martes, 9 de noviembre de 2010

PROTECCIÓN DE DATOS PERSONALES


Quizás esta nomenclatura le parezca ajena o lejana. No se equivoque, de ella depende el nivel de privacidad de su información personal. Quizás hasta su acceso al mercado laboral, crediticio, educacional y por de pronto su reconocimiento, honra y posición social.

El creciente desarrollo de la industria del tratamiento de datos ha generado un desbalance entre el principio de la libre circulación de los mismos y la protección de la vida privada de las personas y, por tanto de los datos  personales y sensibles de los ciudadanos. Hoy por hoy, resulta común ver en internet avisos de venta de bases de datos con indicación de domicilios, Rut, actividad laboral, formación académica y, en algunos casos, hasta con enfermedades o afecciones, dependencia farmacológica. En fin, un conjunto de información que permite segmentar a cada ciudadano en razón de su comportamiento mercantil, afecciones de salud o patrones de consumo, por mencionar algunos. Hay de todo y para todos. Basta con cancelar lo que piden para tener acceso a ellos y conocer la intimidad de millones de personas hasta ese momento desconocidos.

Al observar la experiencia comparada surge, como primera reflexión una cierta angustia al observar que mientras Chile discute sobre la conveniencia de proteger los datos personales y consignar una autoridad para ello, en Europa la discusión versa sobre cómo enfrentar el fenómeno de la administración de datos en las redes sociales como yahoo, facebook, twitter, el tratamiento de imágenes en flickr y un sinnúmero de plataformas y redes de uso virtual masivo. O bien cómo se adelantan al impacto del cloud computing de creciente masificación en el mundo tecnológico y que crea una especie de disco duro virtual donde se almacenarán millones y millones de datos, documentos e imágenes en el mundo. Esto en Europa es posible en razón de que hace más de 30 años los europeos decidieron sobre la necesidad de dar protección a los datos personales. Así, hacia el año 1982, la popular “Ley del Censo” de Bonn, Alemania, ya reconocía el principio de la “autodeterminación informativa” y con él el derecho de los ciudadanos a conocer quien tiene sus datos, cómo los obtuvo, para qué los almacenó y cuál será su uso. Es decir, en Chile tres décadas más tarde comenzamos una discusión que no por atrasada resulta innecesaria; sino muy por el contrario urge iniciar y resolver con seriedad, responsabilidad y prontitud.

En el marco de un encuentro académico se me solicitó manifestar mi opinión sobre la institucionalidad necesaria para supervigilar la evolución de esta industria en nuestro país. Sería simplista de mi parte adscribir a una institucionalidad en particular sin mayores fundamentos y enmarcar mi propuesta en los aspectos administrativos o de forma. Pero creo responsable aplicar mi ya reiterada (o reiterativa) “tesis de la estructura consecuencial”. Según ella, las estructuras que han de crearse en el sector público (y también en la empresa) deben responder o ser consecuencia de un objetivo o meta delineados previamente. Seguido de una estrategia prediseñada y clara para obtenerlo. Es decir, no parece lógico que el estado siga diseñando instituciones y las metas u objetivos a lograr sean sólo la consecuencia de lo que la estructura permite. De lo que se trata es de invertir el proceso creando estructuras que sean funcionales a los objetivos o metas planteados previamente. “La estructura es “y” porque es la adecuada para lograr el objetivo “x””. De esa forma estaremos creando estructuras públicas asociadas a un profundo proceso de reflexión político y administrativo con mayores niveles de eficacia y eficiencia en el logro de metas país.

En tal sentido –y para ser consecuente-  corresponde entonces observar el objetivo buscado con la nueva propuesta de institucionalidad en materia de protección de datos y, para definir el objetivo debemos necesariamente tomar posiciones en orden a la concepción del derecho sustantivo sobre el mismo. Es decir, qué entendemos o queremos entender por protección de datos personales y cómo concebimos su origen.

En el mundo existen principalmente dos miradas respecto del tema (sumado a un sinnúmero de visiones eclécticas que deambulan por el ancho camino del centro). La visión americana (USA) según la cual los datos personales constituyen un derecho incorporal y, como tal, es parte integrante del derecho de propiedad que cada ciudadano posee sobre los mismos. Vale decir, el derecho  a la protección de los datos personales, sería entonces un derecho consecuencial derivado del derecho de propiedad (número 24 del artículo 19 de nuestra Constitución) y; como tal, sujeto de todas las acciones constitucionales y legales que amparan la propiedad. Según esta visión no existe un derecho autónomo a la protección de los datos personales, sino sólo el derecho de propiedad del cual emana éste, bajo la reflexión lógica que el dato es propiedad del sujeto de derecho, sea éste una persona natural o jurídica.

Como contrapartida observamos la concepción europea del derecho a la protección del dato personal. Según estos, se trataría de un derecho en sí mismo, un derecho autónomo. Esta visión supone la existencia de un conjunto de derechos inherentes a la persona (natural o jurídica) dentro de los cuales estaría su libertad para disponer de sus datos personales, siendo aquellos que sirven para individualizar a una persona de otra dentro de la sociedad. Así entonces, este derecho estaría amparado por su propia garantía constitucional explícita (reconocimiento constitucional del derecho) o, sería parte activa de un conjunto de garantías fundamentales como la libertad, honra, vida privada, y otras.   

La definición respecto de la concepción de este derecho no es menor y acarrea consecuencias. Así, tratándose del “tráfico transfronterizo de datos”[1], resulta relevante esta distinción, toda vez que los países europeos sólo lo aceptan con los países “adecuados”[2] y, por tanto, el riesgo de quedar fuera de éstos, puede significar importantes consecuencias prácticas, tales como no acceder a información relevante de transacciones económicas para efectos de investigaciones de lavado de activos o terrorismo, intercambio de información policial, intercambio de información de deudores tributarios, en fin, un sinnúmero de datos que pueden ser relevantes en investigaciones desarrolladas en nuestro país.

Para el modelo europeo, no es suficiente la consagración del derecho de protección de datos, (derecho sustantivo) para considerar a un país como “adecuado”. Junto con ello, exigen que los países instituyan acciones jurídicas eficaces para que los ciudadanos, potencialmente afectados, puedan recurrir en contra del mal uso de los mismos y a ello agregan la exigencia de crear instituciones encargadas de promover el respeto de este derecho, proteger a los titulares de los datos, velar por el correcto tratamiento de los mismos y sancionar el mal uso de ellos.

Nuestra actual ley 19.628 sobre protección de datos personales, -en mi opinión- constituye un híbrido que si bien reconoce la existencia de la protección de los datos personales como un derecho consecuencial, crea acciones de protección (habeas data) y establece mecanismos para enmendar errores, rectificar, bloquear o eliminar datos; por omisión; deja abierta la puerta para que los administradores de bases de datos puedan realizar lo que se denomina el “tratamiento desleal de los datos personales” en virtud del cual los ciudadanos ignoran quién tiene sus datos, cómo los obtuvieron y para qué los almacenan. Con ello, por más acciones de protección que disponga la ley, éstas aparecen insuficientes o inoperantes cuando el titular ignora que alguna persona o institución está haciendo tratamiento de los mismos. De igual forma, nuestra normativa confunde la protección de datos con la protección de sus titulares. No consagra el principio de la finalidad del dato. Crea un concepto vago de las fuentes de acceso público, establece un débil régimen sancionatorio de los infractores de la norma, no regula de manera adecuada el dato apreciativo y permite el acceso universal a ciertos datos. Por tanto, resulta evidente la débil arquitectura de protección de los afectados.

Hay quienes sostienen que el derecho a la protección de datos personales emana de la protección de la vida privada[3]. Concebirlo así, sería restringirlo en exceso. Ciertamente el tratamiento de datos personales sin consentimiento vulnera el derecho a la vida privada al exponer de manera injustificada antecedentes que los sujetos pueden considerar reservados o sensibles. Pero concebir su origen exclusivamente en esta garantía sugiere aceptar la teoría del derecho consecuencial de esta garantía fundamental. Sería olvidar que su vulneración puede afectar otros derechos fundamentales asegurados por nuestra carta fundamental. En efecto, la publicación de datos sensibles puede afectar el derecho al trabajo[4], la salud, la honra, en fin, un conjunto de garantías que, exceden con creces la sola afectación de la vida privada.

Veamos un caso concreto. Un ciudadano chileno afectado por una discapacidad visual permanente que de conformidad a las normas electorales de Chile y en beneficio del voto asistido se encuentra inscrito en el registro electoral. En dicho registro, además de consignarse el nombre completo, fecha de nacimiento, domicilio, profesión u oficio, se consigna su discapacidad (para efectos de facilitar su sufragio). Según reciente fallo del Consejo de la Transparencia dicho registro es de carácter público y, por tanto, cualquier ciudadano puede acceder a él. Por tanto, resultará común que incluso las discapacidades contenidas en registros de carácter público puedan ser conocidas por todos y, lo que parece más grave, transadas en el mercado pudiendo incluso ser adquiridas por empresas de venta de productos especializados para determinadas discapacidades. Una reflexión profunda nos debe llevar a concluir que dicho registro fue construido con una finalidad. Proveer al órgano del estado encargado de la organización de los actos electorales públicos de la información necesaria para garantizar el ejercicio del derecho constitucional de sufragio. Para ello, la ley (como fuente originaria) permitió el tratamiento de dichos datos y no para otro fin. Por tanto todo uso diverso debiera ser prohibido o al menos restringido, ya que su comercialización puede dar origen (de hecho lo da) a un tratamiento desleal consecuencial de los datos personales, ya que estos terminan en empresas o administradoras de bases de datos ignoradas por el titular de los mismos y adquiridas por medios inaccesible a su titular lo que le impide a  éste último oponerse a su tratamiento por no haber sido consultado para ello.

Dicho lo anterior, creo que debemos iniciar prontamente una reflexión profunda sobre el tema a fin de evitar que dicha discusión sea sobrepasada por la realidad de la evolución tecnológica y su decisión sea de suyo inútil y extemporánea. En tal sentido quiero expresar que desde mi personal visión, el derecho a la protección de los datos personales debiera ser incorporado como derecho principal, no dependiente -aunque relacionado- con otras garantías fundamentales. Un derecho sustantivo de rango constitucional que se encuentre amparado por acciones especiales de protección. Un derecho autónomo.

                Dicho lo anterior, la derivación normativa de la definición constitucional requiere, a mi juicio, de una profusa regulación que permita consignar elementos básicos como el tratamiento leal de datos, precisión del concepto de fuente de acceso público, determinación legal de la calidad de “sensible” de un dato, regulación del dato apreciativo, creación de un registro obligatorio de bases de datos, establecimiento de un riguroso sistema sancionatorio, constitución de una autoridad de protección de datos personales y la consagración de acciones de protección, sean administrativas y jurisdiccionales.

                Si ello debe hacerse a través de una institución con dedicación exclusiva o una dual que además regule lo relativo al acceso de información pública, ciertamente es un tema debatible y la experiencia comparada así lo demuestra. No obstante, en razón de mi razonamiento u adscripción al modelo de creación de un derecho autónomo y, las múltiples consecuencias jurídicas y económicas derivada de ello creo conveniente una institución con dedicación exclusiva por las siguientes razones:

La protección de datos personales y la transparencia en el acceso a la información pública constituyen dos caras de la misma moneda y, como tal serán antagónicas en un sinnúmero de ocasiones obligando a la autoridad a sacrificar o la primera o la segunda de ellas con consecuencias prácticas de alta complejidad.

La protección de datos personales se refiere principalmente al tratamiento que da el sector privado a los mismos; mientras que la transparencia en el acceso a la información pública se encuentra orientada exclusivamente al sector público, lo que marca la diferencia en el sujeto pasivo de ambas funciones.

La función de velar por la transparencia en el acceso a la información pública es de tal relevancia para la sociedad que incorporar en la misma institución una función diametralmente opuesta a la originaria y además de extrema complejidad y alcance podría poner en riesgo lo avanzado en materia de transparencia

El perfil de quienes ejerzan funciones en materia de protección de datos personales es sustantivamente diverso de aquellos encomendados de velar por la transparencia en el acceso a la información pública. Mientras los primeros deben tener experiencia informática y tecnológica y manejo de redes y experiencia en el sector privado; los segundos deben ser conocedores del derecho administrativo principalmente.

Si hemos de consagrar un derecho autónomo en nuestra Carta Fundamental para proteger los datos personales y equipararlo al principio de transparencia consignado en el artículo octavo de nuestra Constitución Política, entonces se requerirá de una institución de igual rango para proteger dicho derecho fundamental y no confundirla con otra que ya posee una obligación de aplicar un principio constitucional de manera exclusiva.

La experiencia comparada si bien es variada en esta materia, resulta determinante observar las recomendaciones y críticas que el comité Europeo de protección de datos personales ha realizado al ICO, organismo del Reino Unido encargado de velar por la protección de datos personales, transparencia en el acceso a la información pública y otras funciones anexas; en orden a mejorar sus estándares de protección de datos ya que –según el órgano europeo- no se está cumpliendo el mandato y se encuentra en serio riesgo de ser considerado “país no adecuado” en estas materias.

La experiencia española con la Agencia de Protección de datos personales, con dedicación exclusiva ha sido la que más jurisprudencia ha generado en este rubro. Con órganos internos encargado de realizar las indagaciones frente a denuncias, con acciones de protección y un severo régimen sancionatorio ha permitido ubicar  a España dentro de los países con mayor desarrollo de este derecho contemporáneo.

Cualquiera sea la visión a la cual adscriba el actual gobierno, lo cierto es que el debate sobre la protección de datos personales debe ponerse en la agenda prioritaria ya que de lo contrario seguiremos aún más rezagados en el contexto internacional y, lo que resulta peor, mantendremos a nuestros conciudadanos en un alto nivel de indefensión frente al tratamiento desleal de sus datos personales.



[1] Tráfico transfronterizo de datos es el acto por el cual una institución de un país entrega a otra institución de país diverso un conjunto de datos personales de sus ciudadanos para ser utilizados exclusivamente para el fin requerido.

[2] Se considera país “adecuado” el que posee la debida protección de los datos personales y otorga garantías que su entrega será tratada de conformidad a los estándares europeos de protección de datos personales.

[3] Numeral 4 del artículo 19 de la Constitución Política de la República

[4] Numeral 16 del artículo 19 de la Constitución Política de la República

7 comentarios:

  1. Excelente artículo.
    Dos comentarios:
    1) Una observación adicional referente a la protección de datos en Europa: especialmente en Alemania, también se está discutiendo actualmente con gran enfasis el poder que está acumulando Google. Google está implementando Street View en Alemania, y fue duramente cuestionado en relación a la ley de PDP. Finalmente ante reclamos de ciudadanos que desean excluir sus propiedades raíces de esa tecnología, tuvo que abrir un sitio dónde se recepcionaron casi 250.000 solicitudes.
    2) la “tesis de la estructura consecuencial” resulta aplicable en general a las más diversas materias legislativas, no sólo en materia de PDP. En ese sentido, se apoya en la técnica legislativa que señala que más que prescripciones, las normas deberían contener principios (rectores) y bienes jurídicos. Evidentemente, ello implica otorgar mayores facultades a los jueces, puesto que ampliaría su campo discrecional.
    En definitiva, se trata de una discusión más amplia, puesto que compromete el sistema jurídico, y como tal debería abordarse como país.
    Christian Schmitz Vaccaro
    Académico UCSC

    ResponderEliminar
  2. Christian: Agradezco tu comentario. Es efectivo lo que señalas en cuanto hoy en europa el debate está centrado en el uso de los datos de parte de las grandes .com ya que su almacenamiento original fue con fines diversos de aquellos para los que los están utilizando hoy. De hecho hoy, facebook anunció la creación de un sistema de correo electrónico propio lo que es muy cuestionable ya que probablemente usarán la base de datos de facebook.
    Respecto de la tesis de la estructura consecuencial, ciertamente no es propia de la PDP y de hecho es lo que apliqué en la implementación d ela Estrategia Nacional de Seguridad Pública, donde finalmente y de conformidad a los resultados, logramos reducir la victimización en 4.2 puntos porcentuales en 4 años, lo que comprueba que cuando la estructura se diseña para el logro de un objetivo previamente definido, el estado actúa con mayor eficacia y se obtiene la finalidad buscada.
    Saludos y gracias nuevamente
    Felipe

    ResponderEliminar
  3. Estoy de acuerdo con la protección de datos, hace años que vivo en España y en una de mis vueltas a Chile en una multitienda no me quisieron vender un producto que iba a pagar en efectivo por no informar mi rut a la vendedora, otras personas que escucharon mi negativa tomaron la misma actitud, ya que fue un claro atropello. Espero pronto se apruebe una ley que esté acorde a las infinitas posibilidades que hoy entrega la tecnología.
    Atte. Natalia González Cifuentes.
    Doctor (c) en Bioética U.C. Valencia

    ResponderEliminar
  4. Probablemente la solución orgánica radique en la creación de una especie de "SuperIntendencia de Datos Personales" de rango constitucional.
    Lo que me genera dudas es la inclusión de este derecho como autónomo en el catálogo de derechos fundamentales, pues suele tratarse dentro del artículo 19Nº4 y, si bien es cierto que puede afectar numerosas garantías, parece más próximo a dicha norma. En ese sentido, me parece pertinente modificar el 19Nº4 y hacerlo tan extenso como otras normas (19nº24, por ejemplo) de modo de darle una identidad (ojalá a la europea) a nuestra concepción de la garantía en cuestión.
    Por último, se necesitaría modificar la constitución e inventar un artículo "20 Bis" que desarrolle en forma autónoma las acciones destinadas a proteger este derecho que en Chile aún está en pañales.

    Saludos y felicitaciones por el trabajo.
    Felipe Saavedra M.
    @felisaavedra

    ResponderEliminar
  5. Muy bueno el articulo, a uno cotidianamente le piden los datos hasta para comprar en la farmacia o supermercado y mas aun hay contratos donde se especifica que los datos pueden ser usados por grandes empresas, sin ir mas lejos estos mismos datos son los que se usan para generar discriminacion por eso estoy completamente de acuerdo con que la proteccion de los derechos personales debiera ser tratado como derecho principal.

    Saludos.
    Monica Martin
    Estudiante Trabajo Social UST

    ResponderEliminar
  6. " ningún ciudadano que no sea un personaje público ni objeto de un hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos personales circulen por la Red" Eso defiende la Agencia Española de Protección de Datos. Y suena bien, hasta estético.

    Muy completo el artículo Felipe. Felicitaciones. En Chile se tramitaba una modificación a la LEY DE PROTECCIÓN DE DATOS PERSONALES que fortalecía la institucionalidad para que las reclamaciones frente al mal uso de los datos de la Red, incluido DICOM, tuvieran un organismo que defendiera a las personas comunes y corrientes sin necesidad de pagar un abogado. Se modificaría el Consejo de Transparencia y se le darían más atribuciones. ....¿ Y?
    Saludos, ernesto evans

    ResponderEliminar
  7. buen articulo felipe
    vale la pena la ley para que la empresas no se aprovechen de la informacion de cada persona.
    LOPD al igual que en España

    ResponderEliminar