¿De quién son mis datos?

Publicada originalmente el 14 de septiembre de 2020 en Infoxidados

Cuando discutimos sobre protección de datos personales existe una inclinación muy natural e intuitiva a exclamar ¡Estos son mis datos! ¡Son míos, y como son míos, yo hago lo que quiero con ellos; yo los controlo y no dejo que otra persona decida por mí qué hacer con ellos! Especialmente en EE. UU, incluso los activistas de la privacidad recurren a esta narrativa para defender los derechos de los ciudadanos, abogando por el data ownership. En otras palabras, que los datos personales no sean algo que se pueda recolectar, procesar y comunicar libremente, sino que un activo sobre el cual sus “dueños” tienen el control.

Por supuesto que estas iniciativas son bienintencionadas y buscan empoderar a las personas, pero creo que incurren en un error conceptual que puede tener implicancias profundamente negativas. La propiedad es un derecho que facultad el uso, goce y disposición arbitraria sobre una cosa. Si yo soy dueño de una pelota de tenis, entonces si yo quiero la puedo quemar, la puedo regalar, la puedo vender o la puedo entregar en préstamo perpetuo. Pero ¿una vez que vendo la pelota, puedo volver a reclamar propiedad sobre ella? No, la vendí y ya no es mía.

¿Es posible aplicar esta misma lógica a la protección de datos personales? No, porque el vínculo entre un individuo y sus datos personales no es de propiedad, sino que de titularidad. Y no es de propiedad porque no puedo vender mi nombre, no puedo ceder mi RUT, ni puedo regalar mi huella digital.

Los datos personales son parte íntegra de la identidad de una persona. Por lo mismo, su protección no proviene del ejercicio del derecho a la propiedad, sino del ejercicio de un derecho fundamental autónomo denominado autodeterminación informativa. Y la autodeterminación informativa es un derecho humano realmente hermoso: es la facultad que tenemos todas las personas para decidir y controlar qué parte de nosotros mismos proyectamos frente a nuestros pares. Y, en la medida que somos capaces de proyectarnos frente a otros de la forma que autónomamente hemos decidido, somos capaces de construir nuestra propia identidad. Es, en otras palabras, un ejercicio de la libertad y la autonomía. Es la capacidad de todo ser humano de pararse frente al mundo y decir: este soy yo, soy quien yo quiero ser.

Construirse a uno mismo y tener una identidad pasa por decidir qué es lo que quiero que otros sepan de mí. Yo puedo ser un académico muy serio de día y un carretero de noche. Puedo proyectar una orientación sexual en mi trabajo y otra en mi vida privada. Puedo ser mujer de día y hombre de noche.

Este desenvolvimiento esencial de la identidad no es posible bajo el paradigma de la propiedad. Si yo le vendiera mis datos a Facebook, entonces nunca recuperaría el control sobre ellos. Pero nuestro ordenamiento jurídico no funciona así, garantiza al titular (la persona) la capacidad de siempre retractar su consentimiento y recuperar el control sobre sus datos. El ejercicio del derecho a acceso, rectificación, cancelación y oposición puede siempre ser ejercido por el titular, independiente de quien esté administrando los datos y bajo qué compromiso. Porque los datos personales nunca pueden desligarse del titular, siempre harán referencia a su identidad.

Por eso, entender este vínculo como uno de titularidad y no de propiedad no sólo nos permite empoderar y proteger mejor a las personas del tratamiento que terceros quieran hacer de sus datos. También nos permite aproximarnos al fenómeno desde una perspectiva distinta y garantizar este derecho como lo que es: un derecho humano.

El gran hermano en el bolsillo

Publicada originalmente el 01 de julio de 2020 en La Segunda

El anuncio del Ministerio de Salud respecto a implementar un seguimiento del flujo de población a través de las antenas celulares, generó una sana suspicacia en la población. Después de todo, en una democracia no le corresponde al gobierno conocer la ubicación, rutina y patrones de comportamiento de sus ciudadanos. 

En este caso, la iniciativa no busca obtener la localización de cada individuo específico, sino de conocer cómo se comporta el flujo de población en su conjunto. En otras palabras, se pretende saber, por ejemplo, cuántas personas han circulado por la ciudad, cuántos kilómetros en promedio y si ha disminuido la movilidad durante la cuarentena, no contar con información sobre cada persona en particular.  

¿Significa que esta información es inocua? Para nada. Para que esta política pública no vulnere los derechos de la población, se debe asegurar que estos datos no sólo se entregarán de forma anonimizada (que la ubicación de cada individuo no vaya ligada a su identidad), sino que también de forma agregada (relativa a la población en su conjunto). Es decir, al gobierno no se le debe entregar información específica de cada usuario, aunque sea anonimizada, sino que se le debe entregar ya procesada y en la forma de promedios: “tantas personas se movieron entre tal y tal sector” o “en promedio, la movilidad bajo tanto”. 

De lo contrario, existe el peligro que la información desagregada pueda cruzarse con otras bases de datos y desanonimizarse. En otras palabras, sería posible reconstruir el vínculo entre la información y el individuo al cual refiere. Esta información es altamente sensible y en manos del estado se corre el riesgo que sea filtrada, mal utilizada o abusada.  

Por último, para justificar esta medida, el gobierno debe demostrar que esta forma de calcular la movilidad de la población es sustantivamente mejor que la utilizada actualmente, y que es necesaria para una mejor toma de decisiones relacionadas a la pandemia. Si ya estamos midiendo el nivel de movilidad de forma satisfactoria, entonces simplemente no vale la pena echar mano a esta información sensible en manos de las empresas telefónicas.

Suelten los datos

Publicada el 29 de abril de 2020 en La Segunda

Con justa razón, la comunidad científica ha reclamado mayor transparencia y acceso a los datos relativos al COVID-19, pero en esta materia es importante hacer algunas distinciones y dejar de hablar de “datos” a secas.

Por un lado, tenemos los datos estadísticos o disociados: cantidad de infectados, recuperados, tasa de transmisión, etc. Esta información no refiere a individuos específicos, sino que a la población y su acceso es esencial para poder generar modelos predictivos, flujos de congestión y, en general, tomar decisiones basadas en evidencia. Su puesta a disposición de forma desagregada y anonimizada no sólo facilita la labor de los expertos, sino que hace más transparente la actuación estatal, ayuda a despejar suspicacias y evitar la emergencia de teorías conspirativas. 

Por otro, tenemos los datos de carácter personal, tales como la identidad de los contagiados, su domicilio y el contenido de su ficha clínica. El manejo excepcional de esta información es importante, por ejemplo, para controlar el cumplimiento de la cuarentena. Pero, al tratarse de datos altamente sensibles, quienes pueden acceder y procesar estos datos debe estar estrictamente restringido. 

Algunos parlamentarios pretenden entregar acceso a la identidad y domicilio de los contagiados a los alcaldes, para facilitar la fiscalización de la cuarentena. Como siempre, el camino al infierno está pavimentado de buenas intenciones, y la verdad es que los municipios no cuentan con la capacidad de resguardar y manejar con reserva información así de sensible. Sólo la semana pasada fuimos testigos de cómo la casa de una familia en Vallenar fue apedreada por haber salido a la luz que eran COVID-19 positivos.

Incluso algunos gobiernos pretenden hacerse de la geolocalización de las personas sujetas a cuarentena a través de la información en manos de las compañías de telecomunicaciones. Esta propuesta debe ser rechazada de plano, puesto que la ubicación calculada a través de triangulación de antenas simplemente no es lo suficientemente precisa y la cantidad de falsos positivos generaría más problemas que beneficios. 

En definitiva, podemos discutir limitar parte de nuestra privacidad para combatir el COVID-19, pero para ello la solución propuesta primero debe demostrar ser efectiva.

Peor que una filtración

Publicada originalmente el 13 de agosto de 2019 en La Segunda

La semana pasada un grupo de investigadores reportó haber detectado una importante filtración de datos. Un archivo con información de 14 millones de chilenos apareció en un repositorio en línea; incluyendo el nombre, RUT, domicilio, género y edad de los afectados.

Al investigar la fuente de la filtración, llegaron a la conclusión de que el SERVEL estaba almacenando esta información sin las debidas medidas de seguridad. Lo que no sabían, es que la información se publicó intencionalmente, porque la misma ley obliga al SERVEL a subir el padrón electoral a internet.

Para los estadounidenses parecía claro que debía tratarse de un error, la sola idea de poder conseguir el número de seguridad social (equivalente a nuestro RUT) de millones de personas sería un escándalo de proporciones en su país. Sin embargo, en Chile lo tenemos completamente naturalizado.

Como sociedad no le hemos tomado el peso al hecho que -para todos los efectos prácticos- el RUT, nombre y dirección de todos los chilenos es un dato público. Hoy cualquier base de datos que se quiera construir para perfilar usuarios, cruzar información o generar listas negras tiene como base los datos facilitados por el SERVEL. 

La justificación para publicar el padrón es que exista una adecuada fiscalización por parte de la ciudadanía. Sin embargo, esto no implica que los datos personales de todos los habitantes del país tengan que publicarse en línea.

Otros mecanismos de fiscalización del padrón pueden alcanzar el mismo objetivo sin vulnerar los derechos de la ciudadanía. Por ejemplo, se puede entregar acceso a partidos políticos, investigadores o ciudadanos interesados, pero exclusivamente en una red cerrada en las dependencias del SERVEL o se pueden entregar en formatos que no permitan su procesamiento masivo.

No enmendar el rumbo en esta materia puede tener gravísimas consecuencias en términos de ciberseguridad y protección de datos personales. El mundo está entrando en la era del Big Data, la inteligencia artificial y tratamiento algorítmico de bases de datos. Este futuro nos encontrará mal preparados si lo recibimos con la mentalidad de que un país entero tiene que vivir en una casa de cristal.   


Mi selfie, ¿mi problema?

Publicada originalmente el 22 de julio de 2019 en La Segunda

FaceApp es la nueva aplicación de moda. Es muy simple: te sacas una foto y la aplicación la modifica para mostrarte 20 años mayor o cómo te verías con la edad de un niño. Hasta ahí todo bien. 

El problema es que los términos y condiciones establecen que al usar el servicio se otorga a la empresa una licencia perpetua, irrevocable, no exclusiva e internacional para usar, modificar y reproducir el contenido creado por el usuario. A todas vistas un abuso, especialmente teniendo en consideración que los rasgos faciales son un dato sensible. 

Los desarrolladores han declarado que -en la práctica- los datos se almacenan en Amazon, se eliminan luego de 48 horas y no se utilizan para fines distintos que el funcionamiento de la aplicación. Eso puede ser cierto, pero no es lo que dicen las condiciones. Acá hay una lección para los abogados: no siempre es el mejor camino redactar cláusulas excesivamente amplias y abusivas para blindar al cliente. 

Por otro lado, la narrativa hasta el momento ha sido culpar al usuario. Si un individuo acepta condiciones abusivas, entonces después no se puede quejar. Urge cambiar esta mentalidad. Las personas tienen derecho a usar una aplicación simpática sin tener que temer que sus datos van a terminar siendo traficados. 

La evidencia muestra que al momento de instalar un programa o aplicación, prácticamente nadie lee los términos y condiciones. Incluso cuando un usuario se propone hacerlo, distintas investigaciones muestran que el contenido suele ser tan complejo que para entenderlo se requiere un nivel educativo equivalente a estudios de magíster. Para rematar, los documentos siempre están en inglés y las aplicaciones competidoras tampoco ofrecen mejores condiciones.

En otras palabras, el consentimiento por sí solo no es una forma efectiva de proteger a las personas. Otras ramas del derecho -como el derecho del trabajo y el derecho del consumidor- reconocen hace décadas la existencias de asimetrías de poder e información entre trabajadores, consumidores y empresas. La tramitación del proyecto de ley de datos personales se presenta como una oportunidad para avanzar en el mismo sentido, imponiendo resguardos sustantivos a los derechos de los usuarios.

El hambre por los datos

Publicada originalmente el 5 de julio de 2019 en La Segunda

La sociedad en su conjunto ha avanzado cada vez más decididamente hacia un consenso sobre la importancia de proteger los datos personales. Sin embargo, no todas nuestras instituciones han acusado recibo de esta tendencia. 

El año pasado, la Subsecretaría de Telecomunicaciones ofició a todas las empresas del rubro para que estas entregaran -respecto de todos sus clientes- información sobre números de teléfono, tipo de plan, datos sobre tráfico de voz y datos, así como su comuna y región. De todas las empresas, sólo Entel se negó a entregar toda la información solicitada y hoy el caso se encuentra en tribunales.

Más allá de que la Subtel excedió sus atribuciones, resulta preocupante que un organismo público exija este volumen de información. Por un lado, porque se trata de información que permite perfilar a los usuarios y que mediante un mínimo esfuerzo puede ser asociada a un persona determinada; pero también porque esta información se solicitó con la expresa finalidad de entregarlos a la empresa CADEM para que esta realice una encuesta de satisfacción. 

La pregunta cae de cajón ¿estamos cómodos con que un organismo público exija información detallada de todos los habitantes del país, la ceda y luego una empresa particular la utilice para hacer encuestas? 

No cabe duda que para diseñar políticas públicas eficientes es necesario echar mano al tratamiento de grandes volúmenes de bases de datos. Pero esto no implica caer en una falsa dicotomía entre innovar y proteger a las personas. 

En realidad, este tipo de análisis se pueden conducir a través de información anonimizada o estadística, es decir, no vinculada a personas determinadas. Al mismo tiempo, la recolección de información debe ser proporcional: si el objetivo es realizar una encuesta, no es necesario acceder a la información de toda la población, sino que sólo una muestra de ella. 

Recientemente nuestro país elevó la protección a de los datos personales a nivel constitucional, pero para que ello se concrete también es necesario cambio cultural y social en todos los niveles. De lo contrario, vamos a terminar borrando con el codo lo que hemos escrito con la mano.

¿De dónde sacaron mi número?

Publicado originalmente el 16 de enero de 2019 en La Segunda

Todos hemos sido víctima de la expresión más recurrente y molesta de la falta de protección de datos personales en nuestro país: las insistentes llamadas que recibimos para ofrecernos créditos, productos y planes. La pregunta que surge al recibir estos llamados siempre es ¿de dónde sacan mis datos si yo nunca se los entregué? 

Nuestra actual ley de datos establece que para tratar los datos personales de alguien se requiere su consentimiento expreso, informado y por escrito. Cosa que la mayoría de nosotros no hemos entregado a las empresas que insisten en llamarnos para ofrecernos sus productos. El problema es que la ley contiene una excepción especial para el marketing directo. Las empresas que realizan comunicaciones comerciales tienen una regla hecha a medida que les permite recolectar y transar libremente nuestros datos. 

El objetivo del proyecto de ley ingresado a comienzos del año 2017 era el de reformar completamente nuestro sistema de protección de datos personales para evitar que las personas quedaran desprotegidas ante este tipo de situaciones. 

Siguiendo el modelo europeo, la iniciativa establece que un tercero puede recolectar y tratar los datos personales de otro cuando cuente con su consentimiento o cuando exista un “interés legítimo” en dicho tratamiento. Distintos expertos le recomendaron al gobierno que el texto estableciera expresamente qué actividades se consideran de interés legítimo, de tal forma de otorgar certeza jurídica y evitar que se transformara en una excepción amplia y difícil de fiscalizar. 

El gobierno accedió a definir taxativamente qué actividades se entenderían como de interés legítimo, pero paradójicamente la regla quedó peor. En el listado cerrado se encuentran actividades que sin duda todos consideramos nobles, como la prevención del fraude, la seguridad informática, la investigación con fines históricos, estadísticos, y científicos, etc. Al final de la lista, sin embargo, está el invitado de piedra… ¡el marketing directo! Las empresas seguirán teniendo manga ancha para contactarnos sin nuestro consentimiento. 

Urge que el gobierno reconsidere esta inclusión o la nueva ley de datos personales se transformará en otro ejemplo de El gatopardo: que todo cambie para que todo siga igual. 

Chile necesita una regulacion de datos personales con dientes

Publicada originalmente el 12 de julio de 2019 en Derechos Digitales

La tierra no es plana, las vacunas funcionan y Chile necesita actualizar su legislación de protección de datos. En materia de políticas públicas digitales, son pocos los temas que generan un consenso tan transversal como la necesidad imperiosa de que nuestro país fortalezca su nivel de protección y resguardo de la autonomía informativa de las personas. 

Así lo refleja un informe del año 2016, publicado por el Departamento de evaluación de la ley 19.628 de la Cámara de Diputados. El documento muestra cómo los representantes de la industria, sociedad civil, academia y distintos organismos públicos no solo creen que es importante modificar nuestra regulación, sino que también consideran urgente la creación de un organismo administrativo que sea capaz de fiscalizar el cumplimiento de la ley y sancionar a quienes infringen sus disposiciones. 

En la actualidad -y más allá de las falencias de la ley 19.628– el principal obstáculo que las personas enfrentan al momento de hacer efectivo su derecho a acceder, rectificar, oponerse o cancelar el tratamiento de sus datos personales es de carácter operativo. La ley establece un procedimiento denominado habeas data, que obliga a los titulares a recurrir a los tribunales civiles ordinarios de justicia. Para una persona común y corriente, esto implica contratar un abogado, invertir recursos y esperar un par de años para obtener ojalá una decisión favorable, con tribunales civiles sobrecargados que además no manejan la especialidad que requiere la protección de datos personales. Incluso, luego de haber superado esta ordalía, las sanciones establecidas por la ley son irrisorias, llegando a un tope de más o menos 3.600 dólares. Para empresas y para el Estado, los más frecuentes infractores, la suma es una sanción insignificante ya que las multas podrían ser fácilmente incorporadas como costos de operación. 

Por lo mismo, nadie se puede extrañar de que este procedimiento haya sido utilizado muy pocas veces, dando pie a la impunidad sobre el tratamiento ilegítimo de los datos personales de las personas chilenas; no porque la privacidad no importe, sino que se ha transformado en un privilegio defenderla. 

Aunque existe consenso en que nuestro país debe contar con una Agencia de Protección de Datos, actualmente existen distintos esquemas institucionales que se pueden implementar; cada uno con sus particularidades, partidarios y detractores.

Qué nos gustaría 

En Derechos Digitales hemos participado del proceso legislativo en distintas iniciativas para reformar la actual ley de datos personales; desde el proyecto presentado por el primer gobierno de Bachelet, la iniciativa que tuvo lugar en el primero gobierno de Piñera y el Boletín 11144-07 presentado en marzo de 2017, durante el segundo gobierno de Bachelet y actualmente en tramitación. 

Sí, es frustrante cuantas veces hemos tenido que empezar desde cero. 

Sobre la institucionalidad de control, nuestra posición siempre ha sido la misma: Chile merece contar con una Agencia de Protección de Datos de carácter administrativa, independiente, especializada y con patrimonio propio. En otras palabras, un modelo normativo similar al que dio origen a la Agencia Española de Protección de Datos, que cuente con independencia de otros organismos públicos para poder ejercer su labor de fiscalización sin presiones políticas externas y cuyas decisiones respondan a estándares profesionales. 

Para cumplir su labor a cabalidad, una agencia de estas características también debe contar con los recursos y atribuciones necesarias. No basta con que la entidad pueda fiscalizar el cumplimiento de la ley por parte de organismos públicos y privados, ni que pueda sancionarlos con multa. También es necesario que cuente con facultades para realizar campañas educativas, mantener registro de las bases de datos existentes, inspeccionar a los responsables de bases de datos, establecer medidas cautelares y coordinar cooperación internacional en el área. Por último, la agencia requiere facultades normativas, para generar jurisprudencia administrativa sobre los alcances e interpretación de la ley; a través dictámenes o resoluciones, ya sea de carácter general o pronunciamientos específicos. 

Originalmente el proyecto de ley creaba un organismo encargado de la protección de los datos personales, dependiente del Ministerio de Hacienda. Pero la creación de un nuevo organismo -independiente, especializado y con patrimonio propio- requiere de una inversión económica importante, que por razones políticas no se encuentra hoy disponible. Así, en julio de 2018 el ejecutivo ingresó una indicación sustitutiva, entregando esta tarea al Consejo para la Transparencia (CPLT), entidad que actualmente tiene la poco específica atribución de “velar” por el cumplimiento de la Ley 19.628 respecto de los organismos públicos, pero ninguna herramienta para hacer efectivo este control.

El problema concreto es que la creación de un nuevo organismo -independiente, especializado y con patrimonio propio- requiere de una inversión económica importante, que por razones políticas no se encuentra hoy disponible.

Lo perfecto es enemigo de lo bueno

En los últimos meses, la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado ha votado la mayoría de los artículos del proyecto relativos a temas de fondo –con algunos resultados no del todo satisfactorios desde nuestro punto de vista. Es posible que en las próximas semanas se revise lo relativo a la Agencia de Protección de Datos Personales: su institucionalidad, atribuciones y recursos. 

Al tratarse de la creación de un nuevo organismo público, este aspecto de la ley solo puede modificarse por iniciativa del Presidente de la República. Sin embargo, al no existir consenso respecto a qué organismo público debe convertirse en la nueva Agencia de Protección de Datos, es probable que se genere un intenso debate.  

Las alternativas parecen ser dos: un nuevo organismo público especializado en protección de datos personales que dependa de un ministerio, o entregarle esta atribución al CPLT. Como todo en la vida, ambas opciones tienen cosas a favor y en contra. 

La creación de un organismo nuevo tiene la fortaleza de que esta nueva institución tendría un carácter especializado, compuesto exclusivamente por expertos en materia de protección de datos personales. En este sentido, se podría asegurar que las decisiones estarían fundamentadas bajo criterios técnicos y serían tomadas por profesionales del área. 

Sin embargo, en cuanto al nivel de autonomía del organismo, este solo contaría con un nivel de “independencia funcional”, similar a la que cuenta la Fiscalía Nacional Económica respecto del Ministerio de Economía. Es posible argumentar que este nivel de independencia es suficiente; después de todo, la Fiscalía Nacional Económica ha funcionado bastante bien. Sin embargo, hay una diferencia fundamental entre ambos organismos: a la Agencia de Protección de Datos Personales le corresponderá conocer, decidir y sancionar casos concretos donde haya una contienda respecto al cumplimiento de la ley de datos personales por parte de un responsable de bases de datos. En este sentido, tiene sentido que dicha agencia tenga un nivel de autonomía más similar al Tribunal de Defensa de la Libre Competencia que el de la Fiscalía Nacional Económica. 

Esto es particularmente relevante si tenemos en consideración que el mayor recolector, almacenador y procesador de datos personales es el Estado. No solo en términos de cantidad de datos, sino que también es el que maneja más datos de carácter sensible y muchas veces ha sido el más negligente en el resguardo y manejo de esos datos. Por lo mismo, se vuelve esencial que la labor de la agencia este exenta de eventuales presiones políticas externas. Si el día de mañana un importante organismo público sufre una filtración de datos personales que le signifique una multa millonaria, necesitaremos un organismo de control que sea inmune al telefonazo de su superior jerárquico. 

Optar por el CPLT implica enfrentar el problema contrario. El Consejo cuenta con altos niveles de independencia y autonomía, y una legitimidad asentada frente a la ciudadanía y el poder político, pero desde su creación su labor ha estado enfocada en materializar los principios de acceso a la información pública y la transparencia en la actuación del Estado. Si bien es cierto que el acceso a la información pública y la protección de datos personales no son materias necesariamente excluyentes, se trata de áreas del derecho que tienen sus propios principios y particularidades. Los expertos que han sido formados profesionalmente en una de ellas pueden contar con un sesgo profesional. 

Creemos que esto puede evidenciarse en algunas decisiones del Consejo en las que no concordamos con la ponderación entre el resguardo de los datos personales de los titulares y el derecho de los ciudadanos de acceder a la información pública. Algunos casos de lo anterior han sido: la entrega de información estadística por parte del INE, el acceso a los correos electrónicos de funcionarios públicos y la entrega del listado de nombres de dominios administrado por NIC Chile.

Frente a las condiciones actuales, la mejora en la protección de los datos personales en Chile necesariamente pasa por priorizar la evaluación independiente acompañada de un reforzamiento sobre la especialidad; asegurar que la futura autoridad de Protección de Datos Personales pueda operar con autonomía y exenta de presiones en sus pronunciamientos es crucial. Un criterio similar puede encontrarse en el Reglamento General de Protección de Datos, el que al momento de determinar si un país cuenta con un “nivel adecuado de protección” se da prioridad a que cuente con una agencia independiente.  

Para ello el mecanismo de conformación de la institucionalidad requiere ser modificado con el fin de adecuarse a sus nuevas atribuciones. En este sentido sería positivo que el número de consejeros se aumentara a seis, a fin de que se convocara a tres expertos en protección de datos personales y tres expertos en acceso a la información pública.

De esta forma, el Consejo podría operar con dos salas especializadas de funcionamiento permanente. Para poder mantener un criterio unificado al momento de ponderar privacidad y transparencia, cada sala podría integrarse por tres consejeros: dos de ellos de la competencia de la especialidad de la sala y un tercero de la especialidad de la otra sala que podría ir rotando. De esta forma se puede fortalecer el criterio técnico en la disciplina respectiva, favoreciendo la uniformidad en la aplicación e interpretación de la ley. Además, para evitar que consejeros que provengan del mundo privado queden implicados por conflictos de interés en materia de fiscalización de empresas que tratan datos personales, también es necesario un régimen de inhabilidades como el contemplado en el proyecto de ley.

Por otro lado, siempre existe la posibilidad de transformar los desafíos en una oportunidad. Tener una misma institución encargada de velar por el acceso a información pública y la protección de datos personales -como sucede en Inglaterra- permitiría contar con un criterio unificado en esta materia. Por el contrario, contar con dos instituciones separadas podría generar el riesgo de decisiones contradictorias

No cabe duda de que será un desafío importante que el CPLT alcance un equilibrio al presentarse casos que enfrenten la protección de los datos personales de los ciudadanos con el derecho a acceder a la información pública. Sin embargo, es un objetivo que se puede alcanzar con el tiempo y con los reforzamientos en presupuesto y capacidades para el CPLT que hemos enfatizado a lo largo del texto. Por otro lado, una institucionalidad que no cuente con independencia y autonomía desde su concepción no podrá sacudirse nunca esta falencia y por tanto no podrá proveer a la ciudadanía mejor protección que la que gozan actualmente sus datos personales. 

Avanza la tramitación de la ley de datos: lo bueno, lo malo y lo feo

Publicado originalmente el 19 de julio de 2018 en Derechos Digitales

El pasado 3 de julio, luego de muchísima expectación y múltiples extensiones de plazo, el ejecutivo ingresó sus indicaciones al proyecto de ley que regula la protección de datos personales que hoy se encuentra en tramitación en el Senado. Este hito es relevante, porque estas modificaciones perfilan la orientación que el ejecutivo buscará entregar a la tramitación del proyecto durante su mandato.

A continuación, nos proponemos analizar lo bueno, lo mano y lo feo de las modificaciones propuestas, con especial énfasis en la toma de partido respecto de la institucionalidad encargada de velar por el cumplimiento de la ley.

Lo bueno

Las indicaciones del ejecutivo recogen muchas de las inquietudes y propuestas manifestadas por distintos académicos, expertos, organizaciones de la sociedad civil y organismos públicos. En cuanto a disposiciones de fondo, es posible observar que las modificaciones propuestas reponen los hábitos personales como elemento mencionado en la enumeración de datos de carácter sensible. Esta mención es particularmente importante, ya que una parte importante del modelo de negocios de los servicios que utilizamos depende cada vez más de rastrear nuestros patrones, rutinas y hábitos de forma precisa.

Otra figura importante que se modifica es la excepción de fuente accesibles al público. La regla general es que, para tratar un dato personal, se requiere el consentimiento de su titular. Actualmente, el hecho de que un dato se encuentre en una fuente accesible al público se configura como excepción a este principio; una excepción tan amplia que termina transformando la desprotección en la regla general. De ahí la proliferación de sitios web que exponen nuestros datos o de empresas que los utilizan para entregar inteligencia de negocio a campañas políticas.

El proyecto original no subsanaba de forma satisfactoria esta situación. La indicación, por su parte, establece que la definición de qué se considera una fuente accesible al público no será amplia, sino taxativa. Esto quiere decir que un número limitado y establecido de fuentes de información tendrán esta categoría, y que ese listado será revisado anualmente por la entidad encargada de protección de datos. De esta forma se limita qué fuentes de información efectivamente pueden operar como excepción al principio del consentimiento, y se permite que este listado cuente con cierta flexibilidad.

Siguiendo con las excepciones, el proyecto original establecía como excepción al consentimiento del titular el hecho de que el interesado en tratar datos personales contara con un “interés legítimo” en su tratamiento. Esta figura fue tomada del Reglamento General de Protección de Datos de Europa, pero sin importar junto con ello todos los resguardos y limitaciones a su aplicación que en él se establecen. La indicación propone definir qué se entiende por interés legítimo, limitándolo a actividades particulares y excepcionales.

Por otro lado, se elimina la exigencia de que los titulares solo se puedan oponer al tratamiento automatizado de sus datos personales cuando estos los afecten de forma significativamente negativa o les produzcan efectos jurídicos adversos. De esta forma, el titular tendrá mayor libertad para oponerse a la toma de decisiones algorítmicas respecto de su persona y la elaboración de perfiles a partir de sus datos personales, sin entrar discutir su calificación.

Lo malo

Así como el proyecto avanza en las materias antes mencionadas, también retrocede o no subsana carencias de varias de sus disposiciones. Uno de los elementos en que el proyecto había retrocedido respecto de la actual Ley 19.628 es en la obligación de los organismos públicos de registrar las bases de datos que administren. Lo conducente hubiese sido que dicha obligación se extendiese también a las entidades privadas, sin embargo, el gobierno optó por reponer esta obligación exclusivamente a los organismos públicos a través de la creación del Registro Nacional de Bases de Datos.

Otro elemento negativo es que la definición de motor de búsqueda propuesta establece explícitamente que estos serán considerados como responsables de bases de datos. Esto implica que respecto de buscadores como Google, Bing o DuckDuck Go o Yahoo los titulares podrán hacer efectivo el derecho de cancelación y oposición, para lograr desindexación de su información, situación que ha sido denominada como “derecho al olvido”.

Como hemos dicho con anterioridad, si bien debe existir una solución para aquellas personas que se ven afectadas por la disponibilidad de información inexacta, desactualizada o que les impide su reinserción en la sociedad, dicha solución debe tener en consideración los otros intereses jurídicos involucrados, tales como la expresión, el derecho a obtener información, la memoria histórica y al ejercicio del periodismo de investigación.

Por último, el proyecto establecía que el consentimiento no se considerará una base jurídica suficiente para la validez del tratamiento de datos, cuando exista un desequilibrio ostensible entre la posición del titular y el responsable. Existen argumentos entendibles respecto de la falta de certeza jurídica que puede producir esta disposición. Sin embargo, la modificación propuesta no entrega una herramienta para hacerse cargo de la desigual condición en que se encuentra un usuario respecto de una empresa al momento de contratar. De esta forma, solo se exige que, si al momento de contratar el responsable pide la entrega de datos no relacionados con el contrato, esta situación se encuentre destacada, que no es un remedio suficiente a la situación de desequilibrio en juego.

Lo feo

Ya mencionamos que al momento de definir qué se entiende por interés legítimo, la modificación propuesta limitó las situaciones en que esta excepción puede ser utilizada. El articulado entrega un listado de situaciones que cumplen con esta definición, entre las que se encuentran actividades de prevención del fraude, seguridad informática, investigación con fines históricos, estadísticos, y científicos, entre otros. Sin embargo, en este listado de actividades que se considerarán un “fin legítimo” se incluyó el marketing directo, es decir, el envío de publicidad por parte de las empresas. En otras palabras, las empresas no requerirán el consentimiento de las personas para enviar publicidad dirigida. Esta inclusión es injustificada, arbitraria y solo puede entenderse en base al lobby de la industria en la materia.

Por último, las infracciones de tratamiento de datos inexactos y de denegar las peticiones de los titulares de datos sin causa justificada con las indicaciones pasaron de ser infracciones graves a infracciones leves.

Y ahora ¿Quién podrá defendernos?

Es esencial que la nueva legislación de protección de datos sea rigurosa, robusta y cuente con una aproximación de derechos fundamentales. Sin embargo, sin una institucionalidad que sea capaz de hacer efectiva esas obligaciones, la ley está destinada a convertirse en tinta sobre un papel.

Es por ello que la decisión de cuál será el organismo encargo de velar por el cumplimiento de la nueva ley se transformó desde el primer día en una de las principales definiciones de la modificación legislativa.

El proyecto original creaba una nueva institucionalidad, de carácter técnico y dependiente del Ministerio de Hacienda. Esta dependencia funcional generó resquemores respecto del nivel de autonomía e independencia de la entidad, especialmente al momento de fallar casos relacionados con organismos públicos.

La modificación propuesta por el ejecutivo hace un golpe de timón, y entrega al Consejo para la Transparencia la tarea de velar por el cumplimiento de la ley. Para ello establece que este organismo se deberá dividir en dos áreas (una para acceso a la información y otra para protección de datos personales), operar en dos salas (también divididas temáticamente) y aumenta su número de consejeros de cuatro a cinco. Del mismo modo, los consejeros pasan a tener dedicación exclusiva, se establecen incompatibilidades respecto de aquellos que puedan tener intereses en el sector privado y quienes hayan sido sancionados previamente por tratamiento indebido de datos personales.

Si bien el Consejo para la Transparencia cuenta con un nivel mayor de autonomía que la institucionalidad propuesta por el proyecto original, su carácter especializado y técnico requiere ser profundizado. La transparencia y la protección de datos personales no son disciplinas excluyentes, pero sin duda responden a principios distintos e incluso a una formación profesional particular.

En este sentido, sería positivo que durante la tramitación legislativa se aumente el número de consejeros a seis, y exigir que la mitad sea especialista en materia de protección de datos personales. Por último, resulta indispensable dotar a la nueva institucionalidad con las herramientas necesarias para fiscalizar de forma efectiva al sector privado, especialmente teniendo en consideración que el ejecutivo ha decidido correctamente aumentar el monto de las multas hasta un 4% del volumen de negocios anual de la institución infractora.