Por Álvaro Varas Del Canto
Abogado de la Universidad de Chile y Diplomado en Derecho Laboral de la Empresa de la Universidad de Los Andes. Es abogado asociado del área de litigios del Estudio Vergara Fernández Costa & Claro. Su ejercicio profesional se concentra en litigios complejos en materias civiles, de comercio y seguros.
[divider]
En marzo de 2017, la Presidenta de la República envió al Senado un proyecto de ley que Regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales[1], en el contexto de una reforma substancial a la Ley 19.628 sobre Protección de Datos de Carácter Personal, que data de 1999.
En su momento, la ley 19.628, supuso un gran avance al regular el tratamiento por organismos públicos y privados, de los datos de carácter personal concernientes a personas naturales. Definió conceptos básicos, como el de datos sensibles, particularmente relevantes por referirse a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como su origen racial, ideologías y opiniones políticas, creencias o convicciones religiosas, estado de salud y vida sexual.
Consagró, asimismo, para el titular de datos, derechos de acceso o información (qué datos se mantienen, para qué se usan y quién es responsable), de modificación o rectificación de datos, de cancelación o eliminación y el de oposición o bloqueo, conocidos como derechos ARCO, cuya mayor repercusión práctica se ha dado en el ámbito del uso de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial.
Sin embargo, dicha regulación requiere hoy de grandes cambios. El proyecto, que actualmente se encuentra en primer trámite constitucional ante el Senado, expresa la necesidad de modernizar la normativa vigente, superada e incluso obsoleta en parte, por el acelerado desarrollo tecnológico, la masificación de las tecnologías de la información y la expansión del comercio electrónico, entre otros factores.
El objetivo principal de esta iniciativa legal es equilibrar la protección de los derechos de las personas -especialmente su intimidad-, con la libre circulación de la información, e incrementar los estándares legales de protección y seguridad, a fin de promover el desarrollo de la economía digital y favorecer la expansión del mercado de los servicios globales.
El proyecto innova, entre otras cosas, en los siguientes aspectos:
1. Establece principios rectores y actualización de conceptos legales: Se proponen principios que faciliten la aplicación de la ley en la cotidianeidad y su interpretación por los tribunales de justicia, incorporando los principios de proporcionalidad, calidad, seguridad, responsabilidad, información, transparencia y publicidad.
De aprobarse el proyecto en este punto, la ley promete ser más estricta, pero a la vez ofrece mayores y mejores garantías a las personas, de un uso adecuado, seguro y acotado de sus datos personales. Esto tendrá una amplia repercusión, desde las compras on line que se realizan vía internet en empresas de retail, las que requieren información personal del usuario, hasta la celebración de contratos complejos, que muchas veces incluyen información de los contratantes de carácter confidencial.
2. Refuerza e incorpora nuevos derechos: Otorga el carácter de irrenunciables y gratuitos a los derechos ARCO, sin que pueda limitarse su ejercicio, y crea el derecho a la portabilidad de datos personales, en virtud del cual el titular de datos podrá obtener del responsable del tratamiento de los mismos, una copia de éstos en formato electrónico y comunicarlos o transferirlos a otro responsable de datos.
El ejercicio pleno de tales derechos cobra notoria importancia hoy en día, cuando pocos podrían imaginar su vida sin herramientas de comunicación e intercambio, como las provistas por Facebook, Google o Amazon, por nombrar sólo algunas empresas, cuya actividad primordial es la gestión de datos personales.
3. Regula detalladamente el consentimiento del titular de datos personales: En este punto, el proyecto supera con creces la regulación actual, que sólo exige que el consentimiento sea dado por escrito. Se precisa que el consentimiento debe ser libre, informado e inequívoco y otorgado mediante una declaración verbal, escrita o a través de un medio electrónico o acto afirmativo que dé cuenta con claridad la voluntad del titular, en forma previa al tratamiento de datos y específica en cuanto a su finalidad.
4. Incrementa las obligaciones de los entes responsables del tratamiento de datos: Se introducen deberes de información, reserva y confidencialidad, información y transparencia, de adoptar medidas de seguridad y de acreditar la licitud del tratamiento que realizan. A su vez, para no imponer trabas excesivas a la circulación de la información, se proponen estándares diferenciados de cumplimiento de los deberes de información y seguridad, distinguiendo, por ejemplo, según el tamaño de la institución y el volumen y finalidades de los datos que trata. Vgr. No es lo mismo comparar el nivel de tratamiento de datos que realiza el Registro Civil, con el que puede realizar una pequeña empresa dedicada al reclutamiento y selección de personal.
5. Estándar más estricto en el tratamiento de datos sensibles: El proyecto establece que el tratamiento de estos datos sólo puede realizarse cuando el titular consienta libre e informadamente y en forma expresa, elevando así el estándar exigido por la ley actual.
6. Creación de una autoridad de control: La mayor innovación, es la creación de una institución especializada y de carácter técnico, que se denomina “Agencia de Protección de Datos Personales”, cuya principal función es velar por el cumplimiento de la normativa en materia de datos personales y fiscalizar y sancionar los incumplimientos. Esta modificación, promete hacer eficaz la tutela de datos personales, permitiendo a sus titulares dirigir reclamos y consultas a esta institución. Así, por ejemplo, ante la negativa de DICOM u otra empresa administradora de datos, de eliminar los registros de una deuda que se encuentre pagada por el titular de datos personales.
[1] Boletín Nº 11.144-07, refundido con Boletín Nº 11.092-07. El texto completo del proyecto puede consultarse en:
https://www.senado.cl/appsenado/templates/tramitacion/index.php?boletin_ini=11.144-07%20y%2011.092-07,%20refundidos
