Luego de un largo estudio empírico de casi 20 años, la opinión pública concluye que nuestra ley de protección de datos personales -ley N°19.628, de 1999-, es una mala normativa. No nos extraña, ya que quienes nos dedicamos a estos temas nos dimos cuenta de ello desde que comenzó a regir, anticipando los problemas que hoy se viven. Así lo hemos planteado en distintos escenarios, durante todos estos años.
Tantas críticas ha tenido y tantos parches legislativos se han intentado para modificarla -casi todos, proyectos de ley archivados sin tramitar-, que incluso los Gobiernos de turno y los parlamentarios suelen estar de acuerdo con la necesidad "prioritaria" de cambios.
Pero entonces, ¿por qué pasan y pasan los años y la voluntad política para modificarla en profundidad no se concreta en una nueva ley?
Es un interrogante cuya respuesta no tiene que ver con la complejidad del tema ni con la necesidad de recursos para financiarla. En realidad creo que hay grupos de presión muy “convincentes” que frenan cada intento por corregir esta ley. Una legislación débil en protección de datos puede resultar beneficiosa a corto plazo para quienes reciben ganancias políticas y económicas del statu quo, que nos mantiene con retraso de casi tres décadas, comparados con el estándar legislativo internacional. Lamentablemente, los beneficiados no somos necesariamente nosotros, los titulares de datos personales.
Sin embargo, el problema de una mala ley, a mediano plazo, nos perjudica a todos:
Como país, una mala protección de los datos que se reciben desde fuera nos vuelve muy riesgosos para los flujos transfronterizos datos personales, que son la base del comercio y los negocios del siglo XXI. Es decir, la supuesta mayor libertad para el comercio sin "frenos" legales derivados de la protección de datos, nos puede jugar en contra para la inversión extranjera y el crecimiento económico.
Para los gobiernos de turno, la existencia de límites poco claros frente a la utilización que ellos pueden hacer con los datos de la ciudadanía, los nubla con el poder. Nuestros datos son el combustible para mover políticas públicas y planes de gobierno. Sin embargo, veo un enorme riesgo por el apetito que puede despertar en las autoridades el control que puede ejercer sobre la ciudadanía, a través de sus datos personales. Es muy fácil justificar excesos de competencias y medidas arbitrarias contra las libertades, en aras del "bien común y nuestra propia seguridad", lo que tarde o temprano pasa la cuenta a la democracia. No olvidemos que muchos gobiernos totalitarios o autoritarios mutaron desde sociedades democracias que acabaron durmiéndose.
Para la ciudadanía, los mercados ilegales de datos personales y los perfiles arbitrarios que generan las grandes empresas aumentan las brechas sociales, económicas y tecnológicas; las diferencias entre ricos y pobres, entre los pocos que trabajan y lucran con nuestros datos y la mayoría de quienes les regalamos nuestra información, queriéndolo o no.
Y finalmente, para cada persona, que día a día experimenta -no siempre consciente- las consecuencias de estar expuesto a algoritmos que condicionan todas las libertades de decisión, bajo la ilusión de tener el control de nuestras vidas en la palma de la mano.
"El problema de una mala ley, a mediano plazo, nos perjudica a todos".
Por ese motivo, las leyes de protección de datos personales son instrumentos para garantizar la dignidad y el respeto de los derechos esenciales de las personas, no solo de la vida privada, sino de todas las libertades que se nos reconocen. De esto modo, a mejor legislación, mayor garantía para las personas; a peor legislación, mayor probabilidad de abusos sobre todos nosotros.
El sistema de protección de datos personales
Cada vez que explico a mis alumnos la protección de datos personales, me gusta enseñarles que estas normas construyen un sistema, con partes o pilares que interactúan unos con otros, y cuyo equilibrio es responsable de que se aplique correctamente la ley. Así, al igual que un puente, si un pilar es muy débil o tiene un tamaño muy diferente al resto, no contribuye a sostener la construcción.
Las leyes de protección de datos personales presentan 3 pilares:
Principios jurídicos orientadores.
Derechos y obligaciones recíprocas entre el titular de los datos y el responsable del registro.
Garantías.
Los principios son importantes para orientar a quienes deben interpretar y aplicar la ley de datos personales en casos concretos. Estas leyes no describen situaciones de detalle ni cubren expresamente todos los escenarios. Por eso, a diario se abren inquietudes sobre cómo aplicar la ley y esa tarea se simplifica al conocer los principios.
Por ejemplo:
"¿Puedo recolectar datos a través de falsas promesas publicitarias?" No, porque los engaños infringen el principio de buena fe.
"Si yo construí la base de datos ¿debo eliminarla cuando el negocio o el proyecto termina?" Sí, porque ya se cumplió la finalidad.
"¿Es correcto exigir la mayor cantidad de datos personales posibles, aunque no los vaya a utilizar?" No, según el principio de calidad de datos.
En fin, hay muchísimos casos que se podrían plantear.
Por otra parte, estas leyes reconocen facultades específicas para los titulares de datos y obligaciones correlativas para quienes utilizan esa información. Desde los clásicos derechos de acceso, rectificación, cancelación y oposición, hasta otros más nuevos como el derecho al olvido y a la portabilidad de los datos.
Finalmente, están las garantías, esenciales para que los derechos se respeten y se logre la finalidad de la ley de protección de datos. Por ejemplo, exigencias de seguridad a partir de los riesgos del tratamiento y los tipos de datos personales; fiscalización especializada; sanciones preventivas; modelos de prevención; encargados de protección de datos; entre otras.
¿Qué problemas trae un sistema de protección de datos personales sin equilibrio?
Es importante que estos tres pilares sean firmes y estén equilibrados para sostener la regulación, porque, por ejemplo, si no reconoce claramente los principios orientadores, es más difícil para quienes deben implementar, aplicar o cumplir la ley de protección de datos, estar seguros de hacerlo correctamente en un sinfín de casos concretos no descritos en la ley.
Del mismo modo, si no reconoce facultades específicas para los titulares de datos, que le permitan decidir sobre la utilización legítima de sus datos por parte de otros, se le priva de herramientas para exigir, por ejemplo, que se detenga un tratamiento abusivo de sus datos, que le entreguen su información cuando quiera terminar un contrato y llevarlos a otro proveedor, o que puedan desindexar cierta información personal caduca de los buscadores de Internet, por mencionar algunos.
Por último, y quizás el pilar más importante, si no se reconocen garantías para dar eficacia a los derechos, éstos quedan plasmados en letra muerta, ya que los abusos no se pueden evitar o detener y los riesgos no se logran mitigar.
Esto último es lo que ha pasado en Chile, con la ley N°19.628, carente del pilar de garantías. En efecto, nuestra ley reconoce varios principios generalmente aceptados en las distintas leyes de protección de datos del mundo (ej. finalidad, calidad de datos, consentimiento informado, legalidad, entre otros) y se establecen las facultades para el titular y las obligaciones para el responsable del registro típicas (acceso, rectificación, cancelación, oposición, entre otras). Eso sí, son aspectos que también requieren correcciones y actualizaciones importantes.
Sin embargo, no cuenta con un órgano de control especializado e independiente que fiscalice el correcto cumplimiento de la ley; no tiene precisión sobre medidas de seguridad básicas que deban establecerse según el tipo de dato personales que se registre; no tiene sanciones preventivas frente a incumplimientos legales, sino solo un sistema ilusorio de indemnización de perjuicios; por mencionar garantías fundamentales que faltan.
Para qué decir, de los nuevos estándares de protección de datos propios del tratamiento tecnológico actual realizado en el ciberespacio, a través de redes sociales, comercio electrónico y mediante inteligencia artificial y redes neuronales. Nuestra ley ni lo intuye.
¿Qué podemos hacer?
En esta oportunidad, no voy a entrar en detalle en este punto, sino que lo comentaré en otras columnas. Únicamente puedo adelantar que, frente a una ley sin equilibrio, como la ley N°19.628, el foco debería estar en estas ideas:
- Modificar la ley, obviamente;
- No esperar al legislador, sino que partir desde ya con el autocuidado de nuestros propios datos;
- Pensar la protección de datos sobre la base de los riesgos involucrados; y, finalmente,
- Dar prioridad a las garantías tecnológicas, como la privacidad por diseño.
En resumen, ¿nuestra ley de datos personales es tan mala como se dice?
Creo que queda respondida la pregunta, aunque te invito a comentar para conocer tu opinión.
Puede profundizar este tema a través de nuestros cursos personalizados sobre protección de datos personales.
Más información aquí.