Mapa Constituyente
24 de Febrero de 2022Protección de datos personales en la nueva Constitución: ¿Qué caminos se evalúan en Chile?
Agencia Uno
Hoy, en un contexto hiper digitalizado, la recolección y el manejo de datos por parte de organismos públicos y privados tiene consecuencias directas en la vida de las personas. En Chile, la regulación sobre este tema está indiscutiblemente atrasada, con normas que datan de 1999. Pero, ¿qué se debate en la Convención Constituyente al respecto? Aquí, analizamos algunas de las iniciativas que circulan en la instancia, y hablamos con expertas y expertos para conocer su mirada.
Acto 1. Imagínese hablando con un amigo sobre esa aspiración que tiene, hace ya algunos días, de comprarse una bicicleta. Se lo comentó cara a cara, durante una reunión social, y más tarde volvió a mencionárselo en un mensaje a través de redes sociales.
Acto 2. Ahora, cada vez que se mete a internet, usted es víctima de un bombardeo de anuncios publicitarios de bicicletas. ¡Ah! Y las venden en tiendas que quedan cerca de su casa.
¿A quién no le ha pasado? Y el fenómeno bien puede expresarse en bienes de consumo -como la maldita bicicleta- o servicios que van desde ofertas de planes de salud en las ISAPRE, asistencia jurídica y, por qué no, campañas de tal o cual político. Mensajes que, coincidentemente (?), se acercan a su manera de pensar, o a sus necesidades inmediatas.
Pero en el mundo de los datos personales que fluyen en la red, no existen las coincidencias.
La revolución digital, con los smartphones, las plataformas online, las redes sociales, y los múltiples registros que el Estado mantiene en la nube, ha permitido que entidades privadas y públicas recolecten y manejen enormes cantidades de información de sus usuarios (o ciudadanos).
Las bases de datos personales -de índole bancario, sanitario, conductual, alimentario, etc.- que acumulan estos organismos son tan completas que, mediante algoritmos, crean perfiles bastante precisos de los consumidores, logrando predecir comportamientos e incluso la propensión a sufrir ciertas enfermedades. Fácil es, entonces, diseñar el anuncio teledirigido, que presione las teclas correctas, para convencer a un comprador titubeante, o al ciudadano que aún no define su voto.
Parece distópico, pero es una realidad instalada hace años. Un caso emblemático es el de Cambridge Analytica, la agencia de comunicación estratégica que, mediante la obtención ilícita de datos de millones de usuarios de Facebook, mostró publicidad hecha a la medida a votantes indecisos, que se cree pudo haber influido en las elecciones estadounidenses de 2016 —cuando ganó Donald Trump— y la votación por el Brexit en Reino Unido.
Los peligros también pueden verse en la recopilación que hace el Estado. Según reveló una investigación de Ciper, hasta el viernes 4 de marzo de 2016, al menos 3 millones de archivos de la plataforma computacional del Ministerio de Salud, que contenían nombres, RUT y domicilios de personas con VIH, mujeres que solicitaron la píldora del día después, y pacientes diagnosticados con enfermedades mentales, eran accesibles para cerca de 100.000 funcionarios y externos que trabajaban en la institución.
Carlos Reusser, abogado experto en Derecho Informático, y profesor de la Universidad Alberto Hurtado, aterriza la problemática en dos ejemplos: “Una ISAPRE que cree saber qué medicamentos estás comprando en las farmacias, va a inferir qué tipo de enfermedad tienes, y probablemente podría intentar forzarte a cambiar de plan o expulsarte de la misma a través de un alza de precios. O un empleador que tiene acceso a una base de datos que contiene los nombres de quienes han demandado a empresas por vulneración de derechos laborales, puede decidir no contratar a alguien, plenamente capacitado para el cargo, por ‘conflictivo’”.
“El tema de fondo siempre es el mismo: gracias a las tecnologías, alguien cree saber algo de ti y toma una decisión a tu respecto, decisión usualmente arbitraria que, en lo concreto, te dejará sin trabajo, sin acceso al crédito, sin la posibilidad de arrendar una vivienda o sin un colegio para tus hijos”, dice Reusser a The Clinic.
Una nueva generación de derechos en la Convención
Bajo este contexto, consagrar el derecho a la protección de datos personales, y regular el cómo se hará efectivo, se hace indispensable. En la Convención Constituyente, que hoy reflexiona sobre la incorporación de una nueva generación de derechos en la próxima Constitución, la discusión ya está instalada.
Son varios los proyectos de norma que tratan esta materia. Está, por ejemplo, la iniciativa 274-4, aprobada en general en la Comisión de Derechos Fundamentales, donde se establece que “la Constitución asegura el derecho a la protección de los datos personales”, y que “el respeto de estas normas estará sujeto al control y garantía de un órgano autónomo”.
También podemos encontrar las iniciativas 416-7 y 59-4, ambas aprobadas en general en la Comisión sobre Sistemas de Conocimientos (N°7) y que refieren, con mayor especificidad, lo que implica el derecho a la protección de datos personales. Además, proponen el establecimiento de una entidad independiente que vele su respeto y tenga capacidad sancionatoria, uno de los puntos clave para asegurar el resguardo de los datos y que, hoy por hoy, no existe en el país.
Una legislación del siglo pasado
El análisis general es que, en Chile, estamos atrasados en cuanto a la regulación que refiere a la protección de datos. En primer lugar, está la Ley N°19.628, “que se dictó para regular el mercado de los datos personales”, explica Reusser. El problema es que ese texto es de 1999, “y no contempla un régimen de sanciones para los infractores, ni una autoridad administrativa que se encargue del efectivo cumplimiento de la misma”, agrega el abogado.
En tanto, la Ley N°20.285, promulgada en 2008, y que versa sobre el acceso a la información pública, creó el Consejo para la Transparencia, al que se le atribuyó “velar por el adecuado cumplimiento de la ley Nº 19.628, de protección de datos de carácter personal”. Sin embargo, el Consejo no tiene atribuciones para fiscalizar o sancionar en materia de protección de datos, quedando cojo en el cumplimiento de estas labores.
Hubo un avance en 2018 cuando, por medio de una reforma constitucional, se agregó en el artículo 19 N°4 que la Carta Magna “asegura a todas las personas (…) la protección de sus datos personales”.
Actualmente, existe el proyecto de ley sobre protección de datos contenido en el boletín 11.144-07, que a principios de febrero pasó el primer trámite constitucional en el Senado, derivándose a la Cámara de Diputados. Entre otras cosas, propone la creación de la anhelada Agencia de Protección de Datos Personales, que desde los círculos académicos vienen pidiendo hace años.
Macarena Gatica, socia de Alessandri Abogados, a cargo del área de Tecnología, Medios, Telecomunicaciones y Protección de Datos de la firma, explica a The Clinic que, de aprobarse el proyecto de ley, “se fortalece el derecho de las personas de disponer de sus datos personales; se crea un catálogo de infracciones; se agregan nuevas categorías de datos y nuevos derechos para los titulares, tales como la portabilidad y a oponerse a las decisiones automatizadas; se crea la institucionalidad del órgano de control, que fiscalizará el cumplimiento de la norma y aplicará sanciones”.
En síntesis, “este boletín enmienda las falencias de la ley 19.628, una norma obsoleta, que fue dictada en una era pre Google y el uso masivo de internet e inteligencia artificial”, dice Gatica.
La protección de datos personales como un derecho fundamental
Más allá del boletín 11.144, que hoy avanza tras años paralizado en el Congreso -el proyecto se ingresó en 2017-, la Convención Constituyente se metió de lleno en el debate.
En la Comisión de Derechos Fundamentales, se aprobó en general la iniciativa 274-4 que, en su articulado, y sobre el derecho a la protección de datos personales, “comprende la facultad (de las personas) de acceder a los datos recogidos que le conciernan, oponerse al tratamiento de sus datos y a obtener su rectificación y cancelación, así como otras facultades que se establezcan conforme a la ley”.
Juan Carlos Lara, director ejecutivo de la ONG Derechos Digitales, destaca que esta norma “recoge los denominados derechos ARCO (acceso, rectificación, cancelación, oposición), una fórmula habitual en la protección de los datos personales y que no tiene la Constitución vigente”. En la práctica, un articulado así implicaría, según Lara, “que cualquier acción de tutela constitucional (la acción de ‘protección’, en la actual) pueda extenderse a un número mayor de garantías”, mientras “modela u orienta el debate legislativo, como el que hoy está en el Congreso, en torno a la modificación de la ley de datos personales”.
No obstante, Macarena Gatica sostiene que, en la práctica, esta iniciativa “no modifica el derecho fundamental hoy consagrado en la Constitución”. Esto porque, a través de la Carta Magna actual, se han presentado recursos de protección “por incumplimiento del derecho de acceso” a datos personales.
“A mi juicio, las iniciativas constitucionales estarían incluyendo materias propias de la ley de protección de datos, lo cual no otorga un mayor amparo al derecho en referencia, ya que nuevamente dependemos de la aprobación de una ley que cree la Agencia de Protección de Datos (…). Es fundamental la aprobación del boletín 11.144. Esta es la norma que realmente, en la práctica, permitirá que las personas puedan acceder a una regulación que provea una adecuada protección a sus datos”, concluye Gatica.
Por su parte, y aunque califica la iniciativa 274-4 como “buena” -a pesar de una serie de “pequeños errores formales”-, Carlos Reusser desliza una crítica: “Si la nueva Constitución hubiera sido escrita en el año 2010, estaría perfecto, pero en el año 2022 ya no se habla de cancelación de datos, sino que de supresión y, además, internacionalmente se considera que la protección de los datos personales abarca también el derecho a la portabilidad de los mismos, lo que no está incluido”.
“Independencia, independencia, y más independencia”
En la Comisión N°7 de la Convención, sobre Sistemas de Conocimiento, dos iniciativas que tratan la temática (la 416-7 y 59-4) fueron aprobadas en general. Ambas presentan con mayor detalle cómo debiese operar la protección de datos, con lineamientos similares que hace probable una futura armonización en un solo texto, de ser aprobadas en el pleno.
Algo que comparten estas dos iniciativas, y que también aparece en la 274-4, es el mandato para que se cree un organismo que haga efectiva la protección de datos personales. La iniciativa 416-7 la define específicamente, en su articulado, como “una entidad jurídica de derecho público, con patrimonio propio, autónoma, especializada e independiente”. Y sigue: “Esta institución estará dotada de las facultades necesarias para controlar a todo organismo público y privado que recolecte o trate datos de carácter personal, así como para investigar, fiscalizar, aplicar sanciones administrativas cuando corresponda, y demás facultades que le pueda conferir la ley”.
Independientemente de cuál sea la norma que se plasme en la Constitución, quienes fueron consultados por The Clinic coinciden en algunas de las características que debiese tener este nuevo organismo.
“Sólo mediante el establecimiento de una autoridad independiente y especializada, que lleve a cabo sus tareas de manera libre de influencias externas, incluyendo al gobierno de turno, será posible garantizar la eficacia y fiabilidad de la supervisión y fiscalización”, comenta Jessica Matus, abogada experta en protección de datos y ciberseguridad, presidenta de Internet Society Chile, y fundadora de la ONG Datos Protegidos.
Para Matus, quien trabajó en la confección de la iniciativa constitucional 416-7, “la importancia de una entidad autónoma recae en la necesidad de que se lleve a cabo las tareas sin influencia externa para garantizar la fiabilidad de la supervisión y fiscalización”, algo “crucial” no sólo en su relación con el mundo privado, sino también con el Estado, “uno de los responsables de tratamiento de datos personales más importantes en cada país”. De lo contrario, dice la abogada, “el fiscalizador tiene interés directo en no reportar las conductas del fiscalizado, existiendo un incentivo para aplicar un criterio parcial y potencialmente vulnerando garantías fundamentales”.
Carlos Reusser también recalca este punto: “(La entidad debe tener) Independencia, independencia y más independencia. Eso es lo fundamental. Los directivos de la agencia o autoridad de protección de datos tienen el deber de ingratitud respecto de la autoridad que los nombra (…). No puede volver a ocurrir lo que pasa con el Consejo para la Transparencia, que tiene una dependencia evidente respecto de quien los nombra”. En ese sentido, Reusser apunta a que “hay que tener tanto cuidado en los nombramientos de esta autoridad como si se tratara de los consejeros del Banco Central, pues tendrán que decidir sobre los derechos esenciales de las personas”.
Un órgano altamente especializado
Juan Carlos Lara concuerda en la importancia de que la entidad sea independiente, y añade que ésta debe tener “capacidad de coordinación para actuar junto a otros órganos, como los que velan por derechos vinculados al consumo, a la ciberseguridad o a la libre competencia”. Asimismo, afirma que requiere ser un organismo especializado, con “dotación de personal con formación y experiencia” técnica en la materia.
“Una entidad de protección de datos debe ser una institución altamente especializada, ya que el dominio requerido no es sólo normativo, sino también técnico y requiere una formación en constante desarrollo, dado que los mayores riesgos a la privacidad y a la protección de datos derivan del incesante avance de tecnologías con altos grados de disrupción: marketing digital, herramientas de perfilamiento, IoT, big data, IA, televigilancia, biometría, fintech, etc”, complementa Jessica Matus.
Otro elemento crucial es que el nuevo organismo tenga definidas sus atribuciones para sancionar. Reusser grafica esto en que, “cuando sea necesario, muestre los dientes y muerda seriamente”. En otras palabras, que posea la capacidad de imponer multas e, incluso, pueda mandatar el cierre de “un negocio o actividad que vulnere reiteradamente los derechos de las personas, como todas esas tiendas que te preguntan por tu RUT, sin decirte que tienen un negocio paralelo de comercialización de tus datos, en el cuál tú eres el principal insumo”, dice Reusser.
Macarena Gatica pone sobre la mesa un punto adicional: “Es recomendable declarar su competencia como el único órgano del Estado encargado de velar por el cumplimiento de la ley y la protección de los datos personales y derechos de los titulares, con excepción, obviamente, de los tribunales de Justicia. Lo que se busca es zanjar el conflicto de competencia que se pueda dar con el Sernac (que hoy también tiene algunas facultades con respecto a la protección de datos) y otros eventuales órganos o Superintendencias”.
La vanguardia de la Unión Europea
Una de las preguntas que suelen hacerse en el diseño de políticas públicas es hacia dónde mirar, fijándose en los modelos que se han aplicado en otros países, y la factibilidad de que estos se repliquen. Pero para Carlos Reusser, “a estas alturas, la elección de un país como modelo no es un tema, pues las soluciones son ya bastante uniformes”.
Esa “solución uniforme” sería el sistema de la Unión Europea (UE), consagrado en el Reglamento General de Protección de Datos, “quizás el más relevante modelo en el mundo”, según Juan Carlos Lara. El experto señala que el texto, vigente desde 2018, tiene “valor legal en todos los países de la UE”, que cuentan “en general con autoridades de control de datos personales”.
Por su parte, Jessica Matus define el régimen de la UE como el “más completo”, al establecer “los parámetros de recolección, uso y diseminación (de datos) tanto para el sector público como el privado”.
Cada país de la Unión Europea opera en base a este reglamento, pero con algunos matices. Por lo mismo, Macarena Gatica cita a España como un “buen ejemplo, con una importante trayectoria en la materia”, y a Alemania y Reino Unido -que abandonó la UE tras el Brexit- como casos funcionales y dignos de analizar, para comparar diferencias a nivel institucional.
Reusser, en tanto, también menciona a España, y agrega a Italia, “que se caracterizan por tener agencias de protección de datos separadas de las agencias o autoridades de transparencia pública”. El abogado pone énfasis en estos esquemas para contrastar con Uruguay, uno de los Estados latinoamericanos más avanzados y reconocidos a nivel internacional en materia de protección de datos.
Y es que Reusser identifica una falencia en el caso uruguayo: “Formalmente reúne bajo un mismo organismo la transparencia y la protección de datos”. Esto sería un problema, ya que, según el académico, ambas atribuciones no debiesen mezclarse. “Cuando se ha hecho, ha producido resultados catastróficos: o la protección de datos consume todos los recursos, o la transparencia hace tabla rasa del derecho a la protección de datos, por lo que hoy el criterio de mantenerlos separados ha primado”, sostiene.
“Sé que en Chile hay fanáticos de los ahorros de costos que les gusta decir que la transparencia pública y la protección de datos son dos caras de la misma moneda, pero ello es un embuste: una es una medida para combatir la corrupción, y el otro es un derecho fundamental de las personas. Ni siquiera están en la misma jerarquía o nivel de importancia”, cierra Carlos Reusser.
Lee también: Columna de Antonio Díaz Araujo y Sebastián Acuña: Secuela pandémica: La ceguera digital
