Nadie es infalible. De hecho, también pueden cometer errores quienes orientan a otros.
Hace unos días recibí unas recomendaciones impartidas por la Dirección ChileCompra en materia de protección de datos personales, cuando el tratamiento se realiza en procesos de compra. Me refiero a la Directiva 45, de febrero de 2025.
Por si no lo sabes, ChileCompra es un servicio público descentralizado, de carácter técnico, con funciones asesoras en materia de contratación pública. Entre sus atribuciones cuenta con la posibilidad de elaborar “Directivas de Contratación” destinadas a favorecer una mejor interpretación y aplicación de la normativa de compras en situaciones puntuales, por parte de órganos compradores. Es más, ahora incluso puede impartir instrucciones obligatorias, de general aplicación, en estas materias.
En el caso de la Directiva 45, de 2025, como expresamente indica ChileCompra, se presentan únicamente recomendaciones y no instrucciones obligatorias. Por eso, los organismos públicos pueden considerarlas o no. Sin embargo, a pesar de ese carácter no vinculante, si un órgano técnico entrega buenas prácticas que pueden adoptarse voluntariamente, en principio, parece lógico seguirlas.
Ahora bien, en el caso concreto de esta Directiva, en mi opinión, considero un error tomarla como referencia, en los términos en que está planteada. Luego de revisarla en profundidad, veo que incurre en errores interpretativos que pueden confundir a los órganos públicos llamados a cumplir con la Ley de Datos Personales.
Por ese motivo, quiero presentar solo algunos de los problemas que advierto en esas recomendaciones, esperando que ello ayude a los órganos compradores a cumplir correctamente con la normativa de datos personales en los procesos de compra. Además, si estas observaciones llegaran a mis amigos de la Dirección, tal vez puedan motivarlos para que las rectifiquen pronto.
El principal error de la Directiva 45: El enfoque
Me resulta muy extraño que ChileCompra haya publicado esta directiva en febrero de 2025, así tal cual, estando consciente de que en diciembre de 2024 se había publicado una “nueva” Ley de Datos Personales. Al hacerlo, la Directiva 45 perdió utilidad práctica desde un inicio, ya que basa sus recomendaciones en la regulación original de la Ley N° 19.628, de 1999, profundamente modificada por la Ley N° 21.719, de 2024.
Obviamente, la primera razón que alguien podría esgrimir para defender la Directiva 45 sería el hecho de que la nueva regulación que viene con la ley de 2024 aún no rige. Recién a partir del 1 de diciembre de 2026 será obligatoria. Entonces, ¿qué tiene de malo que la Directiva 45 no se haga cargo de ella y solo mire la regulación de 1999?
Todo.
Actualmente estamos en un período de vacancia, precisamente, para que todos quienes realizan tratamiento de datos personales -incluidos los órganos públicos-, ajusten sus prácticas, adopten medidas y se preparen para implementar el nuevo marco legal. Para ello únicamente hay plazo hasta el 1 de diciembre de 2026, un tiempo que, según mi experiencia implementando estas normativas, es muy breve si se consideran los profundos cambios que deben aplicarse, las prácticas arraigadas que deben modificarse y lo lentas que suelen ser las organizaciones para gestionar este tipo de cambios.
Cada día pasa muy rápido y, a la fecha en que escribo esto, ya solo queda 1 año y 9 meses para tener todo implementado. Luego de ese tiempo, la Agencia de Protección de Datos estará facultada para fiscalizar y aplicar sanciones y, sobre todo, las personas podrán reclamar ante ella.
Por lo tanto, el trabajo actualmente debe estar focalizado en prepararse para cumplir cabalmente con la nueva Ley de Datos Personales, de 2024, y no en mantener la mirada en el texto original de 1999. Por eso se trata del principal error de la Directiva 45, a partir del cual se explican los demás.
Solo para explicar alguno, puedo mencionar el PRINCIPIO DE LEGALIDAD que, a diferencia de lo que explica y ejemplifica la Directiva, ahora será más exigente.
Veamos. Para que un órgano público pueda utilizar datos personales de proveedores necesita una base o fuente de licitud, es decir, encontrarse en una situación que lo habilite para ello y que le dé legitimidad a esa actividad. Entre las distintas bases de licitud de la nueva ley de datos personales, a los órganos públicos les corresponde invocar la ley. Esto significa que, si un órgano público quiere utilizar datos personales para funciones que no le corresponden, no podrá hacerlo, incluso si contara con el consentimiento de esas personas.
Por lo tanto, si el órgano comprador quiere utilizar los datos personales debe hacerlo para cumplir con alguna de sus funciones legales, necesita actuar dentro de sus competencias y apegarse a la Ley de Datos Personales. No debe pedir autorización de los titulares de datos, porque la ley es su base de licitud.
Esto parece obvio para quienes entienden un poco de Derecho Público, pero no es tan evidente, ya que incluso la Ley de Transformación Digital del Estado comete errores al respecto, cuando se refiere al autorizador de datos sensibles. Pero ese será tema de otra columna.
Ahora bien. ¿Dónde está el problema en la Directiva 45 sobre este principio?
A diferencia del texto de 1999, en donde los órganos públicos podían tratar datos con solo hacerlo respecto de materias de su competencia y sujetándose a las demás reglas de la Ley N° 19.628, el texto de 2024 no es igual. Ahora necesita una finalidad más precisa, ya que el tratamiento de datos debe realizarse para cumplir alguna de las funciones legales del órgano público. En consecuencia, no cabe aludir funciones genéricas como atender al bien común, por ejemplo.
Esta precisión ya se trató de hacer exigible a los órganos públicos a partir de la jurisprudencia de la Contraloría General, con su dictamen 36.407, de 2005, que, de hecho, me tocó redactar cuando trabajaba ahí, junto con convencer a mi jefe para agregar esta exigencia. En ese dictamen -aún vigente- se indica que, si un órgano público quiere utilizar datos personales en poder de otro órgano, no basta con señalar que va a actuar dentro del ámbito de sus competencias. Debe solicitarlo justificando en su requerimiento la función propia específica para la cual se utilizarán los datos y explicitar la competencia legal que lo habilita. De lo contrario, el órgano que tiene los datos no debe cederlos. Esa misma idea ahora se recoge en la ley de 2024.
Esto es solo una muestra, porque también existen problemas, por ejemplo:
El supuesto principio de veracidad que menciona la Directiva ya no existe bajo la nueva ley, que solo alude al principio de calidad. Esto tiene consecuencias prácticas importantes, ya que no es trivial la diferencia entre imponer una obligación de verificar la veracidad de los datos que aportan los oferentes, en vez de solo velar por mantener los datos correctos, completos y actualizados.
También hay errores cuando explica la caducidad, porque sus ejemplos se refieren a contratos y no a eliminación de datos desde la base. La caducidad que menciona la Ley de Datos Personales corresponde al estado al que pasa el dato personal cuando se desactualiza por efecto de la ley, un plazo, una condición o un cambio de hechos o circunstancias, y que deriva en la obligación de eliminarlo de la base de datos o anonimizarlo. No se refiere a suprimir datos dentro de los documentos que puedan contenerlos, como un contrato o una resolución, por ejemplo.
La Directiva tampoco es del todo clara respecto de la caducidad de las infracciones que se publican en el Registro de Proveedores, por incumplimientos del contratista. No es suficiente para justificar la publicación de sanciones una eventual finalidad de disponibilizar medidas que se tomaron contra un proveedor específico, eso es muy genérico. Las medidas deben ser publicadas por mandato de la Ley de Compras y, como ésta no indica el tiempo que debe permanecer, tienen que eliminarse del Registro a los 5 años.
El deber de información ahora es mucho más detallado y, en el principal cambio deberá implementarlo la propia Dirección ChileCompra. Es imperativo que modifique pronto las Políticas y Condiciones de Uso de Mercado Público y del Registro de Proveedores, al menos, en cuanto al tratamiento de datos personales, porque actualmente no cumple con esa normativa.
Las cláusulas contractuales que sugiere la Directiva, en aplicación de los principios de seguridad y de confidencialidad, no siempre son recomendables, dependen del riesgo involucrado, es decir, no pueden ser vistas como cláusulas tipo para todo contrato. Su utilidad depende del servicio que se contrata, de los datos personales que estén involucrados o a los que se acceda, de la intensidad del tratamiento, entre otros factores. Todo ello, visto desde la perspectiva de cuidado de los derechos de los titulares.
Si no se ve justificada su incorporación, esas cláusulas pueden ocasionar el desincentivo de los oferentes por participar en los procesos de compra o puede encarecer las ofertas.
Sin perjuicio de lo anterior, debo destacar aspectos positivos de la Directiva 45.
Me parece correcta la explicación que entrega sobre el principio de finalidad; el principio de proporcionalidad (especialmente, la aplicación práctica del requisito de necesidad); el alcance normativo del principio de seguridad y el principio de confidencialidad.
Por último, extrañé en la Directiva 45 una mención especial para el deber de protección de datos desde el diseño y por defecto, ya que es fundamental incluirlo al elaborar bases técnicas y en el Manual de Compra de cada organismo comprador, como parte de la fase de formulación del requerimiento.
En fin, más que presentar una crítica despiadada (que imagino más de alguno esperaba), he querido ofrecer otro punto de vista, advirtiendo dificultades que pueden presentar estas recomendaciones de ChileCompra.
Ojalá se hagan cargo de su rectificación y logren, de esa manera, el objetivo que buscaban. Porque como dije, nadie es infalible y los errores se pueden corregir.
Comentários