los titulares de datos diversos derechos sobre su información personal, pero no aborda explícitamente la propiedad.
Esta laguna jurídica genera interrogantes clave: si los datos personales, como la información privada de salud, se encuentran en un entorno digital en constante expansión, ¿pueden tener un propietario? Y, de ser así, ¿quién puede reclamar legítimamente su propiedad.
El académico jurídico Donrich Thaldar, cuya investigación se centra en la gobernanza de datos, explora estas preguntas en un artículo académico reciente. Ahora desglosa sus hallazgos para “The Conversation Africa”.
¿Por qué es importante saber quién es el propietario los datos?
En la economía digital actual, los datos son el activo más valioso; a menudo se les llama «el nuevo petróleo«. Ya sea en el comercio, la investigación o las interacciones sociales, la capacidad de generar, usar y comerciar con datos es fundamental para la competitividad económica.
Si la propiedad de los datos no está claramente establecida, podría obstaculizar la innovación y la inversión. Las empresas requieren certeza jurídica para operar eficazmente en una economía basada en el conocimiento.
Los países han adoptado diferentes enfoques jurídicos para abordar la cuestión de quién posee los datos. China, por ejemplo, reconoce formalmente los derechos de propiedad de los generadores de datos, lo que significa que las empresas e individuos que generan datos tienen derechos legalmente definidos sobre su uso y comercialización. Esto proporciona respaldo legal para las industrias digitales del país.
¿Qué dice la ley sudafricana?
En el pasado, el Regulador de Información de Sudáfrica ha sostenido que la información personal es propiedad automática del titular de datos (la persona a quien pertenecen los datos) y no de la entidad que los genera. Desde esta perspectiva, los derechos otorgados por Popia implican que únicamente los titulares de los datos son los dueños de su información personal, nadie más.
Considero que esta postura es jurídicamente errónea, ya que mezcla dos ramas distintas del derecho: el derecho a la privacidad y el derecho de propiedad. Además, podría perturbar gravemente la economía digital. La economía digital depende de los datos como un activo comercializable: estos activos deben poder venderse, licenciarse y comercializarse como cualquier otro objeto económico. Si la propiedad siempre debe pertenecer a los titulares de datos, las empresas se enfrentarán a la incertidumbre al usar y monetizar los datos. La incertidumbre obstaculiza la innovación, desincentiva la inversión y debilita la competitividad digital de Sudáfrica.
Has aplicado el derecho de propiedad a los datos, ¿por qué?
La titularidad es un concepto del derecho de propiedad, no del derecho a la privacidad. Por lo tanto, para responder a la cuestión de la propiedad de los datos, debemos buscar respuestas en el derecho de propiedad.
El derecho de propiedad regula la relación entre titulares (personas jurídicas) y objetos (cosas externas al cuerpo, ya sean físicas o no). La propiedad trata sobre los derechos que un titular tiene sobre un objeto. Para que un objeto pueda ser poseído, debe tener valor, ser útil y, lo más importante, ser susceptible de control humano. Una botella de agua cumple con estos criterios, pero el océano no, ya que no está bajo control humano.
Los datos personales, considerados en su totalidad, son como el agua del océano: abundantes, dispersos y fuera de control humano. Sin embargo, un registro digital de datos personales, como un archivo en un ordenador, es más bien como una versión embotellada de esa agua: definida y sujeta al control humano. Al igual que el dinero digital y otros activos digitales valiosos, un conjunto específico de datos personales cumple con todos los requisitos del derecho común sudafricano para la propiedad privada. En este sentido, los datos personales pueden ser propiedad.
¿El propietario de los datos no es, en realidad, el titular de los datos?
A primera vista, podría parecer que sí, pero no necesariamente. Esto podría parecer así porque algunos de los derechos de privacidad creados por Popia se asemejan a derechos de propiedad. Por ejemplo, se necesita el consentimiento del propietario antes de que alguien más pueda usar el objeto poseído (por ejemplo, préstamo o alquiler). De manera similar, en la mayoría de los casos, se requiere el consentimiento del titular de datos antes de que sus datos personales puedan ser procesados. Además, el propietario de un objeto tiene derecho a destruirlo; de manera similar, un titular de datos generalmente tiene derecho a que sus datos personales sean eliminados.
¿Significa esto que los titulares de datos realmente son los dueños de sus datos personales? Yo considero que no. Ponerse una bata blanca no te convierte en médico. Del mismo modo, los derechos de privacidad que se asemejan a derechos de propiedad no constituyen propiedad real. Ésta se adquiere siguiendo las reglas del derecho de propiedad.
¿Quién es, entonces, el propietario de los datos?
Dado que un nuevo registro de datos personales no proviene de un objeto legal preexistente, inicialmente no pertenece a nadie: es res nullius. La propiedad de res nullius se adquiere mediante la apropiación, que requiere dos elementos: control e intención de poseer.
Esto significa que la entidad que genera los datos, como una empresa o una universidad que los recopila y registra, está en la mejor posición para adquirir la propiedad. Si ya tiene control sobre los datos, el único requisito restante es simplemente la intención de ser su propietario.
Si una entidad como una universidad genera datos y tiene la intención de poseerlos, entonces, siempre que tenga el control sobre ellos, legalmente se convertirá en su propietaria. Esto, en principio, le permite utilizar, licenciar y comercializar los datos como un activo económico. De hecho, es conveniente que las entidades generadoras de datos, como las universidades, declaren explícitamente la propiedad de los datos que producen. Esto no solo establece con claridad sus derechos legales, sino que también sirve como una medida de protección contra el acceso no autorizado y el uso indebido por parte de individuos malintencionados.
¿No pone esto en riesgo la privacidad de los datos?
No, no debería. La propiedad siempre está limitada por otras normas jurídicas. Por ejemplo, el hecho de ser propietario de un coche, no te da la libertad de conducirlo de la manera que te plazca; uno debe obedecer las normas de tráfico. De la misma manera, la propiedad de los datos personales está sujeta a estrictas limitaciones, en particular a los derechos de privacidad de los titulares de datos conforme a Popia.
Sin embargo, también es importante entender que los derechos de privacidad solo se aplican a los datos personales. Si los datos personales son anonimizados, es decir, si ya no pueden vincularse con los titulares de datos, los derechos de privacidad dejan de aplicarse. Lo que permanece son los derechos de propiedad sobre los datos en sí mismos, que pueden convertirse en un activo totalmente comercializable.
Reconocer que un registro digital de datos personales puede tener un propietario, y que el legítimo suele ser quien los genera, no socava las protecciones de privacidad establecidas por Popia. Al contrario, aclara el marco legal y garantiza que los derechos tanto de los titulares de datos como de quienes los generan sean reconocidos y protegidos.
Artículo firmado por Donrich Thaldar, Professor, University of KwaZulu-Natal, publicado originalmente en inglés por The Conversation y traducido al español por Lucas Rufino Rodríguez León gracias a la colaboración de Casa África y la cofinanciación al 85% de fondos FEDER en el marco del proyecto AfricanTech (1/MAC/1/1.3/0088) dentro de la iniciativa INTERREG VI D MAC 2021-2027
