Informe de Evaluación de la Ley N° 19.628: ¿debemos contentarnos con lo mínimo?

El Comité de Evaluación de la Ley ha presentado y publicado su noveno informe de evaluación legal. Esta vez, el documento hace relación con un tema que nos es familiar: la Ley N° 19.628.

El referido documento fue redactado por el equipo multidisciplinario a cargo del señor René Arrayet, quienes mediante una metodología de investigación validada por la OCDE estudiaron la normativa nacional y comparada.

También tuvieron incidencia en el resultado del informe los principales actores, asociaciones y académicos expertos en el tema, quienes emitieron sus opiniones en relación al presente y futuro de la normativa en cuestión.

El Comité estableció trece (13) puntos en donde existen dificultades en nuestra vigente ley. Respecto a cada punto, el Comité expresó una serie de recomendaciones basadas en las opiniones de expertos en la materia y la regulación en el derecho comparado.

A continuación enumeramos los referidos puntos, conjuntamente con las recomendaciones del Comité. En relación a algunas materias, me he tomado la libertad de efectuar ciertas observaciones personales.

Luego de exponer lo anterior, se enunciarán ciertos puntos que se echan de menos en el informe del Comité.

1. Ámbito de aplicación de la ley carece de precisión

 Observaciones del Comité:

– Precisar las normas sobre el ámbito de aplicación, exceptuando ciertos tratamientos de datos personales como aquellos de carácter doméstico.

– Establecer en la Ley que ésta se aplica respecto de servicios prestados en Chile aunque el prestador no se encuentre en el país.

 Observaciones personales:

– Además de exceptuar tratamientos efectuados por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, también se debería exceptuar el tratamiento “por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención” (siguiendo la tendencia propuesta en el art. 2(2)(d) del Reglamento General de Protección de Datos, en adelante GDPR o RGPD).

2. Concepto de dato personal es insuficiente

Recomendaciones del Comité

– Perfeccionar los conceptos de dato personal y dato estadístico, consagrando elementos que permitan distinguir de mejor manera uno y otro.

– Clarificar el concepto de persona identificable.

Observaciones personales:

– Establecer los conceptos de “datos genéticos”, “datos biométricos”, “seudonimización”, “fichero”, entre otros.

– En cuanto al concepto de persona identificable, podría seguirse el ejemplo del RGDP (“toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”).

3. Actores que intervienen en el tratamiento de datos no son considerados por la norma

Recomendaciones del Comité

– Perfeccionar el concepto de responsable de banco de datos e incorporar en la Ley los conceptos de controlador, encargado, intermediario o procesador, consagrando deberes y obligaciones cuyo incumplimiento lleve aparejada una sanción.

Observaciones personales:

– Establecer los conceptos de “responsable del tratamiento” (“la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento”).

– Definir “encargado de tratamiento” (“la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”).

– Conceptualizar al “destinatario” de los datos personales (“la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero”)

4. Regulación del consentimiento no contempla nuevas tecnologías

Recomendaciones del Comité

– Distinguir en la Ley tipos de consentimiento dependiendo de la clase de dato que se trate: En particular, respecto a los datos sensibles, consagrar un consentimiento expreso y previo. Para otro tipo de datos, analizar la incorporación de un consentimiento inequívoco y no necesariamente previo.
– Incorporar en la Ley el deber y responsabilidad de quien realiza la operación de tratamiento de datos de establecer mecanismos que permitan a los titulares dar un consentimiento inequívoco y suficientemente informado.
– Explicitar en la Ley si un consentimiento otorgado a través de tecnologías informáticas satisface el requisito de escrituración.

Observaciones personales:

– Respecto del consentimiento, una buena idea podría ser la de establecer un artículo que establezca las reglas y condiciones básicas para el consentimiento. En primer lugar, definiendo en las “definiciones de la ley” qué se entiende por consentimiento y, luego, en el artículo específico que trate las condiciones del consentimiento, indicar dichos requisitos, establecer cuándo se pueden dar por cumplidos, establecer que tanto la entrega como la revocación del consentimiento deben ser igualmente fáciles de llevar a cabo, y fijar los criterios de evaluación del consentimiento libre (ver artículo 7 RGDP).

– Del mismo modo, no puede dejar de regularse el consentimiento de los menores de edad, tanto respecto de (i) servicios tradicionales, (ii) como en relación a servicios de la sociedad de la información, en donde en muchos casos resulta difícil obtener el consentimiento de quien cuenta con la patria potestad del niño o la autorización por parte de éste del consentimiento otorgado por el menor (un niño navegando en internet difícilmente pedirá a sus padres o persona a cargo que autorice su consentimiento o preste el suyo en su representación). (Ver art. 8 RGDP).

5. Excepciones se convierten en regla general

Observaciones del Comité

La Ley N°19.628 permite el tratamiento de datos personales sin requerir el consentimiento de su titular en una serie de situaciones, la mayoría contenidas en el artículo 4° y dos en los artículos 10° y 20°. Estas son aquellos obtenidos de fuentes accesibles al público, el tratamiento efectuado por personas jurídicas privadas en ciertos casos, aquel realizado por organismos públicos y los datos sensibles con relación a beneficios de salud. Estas normas fueron criticadas por los expertos e implementadores entrevistados, debido a su amplitud, lo que dejaría el principio del consentimiento con poca utilización y lo convertirían en la excepción.

Observaciones personales

La frase “cuando sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares” debería especificarse o aclararse, ya que es ambigua y, como indican los expertos consultados, es muy amplia, lo que se traduce en una puerta de entrada a variados tratamientos ilegítimos.

En el sentido de lo anterior, podría aclararse dicha frase, estableciendo que no pueden ser objeto de tratamiento los datos sensibles “salvo cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice la ley estableciéndose garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado”. La anterior es una de las excepciones contempladas en el Reglamento General de Datos Personales y se adecua, a mi parecer, a la verdadera finalidad del criticado artículo 10.

6. Fuentes accesibles al público: definición poco clara y escaso control sobre su finalidad

Observaciones del Comité

– Consagrar en la Ley de forma taxativa aquellas fuentes que revisten el carácter de accesibles al público, a través de un listado cerrado, para efectos de la normativa de protección de datos.
– Clarificar que la excepción de fuentes accesibles al público sólo opera respecto de cierto tipo de datos y no como excepción en sí misma.
– Incorporar en la normativa el necesario respeto al principio de finalidad, contemplando sanciones en caso de su vulneración.

7. Imprecisión en el tratamiento de datos por personas jurídicas privadas

Observaciones del Comité

– Clarificar de forma más detallada casos en los cuales es posible hacer uso de esta excepción al consentimiento para las personas jurídicas privadas.

Observaciones personales:

El artículo 4(6) de la Ley N° 19.628, prescribe: “Tampoco requerirá de esta autorización el tratamiento de datos personales que realicen personas jurídicas privadas para el uso exclusivo suyo, de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquéllos“.

En mi opinión, la referida excepción del artículo 4(6) es una norma peligrosa que puede dar lugar a innumerables e irresponsables usos por parte de las empresas. Esta excepción es más riesgosa aún considerando que las estadísticas pueden dar lugar a prácticas como el profiling (lée nuestro artículo sobre el profiling aquí) y la toma de decisiones basadas únicamente en el tratamiento de datos automatizado. Finalmente la frase “u otros (fines) de beneficio general“, pareciera ser la mismísima caja de pandora abierta.

Para contrarrestar esta norma (que existe en varias legislaciones, aunque con una redacción y alcances bastante más claros y específicos), puede seguirse el enfoque por medio del cual la ley sujeta dicha excepción a “garantías adecuadas” para los derechos y libertades de los titulares de datos. En este sentido, la GDPR cuenta con un sofisticado sistema de garantías (art. 89), que contemplan la disposición de medidas técnicas y organizativas para garantizar la observancia del principio de minimización de datos. Entre tales medidas se encuentra seudonimización.

8. Utilización abusiva de datos sensibles

Recomendaciones del Comité

– Perfeccionar el concepto de dato sensible incorporando como criterio principal la posibilidad de eventuales discriminaciones en base a esos datos.
– Incorporar dentro del concepto de datos sensibles los datos referentes a menores de edad.
– Regular de forma más estricta el tratamiento de datos sensibles, con un estándar de consentimiento expreso, incorporando obligaciones especiales de información, conservación, seguridad y revisión de comunicación a terceros, y sanciones más gravosas.
– Clarificar en la Ley el alcance y contenido de la frase “beneficios de salud”, estableciendo parámetros para su uso.

Observaciones personales:

– Agregar a la definición de datos sensibles los datos relativos a condenas e infracciones penales, datos genéticos, datos biométricos, afiliación o afiliación sindical, las fotografías cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física y adquieran carácter de dato biométrico (en este sentido, ver Recital 51 del nuevo Reglamento General de Protección de Datos Personales)

– Tener en consideración las excepciones establecidas en el apartado 1 del artículo 9 del Reglamento General de Protección de Datos Personales y determinar su posible incorporación al proyecto de ley. Por ejemplo, permitir el tratamiento en casos en que los datos han sido manifiestamente hechos públicos; cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; cuando tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial; cuando el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice la ley, etc.

– Establecer que el tratamiento datos personales relativo a condenas e infracciones penales sólo podrá llevarse a cabo por las autoridades públicas o bajo expresa autorización de la ley (y que dicha ley establezca garantías adecuadas para los derechos y libertades del titular de datos). Además, que solo podrá llevarse un registro completo de condenas e infracciones penales bajo el control de las autoridades públicas. (Ver art. 10 GDPR).

9. Ausencia de límites en el tratamiento de datos por organismos públicos

Recomendaciones del Comité

– Clarificar que la omisión a la autorización del titular opera sujeta al principio de finalidad y
manteniendo las dos condiciones señaladas en el artículo 20°.

10. Registro de banco de datos de organismos públicos

Recomendaciones del Comité

Incorporar en la Ley una sanción para aquellos organismos públicos que no inscriban sus bases de datos en el Registro Civil, de acuerdo a lo dispuesto en el artículo 22° de la Ley, en un plazo determinado.

11. Procedimiento de amparo: indefensión del afectado por infracciones a la ley

 Recomendaciones del Comité

– Trasladar este procedimiento a la autoridad administrativa de control que se defina, manteniendo como segunda instancia la Corte de Apelaciones.
– Contemplar procedimiento sancionatorio a cargo de una autoridad de control con facultades para instruirlo y aplicar las sanciones.

12. Norma carece de sanciones efectivas en caso de infracción

Observaciones del Comité

– Incorporar un catálogo completo de infracciones con sus correspondientes sanciones de una cuantía que se pueda graduar de acuerdo a la gravedad de éstas.

– Incluir incentivos para comunicar a los titulares cuando tenga lugar alguna fuga de datos.
– Consagrar en la Ley deberes y obligaciones diferenciados para quienes tratan datos dependiendo de la calidad de estos.

Comentarios personales:

– La cuantía de las diversas sanciones  administrativas no solamente debería ser medida en relación al criterio de gravedad, sino que también en torno a otros parámetros. En este sentido resultan interesantes los establecidos en el artículo 83 del RGDP:

a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;

b) la intencionalidad o negligencia en la infracción;

c) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los daños y perjuicios sufridos por los interesados;

d) el grado de responsabilidad del responsable o del encargado del tratamiento […];

e) toda infracción anterior cometida por el responsable o el encargado del tratamiento;

f) el grado de cooperación con la autoridad de control con el fin de poner remedio a la infracción y mitigar los posibles efectos adversos de la infracción;

g) las categorías de los datos de carácter personal afectados por la infracción;

h) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;

i) […];

j) la adhesión a códigos de conducta […] o a mecanismos de certificación aprobados con arreglo a un procedimiento de certificación (ver artículo 42 RGDP); y 

k) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a través de la infracción.

13. Fiscalización y control: ausencia de órgano administrativo repercute en la aplicación de la norma

Observaciones del Comité

– Establecer la creación de una autoridad administrativa con capacidad sancionatoria, autonomía y patrimonio propio.
– Generar una fiscalización permanente y de oficio por parte de esta autoridad.
– Facultar a esta autoridad para certificar códigos de autorregulación de las distintas industrias.
– Elaborar una política pública de difusión, capacitación y educación en protección de datos personales.

Comentarios personales:

– Los distintos sellos, marcas o certificaciones deberán tomar en consideración las diversas características particulares de las empresas que opten por una certificación. En otras palabras, se deberían considerar ciertos aspectos de las empresas, tales como su infraestructura técnica, recursos, tamaño, tipo y finalidad del tratamiento de datos que efectúa, entre otros.

– Establecer certificaciones, sellos o marcas en relación al cumplimiento de la ley de protección de datos y, además, respecto de ciertas garantías ofrecidas respecto del flujo transfronterizo de datos personales.

– Establecer que dicho procedimiento de certificación siga reglas legales que establezcan un proceso transparente, abierto y voluntario.

– Establecer que no solamente sea la autoridad de protección de datos la encargada de efectuar las certificaciones, sino que también otros organismos que cumplan con los requisitos legales (ver ejemplo del art. 43 RGDP).

Otros temas que quedaron fuera del tintero.

Entre muchos otros aspectos que no fueron tratados en el referido documento, podemos enunciar a modo meramente ilustrativo:

– La obligación de Notificación y comunicación de filtraciones y violaciones de seguridad de datos tanto a la autoridad de datos como al titular de ellos.

– Establecer un sistema de evaluación de impacto del tratamiento cuando exista un riesgo de afección de los derechos y libertades de las personas.

– Crear la figura del delegado de protección de datos (y hacerla obligatoria en determinados casos).

– Regular la elaboración de códigos de conducta y certificaciones en materia de datos personales.

– Regular el flujo transfronterizo de datos.

– En materias de responsabilidad e indemnización de perjuicios, establecer una figura similar a la del artículo 82(4) RGDP: “Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado”, estableciéndose un derecho de repetición en favor del que haya efectivamente pagado la indemnización: “Cuando un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados”. Este sistema no es una novedad, si consideramos el ejemplo de la Ley de Protección de los Derechos de los Consumidores de nuestro país.

– Si bien ya se discutió por el Comité, cabe recalcar que las sanciones y multas administrativas por infracción a la ley de protección de datos personales deben ser ejemplares. No basta con tener un amplio catálogo de sanciones, sino que es necesario que estan generen un efecto disuasivo.

– Además de los clásicos derechos ARCO, no se pueden obviar otros nuevos derechos que en otras legislaciones ya son realidad, como por ejemplo el denominado derecho de supresión (más conocido como derecho al olvido), el derecho de portabilidad de datos (lée nuestro artículo acerca de este derecho), el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles o profiling (lée nuestro artículo acerca del profiling), entre otros.

Ir un poco más allá de lo propuesto por el Comité, en mi opinión, no es descabellado, ya que  se debe tomar en consideración que vivimos en un mundo hiperconectado, en donde nuestra información es blanco de los intereses de un sinnúmero de empresas, las cuales hacen uso de tecnologías y técnicas cada día más sofisticadas para su obtención.

En fin, por el momento no queda más que esperar que más temprano que tarde tengamos una nueva y flamante ley de protección de datos personales que esté en sintonía con los avances tecnológicos y las nuevas técnicas de procesamiento y tratamiento de datos que se usan en la actualidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s