"No puedo dejar de pensar en ellos cuando veo que ciertas oficinas de abogados se precian de no conocer límites,...
Modelos alternativos de autoridad especializada en protección de datos personales en Chile
«Desde la perspectiva de los derechos que asisten a quienes son titulares de datos personales que son procesados, se sistematizan aquellos derechos que han sido comúnmente denominados como “Derechos ARCO”, esto es, los derechos de Acceso, Rectificación, Cancelación y Oposición en el procesamiento de Datos Personales».
Ricardo Muza / Sebastián Bilbao - 9 septiembre, 2019
Ricardo Muza Galarce y Sebastián Bilbao Pérez
Si bien Chile fue uno de los primeros países latinoamericanos en tomar acciones en relación con la protección de datos personales con la Ley de Protección de la Vida Privada de 1999, hoy en día nos encontramos con un área de oportunidad de mejorarla tanto a nivel internacional como a nivel latinoamericano.
Actualmente Chile solo cuenta con una regulación de aspectos básicos que no ofrece una protección suficientemente robusta a los titulares de datos personales y ni otorga herramientas suficientes para hacer cumplir la normativa existente.
De esta forma, y en concordancia con los compromisos adquiridos por Chile al ser admitido en la Organización para la Cooperación y el Desarrollo Económico, desde el año 2017 el Congreso Nacional está discutiendo una nueva regulación de Datos Personales.
Más que una sencilla modificación a nuestro actual régimen, este proyecto contempla una mejora sustancial que difícilmente puede ser comparada con nuestro actual estándar. Este significativo cambio normativo era necesario para asegurar que Chile pueda contar con un marco regulatorio capaz de responder a los desafíos de una economía digital en que los datos personales pueden constituir un valioso recurso.
El proyecto de ley al que nos referimos es el Boletín N°11144-07 titulado: “Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales”. Esta propuesta contiene múltiples aspectos que son innovaciones desde la perspectiva del derecho chileno.
Así mismo, se explicita el derecho a la portabilidad de los datos personales. La explicitación de estas garantías sin duda acerca a Chile a estándares internacionales.
La nueva propuesta también enumera los principios que la informan, entre los que destacamos el principio de seguridad. Este indica que todo aquel que procese datos personales de cualquier forma debe tomar las medidas de seguridad adecuadas para protegerlos del tratamiento no autorizado, pérdida o filtración.
Otras modificaciones como la incorporación de normas y estándares para la transferencia internacional de datos personales, es el establecimiento de un Registro Nacional de Bases de Datos y de un Registro Nacional de Cumplimiento y Sanciones. La definición de nuevas reglas sobre consentimiento de tratamiento de datos personales y la regulación de modelos de prevención de infracciones, entre otras, son incluidas en este proyecto.
Todas estas novedades, y aquellas que por espacio no podemos mencionar, llevarían a nuestra ley a guardar coherencia con nuestra Constitución Política que, desde el 2018, reconoce en su artículo 19 N°4 que la protección de los datos personales es un derecho fundamental. Aún así, todas esto pudiese parecer de escasa utilidad si no existiese un mecanismo para resguardar el cumplimiento de la nueva ley.
Uno de los grandes problemas de nuestra actual Ley de Protección de la Vida Privada es precisamente la falta de herramientas efectivas al alcance de los titulares de datos para el resguardo de sus derechos, circunstancia agravada por la falta de un organismo dedicado a hacer cumplir la ley. Atendiendo esta problemática, el proyecto plantea la incorporación de infracciones y sanciones, así como la creación de una autoridad competente encargada de velar el cumplimiento de la ley.
Con respecto a las infracciones, el proyecto establece un amplio catálogo de infracciones que comprenden infracciones leves, graves y gravísimas, que se aparejan a distintos rangos de multas que, en las distintas propuestas, abarcan desde una Unidad Tributaria Mensual (“UTM”) en su rango leve inferior hasta las diez mil UTM en el rango gravísimo superior. Además de eso, se contemplan sanciones accesorias como la suspensión temporal o permanente de las actividades de tratamiento de datos personales.
Sin embargo, una vez más, poco significan estas infracciones y sanciones si no existe un modelo de autoridad adecuado. En este sentido, se han contemplado dos modelos. En primera instancia se propuso la creación de una “Agencia de Protección de Datos Personales”, la cual tomaría la forma de una entidad bajo la supervigilancia del Presidente de la República a través del Ministerio de Hacienda. Posteriormente, se propuso que el rol lo tomara el Consejo para la Transparencia que pasaría a denominarse “Consejo para la Transparencia y la Protección de Datos Personales”. Esta última opción fue la que la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado aprobó el 5 de agosto de 2019.
Hay quienes argumentan que hubiera sido preferible un órgano cuya dedicación exclusiva fuera el correcto resguardo del uso de la información personal, esto en cuanto se trata de una materia en extremo técnica que requiere de personal altamente especializado y que era necesario un órgano que no estuviera distraído por otros objetivos.
No es menos cierto que el Consejo para la Transparencia es una institución que cuenta con autonomía y experiencia en materias relativas a datos personales, realizando campañas promoviendo el respeto a la legislación en la materia, así como resolviendo a través de su jurisprudencia asuntos relativos a la protección de datos personales.
Sea cual sea el modelo preferido es necesario que se asegure que la institución encargada de esta protección cuente con un adecuado nivel de independencia en su actuar.
Es preciso recordar que no solo son los organismos privados los que tratan extensas bases de datos personales, los gobiernos también manejan un gran volumen de información personal necesaria para servir adecuadamente a sus ciudadanos. Estos últimos no están exentos del cumplimiento de las normas de protección de datos personales lo que se ve reflejando en el proyecto de ley que contempla sanciones específicas para las infracciones cometidas por órganos del Estado.
Es completamente necesario el establecimiento de una unidad con un adecuado grado de sofisticación e independencia si se busca la protección de los datos personales de todos los ciudadanos, tanto con respecto a las acciones de particulares como de órganos del Estado.
Para lograr que Chile cuente con una institucionalidad que pueda ser reconocida como independiente, de conformidad a la letra b) del número 2 del artículo 45 del Reglamento General de Protección de Datos de la Unión Europea de 2016 es crucial que las autoridades de datos personales cumplan con estos requisitos.