SciELO - Scientific Electronic Library Online

 
vol.6 número2Biopolítica y verdad: El caso de Marchiafava-Bignami en el dispositivo judicial chileno índice de autoresíndice de materiabúsqueda de artículos
Home Pagelista alfabética de revistas  

Servicios Personalizados

Revista

Articulo

Indicadores

Links relacionados

  • En proceso de indezaciónCitado por Google
  • No hay articulos similaresSimilares en SciELO
  • En proceso de indezaciónSimilares en Google

Compartir


Revista chilena de derecho y tecnología

versión On-line ISSN 0719-2584

Rev. chil. derecho tecnol. vol.6 no.2 Santiago dic. 2017

http://dx.doi.org/10.5354/0719-2584.2017.45822 

Informes

Chile: Comentarios preliminares al proyecto de ley que regula la protección y tratamiento de datos personales y crea la Agencia de Protección de Datos Personales

Chile: Preliminary comments to the amendment bill that regulates the protection and treatment of personal data and creates the Personal Data Protection Agency

Manuel Vergara Rojas

Resumen:

El siguiente texto es un comentario general al proyecto de ley que modifica la actual normativa sobre protección de datos personales, la Ley 19.628 de 1999. Se busca destacar las modificaciones más importantes, junto con la nueva normativa propuesta, y examinar sus eventuales efectos y falencias.

Palabras clave: Protección de datos; proyecto de ley; modificaciones; comentarios; criticas.

Abstract:

The following text is a general commentary about the amendment bill on the current law about data protection, Law 19.628 from 1999. I’ll try to underline most relevant modifications, in addition to the proposed new regulations, and examine its eventual effects and mistakes.

Keywords: Data protection; amendment bill; modifications; commentary; critics.

INTRODUCCIÓN

De toda la producción normativa del Estado de Chile relativa al ámbito informático, la Ley 19.628 sobre protección de datos personales es la más criticada, al punto que en el Congreso Nacional se registran numerosos intentos de modificación y, entre estos, dos proyectos de reemplazo de casi todo su texto.1

También, la doctrina ha sido muy crítica en cuanto a su contenido, lo que se refleja en la gran cantidad de falencias que se le imputan en forma general, entre las cuales encontramos: el que no describe con exactitud el objeto regulado por la ley, la carencia de un registro de bases de datos en manos de particulares, la falta de un órgano administrativo fiscalizador, la inexistencia de un procedimiento de reclamo idóneo, la ausencia de un catálogo de infracciones y sanciones efectivas, la inexistente regulación para la transferencia internacional de datos, el establecer que la información personal es pública por regla general, el no abordar el tema de las personas jurídicas, el no exigir la aplicación de medidas de seguridad, la falta de autorización de los titulares de datos por un sistema que establece gran cantidad de excepciones al consentimiento con pocos casos en que pueden oponerse al procesamiento de sus datos, la ausencia de normas precisas para la responsabilidad civil extracontractual adaptadas al caso, la inexistencia de tipos penales específicos asociados a la materia, entre otras (Anguita, 2007: 331-342, 563-567; Jijena, 2005: 75-80). Asimismo, se sumaron numerosos cuestionamientos desde el punto de vista de su elaboración, lo que le otorgó una orientación distinta a la que idealmente debía tener.

También debemos considerar la evidente y rápida evolución en materia tecnológica, que deja con mucha rapidez desfasada la legislación dictada en una época determinada. Asimismo, es innegable la inspiración en la normativa española vigente en su época.2

Todo esto es una muestra evidente de que la legislación en esta materia está totalmente desactualizada y urge su modernización, por lo cual se presentó por el actual gobierno, a través del Boletín 11.144-07, el «Proyecto de ley que regula la protección y tratamiento de datos personales y crea la Agencia de Protección de Datos Personales», ingresado el 15 de marzo de 2017, que aborda ciertas materias que quedaron ignoradas, mal establecidas o sólo esbozadas en la actual legislación. Debemos hacer notar que este proyecto estuvo precedido de la participación de distintos actores de la ciudadanía, en especial, sectores de la sociedad civil, entre los que destacan el Consejo de la Sociedad Civil de Economía Digital y la Mesa Público-Privada de Protección de Datos. También tuvieron trascendencia en su elaboración las recomendaciones de la Organización para la Cooperación y el Desarrollo Económico (OCDE).3

Por último, hemos de advertir que con fecha 22 de marzo de 2017, la sala de la Cámara de Diputados acordó refundir este proyecto con el Boletín 11.092-07, proyecto de ley sobre la misma materia, presentado el 17 de enero de 2017, entre otros, por el senador Felipe Harboe.4

A continuación, procederemos a efectuar un análisis de los aspectos más importantes establecidos en la normativa propuesta, sus carencias y posibles mejoras.

ASPECTOS GENERALES

Existencia de pretítulo y materias conexas

Es sabido que la actual ley posee dos títulos: «Sobre Protección de la Vida Privada», y «Protección de Datos Personales», situación que tuvo su origen en que el proyecto original (Boletín 896-07, del 5 de enero de 1993), el cual contemplaba el ámbito más amplio de la vida privada, tal como lo regula la Constitución en su artículo 19 número 4 y número 5. Más adelante se eliminaron estos contenidos y quedó sólo lo relativo a los datos personales, pero subsistiendo el título original, lo que configuró un «pretítulo». Su conservación solo induce a confusión, y llama la atención que en el proyecto presentado no se haya regularizado esta situación mediante su eliminación.

Reconfiguración de normativa sobre la materia

Atendido el estado de avance en este ámbito y la profusión de casos en la práctica, es conveniente aprovechar el impulso sobre el particular y consagrar en la Constitución normas relativas a la protección de datos como, asimismo, a la propia imagen, aspectos que ya han desbordado lo que se entiende clásicamente como intimidad o privacidad, esto es, vida privada, honra de la persona y su familia, inviolabilidad del hogar y de toda forma de comunicación privada.

Técnica legislativa utilizada

Es importante hacer notar que el proyecto presentado implica, en los hechos, una sustitución de casi la totalidad de las disposiciones de la actual ley. Además, encontramos la inserción de gran cantidad de artículos nuevos con normas antes inexistentes. Salvo algunas definiciones, el título III sobre datos de tipo financiero, económico, bancario y comercial, y el artículo final reenumerado demuestran que la intervención es de tal magnitud, que cabe pensar que hubiera resultado mejor redactar un proyecto de ley completo.

MODIFICACIONES A LA LEY VIGENTE

Respecto de las disposiciones reestructuradas, podemos efectuar los siguientes comentarios:

Ámbito de aplicación

Si bien el artículo 1 de la ley es reformulado y resulta menos proclive a considerar como su objetivo regular un derecho para efectuar el tratamiento de datos, persiste en su redacción la mentalidad de considerarlos como algo transable, en vez de poner como idea principal los derechos de los titulares de los datos. Todavía resuena la crítica efectuada por Jijena, quien señaló que la actual ley fue redactada «a instancia de las asesorías de los grupos y empresas interesadas en asegurar el lucrativo negocio que constituye el procesamiento de datos personales, lo que se sumó al desconocimiento inexcusable de los parlamentarios» (Jijena, 2005: 76).

A pesar de esto, debe resaltarse que esta situación cambió en el presente proyecto, en parte debido a que en la generación del proyecto participaron entidades del sector privado fuera de aquellas de carácter empresarial.5

Debe destacarse que, al finalizar el inciso tercero, deja fuera del ámbito de aplicación el tratamiento de datos personales efectuado por personas naturales, en relación con sus actividades personales, un ámbito que hoy en día está cubierto por la actual ley.

Definiciones

El artículo 2 del proyecto, en primer término, modifica algunas definiciones como la de comunicación o transmisión, y dispone que dicha operación no implica la cesión o transferencia de datos (letra c); en el encabezado de la definición habla directamente de «dato personal sensible» y agrega ciertas características al concepto (letra g); reconfiguró el concepto de fuentes accesibles al público, con la posibilidad de calificar a una determinada fuente como tal, lo que tiene influencia respecto del consentimiento y ampliación o reducción de este tipo fuentes (letra i); despojó a la disociación de datos, que llama ahora «anonimización», de su carácter de tratamiento de datos e incluso de constituir un dato personal (letra k); reemplazó el concepto de «registro o banco de datos» por el de «base de datos», más correcto en los hechos (letra l); estructuró mejor el concepto de titular de datos (letra n); y el concepto de tratamiento fue acotado, con lo se hizo más manejable (letra ñ).

Por otra parte, agrega conceptos nuevos como consentimiento, acceso, rectificación, cancelación y oposición, los cuales, si bien estaban presentes en la actual ley, se presentaban desordenados y no muy delineados (letras o, p, q, r, s). También creó dos conceptos nuevos: «portabilidad de datos personales» y «registro nacional de cumplimientos y sanciones» en concordancia con la nueva regulación; y, por último, eliminó el concepto de modificación de datos.

Principios

El nuevo artículo 3 utiliza una técnica legislativa muy recurrida en los últimos años, en cuanto a enunciar los principios aplicables a la normativa en cuestión, pero que puede ser una herramienta de utilidad en casos de nuevas materias como las reguladas por esta ley. Debe hacerse notar que la actual normativa trata los principios de forma confusa y dispersa, por lo cual el artículo propuesto constituye un avance.

Derechos del titular de datos

En cuanto al título I nuevo, sobre los derechos del titular de los datos, trata en el orden correcto, dentro del proyecto, esta normativa que, por su importancia, debe ocupar esta posición. Dentro de él, cada uno de los artículos expone los contenidos de forma ordenada y secuencial, en gran contraste con la actual normativa, todo conectado con las definiciones presentadas en el artículo 2. Se destaca la consagración del derecho de portabilidad de los datos para su titular (artículo 9).

Tratamiento de datos

Respecto del título II nuevo, correctamente a continuación del tema anterior, se aborda el tratamiento de los datos personales y sus diversas categorías. Dentro del articulado se desglosan los distintos casos u obligaciones en literales, lo cual hace más ordenado y fácil su conocimiento, a diferencia de la actual normativa.

Debemos detenernos aquí para advertir ciertos aspectos notables como, por ejemplo, tratar el deber de secreto del responsable y la confidencialidad de los funcionarios en un solo artículo estando estrechamente relacionados (artículo 14 bis); las normas sobre el deber de información y transparencia (artículo 14 ter); la explicitación de medidas de seguridad (artículos 14 quáter, 14 quinquies y 14 sexies); normas sobre tratamiento de datos por un tercero o mandatario (artículo 15 bis); que desde los artículos 16 en adelante se aborda el tratamiento de los datos sensibles, una gran falencia de la actual norma; y otros casos que reúnen dichas características, como los relativos a la salud, que generaron muchos inconvenientes hace años (artículo 16 bis), los de tipo biométrico, cuestionados en la actualidad, en especial por el uso de la huella dactilar de menores de edad (artículo 16 ter), y los de perfil biológico, que tienen una regulación especial en la Ley 20.120 (artículo 16 quáter).6

Asimismo, en los artículos siguientes trata sobre datos de casos especiales: niños, niñas y adolescentes (artículo 16 quinquies); fines históricos, estadísticos, científicos y de estudios o investigaciones (artículo 16 sexies); geolocalización (artículo 16 septies), que, entendemos, no constituyen una categoría aparte a las ya definidas en el artículo 2, pues son datos personales no sensibles.

Llama la atención que no se establezca en la ley una norma especial respecto de los operadores de los servicios de telecomunicaciones, como lo establecía la pregunta 45 del anteproyecto de 2014. Este ámbito debería ser regulado y protegido, si tomamos en cuenta la importancia que hoy en día estos servicios tienen para la comunidad.

Datos económicos en general

En cuanto al título III de la actual ley, se mantienen las normas de datos personales sobre obligaciones de tipo económico, financiero, bancario o comercial, con las adecuaciones formales de rigor. En este punto, debemos observar que encontramos una ley especial, la 20.575, mal denominada «Establece el principio de finalidad en el tratamiento de datos personales», que trata el tema de manera específica para dicho ámbito, precisándolo más que estableciéndolo.7 Debido a su estrecha relación con los contenidos de este título, creemos que es conveniente insertar su texto en este proyecto (en el fondo los primeros cinco artículos), para evitar la dispersión normativa que se produce. Por último, el proyecto no contempla agregar en los artículos respectivos el título que indica su contenido, en contraste con el resto que sí los posee.

Órganos de la Administración del Estado

Respecto del título IV nuevo, establece las normas para el tratamiento de datos personales por órganos de la administración del Estado, agregando a los principios ya mencionados en el artículo 3 los específicos de derecho administrativo de coordinación (con incidencia en la comunicación de datos, conocido comúnmente como «cruce de datos»), eficiencia y transparencia y publicidad (artículo 21). Entrega también normas sobre comunicación y cesión de datos entre entidades públicas y de éstas con privadas (artículo 22).

Transferencia internacional de datos

En cuanto al título V, establece la regulación para la transferencia internacional de datos personales distinguiendo entre países que poseen niveles adecuados de protección y los que no lo tienen, tema de alta relevancia y que cuenta en la actualidad con una inexistente regulación en el artículo 5 de la ley.

INNOVACIONES DEL PROYECTO

Una de las características del proyecto presentado consiste en la inserción de varios títulos nuevos, lo que contempla la creación de la Agencia de Protección de Datos; normas sobre infracciones y sanciones, procedimientos y responsabilidades, y disposiciones sobre tratamientos de datos por otros poderes del Estado y organismos autónomos.

Agencia de Protección de Datos

En cuanto a la Agencia, contenida en el título VI, el proyecto del Gobierno toma el camino correcto de crear una entidad diferente y especializada, sin sucumbir a las ideas de algunos sectores de radicar esta función en la Contraloría General de la República (Anguita, 2007: 283-284),8 el Servicio Nacional del Consumidor (en el ámbito de datos de tipo económico, según el proyecto de 2011),9 el Consejo para la Transparencia (por extensión de lo que ya efectúa en el sector público, como lo proponía el proyecto de 2008) (Álvarez, 2016: 51-79);10 o bien, el Servicio de Registro Civil -que lleva actualmente el registro de banco de datos del sector público- según el artículo 22 de la ley vigente (Anguita, 2007: 284).11 Sólo el anteproyecto de 2014 contemplaba la creación de una entidad especializada, el Consejo para la Protección de Datos, con clara inspiración en el Consejo para la Transparencia.12

Si bien la experiencia de todas estas entidades en su respectiva competencia es un buen comienzo, el principal sector a regular es el privado, que hasta el momento no cuenta con una fiscalización similar al sector público.

Respecto de su naturaleza administrativa, señala que la entidad es un servicio público funcionalmente descentralizado, de carácter técnico y especializado para estas labores, lo que, atendido a la materia a regular, es la solución adecuada. Establece, además, que su jefe superior será elegido por el sistema de la Alta Dirección Pública de la Ley 19.882, lo que es pertinente de acuerdo a las normas actuales. Destacamos aquí el uso poco eficiente del lenguaje para designar al superior como «director o directora» (artículos 33, 34 y 35),13 sólo bastando usar la primera expresión, según lo consigna el artículo 25 del Código Civil.

Además, entrega normas sobre coordinación, necesaria e indispensable, entre la Agencia de Protección de Datos y el Consejo para la Transparencia, como concurrentes en sus diversos ámbitos en esta materia (artículo 32). Debemos destacar que el Consejo para la Transparencia ha impartido instrucciones en este ámbito dentro de su competencia, lo que constituye un gran punto de partida en esta materia (Matus, 2013: 202-207).

Respecto a las demás normas, en cuanto a las incompatibilidades es bastante estricta, salvo los casos de docencia y participación en entidades internacionales. En relación al personal y patrimonio, establece la normativa acostumbrada para estos casos. Llama la atención que el proyecto desiste de lo establecido en otras entidades de reciente creación, en cuanto a recurrir a las normas de derecho privado para su personal (Código del Trabajo) haciendo aplicación del Estatuto Administrativo, que es lo que corresponde (artículos 34 y 35).

Infracciones, procedimientos y sanciones

En materia de infracciones, el proyecto establece un catálogo de éstas con la triple gradación de leve, grave y gravísima, una de las grandes carencias de la actual ley. Asimismo, menciona las correspondientes materias de sanciones (en su gran mayoría multas), su determinación, atenuantes, sanciones accesorias, Registro Nacional de Cumplimiento y Sanciones, y normas de prescripción (artículos 38 a 44).

Respecto de los procedimientos, establece dos: de tipo administrativo (tutela de datos y de infracción de ley) y uno posterior, de tipo judicial (de reclamación). La existencia de una instancia administrativa previa puede ser una mejor herramienta que la actual normativa, directamente judicial y de poca utilización (Anguita, 2016: 42-43).

Debemos hacer presente la doble vía por la cual se va a lograr la plena aplicación de las disposiciones de la ley. Ante una solicitud de cualquier tipo, es la entidad -sea pública o privada- la que debe responder, en un procedimiento que se detalla en el artículo 11. En caso de no satisfacer la respuesta, se puede recurrir a lo dispuesto en el artículo 45 sobre el procedimiento administrativo de tutela de derechos ante la Agencia de Protección de Datos. Si su resolución no satisface al recurrente, se podrá ejercer la acción de reclamo judicial ante la Corte de Apelaciones respectiva, según el artículo 47. Si se refiere a la infracción de ley, se puede invocar un procedimiento sancionatorio establecido en el artículo 46 ante la Agencia de Protección de Datos, de cuya resolución, eventualmente, se puede acudir a la reclamación judicial ante la Corte de Apelaciones respectiva, según el artículo 47.

Esta situación no debe ser confundida con lo dispuesto en el inciso cuarto del artículo 22 del proyecto, cuando se solicita por parte de terceras personas información de un titular de datos a los órganos de la Administración del Estado, según las reglas de la Ley 20.285 sobre Acceso a la Información Pública. En este caso interviene el Consejo para la Transparencia, según las normas del artículo 20 de aquella Ley, y no la Agencia de Protección de Datos. Tampoco debe confundirse con lo establecido en el artículo 8 del proyecto (derecho de oposición) que, si bien trata situaciones consideradas también como tratamiento de datos, no lo es en el ámbito de la Ley 20.285.14

Fuera de este caso específico, el mismo artículo citado señala que para comunicar o ceder datos personales desde organismos públicos a privados, se necesita el consentimiento inequívoco del titular al momento de recolectar los datos o con posterioridad. Este caso se encuentra fuera de las reglas de la Ley 20.285.

Como lo señalan las letras f, g y h del artículo 31 del proyecto, hay que hacer notar que, respecto de las entidades privadas, la potestad sancionatoria por infracciones administrativas es ejercida plenamente por la Agencia de Protección de Datos; en cambio, en las entidades del sector público, si bien ésta investiga y determina las responsabilidades, corresponde a la Contraloría General de la República el sancionar por el incumplimiento de las normas de la ley (artículo 48). Aparte de esto, se encuentra el ejercicio de la potestad disciplinaria con la determinación y aplicación de sanciones disciplinarias correspondientes a los funcionarios del respectivo servicio (artículo 49).

En materia de responsabilidad civil (artículo 51), debemos entender que, en el caso de un órgano público, se aplicarán las normas sobre falta de servicio.

En este punto recogemos la opinión de Corral Talciani, respecto al hecho de cómo se acreditaría la responsabilidad en estas materias, en su comentario al actual artículo 23. Señala que el sistema es de responsabilidad extracontractual de tipo subjetiva y, por lo tanto, los daños deben probarse, no aplicándose el sistema de la responsabilidad de tipo objetiva (Anguita, 2007: 336-337). Habrá de evaluarse si las personas que eventualmente accionen tendrán la factibilidad de probar el daño, en especial en estas materias con ribetes tecnológicos.

Modelo de prevención

El proyecto instaura la figura del «modelo de prevención» (artículo 52), muy requerida por los autores, con sus características, vigencia y revocación, aunque debemos esperar a saber si habrá aplicación en conjunto con la falta de servicio en el sector público. Hacemos presente que no habla de una especie de «inmunidad condicionada», como sucede en el caso de la Ley de Propiedad Intelectual, sino más bien de una atenuante (artículo 54). Además, otorga a la Agencia la calidad de certificador de los modelos, siguiendo el ejemplo de la Subsecretaría de Economía y Empresas de Menor Tamaño, en cuanto a acreditar a las entidades certificadoras de firmas, según la Ley 19.799 sobre Documentos Electrónicos y Firmas Electrónicas.

Normas aplicables a otros poderes del Estado

Más adelante, trata las normas aplicables a los otros poderes del Estado y a las entidades autónomas, para lo cual establece que deben fijar sus propias normas siguiendo, en varios aspectos, lo establecido en la ley y, eventualmente, consultando a la Agencia de Protección de Datos (artículos 57 y 58).

Debe tenerse presente que estamos ante dos poderes del Estado y organismos autónomos de rango constitucional, por lo que es lógico que no sean controlados por un servicio público como la Agencia, si bien es cierto pueden requerir su asistencia técnica. Debe destacarse que estos órganos cumplirán las funciones de la Agencia en sus respectivos ámbitos, lo cual deberá ser atentamente observado, llegado el caso.

PRINCIPALES OBSERVACIONES

Objetivo principal del proyecto

Como lo señalamos al comienzo, el proyecto de ley, a pesar de modificar la actual redacción del artículo 1 en cuanto al objeto de éste, no refleja con claridad la visión desde el punto de vista del titular de los datos, sino de quien efectúa su tratamiento.

En cambio, el proyecto de 2008 insertaba un inciso segundo nuevo en el artículo 1, en los siguientes términos: «Toda persona tiene derecho a controlar la información que le concierne, de modo de obtener un adecuado resguardo a sus derechos fundamentales, sin que ello obstaculice innecesariamente el libre flujo de los datos personales». En el mensaje del proyecto se efectuaba una exposición de los dos modelos en la materia, el estadounidense bajo la idea de privacy of autonomy («privacidad de autonomía»), como parte del derecho a la privacidad, y el modelo alemán de la «autodeterminación informativa», relacionado con el derecho a la libre determinación y la noción de libertad personal. Dicha propuesta adoptaba la segunda visión.15

Asimismo, en el proyecto actual no se refleja un equilibrio entre el principio de la libre circulación de los datos y la autodeterminación informativa, sino más bien en lo que algunos autores refieren como la «privacidad informática», más ajustado a la noción estadounidense. De hecho, como señala Anguita, la protección de los datos se ha dado más por acciones constitucionales en resguardo de la vida privada y honra de la persona y su familia (artículo 19 número 4); y en el caso de las personas jurídicas, por el derecho a desarrollar cualquier actividad económica (artículo 19 número 21). También critica el enfoque hacia el tratamiento de datos y no a la protección de los datos de parte de sus titulares (Anguita, 2007: 288-289, 305, nota al pie 276).

Por su parte, el anteproyecto de 2014 señalaba en su artículo 1:

La presente ley tiene por objeto garantizar el derecho de las personas naturales de proteger y controlar la obtención, tenencia, tratamiento, uso y transmisión de datos personales, de modo de lograr un adecuado resguardo de los derechos que el artículo 19 de la Constitución Política asegura a todas las personas.

Como se observa, también centra su atención desde el punto de vista de las personas, específicamente naturales, pero lo toma desde la óptica del control de datos, o sea, de la defensa de la privacidad.

Ninguna de estas dos formulaciones, en cuanto a considerar rotundamente como centro de la regulación a las personas, fue considerada en el proyecto presentado por el Gobierno.

Debemos aclarar, por cierto, que el contemplar a los datos personales como parte de la privacidad de las personas no implica que su mal uso solo afecte a ésta, sino que también puede dañar otras garantías. De allí que en los dos fragmentos citados se hable de los derechos fundamentales establecidos en la Constitución.

Encargado de tratamiento de datos

Otro punto interesante a destacar consiste en la figura creada en el artículo 4 de la Ley 20.575, en cuanto a los distribuidores de registros de bancos de datos personales de tipo económico, financiero, bancario o comercial, de designar a una «persona natural encargada del tratamiento de datos», a la cual se puede acudir para hacer valer los derechos de la Ley 19.628 en dicho ámbito. La ley vigente (artículo 2 letra n) siempre habla del «responsable», que puede ser persona natural o jurídica, quien toma las «decisiones sobre los datos», pero en esta última no establece la obligación de que alguien específico «efectúe el tratamiento de los datos», lo que sí hace la primera norma citada (Anguita, 2007: 294, nota al pie 239). Esta falencia se observa en la nueva legislación propuesta, en su nuevo artículo 2 letra m, que no explicita el punto, sino que lo trata de forma imprecisa junto con el responsable.

En cambio, el proyecto de 2008 establece dicha regulación en la letra p propuesta para el artículo 2: «Encargado de tratamiento, la persona física o jurídica, autoridad pública, servicio o cualquier tercero que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento».

El proyecto de 2011 señalaba en su artículo 8 a dos tipos de personas: el responsable del registro o base datos y el encargado, con respecto a normas sobre su responsabilidad y la de sus empleados, dependientes u otras personas que acceden a datos.

El anteproyecto de 2014, en su pregunta 12, definía al encargado como «persona natural o jurídica, distinta del responsable que, individualmente o con terceros, efectúa todo o parte del tratamiento de datos personales por cuenta de dicho responsable».

Ahora bien, a propósito del modelo de prevención de infracciones, en la letra a del inciso primero del artículo 52 del proyecto, se habla del «encargado de prevención o delegado de protección de datos personales», en la respectiva entidad y, en el inciso segundo, se trata de la regulación interna del modelo de prevención que puede ir dentro de los contratos de trabajo o del reglamento interno y sobre los cuales se puede hacer valer la responsabilidad, que es una de las propuestas notables del proyecto. Sin embargo, nada más trata sobre el particular, lo que sumado a que el encabezado del artículo dice «podrán adoptar modelos», hace que todas las ventajas de esta figura queden al arbitrio del responsable de la base de datos.

Es conveniente que se establezca de forma más clara y definida la exigencia, especialmente en el caso de las personas jurídicas que traten datos, de designar a un encargado del tratamiento de datos que sea persona natural, sea que actúe solo o al mando de otras personas. Asimismo, si la entidad encomienda a otras el tratamiento de datos, debe establecerse la obligación de que la empresa encargada designe o tenga en su estructura a un encargado del tratamiento de datos. Todo esto para efectos de responsabilidad y eventuales reclamos. Lo más conveniente sería agregar una definición en el artículo 2 con la remisión al párrafo respectivo.

Participación de terceras personas

Tanto en el caso de las entidades que efectúen operaciones de tratamiento de datos por encargo de otras (artículo 15 bis), como en el comunicar o ceder datos entre entidades públicas y entre éstas y privadas (artículo 22, inciso cuarto), se establece la posibilidad de tratamiento o conocimiento por terceros de bases de datos de responsabilidad de otros.

Si bien es cierto que esta situación es más común de lo que parece, será muy importante la intervención de la Agencia de Protección de Datos en cuanto a establecer regulaciones generales para los contratos, a través de los cuales se entregue la posibilidad de efectuar estas operaciones a entidades que no son quienes tienen a su cargo las bases de datos (artículo 31, letra a del proyecto).

Como se ha hecho común observar en la actualidad, buena parte de las cláusulas contractuales, en especial aquellas en las que el Estado es una de las partes, adolecen de muchos vacíos y errores de redacción que producen costosos y dañinos efectos sobre aquéllos a quienes concierne el objeto del contrato.

Debemos hacer notar que el artículo 15 bis del actual proyecto tiene su origen, casi textual, en la pregunta 41 del anteproyecto de 2014, que muy claramente describe la situación como «prestación de servicios informatizados de datos personales».

Comunicación o cesión de bases de datos

Respecto de este fenómeno producido desde el sector público a particulares, los últimos años han sido pródigos en cuanto a situaciones en que bases de datos de servicios públicos fueron vendidas a entidades particulares (por ejemplo, el Servicio Electoral), lo que generó no sólo la violación de principios ya instituidos en la ley vigente, sino también múltiples reclamos de varias entidades y ciudadanos en general. Se deberá capacitar a las autoridades y funcionarios públicos en lo que implica la normativa propuesta y, creemos, también confeccionar instructivos generales para regular dicha situación (artículo 31, letras a e i del proyecto) (Anguita, 2007: 355-356, 358-365).16

Situación del actual registro de banco de datos

El artículo 22 de la actual ley establece el deber del Servicio del Registro Civil e Identificación de llevar un registro de banco de datos de personas a cargo del organismo público, no observándose en la regulación propuesta, a primera vista, la pervivencia de este registro, a pesar de que es una norma fundamental para la transparencia e información que se consagra en el artículo 21 del proyecto.

Ante esta situación, cabe preguntarse si la eliminación fue objeto de algún profundo estudio o es algo que se consideró secundario en el proyecto. Si se insertase nuevamente, ¿seguirá el Registro Civil con este registro, o se le entregará a la Agencia de Protección, o bien, al Consejo para la Transparencia?

El proyecto del año 2008 reemplazaba en su artículo 22 el actual registro por uno llamado «Registro Único Nacional de Bases de Datos» a cargo del denominado «Consejo para la Transparencia y Protección de Datos Personales». En dicho proyecto se contemplaba la modificación al artículo 33 bis letra a de la Ley 20.285, y señalaba que las bases de datos podían tener origen tanto público como privado.

El proyecto del año 2011 mantenía el actual registro sin alteración alguna.

El anteproyecto sometido a consulta ciudadana en 2014, establecía en su título VII un «Registro Nacional de Bases de Datos», manejado por un «Consejo para la Protección de Datos», el que también comprendía bases de datos tanto de titularidad pública como privada, y no sólo la primera como en la actualidad.

Es necesario tener presente que llevar un registro no significa, en principio, poseer necesariamente facultades de fiscalización y sanción, aunque sí implica cierto control, muy tenue por lo demás. Como sucede en la actualidad, sólo se constituye en un deber de publicidad y transparencia.

Entendemos que esta exigencia, en los hechos, ha sido reemplazada por la aparición del modelo de prevención, el cual, en la letra c del artículo 52 del proyecto, establece la descripción de varios acápites que serían similares a los del actual registro del artículo 22, sólo que a título de prevención de infracciones, y que se aplica a todas las entidades, sean públicas o privadas. De esta forma se logra un registro para ambos ámbitos, junto con el control adecuado. Lamentablemente, el inciso primero del artículo 52 señala que las entidades «podrán adoptar modelos de prevención», por lo que no es una norma obligatoria, lo que de permanecer de dicha forma restará fuerza a esa disposición.

Sólo queda señalar que la norma, en sí, es menos notoria que en los proyectos anteriores, pero parece ser una buena primera opción para cumplir con los propósitos que se buscan.

Personas Jurídicas

Otro aspecto importante se refiere al caso de las personas jurídicas. El proyecto de ley recoge la tendencia internacional, evidente por lo demás, de consagrar los derechos en esta materia sólo para las personas naturales, en especial si se considera a la protección de datos como un derecho fundamental. Sin embargo, salvo referencias accidentales, el proyecto no habla en mayor grado de lo que sucede con las personas jurídicas, especialmente las empresas, en obligaciones de tipo comercial. Esta es una situación importante y que puede tener trascendencia no sólo para aquellas entidades, sino también consecuencias colaterales para las personas naturales vinculadas con ellas. Para Jijena, existe un vacío en el tratamiento de datos de las personas jurídicas que estima debe subsanarse, ya que la protección debe existir, puesto que,

si bien en menor amplitud que las personas naturales, las personas jurídicas también gozan de un necesario derecho a la confidencialidad o reserva de los antecedentes que a ella se refieren, por cuanto éstos las convierten en sujetos de derecho y en personas identificadas e identificables (Jijena, 2005: 79).

El proyecto del 2008 recogía la idea de reconocerles ciertos derechos a las personas jurídicas, en el entendido de que se consideraba tan importante proteger la información de las personas naturales como de las jurídicas. En efecto, esta iniciativa los legitimaba en el acceso a datos y como titulares del habeas data (de ahí la formulación amplia en su artículo 1, «Toda persona…»).17 En los otros proyectos no se observa algo similar.

Si bien es cierto que las personas jurídicas han sido protegidas por la jurisprudencia de los tribunales -a través del artículo 19 número 21 de la Constitución, por el derecho a desarrollar cualquier actividad económica-, ¿cuál será el criterio de la futura Agencia de Protección de Datos? ¿Las personas jurídicas deberán utilizar sólo la vía judicial? Llegado el caso, ¿desestimarán los tribunales dicha acción invocando que deben ejercer previamente la vía administrativa?

Fuentes accesibles al público

En cuanto a las fuentes accesibles al público, el proyecto no utilizó la técnica ocupada en otros países de establecer un catálogo acotado de casos, aunque sí estableció la posibilidad de resolver el punto por la Agencia.

La norma actualmente vigente fue muy criticada en su momento. Renato Jijena señala que su formulación era amplísima, pues convertía a la categoría en la regla general, en vez de una excepción. Cita a pie de página el caso de la ley española, que restringe el acceso a datos personales específicos, entre ellos, a los datos sensibles. Señala que, salvo casos especificados, la solución es la determinación del caso concreto en tribunales (Jijena, 2005: 82, nota al pie 42).

Por su parte, Anguita señala que de todas las definiciones, ésta es la más desafortunada de la ley, debido a que es muy ambigua y amplia, lo que deja sin aplicación los principios consagrados en la ley. Se inclina por la solución de la Ley de Protección de Datos de España de 1999, en que se establece una enumeración taxativa de bases de datos accesibles al público (Anguita, 2007: 295, nota al pie 243).

Como señalamos, el proyecto de ley no optó por el catálogo, pero sí estableció la posibilidad de que la Agencia de Datos pudiera determinar cuáles fuentes son o no de tipo accesible al público y, también, el poder establecer qué clases o tipos de registros o bases de datos tienen dicha categoría.

Es seguro que existirá controversia con la determinación que adopte la Agencia y, muy probablemente, será derivada a los tribunales, en cuanto a la calificación de estas fuentes accesibles. Creemos recomendable que se inserte una lista de bases de datos, aunque sea a título ejemplar, para resolver, en parte, la actual situación y que, además, sirva de criterio para las resoluciones a adoptar en el futuro. Es de esperarse que esta opción utilizada no mantenga la situación que actualmente existe.

CONCLUSIONES

La presentación del proyecto de ley es, sin lugar a dudas, un esperado primer gran avance en cuanto a mejorar las disposiciones sobre la protección de datos personales en nuestro país. En efecto, como hemos analizado, hay aspectos sustantivos incluidos en el proyecto que actualmente no poseen regulación alguna y, desde el punto de vista de la técnica legislativa, la estructuración y redacción se mejora notablemente, en comparación con la actual ley de protección de datos personales.

Es destacable la creación de la Agencia de Protección de Datos, entidad especializada cuya instauración fue evitada en otras iniciativas, para el conocimiento de estas materias. Según se observa en el proyecto, tiene las facultades necesarias para cumplir con su función, tales como dictar instrucciones y normas generales obligatorias, fiscalizar el cumplimiento de las disposiciones de la ley, resolver reclamos de los titulares de datos en contra de los responsables de los mismos, ejercer la potestad sancionadora sobre entidades privadas, determinar infracciones de órganos públicos y requerir a la Contraloría la instrucción de los sumarios administrativos o investigaciones sumarias y, en general, acciones de cooperación y asesoría.

Se espera que sea una entidad con verdadero poder y no una mera espectadora de las circunstancias. También, que cuente prontamente con su normativa orgánica propia, el financiamiento respectivo y las personas idóneas para cumplir con sus cometidos y, asimismo, aproveche la experiencia de las entidades nacionales y extranjeras que han realizado similares funciones en este ámbito. Por lo demás, es deseable que las normas reglamentarias que deba necesariamente dictar lo sean lo más pronto posible y con el rigor que una materia tan técnica requiere.

Debido a la importancia que posee la información hoy en día y, también al potencial daño que su mal uso puede provocar en personas, grupo de personas y entidades tales como empresas, parece del todo indispensable que esta norma contenga dentro de ella tipos penales propios, o bien, se remita expresamente a tipos penales tradicionales establecidos en el Código Penal o en leyes especiales. Es prácticamente irracional, debido a la trascendencia de la normativa en la actualidad, no establecer sanciones de tipo penal que, en todo caso, no deben convertirse en la norma para sancionar a las infracciones a esta ley. La existencia de tipos penales bien definidos es el gran disuasivo para conductas de tipo delictivo (Anguita, 2007: 339-341).

La instauración de una fase administrativa de reclamo como primer paso es un avance respecto de la actual legislación. Asimismo, lo es la mantención del procedimiento de reclamación judicial como segunda fase, para revisar lo resuelto en la primera.

La imposición de multa como sanción administrativa a través de un catálogo de infracciones, con criterios de determinación de la cuantía y atenuantes de responsabilidad y sanciones accesorias, es consistente con la regulación que actualmente se establece en casos similares y opera como un disuasivo en una primera barrera de sanciones a establecer, sin perjuicio de las sanciones penales que quedarían para los casos más graves, de establecerse.

Llama poderosamente la atención que exista un régimen diferenciado para sancionar a los responsables de datos privados y a los organismos públicos. En efecto, si es privado sanciona directamente la Agencia; pero si es un ente público, sólo determina la infracción y se debe proceder a través de la Contraloría General de la República para sancionarlo. No se entiende por qué la Agencia no puede sancionar a un servicio público directamente. Además, la norma del artículo 48 es poco clara, porque confunde sancionar al organismo público como entidad que trata los datos, con la sanción disciplinaria que debería recibir su máxima autoridad por incumplir con su deber en la materia. En el segundo caso, se entiende la multa proporcional en base a su remuneración y la realización de una investigación sumaria, totalmente distinto del primer caso, donde se aplicaría un procedimiento administrativo para determinar la infracción a la ley de datos y la determinación de una multa contra la entidad infractora.

En este punto se entiende la crítica de Álvarez (2016: 68-73) en cuanto a la existencia de dos ámbitos con entidades diferenciadas para aplicar la ley, en vez de existir una sola autoridad con competencia para todo lo relativo a información.

Debe perfilarse la distinción entre «responsable de los datos» y el «encargado del tratamiento de datos», categorías que hoy parecen estar confundidas. No hay justificación alguna para que en materia de tipo económica (Ley 20.575) exista tal distinción y que en el resto de los datos personales no lo posea.

El modelo de prevención estructurado a través de un programa de cumplimiento establecido es una buena modalidad para lograr un cumplimiento de las disposiciones de la ley, en cuanto se fomenta actuar dentro de ciertos estándares que están certificados por la autoridad. Se espera que la norma reglamentaria que se debe dictar lo sea a tiempo, para evitar retrasos en su aplicación. Por otra parte, a nuestro parecer no se justifica la eliminación del registro de banco de datos llevado actualmente por el Servicio del Registro Civil.

Es deseable que durante la tramitación legislativa el texto de la ley sea enriquecido con disposiciones que contribuyan a lograr su objetivo, y que no se repita lo sucedido durante la elaboración de la ley original, cuyos efectos a casi veinte años de su publicación todavía siguen haciéndose presentes en nuestra legislación.

Sin perjuicio de lo anterior, y tal como mencionamos al inicio del trabajo, urge la inserción en la Constitución, específicamente en el artículo 19 números 4 y 5, de normas relativas a la protección de datos, tal como lo sugiere Jijena (2013: 64).18

Efectuado lo anterior, sería conveniente la dictación de la norma que regule aspectos faltantes relativos a la privacidad, por ejemplo, protección civil de la privacidad, donde a la fecha existe un proyecto de ley.19 Normas de este tipo serían útiles para deslindar aspectos que pueden verse confundidos con la noción de datos personales.20

REFERENCIAS

Álvarez, Daniel (2016). «Acceso a la información pública y protección de datos personales. ¿Puede el Consejo para la Transparencia ser la autoridad de control en materia de protección de datos?». Revista de Derecho, 23 (1): 51-79. DOI: 10.4067/S0718-97532016000100003. [ Links ]

Anguita, Pedro (2007). La protección de los datos personales y el derecho a la vida privada. Santiago: Jurídica. [ Links ]

____. (2016). Acciones de protección contra Google. Santiago: Librotecnia. [ Links ]

Jijena, Renato (2005). Comercio electrónico, firma digital y derecho. Santiago: Jurídica . [ Links ]

____. (2013). «Tratamiento de datos personales en el Estado y acceso a la información pública». Revista Chilena de Derecho y Tecnología, 2 (2): 49-94. DOI: 10.5354/0719-2584.2013.30309. [ Links ]

Matus, Jessica (2013). «Derecho de acceso a la información pública y protección de datos personales». Revista Chilena de Derecho y Tecnología, 2 (1): 197-228. DOI: 10.5354/0719-2584.2013.26959. [ Links ]

1Ley 19.628, sobre Protección de la Vida Privada, publicada el 28 de agosto de 1999. Fuera de la reforma que motiva este texto, encontramos el Boletín 6.120-07, «Proyecto de ley que introduce modificaciones a la Ley 19.628 y a la Ley 20.285», ingresado el 1 de octubre de 2008, y el Boletín 8.143-03, «Proyecto de ley que introduce modificaciones a la Ley 19.628 sobre Protección de la Vida Privada y protección de datos de carácter personal», ingresado el 11 de enero de 2012. Además, encontramos el denominado «Anteproyecto de ley de protección de las personas del tratamiento de datos personales», sometido a consulta ciudadana el 25 de julio de 2014, que puede ser hallado en el sitio web del Ministerio de Economía, Fomento y Turismo, específicamente en http://bit.ly/2jUjzNV.

2La legislación española ha tenido dos normas sobre la materia: la Ley Orgánica 5/1992 de regulación del tratamiento automatizado de los datos de carácter personal; y su reemplazo, la Ley Orgánica 15/1999 de protección de datos de carácter personal. En cuanto a la influencia en la normativa chilena, solo basta comparar los artículos 3 letra c de ambas normas con el actual artículo 2 letra o de la ley vigente, al definir tratamiento de datos.

3Boletín 11.144-07 de 2017, puntos 1 y 2.

4También presentaron el proyecto los senadores Pedro Araya Guerrero, Alfonso de Urresti Longton, Alberto Espina Otero y Hernán Larraín Fernández. Hasta la fecha de presentación de este artículo, no existe información precisa respecto del trámite de los proyectos refundidos.

5Boletín 11.144-07, punto II.

6Ley 20.120, «Sobre investigación científica en el ser humano, su genoma, y prohíbe la clonación humana», 22 de septiembre de 2006.

7Ley 20.575, «Establece el principio de finalidad en el tratamiento de datos personales», 17 de febrero de 2012.

8Primero se sugirió para llevar el registro de bases de datos públicos y después como autoridad de control.

9Boletín 8.143-03, artículo segundo, que modifica varias disposiciones de la ley del consumidor.

10Boletín 6.120-07, artículo 2, que modifica varias disposiciones de la ley sobre acceso a la información. Esta opción es defendida con gran fuerza por el citado autor.

11 Sugerido solo para llevar el registro de bases de datos públicos.

12Anteproyecto de 2014, título VIII.

13Esta forma de expresión se usa también en los artículos 14 sexies, 26 y 53.

14Ley 20.285, sobre Acceso a la Información Pública, publicada el 20 de agosto de 2008.

15Boletín 6.120-07 de 2008, folio 3.

16En esta obra se explican el caso Patricia Cáceres Arévalo con Dirección Regional del Servicio de Tesorería VIII Región y la impugnación de legalidad de la Contraloría a los convenios celebrados por instituciones públicas con empresas dedicadas a la comercialización de información comercial, dictamen 10.332 de 21 de marzo de 2001, respectivamente.

17Boletín 6.120-07, folios 13 y 14.

18Existe un proyecto en ese sentido, el Boletín 9.384-07, presentado el 11 de junio de 2014, que consagra constitucionalmente el derecho a protección de los datos personales, presentado por los senadores Pedro Araya Guerrero, Felipe Harboe Bascuñán, Ricardo Lagos Weber, Hernán Larraín Fernández y Eugenio Tuma Zedán. También sería conveniente establecer normas sobre el derecho a la propia imagen.

19Boletín 2.370-07, del 20 de julio de 1999, sobre protección civil del honor y la intimidad de las personas.

20Por ejemplo, el citado proyecto establece en la letra d de su artículo 8, como intromisión ilegítima al honor y la intimidad, «la revelación de datos privados de una persona o familia conocidos a través de la actividad profesional u oficial de quien los revela». Esto podría presentar problemas con la protección de datos.

SOBRE EL AUTOR

Manuel Vergara Rojas es abogado. Licenciado en Ciencias Jurídicas por la Universidad de Valparaíso. Se dedica al ejercicio libre de la profesión. Su correo electrónico es mvergararojas@gmail.com.

Recibido: 03 de Mayo de 2017; Aprobado: 08 de Noviembre de 2017

Creative Commons License Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons