Se encuentra en la fase final, en la Comisión de Constitución del Senado, la tramitación del proyecto de ley que busca modificar la regulación del tratamiento de datos personales en Chile (Boletín 11.092 refundido con el Boletín 11.144).
El presente documento da cuenta del estado de la tramitación, sin emitir juicios de valor, en lo que se refiere a los principales cambios que se introducen e impactan a los responsables privados del tratamiento de datos personales.
- Situación actual de la protección de datos personales en Chile
Durante el año 2018, mediante la modificación del artículo 19 Nº 4 de la Constitución, se constitucionalizó el derecho a la protección de datos personales, incorporándolo al catálogo de derechos fundamentales. La Ley 21.096 estableció que toda persona tiene derecho a la protección de sus datos personales y que el tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley.
De este modo la Constitución reconoció a la protección de datos personales como un derecho fundamental que tenemos todos por el sólo hecho de ser personas. Esta ley estableció la forma y condiciones bajo las cuales se pueden tratar dichos datos.
Esa ley es la 19.628 sobre protección de la vida privada que data del año 1999.
En la actualidad, se encuentran en el Congreso Nacional más de cincuenta proyectos de ley que guardan relación con la regulación de la vida privada y la protección de datos personales, advirtiéndose, en consecuencia, que se trata de una materia que representa una preocupación de las autoridades gubernamentales y parlamentarias y que se materializa en una alta amenaza regulatoria.
- Hacia dónde va la nueva regulación
El proyecto de ley centra su objetivo en adecuar la Ley 19.628 al estándar internacional (Unión Europea, APEC y OCDE), caracterizado básicamente por:
- Considerar un conjunto de normas relativas a las condiciones bajo las cuales pueden ser tratados los datos personales para así minimizar la afectación de los derechos de los titulares de datos.
- Reconocer un conjunto de derechos que tienen los titulares para velar por sus datos personales para que sean tratados de manera adecuada y bajo las condiciones autorizadas por el mismo titular o alguna otra fuente de licitud del tratamiento.
- La existencia de una autoridad con autonomía e independencia, capaz de velar por el efectivo cumplimiento de las obligaciones y derechos que consagra la ley.
Resulta importante tener presente que un objetivo central de una regulación, como la que se está discutiendo en el Congreso Nacional, tiene que ver con que Chile cumpla las exigencias de la Unión Europea, y de los países que han adherido a ese modelo, para ser considerado como un país adecuado, dado que dicha calificación permite que los datos personales de los residentes de dichos Estados puedan ser transferidos en tiempo real a Chile. Con ello, se convierta en realidad el hecho de que nuestro país pueda participar con ventajas competitivas en la provisión de servicios globales, sobre todo aquellos que son intensivos en el tratamiento de datos personales.
- Los principios del tratamiento de datos
Los principios del tratamiento de datos son normas, con pretensión de carácter universal, que inspiran la forma y oportunidad en las que se desarrolla el tratamiento de datos personales por los responsables y los encargados del tratamiento.
Los principios recogidos por el proyecto de ley, siguiendo el estándar internacional, son:
- Licitud - Este principio representa la puerta de entrada al tratamiento de datos personales.
Así, antes de iniciar una operación de datos personales se debe responder, ¿qué es lo que me habilita para tratar los datos personales?
La Ley 19.628 sólo reconoce como fuentes de licitud para el tratamiento de datos personales la habilitación legal y el consentimiento expreso y escrito del titular de los datos. De modo excepcional permite tratar datos personales, sin que concurran dichas habilitantes, cuando: los datos provienen de una fuente de acceso público y los datos sean de carácter económico, financiero, bancario o comercial; los datos estén contenidos en listados relativos a una categoría de personas que se limitan a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento; y los datos sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.
El proyecto de ley perfecciona las fuentes de licitud para tratar datos personales sin el consentimiento del titular de los datos. Estas fuentes son:
- Datos provenientes de fuentes de acceso público;
- Datos relativos a obligaciones de carácter económico, financiero, bancario o comercial y su tratamiento se realice de conformidad con las normas del Título III de la Ley;
- Datos necesarios para la ejecución o el cumplimiento de una obligación legal o lo disponga la ley;
- Datos necesarios para la celebración o ejecución de un contrato entre el titular y el responsable, o para la ejecución de medidas precontractuales adoptadas a solicitud del titular;
- Datos necesarios para satisfacer intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular;
- Datos necesarios para la formulación, ejercicio o defensa de una reclamación
- administrativa o judicial;
- Datos necesarios para proteger la vida o salud del titular.
Lo que sí es indispensable tener presente es que el proyecto de ley adopta un modelo de responsabilidad demostrada, donde será el responsable del tratamiento él que deberá acreditar que concurre alguna fuente de licitud que ampare el tratamiento de los datos.
- Finalidad - La Ley 19.628 establece que los datos personales sólo pueden ser tratados para los fines para los cuales hubieran sido recolectados, salvo que provengan o se hayan recolectado de fuentes de acceso público.
El proyecto de ley endurece considerablemente el principio de finalidad, estableciendo que los datos personales deben ser recolectados con fines específicos, explícitos y lícitos, obligando que las operaciones de tratamiento de datos se limiten al cumplimiento de estos fines. Así, los datos recolectados no pueden ser tratados para fines distintos a los informados al momento de la recolección, salvo en las siguientes excepciones: que sea para fines compatibles con los autorizados originalmente; que exista una relación contractual o precontractual entre el titular y el responsable que justifique el tratamiento de los datos con una finalidad distinta, siempre que se enmarque dentro de los fines del contrato o sea coherente con las tratativas o negociaciones previas a la celebración del mismo; que el titular otorgue nuevamente su consentimiento; que los datos provengan de fuentes de acceso público; o que lo disponga la ley.
De este modo, se pone coto a la práctica vigente en cuya virtud se solicitan autorizaciones genéricas para tratar los datos personales. Ahora la finalidad deberá ser específica, explícita y lícita.
- Proporcionalidad - Este principio tiene dos dimensiones. La primera, que guarda relación con el tiempo por el cual los datos personales pueden ser tratados y, la segunda, con la cantidad de datos personales que pueden ser tratados para una determinada operación de tratamiento de datos.
La Ley 19.628 regula lo que se refiere al elemento temporal, disponiendo que los datos deben ser eliminados o cancelados cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado (dato caduco es aquel que ha perdido actualidad por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma expresa, por el cambio de los hechos o circunstancias que consigna).
De este modo, bajo la vigencia de la Ley 19.628 los datos personales deben ser eliminados, entre otras causas, cuando se ha cumplido la finalidad para la cual fueron recolectados.
El proyecto de ley regula lo que el estándar internacional entiende debe ser la proporcionalidad en el tratamiento de los datos.
En lo que se refiere al elemento temporal, dispone que los datos deben ser conservados sólo por el período necesario para cumplir los fines del tratamiento, luego de lo cual deben ser cancelados o anonimizados. El tratamiento de datos por un tiempo mayor requiere de autorización legal o del consentimiento del titular.
Por otra parte, en lo que se refiere a la cantidad de datos tratados, dispone que los datos personales que se traten deben limitarse a aquellos que resulten necesarios en relación con los fines del tratamiento.
De este modo, en el futuro habrá que ocuparse fundamentalmente de dos cosas: primero, de gestionar el ciclo de vida del dato para así eliminar aquellos que han terminado de servir para cumplir la finalidad informada al momento de la recolección de los datos y, segundo, velar por que los datos tratados sean los necesarios para cumplir la finalidad informada, debiendo, en consecuencia, recolectarse los datos mínimamente necesarios para la persecución del fin.
- Calidad - Los datos personales son tratados con la finalidad de tomar decisiones respecto de sus titulares. De este modo, resulta indispensable que los datos reflejen la verdadera situación de la persona en un momento determinado, de lo contrario se pueden tomar decisiones que resulten injustas o inexactas.
La Ley 19.628 establece una serie de obligaciones para los responsables del tratamiento, consistentes básicamente en el deber de modificar los datos cuando sean erróneos, inexactos, equívocos o incompletos, cuestión que deberá realizar sin necesidad de requerimiento del titular. Asimismo, ordena que se bloqueen los datos personales cuya exactitud no pueda ser establecida o cuya vigencia sea dudosa y respecto de los cuales no corresponda la cancelación.
El proyecto de ley establece que los datos personales deben ser exactos, completos y actuales en relación con los fines del tratamiento.
Este principio se ve complementado con el derecho que tiene todo titular de solicitar que sus datos sean rectificados cuando sean inexactos, desactualizados o incompletos. Así, este principio no sufre mayores cambios en relación con las obligaciones que ya impone la Ley 19.628.
- Responsabilidad - Este principio se encuentra tratado de manera análoga en la Ley 19.628 y en el proyecto de ley, consistiendo, básicamente, en que quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios, obligaciones y deberes de conformidad a la ley.
La Ley 19.628, eso sí, únicamente establece el deber de responder indemnizando el daño patrimonial y moral que causare por el tratamiento indebido de los datos, sin perjuicio de proceder a eliminar, modificar o bloquear los datos de acuerdo con lo requerido por el titular o, en su caso, lo ordenado por el tribunal. En cambio, el proyecto de ley adiciona el deber de responder ante la autoridad de control, a través del pago de las multas a beneficio fiscal que se le hicieran efectivas por infracción a la ley por la forma en que se realiza el tratamiento de los datos personales.
- Seguridad - Este principio no se encuentra recogido en la Ley 19.628 y cualquier cosa que se haga en materia de seguridad en el tratamiento de datos personales tiene que ver con el deber de diligencia que se le exige al responsable, lo que lo dejará en un mejor pie a la hora de deber indemnizar perjuicios por el inadecuado tratamiento de datos.
El proyecto de ley ahonda de manera detallada en este principio, señalando que el responsable del tratamiento de datos debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, así como su pérdida, filtración, daño accidental o destrucción. Asimismo, ordena que las medidas de seguridad sean apropiadas y aborden con el tratamiento que se vaya a efectuar y con la naturaleza de los datos.
A propósito del modelo de responsabilidad demostrada que consagra el proyecto de ley, ante la ocurrencia de un incidente de seguridad, corresponderá al responsable o encargado, acreditar la existencia y el funcionamiento de las medidas de seguridad adoptadas en base a los niveles de riesgo y a la tecnología disponible.
Por otra parte, se establece que será la autoridad de control la que establezca las medidas mínimas de seguridad que deban cumplir los responsables y encargados del tratamiento de datos.
Finalmente, se establece el deber de reportar a la autoridad de control, por los medios más expeditos posibles y sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que trate o la comunicación o acceso no autorizado a dichos datos, cuando con ocasión de estos incidentes exista un riesgo para los derechos y libertades de los titulares. Adicionalmente, se deberá reportar a los titulares de datos cuando las vulneraciones afecten datos personales sensibles, datos de niñas o niños menores de 14 años o se trata de datos relativos a obligaciones económicas, financieras, bancarias o comerciales.
- Transparencia - Este principio no se encuentra expresamente establecido en la Ley 19.628, sin perjuicio de que se impongan ciertas obligaciones respecto al deber de informar al momento de efectuarse la recolección de los datos personales.
El proyecto de ley lo aborda detalladamente estableciendo el deber del responsable de contar con políticas y prácticas sobre el tratamiento de datos personales, las que deberán encontrarse permanentemente accesibles y a disposición de cualquier interesado de manera precisa, clara, inequívoca y gratuita. En el propio proyecto de ley se establece cuál es el contenido mínimo que deben tener las políticas de tratamiento de datos.
Adicionalmente, se establece que el responsable del tratamiento de datos debe adoptar las medidas adecuadas y oportunas para facilitar al titular el acceso a toda la información que señala esta ley, así como cualquier otra comunicación relativa al tratamiento que realiza.
De este modo, los responsables deben adoptar medidas activas de promoción de las condiciones bajo las cuales realizan el tratamiento de los datos, permitiendo que estas se encuentren disponibles durante todo el ciclo de vida de los datos personales tratados. Así, se deberán adoptar medidas que podrán ser diferenciadas durante la recolección de los datos, su custodia, eliminación, etc.
- Confidencialidad - La Ley 19.628 establece que quien trata datos personales se encuentra obligado a guardar secreto sobre los mismos cuando provengan o hayan sido recolectados de fuentes no accesibles al público, como asimismo sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo.
El proyecto de ley regula la materia de manera similar al establecer que el responsable de datos personales y quienes tengan acceso a ellos deberán guardar secreto o confidencialidad acerca de los mismos, deber que subsiste aún después de que concluya la relación con el titular. Sin embargo, adiciona la obligación del responsable de establecer controles y medidas adecuadas para preservar el secreto o confidencialidad.
Así, una vez más, el proyecto de ley impone un deber de vigilancia del responsable sobre las personas que tienen acceso a los datos personales, lo que obligará a demostrar que existían controles y medidas destinadas a preservar el secreto o confidencialidad y, en caso de que hubiere algún reclamo por el tratamiento de los datos, deberá ser capaz de demostrar que, junto con haber adoptado los controles y medidas, estos eran suficientes para lograr cumplir con el deber se confidencialidad.
- Los derechos de los titulares de datos
Son el conjunto de acciones a través de las cuales una persona puede ejercer el control sobre sus datos personales.
La Ley 19.628 consagra los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
El proyecto de ley, junto con perfeccionar y robustecer los derechos de los titulares de datos, adiciona el derecho de Portabilidad. Así, los derechos pasan a ser: Acceso, Rectificación, Cancelación, Oposición y Portabilidad (ARCOP).
Los derechos ARCOP son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención. En caso de fallecimiento del titular de datos, los derechos pueden ser ejercidos por sus herederos, sin perjuicio de que no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
- Acceso - Derecho del titular a solicitar y obtener del responsable, confirmación acerca de si los datos personales que le conciernen están siendo tratados por él y, en tal caso, acceder a dichos datos y a la siguiente información: los datos tratados y su origen; la finalidad o finalidades del tratamiento; las categorías, clases o tipos de destinatarios a los que se han comunicado o cedido los datos o se prevé comunicar o ceder, según corresponda; el tiempo durante el cual los datos serán tratados; y los intereses legítimos del responsable, cuando el tratamiento se base en éste.
- Rectificación - Derecho del titular para solicitar y obtener del responsable, la rectificación de sus datos personales cuando sean inexactos, desactualizados o incompletos. Los datos rectificados deberán ser comunicados a las personas, entidades u organismos a los cuales el responsable haya comunicado o cedido los referidos datos. Efectuada la rectificación, no se podrán volver a tratar los datos sin rectificar.
- Cancelación - Derecho del titular de datos para solicitar y obtener del responsable la cancelación o supresión de los datos personales que le conciernen, en los siguientes casos: cuando los datos no resulten necesarios en relación con los fines del tratamiento para el cual fueron recogidos; cuando el titular haya revocado su consentimiento para el tratamiento y éste no tenga otro fundamento legal; cuando los datos hayan sido obtenidos o tratados ilícitamente por el responsable; cuando se trate de datos caducos; cuando los datos deban suprimirse para el cumplimiento de una sentencia judicial o de una obligación legal y, cuando el titular haya ejercido su derecho de oposición y no exista otro fundamento legal para su tratamiento.
- Oposición - Es el derecho del titular a oponerse a que el responsable realice un tratamiento específico o determinado de los datos personales que le conciernan, en los siguientes casos: si el tratamiento afecta sus derechos y libertades fundamentales; si el tratamiento se realiza exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios, salvo que exista un contrato entre el titular y el responsable en virtud del cual el primero consintió en recibir este tipo de información; si el tratamiento se realiza respecto de datos obtenidos de una fuente de acceso público y no exista otro fundamento legal para su tratamiento.
- Portabilidad - Es el derecho del titular de datos a solicitar y recibir una copia de los datos personales que le conciernen, que haya facilitado al responsable, en un formato estructurado, genérico y de uso común, que permita ser operado por distintos sistemas y a comunicarlos o transferirlos a otro responsable de datos, cuando concurran las siguientes circunstancias: el tratamiento se realice en forma automatizada y el tratamiento esté basado en el consentimiento del titular.
- Régimen disciplinario
Este es un aspecto que representa el mayor cambio entre el estatuto vigente y la modificación que introduce el proyecto de ley.
Actualmente, el responsable del tratamiento de datos únicamente debe indemnizar el daño patrimonial y moral que causare por el tratamiento indebido de los datos, sin perjuicio de proceder a eliminar, modificar o bloquear los datos de acuerdo a lo requerido por el titular o, en su caso, lo ordenado por el tribunal. El titular de los datos deberá accionar ante los tribunales ordinarios de justicia y el proceso se seguirá de acuerdo a las reglas del juicio sumario. El monto de la indemnización será establecido prudencialmente por el juez, considerando las circunstancias del caso y la gravedad de los hechos.
El proyecto de ley crea un verdadero sistema de tutela del derecho a la protección de datos, caracterizado por la persecución administrativa de las infracciones a la ley, con un sistema de multas a beneficio fiscal y sanciones accesorias para hacer efectiva la responsabilidad de quien trata datos personales.
Autoridad de control
Durante la tramitación del proyecto de ley se tomó la decisión de que la autoridad de control sea el Consejo para la Transparencia, el que pasa a denominarse Consejo para la Transparencia y la Protección de Datos Personales.
De este modo, se trata de una corporación autónoma de derecho público, colegiada, independiente y con patrimonio propio.
El Consejo sesionará en dos salas: una para conocer los asuntos relativos al acceso a la información pública y otra para resolver los asuntos de protección de datos personales. Cada sala contará con dos miembros y el Presidente integrará ambas.
Las principales atribuciones del Consejo en lo que se refiere a protección de datos personales son:
- Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias relativas al tratamiento de datos personales.
- Fiscalizar y velar por el cumplimiento de los principios, derechos y obligaciones establecidos en esta ley.
- Resolver las solicitudes y reclamaciones que formulen los titulares en contra de los responsables de datos.
- Investigar y determinar las infracciones en que incurran los responsables dedatos y ejercer, en conformidad a la ley, la potestad sancionatoria.
Sistema de infracciones y multas
Las infracciones cometidas por los responsables de datos a los principios, derechos y obligaciones establecidos en esta ley se califican, atendida su gravedad, en leves, graves y gravísimas.
Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 100 unidades tributarias mensuales.
Las infracciones graves serán sancionadas con multa de 101 a 1.000 unidades tributarias mensuales.
Las infracciones gravísimas serán sancionadas con multa de 1.001 a 10.000 unidades tributarias mensuales.
Para la determinación del monto de las multas, el Consejo para la Transparencia y la Protección de Datos Personales deberá ponderar racionalmente cada una de las atenuantes y agravantes que concurran en el caso concreto para que ésta sea proporcional a la intensidad de la afectación. Asimismo, en caso de reincidencia (más de una infracción en un plazo de 24 meses), podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida.
Finalmente, hay que tener presente que el proyecto de ley considera dos sanciones accesorias, que pueden resultar tanto o más gravosa que la multa impuesta por la infracción:
- Inhabilitación para tratar datos personales - En caso que se impongan multas por infracciones gravísimas reiteradas, en un período de 24 meses, el Consejo para la Transparencia y la Protección de Datos Personales podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de 30 días. Este lapso podrá ser prorrogado indefinidamente hasta que se adopte las medidas necesarias para adecuar sus operaciones y actividades a las exigencias dispuestas en la resolución que ordenó la suspensión.
- Incorporación en Registro Nacional de Cumplimiento e Infracciones - En él se anotarán los responsables de datos sancionados por infringir los principios y obligaciones establecidos en la ley, la conducta infraccionada, las circunstancias atenuantes y agravantes de responsabilidad y la sanción impuesta. Las anotaciones en el registro serán de acceso público por el período de 5 años, a contar de la fecha en que se practicó la anotación.
Photo by Caio Henrique on Unsplash