Nuestro país cuenta con compromisos internacionales en materia de protección de datos personales. Entre ellos, destacamos aquellos derivados de la entrada de Chile a la Organización para la Cooperación y el Desarrollo Económicos (OCDE) en el año 2010, lo que implica que nuestra legislación debe adoptar estándares de protección de datos personales en virtud de las Directrices OCDE de 1980 y 2013. Del mismo modo, a lo menos indirectamente, para que nuestra normativa sea calificable como «adecuada» respecto de las diversas actividades de tratamiento de datos personales e importaciones de datos desde Europa, resulta necesario que la ley chilena cumpla con estándares mínimos de protección requeridos por el Convenio 108 de 1981 y 2018. Finalmente, las Directrices de las Naciones Unidas para la regulación de los archivos de datos personales informatizados, establecen exigencias similares a las de los instrumentos anteriores.
Tales instrumentos internacionales exigen, entre otras cosas, el establecimiento de una autoridad de protección de datos personales «especializada» e «independiente».
Hacia ese sentido avanza nuestra legislación, al tramitarse un importante proyecto de ley que busca modernizar la normativa de protección de datos personales que, entre muchísimas cuestiones, pretende instaurar una autoridad o agencia de protección de datos personales independiente, en la que se perfila el Consejo para la Transparencia.
Sin embargo, un reciente boletín (Nº 12.409-03), tendiente a mejorar la normativa del derecho de consumo, pareciera difuminar la exigencia de que nuestro país cuente con una autoridad de protección de datos personales independiente y especializada. En efecto, el artículo 15 bis de dicho boletín establece que la normativa de consumo (Ley Nº 19.496) será ley especial respecto de las actividades de tratamiento de datos personales de los «consumidores». Por ende, los titulares de datos personales estarán llamados a ejercer sus derechos ante los Juzgados de Policía Local y, el SERNAC, a hacerlo en vistas de un interés colectivo, ante los Juzgados Civiles.
Lo anterior, naturalmente puede plantear una serie de problemáticas. Si bien las Directrices OCDE 2013 no impiden que existan «autoridades de cumplimiento de privacidad» distintas a una agencia especializada en materia de protección de datos personales, como lo podrían ser las autoridades llamadas a resolver problemas de consumo, lo cierto es que estas autoridades no cuentan con el grado de expertise en dichas materias. A mayor abundamiento, el boletín Nº 12.409-03, pareciera hacer una exclusión de aplicabilidad de la Ley Nº 19.628 (al menos de forma parcial), instaurando obligaciones especiales, que distan de las establecidas en la normativa de protección de datos (y del proyecto de ley). Además, lo cierto es que la sujeción a los principios, obligaciones y derechos del proyecto de Ley Nº 19.628 (por ejemplo, derecho a la portabilidad, deber de privacidad desde el diseño y por defecto, evaluaciones de riesgo, existencia de acuerdos de procesamiento, etc.), solamente puede ser revisada ex ante y ex post (vía enforcement) por la futura agencia de protección de datos personales, disminuyendo así los niveles de protección de los datos personales de los consumidores. Este problema se agudiza si se tiene en cuenta que la gran mayoría de los tratamientos de datos personales ocurren en el contexto de las relaciones de consumo. Finalmente, resulta criticable que los JPL y los Juzgados Civiles conozcan estas materias, ya que no es ninguna novedad de que los procedimientos ante estos organismos son extremadamente poco eficientes y lentos, sin mencionar que no cuentan con la especialidad en materias de data privacy, ni tampoco con facultades investigativas, auditoras, o sancionatorias, respecto de las obligaciones establecidas en la futura Ley Nº 19.628.
Una solución podría consistir en que el artículo 15 bis simplemente haga remisión a las obligaciones, principios y derechos consagrados en la Ley Nº 19.628, estableciendo que tal normativa puede hacerse cumplir por medio de los mecanismos de interés individual y colectivo, pero sin que ello lleve a sustituir la competencia de la agencia de protección de datos personales. Esta postura la reconoce, por ejemplo, la Directiva 2020/1828 relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, que en su considerando Nº 15, dispone: «La presente Directiva debe entenderse sin perjuicio de los actos legislativos enumerados en el anexo I y, por lo tanto, no debe modificar ni ampliar las definiciones establecidas en dichos actos, ni tampoco sustituir los mecanismos de control del cumplimiento que puedan contener. Por ejemplo, los mecanismos de control del cumplimiento previstos o basados en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (5) podrían seguir utilizándose, cuando sean de aplicación, para la protección de los intereses colectivos de los consumidores».
Radicar (o excluir) la competencia de la futura agencia de protección de datos personales a los JPL y juzgados civiles es peligroso y, seguramente, casi dejará «sin pega» a dicha agencia, la que en teoría es la últimamente llamada—dada su especialidad e independencia—a resolver infracciones a la normativa de privacidad de datos.
Por otro lado, las problemáticas denunciadas dejan en evidencia la necesidad de que el proyecto de ley que modifica la Ley Nº 19.628, incluya la posibilidad de que los titulares de datos personales sean representados por una entidad u organización que actúe mediante la figura de las acciones de clase, como lo autoriza el artículo 80 del Reglamento Europeo de Protección de Datos Personales.