Reconozco que ya había perdido la esperanza. Sin embargo, luego de muuuuuuuuuucho tiempo, al fin, se ha ingresado un proyecto de ley que mejoraría sustancialmente las normas que protegen nuestros datos personales.
Es tan radical el cambio como necesario. Tanto, que se ha presentado por el Gobierno y por los medios de comunicación como si fuera una ley que parte desde cero, como si hasta ahora no fuera obligatorio pedir autorización para utilizar los datos o como si recién con esta ley se tendrá que respetar la finalidad y cuidar los datos personales.
Sin embargo, no olvidemos que eso y más, es obligatorio en Chile desde 1999.
Lo que ocurre es que la Ley 19.628 no solo quedó desactualizada frente al actual paradigma tecnológico, marcado principalmente por Internet, sino que nació con graves insuficiencias y errores.
Se dictó como una ley que recoge los principios orientadores que existen en otras legislaciones dedicadas al tema –legalidad, finalidad, calidad de datos, seguridad y consentimiento- y que reconoce los principales derechos en esta temática –acceso, rectificación, cancelación y oposición-. Sin embargo, omitió el corazón, el motor, las garantías esenciales para que nuestros derechos estuvieran realmente protegidos frente abusos y no fueran solo letra muerta.
Pasaron 17 años en los que la doctrina siempre estuvo de acuerdo en la importancia y urgencia de modificar la ley 19.628; 17 años en que se presentaron alrededor de 70 proyectos de ley simplemente para “parcharla” –claro, no eran buenos proyectos y terminaron archivados en el Congreso-, hasta que este mes se ingresó otro, distinto, de fondo.
Este proyecto también ha demorado varios años. Se sometió a consulta pública –donde presentamos nuestras observaciones- y se mantuvo más de un año “raptado” en el Ministerio de Hacienda (como dice el profesor Reusser).
Por fortuna, luego de leerlo he quedado satisfecho, porque gran parte de nuestros comentarios y los de otros profesores fueron recogidos.
Ahora bien, comprender el proyecto con solo leerlo no es fácil. Se decidió no derogar la Ley 19.628 ni reemplazarla íntegramente por otra. Por el contrario, se mantiene y se introducen varias modificaciones a su texto. Por esa razón, les quiero compartir 5 puntos claves que les serán útiles para comprender el nuevo modelo que se quiere adoptar.
¿Qué objetivos tiene el proyecto de ley?
Pero antes de explicar los cambios más significativos que vienen con el proyecto, quiero detenerme brevemente en los objetivos que éste declara:
a. Reforzar los derechos de los titulares de datos.
Sin duda es el principal objetivo de este tipo de leyes, más que regular datos es proteger derechos. Por lo tanto, toda modificación tiene que ir hacia ese objetivo.
En nuestro caso, la Ley 19.628 reconoce los típicos derechos ARCO (acceso, rectificación, cancelación y oposición), junto con otros (bloqueo, revocación e indemnización), pero con muchas excepciones, pocas herramientas para evitar abusos y procedimientos engorrosos para exigir que se respeten.
Afortunadamente varias de las normas del proyecto se hacen cargo de ello.
b. Contar con una ley moderna y flexible.
Nuestra actual ley se encuentra alejada de los estándares internacionales de protección de datos, que normalmente siguen el modelo europeo, recientemente actualizado en abril de 2016.
Si a ello agregamos los lineamientos que entrega la OCDE y otros compromisos internacionales que ha suscrito Chile, por ejemplo, en sus tratados de libre comercio, resulta evidente que el proyecto tiene la obligación de ponernos al día y no ser un simple parche.
Esto tiene una implicancia práctica.
Las leyes de protección de datos personales de otros países son exigentes respecto del envío de datos a países que no cuenten con una normativa equivalente a la de ellos en esta materia. Es decir, si el resto del mundo ha modernizado su legislación y nosotros seguimos con un modelo de fines del siglo XX (inspirado en leyes de fines de los ochenta), seremos considerados como un país riesgoso, dificultándose los acuerdos comerciales y los proyectos transfronterizos de intercambios de datos personales.
Por suerte, el proyecto incorpora temáticas actuales, como el derecho al olvido, la portabilidad, los datos biométricos y el big data, entre otros.
c. Incrementar los estándares legales de protección y seguridad.
La protección de datos personales se construye sobre la base del riesgo al que están expuestos. De este modo, la obligación de adoptar medidas de seguridad debe estar mucho más desarrollada, no como ocurre con la Ley 19.628.
Actualmente solo se exige al responsable del banco de datos que los cuide, sin decir cómo, sin distinguir según el tipo de dato personal, sin dar consecuencias claras frente al incumplimiento de esta obligación. En fin, frente a un problema de seguridad se abre un escenario de interpretaciones muy amplio para determinar si se adoptaron o no medidas para cuidar los datos.
En el proyecto, en cambio, el legislador es mucho más concreto con la obligación de cuidar los datos y con la responsabilidad para quienes la infringen. Además, se preocupa de la prevención, según explicaré más adelante.
d. Legitimar el tratamiento de datos personales por órganos públicos.
Nunca he sido un talibán de la protección de datos, ya que estoy convencido de que la regulación funciona en la medida que equilibre dinámicamente intereses contrapuestos: por un lado, el del titular de datos que quiere restringir o controlar más el acceso a su información y, por el otro, el de la comunidad que necesita utilizar dichos datos para fines legítimos.
Uno de estos últimos es el Estado, cuyos proyectos y políticas públicas descansan en la imperiosa necesidad de tratar datos personales y de poder compartirlos con otros órganos públicos.
Por supuesto, esto no es libre. Un órgano público solo puede utilizar datos personales ajustándose a sus competencias legales y para sus funciones específicas. De lo contrario, vulnera los derechos de las personas.
Por esa razón, el proyecto busca ser más claro respecto de las circunstancias que habilitan y facilitan el tratamiento de datos en el Estado.
e. Contar con una autoridad de control.
Este ha sido el gran debate por años, la gran deuda de la Ley 19.628. Sin duda que es un punto central que explicaré enseguida.
Los 5 puntos clave
En general, el proyecto mantiene la estructura de la Ley 19.628, aunque mejorando o corrigiendo sus artículos. Además, incluye novedades importantes.
Por supuesto, este proyecto también necesita algunas correcciones y tiene aspectos por mejorar, lo que iré explicando en otras columnas. Sin embargo, por ahora me quiero detener en los puntos que, a mi juicio, resultan más significativos para un nuevo sistema de protección de datos personales en Chile.
1. Agencia de Protección de Datos Personales
El proyecto se hace cargo de una de las deudas más evidentes de la ley 19.628 original, al crear un órgano público especializado, de carácter técnico, encargado de velar por el cumplimiento de la ley.
La labor de un órgano de control es esencial, ya que complementaría la regulación a través de la dictación de instrucciones y prestaría asistencia técnica a otros Poderes del Estado y órganos autónomos, gracias a su grado de especialización. De igual modo desarrollaría acciones de difusión a la ciudadanía, fundamental para educar a las personas sobre el autocuidado de su información.
Pero la principal función de esta Agencia será actuar como fiscalizador del cumplimiento de la ley, con competencia para resolver reclamos que formulen los titulares de datos y sancionar a los infractores.
Todo bien hasta ahí, pero la gran duda que despierta el proyecto es la independencia que tendrá esta Agencia. Claro, a diferencia de los estándares internacionales en que dicha independencia se garantiza por su conformación y su autonomía, en Chile sería un órgano sometido a la supervigilancia del Presidente de la República, a través del Ministerio de Hacienda.
Este fue un cambio al anteproyecto que se sometió a consulta pública, en donde el órgano de control era autónomo e independiente, similar al Consejo para la Transparencia. Esperemos que esto se corrija.
2. Normas especiales para proteger a los menores de edad
Lo sé. Los datos de menores de edad no son los únicos tipos de datos personales que se consideran como categorías especiales en el proyecto. Correctamente se distinguen reglas particulares para datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones; para datos de geolocalización; además de las reglas correspondientes a los datos sensibles.
Sin embargo, el hecho que el proyecto considere la situación de los menores de edad me parece claramente destacable. Más aún en el actual contexto de redes sociales y juegos en línea, a los que acceden muchos niños y niñas, en muchas ocasiones sin las mínimas prevenciones de sus padres.
Obviamente el proyecto no puede hacerse cargo de ese cuidado parental ni los padres pueden desentenderse de su obligación de cuidado. Pero sí es muy importante reconocer legalmente que la protección de estas personas debe ser mayor que en el caso de los datos de adultos.
En el proyecto, el reforzamiento es más bien simple, ya que se basa en que el tratamiento de los datos de menores deba contar con el consentimiento previo, expreso y específico de quien tiene el cuidado personal de aquéllos. Con todo, es un avance que también debe verse reflejado en el diseño de las aplicaciones y plataformas electrónicas que utilizan los menores.
3. Modelos de prevención de infracciones
En ocasiones anteriores he explicado que las leyes de protección de datos no se cumplen por el mero hecho de no infringirlas. Es necesario implementarlas. Solo así el sistema de protección de datos personales puede contar con herramientas eficaces destinadas a prevenir los abusos, más que a simplemente reparar los daños.
En ese sentido, el proyecto de ley acude a un modelo de prevención parecido al que existe en la Ley 20.393, sobre Responsabilidad Penal de Personas Jurídicas. El proyecto reconoce valor a una serie de medidas útiles destinadas a mitigar el riesgo de infracción a la ley.
Por ejemplo, reconoce la figura del oficial de privacidad o encargado de protección de datos, al que denomina como encargado de prevención o delegado de protección de datos personales.
Además, fija el contenido mínimo de un programa de cumplimiento, construido a partir de la clasificación previa de los datos personales, la evaluación de riesgos, el establecimiento de protocolos, reglas y procedimientos, entre otros aspectos. Todo ello debe quedar recogido como una obligación en los contratos de trabajo o de prestación de servicios, además del reglamento interno.
Por último, el responsable de datos puede certificar su modelo de prevención ante la Agencia de Protección de Datos y, con ello, preconstituye una atenuante de responsabilidad en caso de incurrir en alguna infracción de esta ley.
En fin, gracias a esta modificación el sistema de protección de datos personales chileno da un giro importante en el enfoque de la tutela, pasando desde un modelo eminentemente de reparación a uno más eficaz de prevención.
4. Consentimiento previo para la cesión o transferencia de bases de datos
Quiero destacar esta modificación porque, a la fecha, la comunicación de datos a terceros constituye una de las principales vulnerabilidades del sistema de protección. En efecto, el resguardo de los derechos del titular se construye a partir del consentimiento previo de éste. El titular normalmente entregará su autorización si es informado sobre quién utilizará sus datos y para qué.
Sin embargo, esa garantía queda en nada si luego, el que fue autorizado a utilizar los datos entrega la base a un tercero para que también los use, pero esta vez, sin que lo autorice previamente el titular. Lo grave de esto es que ese tercero podría emplear la base de datos para fines distintos a los que motivaron la autorización inicial.
El resquicio que se utiliza hoy es una autorización genérica y abierta, un verdadero “cheque en blanco” que se pide al titular al realizar la recolección de los datos. Hoy la ley 19.628 pide que, para obtener la autorización del titular, se informe el propósito del almacenamiento y su "posible comunicación al público". Con eso bastaría. Es decir, el titular no tiene ninguna certeza sobre la cesión en concreto, a quién se transferirán, cuándo y para qué, lo cual favorece un mercado de intercambio de bases de datos al margen del conocimiento de los titulares de datos.
¿Por qué lo llaman o le envían correos electrónicos personas o empresas con las que no ha tenido ningún vínculo previo? Porque las bases de datos se venden sin control.
Con el proyecto de ley la situación cambia radicalmente. Se permitirá al responsable de datos –la persona o entidad que está autorizada para utilizar los datos personales-, a ceder las bases de datos con el consentimiento previo del titular y en la medida que la cesión sea necesaria para cumplir con los fines del tratamiento o las funciones del cedente o del cesionario. Es decir, ya no puede ser una cesión libre, para lo que se nos ocurra.
5. Catálogo de infracciones
¿Qué es un uso indebido o abusivo de los datos personales? ¿Cuándo hay un descuido de los datos personales que se están utilizando? Esas ambigüedades o expresiones tan amplias e interpretables han inspirado hasta ahora a la ley 19.628.
Con ello es mucho más difícil saber qué se puede reclamar y, por lo tanto, de qué forma se infringe esta ley.
Afortunadamente, el proyecto incorpora un catálogo de infracciones, calificadas previamente según su gravedad (leves, graves y gravísimas), que aportan más seguridad jurídica en el régimen de responsabilidades.
Por ejemplo, si no se informa al titular de forma correcta y completa o no se le responde oportunamente, serán infracciones leves que se sancionan con amonestaciones escritas o multas de 1 a 50 UTM.
En cambio, si se tratan o ceden los datos sin consentimiento del titular, la infracción es grave y las multas aumentan de 51 a 500 UTM, es decir, alrededor de 23 millones de pesos.
Ahora, si la infracción es gravísima, como por ejemplo cuando el tratamiento se efectúa de manera fraudulenta, se comunican datos falsos o incompletos a sabiendas, o se tratan datos sensibles con manifiesta falta de cuidado, se expone a multas altas que van desde las 501 UTM hasta las 5.000 UTM, es decir, más de 230 millones de pesos.
Por supuesto hay que revisar el detalle de este catálogo y las sanciones asociadas, pero nos parece un aporte distinguir infracciones concretas y diferenciar según su nivel de gravedad.
¿Y qué viene ahora?
Depende de la fe…
Claro, ahora hay que invocar a todo aquello en que se crea, a lo humano y lo divino, para que el proyecto se tramite con urgencia. De lo contrario, dormirá hasta caer en un coma inducido por los lobbistas del Congreso.