Quizás esta nomenclatura le parezca ajena o lejana. No se equivoque, de ella depende el nivel de privacidad de su información personal. Quizás hasta su acceso al mercado laboral, crediticio, educacional y por de pronto su reconocimiento, honra y posición social.
El creciente desarrollo de la industria del tratamiento de datos ha generado un desbalance entre el principio de la libre circulación de los mismos y la protección de la vida privada de las personas y, por tanto de los datos personales y sensibles de los ciudadanos. Hoy por hoy, resulta común ver en internet avisos de venta de bases de datos con indicación de domicilios, Rut, actividad laboral, formación académica y, en algunos casos, hasta con enfermedades o afecciones, dependencia farmacológica. En fin, un conjunto de información que permite segmentar a cada ciudadano en razón de su comportamiento mercantil, afecciones de salud o patrones de consumo, por mencionar algunos. Hay de todo y para todos. Basta con cancelar lo que piden para tener acceso a ellos y conocer la intimidad de millones de personas hasta ese momento desconocidos.
Al observar la experiencia comparada surge, como primera reflexión una cierta angustia al observar que mientras Chile discute sobre la conveniencia de proteger los datos personales y consignar una autoridad para ello, en Europa la discusión versa sobre cómo enfrentar el fenómeno de la administración de datos en las redes sociales como yahoo, facebook, twitter, el tratamiento de imágenes en flickr y un sinnúmero de plataformas y redes de uso virtual masivo. O bien cómo se adelantan al impacto del cloud computing de creciente masificación en el mundo tecnológico y que crea una especie de disco duro virtual donde se almacenarán millones y millones de datos, documentos e imágenes en el mundo. Esto en Europa es posible en razón de que hace más de 30 años los europeos decidieron sobre la necesidad de dar protección a los datos personales. Así, hacia el año 1982, la popular “Ley del Censo” de Bonn, Alemania, ya reconocía el principio de la “autodeterminación informativa” y con él el derecho de los ciudadanos a conocer quien tiene sus datos, cómo los obtuvo, para qué los almacenó y cuál será su uso. Es decir, en Chile tres décadas más tarde comenzamos una discusión que no por atrasada resulta innecesaria; sino muy por el contrario urge iniciar y resolver con seriedad, responsabilidad y prontitud.
En el marco de un encuentro académico se me solicitó manifestar mi opinión sobre la institucionalidad necesaria para supervigilar la evolución de esta industria en nuestro país. Sería simplista de mi parte adscribir a una institucionalidad en particular sin mayores fundamentos y enmarcar mi propuesta en los aspectos administrativos o de forma. Pero creo responsable aplicar mi ya reiterada (o reiterativa) “tesis de la estructura consecuencial”. Según ella, las estructuras que han de crearse en el sector público (y también en la empresa) deben responder o ser consecuencia de un objetivo o meta delineados previamente. Seguido de una estrategia prediseñada y clara para obtenerlo. Es decir, no parece lógico que el estado siga diseñando instituciones y las metas u objetivos a lograr sean sólo la consecuencia de lo que la estructura permite. De lo que se trata es de invertir el proceso creando estructuras que sean funcionales a los objetivos o metas planteados previamente. “La estructura es “y” porque es la adecuada para lograr el objetivo “x””. De esa forma estaremos creando estructuras públicas asociadas a un profundo proceso de reflexión político y administrativo con mayores niveles de eficacia y eficiencia en el logro de metas país.
En tal sentido –y para ser consecuente- corresponde entonces observar el objetivo buscado con la nueva propuesta de institucionalidad en materia de protección de datos y, para definir el objetivo debemos necesariamente tomar posiciones en orden a la concepción del derecho sustantivo sobre el mismo. Es decir, qué entendemos o queremos entender por protección de datos personales y cómo concebimos su origen.
En el mundo existen principalmente dos miradas respecto del tema (sumado a un sinnúmero de visiones eclécticas que deambulan por el ancho camino del centro). La visión americana (USA) según la cual los datos personales constituyen un derecho incorporal y, como tal, es parte integrante del derecho de propiedad que cada ciudadano posee sobre los mismos. Vale decir, el derecho a la protección de los datos personales, sería entonces un derecho consecuencial derivado del derecho de propiedad (número 24 del artículo 19 de nuestra Constitución) y; como tal, sujeto de todas las acciones constitucionales y legales que amparan la propiedad. Según esta visión no existe un derecho autónomo a la protección de los datos personales, sino sólo el derecho de propiedad del cual emana éste, bajo la reflexión lógica que el dato es propiedad del sujeto de derecho, sea éste una persona natural o jurídica.
Como contrapartida observamos la concepción europea del derecho a la protección del dato personal. Según estos, se trataría de un derecho en sí mismo, un derecho autónomo. Esta visión supone la existencia de un conjunto de derechos inherentes a la persona (natural o jurídica) dentro de los cuales estaría su libertad para disponer de sus datos personales, siendo aquellos que sirven para individualizar a una persona de otra dentro de la sociedad. Así entonces, este derecho estaría amparado por su propia garantía constitucional explícita (reconocimiento constitucional del derecho) o, sería parte activa de un conjunto de garantías fundamentales como la libertad, honra, vida privada, y otras.
La definición respecto de la concepción de este derecho no es menor y acarrea consecuencias. Así, tratándose del “tráfico transfronterizo de datos”, resulta relevante esta distinción, toda vez que los países europeos sólo lo aceptan con los países “adecuados” y, por tanto, el riesgo de quedar fuera de éstos, puede significar importantes consecuencias prácticas, tales como no acceder a información relevante de transacciones económicas para efectos de investigaciones de lavado de activos o terrorismo, intercambio de información policial, intercambio de información de deudores tributarios, en fin, un sinnúmero de datos que pueden ser relevantes en investigaciones desarrolladas en nuestro país.
Para el modelo europeo, no es suficiente la consagración del derecho de protección de datos, (derecho sustantivo) para considerar a un país como “adecuado”. Junto con ello, exigen que los países instituyan acciones jurídicas eficaces para que los ciudadanos, potencialmente afectados, puedan recurrir en contra del mal uso de los mismos y a ello agregan la exigencia de crear instituciones encargadas de promover el respeto de este derecho, proteger a los titulares de los datos, velar por el correcto tratamiento de los mismos y sancionar el mal uso de ellos.
Nuestra actual ley 19.628 sobre protección de datos personales, -en mi opinión- constituye un híbrido que si bien reconoce la existencia de la protección de los datos personales como un derecho consecuencial, crea acciones de protección (habeas data) y establece mecanismos para enmendar errores, rectificar, bloquear o eliminar datos; por omisión; deja abierta la puerta para que los administradores de bases de datos puedan realizar lo que se denomina el “tratamiento desleal de los datos personales” en virtud del cual los ciudadanos ignoran quién tiene sus datos, cómo los obtuvieron y para qué los almacenan. Con ello, por más acciones de protección que disponga la ley, éstas aparecen insuficientes o inoperantes cuando el titular ignora que alguna persona o institución está haciendo tratamiento de los mismos. De igual forma, nuestra normativa confunde la protección de datos con la protección de sus titulares. No consagra el principio de la finalidad del dato. Crea un concepto vago de las fuentes de acceso público, establece un débil régimen sancionatorio de los infractores de la norma, no regula de manera adecuada el dato apreciativo y permite el acceso universal a ciertos datos. Por tanto, resulta evidente la débil arquitectura de protección de los afectados.
Hay quienes sostienen que el derecho a la protección de datos personales emana de la protección de la vida privada. Concebirlo así, sería restringirlo en exceso. Ciertamente el tratamiento de datos personales sin consentimiento vulnera el derecho a la vida privada al exponer de manera injustificada antecedentes que los sujetos pueden considerar reservados o sensibles. Pero concebir su origen exclusivamente en esta garantía sugiere aceptar la teoría del derecho consecuencial de esta garantía fundamental. Sería olvidar que su vulneración puede afectar otros derechos fundamentales asegurados por nuestra carta fundamental. En efecto, la publicación de datos sensibles puede afectar el derecho al trabajo, la salud, la honra, en fin, un conjunto de garantías que, exceden con creces la sola afectación de la vida privada.
Veamos un caso concreto. Un ciudadano chileno afectado por una discapacidad visual permanente que de conformidad a las normas electorales de Chile y en beneficio del voto asistido se encuentra inscrito en el registro electoral. En dicho registro, además de consignarse el nombre completo, fecha de nacimiento, domicilio, profesión u oficio, se consigna su discapacidad (para efectos de facilitar su sufragio). Según reciente fallo del Consejo de la Transparencia dicho registro es de carácter público y, por tanto, cualquier ciudadano puede acceder a él. Por tanto, resultará común que incluso las discapacidades contenidas en registros de carácter público puedan ser conocidas por todos y, lo que parece más grave, transadas en el mercado pudiendo incluso ser adquiridas por empresas de venta de productos especializados para determinadas discapacidades. Una reflexión profunda nos debe llevar a concluir que dicho registro fue construido con una finalidad. Proveer al órgano del estado encargado de la organización de los actos electorales públicos de la información necesaria para garantizar el ejercicio del derecho constitucional de sufragio. Para ello, la ley (como fuente originaria) permitió el tratamiento de dichos datos y no para otro fin. Por tanto todo uso diverso debiera ser prohibido o al menos restringido, ya que su comercialización puede dar origen (de hecho lo da) a un tratamiento desleal consecuencial de los datos personales, ya que estos terminan en empresas o administradoras de bases de datos ignoradas por el titular de los mismos y adquiridas por medios inaccesible a su titular lo que le impide a éste último oponerse a su tratamiento por no haber sido consultado para ello.
Dicho lo anterior, creo que debemos iniciar prontamente una reflexión profunda sobre el tema a fin de evitar que dicha discusión sea sobrepasada por la realidad de la evolución tecnológica y su decisión sea de suyo inútil y extemporánea. En tal sentido quiero expresar que desde mi personal visión, el derecho a la protección de los datos personales debiera ser incorporado como derecho principal, no dependiente -aunque relacionado- con otras garantías fundamentales. Un derecho sustantivo de rango constitucional que se encuentre amparado por acciones especiales de protección. Un derecho autónomo.
Dicho lo anterior, la derivación normativa de la definición constitucional requiere, a mi juicio, de una profusa regulación que permita consignar elementos básicos como el tratamiento leal de datos, precisión del concepto de fuente de acceso público, determinación legal de la calidad de “sensible” de un dato, regulación del dato apreciativo, creación de un registro obligatorio de bases de datos, establecimiento de un riguroso sistema sancionatorio, constitución de una autoridad de protección de datos personales y la consagración de acciones de protección, sean administrativas y jurisdiccionales.
Si ello debe hacerse a través de una institución con dedicación exclusiva o una dual que además regule lo relativo al acceso de información pública, ciertamente es un tema debatible y la experiencia comparada así lo demuestra. No obstante, en razón de mi razonamiento u adscripción al modelo de creación de un derecho autónomo y, las múltiples consecuencias jurídicas y económicas derivada de ello creo conveniente una institución con dedicación exclusiva por las siguientes razones:
La protección de datos personales y la transparencia en el acceso a la información pública constituyen dos caras de la misma moneda y, como tal serán antagónicas en un sinnúmero de ocasiones obligando a la autoridad a sacrificar o la primera o la segunda de ellas con consecuencias prácticas de alta complejidad.
La protección de datos personales se refiere principalmente al tratamiento que da el sector privado a los mismos; mientras que la transparencia en el acceso a la información pública se encuentra orientada exclusivamente al sector público, lo que marca la diferencia en el sujeto pasivo de ambas funciones.
La función de velar por la transparencia en el acceso a la información pública es de tal relevancia para la sociedad que incorporar en la misma institución una función diametralmente opuesta a la originaria y además de extrema complejidad y alcance podría poner en riesgo lo avanzado en materia de transparencia
El perfil de quienes ejerzan funciones en materia de protección de datos personales es sustantivamente diverso de aquellos encomendados de velar por la transparencia en el acceso a la información pública. Mientras los primeros deben tener experiencia informática y tecnológica y manejo de redes y experiencia en el sector privado; los segundos deben ser conocedores del derecho administrativo principalmente.
Si hemos de consagrar un derecho autónomo en nuestra Carta Fundamental para proteger los datos personales y equipararlo al principio de transparencia consignado en el artículo octavo de nuestra Constitución Política, entonces se requerirá de una institución de igual rango para proteger dicho derecho fundamental y no confundirla con otra que ya posee una obligación de aplicar un principio constitucional de manera exclusiva.
La experiencia comparada si bien es variada en esta materia, resulta determinante observar las recomendaciones y críticas que el comité Europeo de protección de datos personales ha realizado al ICO, organismo del Reino Unido encargado de velar por la protección de datos personales, transparencia en el acceso a la información pública y otras funciones anexas; en orden a mejorar sus estándares de protección de datos ya que –según el órgano europeo- no se está cumpliendo el mandato y se encuentra en serio riesgo de ser considerado “país no adecuado” en estas materias.
La experiencia española con la Agencia de Protección de datos personales, con dedicación exclusiva ha sido la que más jurisprudencia ha generado en este rubro. Con órganos internos encargado de realizar las indagaciones frente a denuncias, con acciones de protección y un severo régimen sancionatorio ha permitido ubicar a España dentro de los países con mayor desarrollo de este derecho contemporáneo.
Cualquiera sea la visión a la cual adscriba el actual gobierno, lo cierto es que el debate sobre la protección de datos personales debe ponerse en la agenda prioritaria ya que de lo contrario seguiremos aún más rezagados en el contexto internacional y, lo que resulta peor, mantendremos a nuestros conciudadanos en un alto nivel de indefensión frente al tratamiento desleal de sus datos personales.