Uno de los temas peor desarrollados por la Ley 19.628, desde el punto de vista jurídico, es la regulación de los datos sensibles. Tiene una redacción confusa, erróneamente generosa, que termina por darles una protección debilitada, contrario a lo que ocurre en legislaciones de otros países.
Pero primero, ¿de qué estoy hablando?
Los datos personales se refieren a información concerniente a personas naturales, sea que las identifiquen directamente (como el nombre o una fotografía, por ejemplo) o bien, que permitan llegar a identificar a esa persona a través de la asociación de algunos datos (por ejemplo, un número de celular es dato personal si logro vincularlo con el titular del equipo).
En ese sentido, existe un amplio océano de datos personales con los que diariamente interactuamos. Sin embargo, no todos esos datos se protegen igual, porque legalmente se considera que algunos merecen mayores resguardos que otros. En efecto, las leyes sobre estas materias protegen de forma especial ciertos datos, por estimar que su utilización abusiva puede ser más discriminadora, lesiva o porque existe un menor interés público real por conocerlos. Como dice nuestro profesor y amigo Emilio Suñé, su abuso suele ser más invasor en los derechos fundamentales. Claro, atacan la esencia misma de la persona, resguardada por la intimidad.
Es el caso de los llamados datos sensibles, que como he explicado, son una especie de dato personal, que requiere una protección jurídica reforzada. Es más, ello se traduce normalmente en la existencia de mayores restricciones o más exigencias previas para que terceros los puedan utilizar legítimamente.
Dicho lo anterior, en Chile han sido definidos –con bastante desprolijidad jurídica- como “aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad […]”. (Ley 19.628, art.2, letra g).
Luego, para efectos de explicar mejor lo inexplicable –perdón, pero realmente me parece mala la definición-, terminan por arruinarlo con un listado abierto de ejemplos de datos sensibles. Ese artículo continua diciendo: “[…] tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.
Reconozco que a simple vista podría parecer muy bien planteada la figura de los datos sensibles, aparentemente muy garantista y engañosamente parecida a las cláusulas que se encuentran en otros países.
Sin embargo, veamos 3 errores que derivan de esas “inocentes” líneas escritas en la Ley 19.628:
1. No todos los caminos llevan a Roma (algunos son calles sin salida o rotondas).
La definición califica el dato personal como sensible a partir de dos criterios distintos e independientes entre sí, planteados de forma muy amplia, pese a tratarse de una categoría restringida, como explicaré.
Claro, por un lado, dice que son los datos que se refieren a una característica física o moral de la persona y, por el otro, indica que dicen relación con hechos o circunstancias de la vida privada o intimidad.
Acá me gustaría retar a que algún diputado o algún senador sea que capaz de explicar lo que pusieron en esa definición. Dudo que encuentre a alguien.
Según la definición legal, podríamos estar frente a un dato sensible sólo por referirse a una característica física del individuo. Absurdo. Esa sola particularidad no define un dato sensible o ¿acaso aspectos distintivos de la apariencia –como la estatura o, incluso, los defectos físicos notorios- requieren una protección reforzada? No, para eso basta con la regulación general de protección de los datos personales.
Del mismo modo, es muy ambigua la expresión “características morales”, porque al ser un concepto jurídico indeterminado, puede abordar con extrema subjetividad cualquier comportamiento susceptible de ser calificado como bueno o malo, como correcto o incorrecto. No olvidemos que lo que forma parte del comportamiento moral está sujeto a convenciones sociales, no necesariamente compartidas por todos.
2. Vida privada e intimidad no son sinónimos.
La intimidad constituye una zona más interior que la vida privada, más cercana a nuestra persona como la conciencia, los pensamientos y sentimientos. Por ello, se puede mantener protegida por la sola decisión personal de no divulgarla. La vida privada, en cambio, es más amplia, no exclusiva del fuero interno.
Frente a esta diferencia, parece más sensato circunscribir los datos sensibles solo a aspectos íntimos, en que claramente es legítimo el interés del titular por conservar esos datos fuera del conocimiento de los demás. Así los mantiene en un círculo de mayor reserva, mitigando el riesgo inherente de que sean utilizados por terceros contra sus derechos fundamentales o dando pie a discriminaciones arbitrarias.
3. Las excepciones no pueden llevar listados abiertos, porque dejan de ser excepciones.
Nos parece muy desafortunada la expresión “tales como”. Sí, aunque la postura mayoritaria crea que con ello el legislador, de manera supuestamente visionaria, amplió la protección, en realidad desmejoró la posición de los datos sensibles, en relación con datos personales propiamente tales.
La expresión transforma el listado de la definición solo en ejemplos, en un numerus apertus generador de inseguridad jurídica. Es engañoso porque se parece a la regulación internacional, al mencionar ese núcleo que generalmente reconoce el derecho extranjero como datos sensibles –la etnia, la ideología, la religión, la sexualidad y la salud-, pero lo abre a situaciones que, en caso alguno pueden equipararse a los recién mencionados.
Como muestra, dice que los hábitos personales son datos sensibles. Como dice mi hijo: “FAIL”. Los hábitos son datos personales y tienen protección legal. Sin embargo, están muy distantes de los datos sensibles, por referirse a una información altamente subjetiva y variopinta, que no ofrece certeza alguna.
¿Acaso es posible considerar que los hábitos de alimentación, de aseo o de ejercicio, por ejemplo, son datos sensibles para una sociedad? ¿Tendríamos que distinguir –pese a que el legislador no lo ha hecho- como dato sensible sólo a los malos hábitos personales que pueden generar perjuicios al titular si son conocidos? Los hábitos personales son datos protegidos, pero no pueden ser sensibles y por ello no se encuentran en el derecho comparado como parte de esta categoría.
Problemas de un régimen subjetivo de datos sensibles
En nuestras clases de postgrado explicamos a los alumnos que, como resultado de esos errores, la Ley 19.628 establece un régimen subjetivo de datos sensibles en Chile. Ello implica que cualquier intérprete puede calificar un dato como sensible en ciertos casos, pero no necesariamente ocurrirá lo mismo con otra persona, aunque la situación sea similar.
En nuestra experiencia vemos que esto es aceptado por la mayoría, aunque contradice el sentido que tiene categorizar los datos personales en un sistema jurídico. Es decir, como dijimos, no todos los datos personales tienen la misma protección, algunos requieren una más reforzada.
Para lograr lo anterior, sostengo que la mejor regulación de datos sensibles debe basarse en una mayor objetividad para calificarlos como tales. De ese modo, la ley es más coherente con el carácter excepcional de esa normativa de protección especial reforzada de datos personales.
El régimen de datos sensibles debería construirse, en principio, a partir de la prohibición de su tratamiento por terceros. En ese sentido, el concepto debe estar asociado a un numerus clausus o listado cerrado, para que la calificación de si el dato es o no sensible por su contenido no sea subjetiva, sino más bien esté determinada por el hecho de que forme parte o no de un listado de datos sensibles previamente dispuesto por la ley (no por el titular del dato; por la ley).
A diferencia de lo que muchos creen, los datos personales que no son sensibles también tienen protección y no cualquiera puede llegar y utilizarlos. Esos datos personales no sensibles requieren de la autorización previa e informada del titular para su tratamiento, y con respeto a la finalidad del tratamiento.
Ahora bien, si ese dato personal además forma parte de un listado cerrado de datos sensibles, dispuesto previamente por ley, operan normas de excepción destinadas a reforzar la protección del titular, comenzando por la prohibición de utilizarlos, si no se cumplen requisitos más exigentes que los aplicables al tratamiento de datos personales no sensibles.
No obstante, reconocemos que la doctrina mayoritaria tal vez defienda un listado abierto, dinámico y a favor de datos que son sensibles en relación con el contexto en que se usan. Según ella, cualquier dato personal, por irrelevante que parezca, puede recibir mayor protección cuando sea necesario. En ese caso, la sensibilidad del dato la determina el titular y no el legislador. Parece una buena salida, pero encierra muchos problemas.
Si los datos sensibles reciben una regulación especial, distinta a la regla general, constituyen excepciones que como sabe cualquier abogado, son de derecho estricto y se interpretan restrictivamente. Todo lo contrario a lo que hizo la Ley 19.628.
A diferencia del resto de datos personales, la normas para los datos sensibles no buscan un equilibrio dinámico entre el libre flujo de información personal y la posibilidad de control por parte de su titular. Por el contrario, se inclinan meridianamente por este último, por eso tienen que abarcar casos puntuales, definidos o preestablecidos de modo objetivo, no por listados abiertos y cambiantes.
Con una calificación subjetiva de lo que es un dato sensible ¿cómo podría prohibirse su utilización si, en la práctica, sólo después de que ello ocurra y que el titular conozca el hecho y reclame, recién ahí, el juez podría declarar que el dato es sensible? ¿Cómo se puede reparar el perjuicio causado por la utilización de un dato sensible, si el responsable del registro estimó legítimamente que no lo era, pero después un juez señaló lo contrario? Y lo más grave a nuestro juicio, ¿cómo evitar criterios contradictorios entre órganos que califiquen un mismo tipo de dato como sensible en ciertas circunstancias, pero en otras no? De hecho, esto podría ocurrir incluso respecto de los datos mencionados expresamente en el listado.
Sobre esto último recuerdo un caso en que el Consejo para la Transparencia, a propósito del dato de ser víctima de tortura o prisión política, señaló lo siguiente: “[…] si bien las víctimas de violaciones de derechos humanos durante el periodo 1973-1990 pueden ser asociadas a determinadas convicciones políticas, éstas eran más de una y no necesariamente participaban de éstas y menos aún sus familiares o descendientes, razón por la cual no se estima que ser víctima de violaciones de derechos humanos o familiar de alguna de ellas, constituya un dato sensible, no obstante tratarse de datos de carácter personal. Asimismo, hoy en día no puede estimarse como un estigma el que una persona que haya sido víctima de violaciones a sus derechos humanos” (decisión Rol C333-10, Considerando 10).
Es un claro ejemplo de cómo de forma categórica, sin mayores fundamentos objetivos, se desnaturaliza un dato sensible por antonomasia como es la calidad de torturado o preso político, datos íntimamente ligados a la ideología del titular, a una represalia frente a sus opiniones políticas o al estado de salud físico o psíquico de esas personas, como consecuencia de dichos apremios.
Con un sistema objetivo de datos sensibles sería la propia sociedad, a través de la ley, quien determine una protección especial para aquellos datos que estime de mayor relevancia común, por lo general ligados a las libertades de conciencia y religión, la étnia, la salud y la vida sexual.
Además, si surgen nuevas necesidades sociales, sea para aumentar o para disminuir el catálogo de datos sensibles, nada obsta hacerlo por la vía legislativa. Por ejemplo, si para la idiosincrasia de una sociedad determinada o de acuerdo a sus políticas públicas de protección a ciertos grupos resulta relevante, la ley podría agregar al listado de datos sensibles aspectos como la filiación, la sindicalización, la calidad de inmigrante, la identificación biométrica o la circunstancia de ser víctima de ciertos delitos, por mencionar algunos.
Sin duda, no son pocas las razones para justificar un numerus clausus de datos sensibles que aporte objetividad, que sea coherente con el carácter excepcional de su normativa y que evite perjuicios mayores provocados por la falta de certeza en la calificación previa del dato.
Esto último, unido a un real reforzamiento basado en la exigencia de consentimiento expreso, escrito, informado y específico para autorizar el tratamiento, sería a nuestro juicio el camino más correcto para regular el uso de datos sensibles.