Imagino que si está leyendo esta columna, habrá leído, visto la película o al menos escuchado alguna vez hablar del Gran Hermano (obviamente no del reality, sino de la obra de George Orwell, “1984”). Es una cita recurrente cuando se analiza el monitoreo informacional que ejercen los gobiernos sobre las personas, en especial cuando es abusivo y vulnera los derechos de los ciudadanos.
Sin embargo, el Estado no tiene que ser un Gran Hermano orwelliano, opresor y totalitario, para controlar gran parte de nuestra existencia. Conoce tanto de nosotros, quizás más que nosotros mismos.
Los órganos públicos tienen cientos de datos sobre cada uno de nosotros, que van desde nuestra identificación (como la cédula, huella digital, nacimiento, estado civil o domicilio), pasando por datos patrimoniales y tributarios (como impuestos y propiedades), de educación (como escolaridad y títulos), de salud (como vacunas, licencias y enfermedades), de sanciones (como condenas y multas de tránsito), de permisos o autorizaciones que nos hayan otorgado (como inicio de actividades, patentes o permisos de circulación), de comportamientos (como endeudamiento o adjudicaciones), hasta sobre los beneficios que recibimos (como becas, bonos o subsidios), por mencionar algunos.
Con estos insumos, el poder de control potencial del Estado depende del grado de coordinación que lleguen a tener los distintos órganos públicos, en la medida que sea suficiente para compartir de modo oportuno y eficaz los millones de datos personales que tienen en sus bases.
Hasta acá usted podría legítimamente preguntarme: ¿Y eso qué tiene de malo? ¿No se supone que el Estado tiene por finalidad el bien común? ¿Cómo podría funcionar un servicio público si no tiene nuestros datos?
Es verdad. Sin datos no hay subsidios, no hay permisos, no hay políticas públicas. Sin datos las instituciones del Estado no pueden ejercer las funciones para las que fueron creadas.
Eso sí, no es necesario creer en teorías conspirativas ni esperar una dictadura para ser cautos sobre el uso que el Estado dé a nuestra información. A partir de lo que conozco del sector público, mi preocupación obedece más bien a los cruces de datos inexactos, arbitrarios o erróneos que pueda realizar un funcionario y, sobre todo, al descuido con que los utilice.
Parece del todo razonable que el Ministerio de Educación tenga actas con mis notas, que el Servicio de Impuestos Internos cuente con mi información tributaria o que la Policía de Investigaciones conozca mi certificado de antecedentes.
Pero ¿y si esos datos se entregan a otros órganos que realizan funciones que no tienen ninguna relación con materias de educación, impuestos o condenas? O peor, ¿y si se comunican a terceros sin que yo me entere? ¿Hay alguna garantía a mi favor si un particular pide mis datos a un órgano público en virtud de la Ley de Transparencia?
¿Es legal que el Estado entregue nuestros datos personales?
Según la Ley 19628, sobre protección de la vida privada, un órgano público está facultado para comunicar o dar a conocer nuestros datos personales a otros servicios, quienes pueden utilizarlos incluso para fines distintos a los originales.
Es más, en ciertas condiciones también podría comunicar los datos a particulares que, ejerciendo la Ley de Transparencia ven facilitados los procedimientos para pedirlos.
Sin embargo, una idea es clara, la comunicación de datos personales está regulada por la Ley 19628. En ese sentido, el órgano público es responsable del registro y, como tal, asume una serie de obligaciones frente al titular del dato personal. Entre otras, tiene que cuidar los datos.
En mi paso por la Contraloría General tuve la suerte de redactar el dictamen N° 36.407, de 2005, referido a la comunicación de datos personales entre órganos públicos.
Ese dictamen, aún vigente, instruye cómo un órgano público puede compartir sus bases de datos personales a otro servicio, de forma legal y respetando los derechos de los titulares de datos.
Para ello “se requiere que la solicitud se enmarque dentro de la competencia que la ley expresamente le entrega a la entidad peticionaria, de tal modo que ésta deberá justificar en su requerimiento la función propia específica para la cual se utilizarán los datos personales solicitados y explicitar la competencia legal que lo habilita”.
¿Simple? Tal vez, pero cumplirlo marca la diferencia entre respetar o no al titular de datos y por ello explicaré las reglas que se desprenden.
Reglas para peticiones de órganos públicos
1. No se requiere consentimiento del titular.
La Ley 19.628 permite que los órganos públicos comuniquen datos personales a otros servicios, sin necesidad de pedir consentimiento previo a los titulares.
2. Es obligatorio cuidar los datos.
El órgano público al que se piden los datos tiene obligación legal de cuidarlos, lo que implica no entregarlos de buenas a primeras, sin pedir mayores explicaciones, aunque la petición provenga de otro servicio público. Por el contrario, si así lo hiciera, el órgano público responsable del registro estaría infringiendo la Ley N°19.628.
3. Solo se utilizan dentro de la competencia legal.
El órgano público que pide los datos solo podría utilizarlos dentro de ámbito de su competencia legal.
No basta, por tanto, sostener que la información personal le será útil o valiosa, o que aportará al bien común o interés general. No por eso el órgano público puede utilizarla. Debe ajustarse a sus funciones públicas propias y específicas.
4. Los datos se solicitan formalmente.
El órgano público que pide los datos debe solicitarlos formalmente, en virtud de un oficio o en ejecución de algún convenio previo con el órgano requerido.
5. Hay que explicitar una función pública específica.
El órgano público requirente tiene que indicar con claridad y precisión la función pública para la cual utilizará los datos y que le permite justificar la petición.
Solo a partir de lo anterior el órgano requerido estará en condiciones de comunicarle los datos, basado en que se utilizarán dentro de la competencia legal del órgano requirente.
Reglas para peticiones de particulares
Por su parte, si la petición de datos la realiza un particular, ejerciendo el derecho de acceso de la Ley de Transparencia, el órgano público requerido también está obligado a cuidar los datos antes de entregarlos.
Para proceder de manera legal, el órgano público deberá hacerse y responder 3 preguntas:
1. ¿Los datos personales solicitados se encuentran en una fuente accesible al público?
Si los datos están contenidos en un registro cuyo acceso no está restringido, el órgano público puede comunicarlos sin necesidad de consentimiento de los titulares y sin que el peticionario deba indicar la finalidad a la que los destinará.
Sin perjuicio de lo anterior, hay que considerar que la mayoría de las bases de datos que tienen los órganos del Estado NO son fuentes accesibles al público.
Por ejemplo, los proveedores que transan con el Estado a través del portal Mercado Público no están en una fuente accesible, pese a que conforman un banco de datos administrado por un órgano público, la Dirección de Compras. Solo aquellos que se encuentran inscritos en Chileproveedores –registro destinado a acreditar la habilidad para contratar con el Estado-, integran una fuente accesible, de acuerdo a la Ley N°19.886 y su reglamento. Solo para estos proveedores sus datos de identificación (nombre, RUT, rubro, correo electrónico y dirección) pueden ser comunicados a terceros, sin necesidad de autorización previa.
Es decir, todos los proveedores que transan con la Administración en virtud de la Ley de Compras integran una gran base de datos (www.mercadopublico.cl), pero con restricciones para el acceso a los datos personales. En cambio, solo una parte de aquéllos, que se encuentren inscritos en Chileproveedores, sí pasan a integrar un registro público y sus datos personales se pueden comunicar sin dificultad.
2. Si no están en una fuente accesible al público, ¿el peticionario tiene un poder o autorización escrita del titular de los datos personales que requiere?
En ese caso, solo se podrá entregar la base de datos luego de verificar el poder escrito del titular.
3. Si no están en una fuente accesible ni hay un poder del titular, ¿se salva lo anterior suscribiendo un convenio entre el órgano público y el peticionario particular para regular la entrega de datos y su correcto uso?
Sé que algunos funcionarios, incluso asesores jurídicos de los órganos públicos, piensan que suscribiendo un convenio estarían cuidando adecuadamente la información, ya que es una medida con la que el tercero se compromete al uso acotado y transparente de los datos.
Sin embargo, esta vía convencional de habilitación para el tratamiento de datos personales no tiene fundamento legal y, por tanto, esos convenios estarían en realidad infringiendo la Ley 19.628.
En efecto, para el titular de datos, tales convenios son inoponibles porque ellos no son parte del acuerdo, pese a que el objeto sobre el cual se están tomando decisiones son precisamente sus datos y, para ello, la Ley 19.628 exige su autorización, lo que no existiría bajo esos convenios.
En definitiva, si no supera estas interrogantes, el órgano requirente no debe comunicar los datos personales, correspondiendo denegar la solicitud de acceso según el art.21 N°2, de la Ley de Transparencia.
¿Y el siguiente paso?
Por supuesto, el tema no acaba acá. Hilando más fino, quiero terminar dejando un par de interrogantes más:
1. ¿Se aplican las reglas anteriores si el tercero no pide una base de datos, sino que por Ley de Transparencia solicita copia de documentos públicos que contienen datos personales, como resoluciones, oficios, órdenes de compra u otros similares?
2. ¿Las garantías que hemos mencionado pueden aplicarse también a los datos de personas jurídicas, que se encuentran en bases de datos de órganos públicos o, por el contrario, carecen de todo resguardo?
Sin embargo, el análisis lo abordaré en otra oportunidad. Mientras tanto, lo dejo planteado para sus comentarios.