• Chile al desnudo:
    El poder de los datos

    Para aquellas empresas que basan sus negocios en datos, Chile pareciera ser un oasis en medio de un desierto normativo.
    La desprotección existente permite manipular la información de los ciudadanos, sin arriesgar mayores consecuencias.
    Conoce el largo camino por el que transcurre la actualización de la Ley de Protección de Datos, en el siguiente reportaje.

    Comencemos

Producto de la irrupción del Internet, en un mundo cada vez más compacto y donde la información de millones de usuarios fluye como sangre por las venas, los datos se han transformado en el corazón del modelo, representando efectos sustanciales en sus órganos más importantes, con tal de alcanzar el desarrollo de la sociedad y su correcto funcionamiento.

Sin embargo, tratar datos no es tan simple cuando hablamos de personas. De acuerdo con la Declaración Universal de los Derechos Humanos, en su artículo 12, se especifica que «nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su correspondencia, ni de ataques a su honra o su reputación». Pero en países con una legislación interna poco clara y actualizada -como es el caso de Chile, que cuenta con la Ley N° 19.628 que data del año 1999-, tanto entidades públicas como organizaciones privadas tienen la posibilidad de vulnerar deliberadamente este principio básico de la democracia y, peor aún, sin arriesgar sanciones significativas.

Caso contrario a lo que ocurre en Estados más desarrollados como, por ejemplo, los que conforman a la Unión Europea. Y que, a pesar de ya contar con altos estándares en esta materia, decidieron fortalecerlos aún más, a través de un acuerdo que contempló la «transterritorialidad». Así, el 24 de mayo de 2016, los miembros integrantes pactaron incorporar en su Carta Fundamental, el Reglamento General de Protección de Datos (RGPD), el que asegura el correcto acceso y tratamiento de la información personal de todos sus ciudadanos que se encuentren dentro o fuera de Europa; normativa que comenzó a aplicarse a partir del 25 de mayo de 2018, y que asegura que quienes no cumplan, arriesguen fuertes sanciones económicas [hasta 20 millones de euros o el 4% del volumen de facturación anual de la empresa (la más alta de las dos)]. En este contexto, la situación en el mundo es desigual, y lo problemático es que empresas, entidades y organizaciones tienen la posibilidad de manipular la información de sus clientes, acorde a sus intereses. Y es que, en este sistema, quien tiene los datos, tiene el control.

Poder y datos

La relación entre poder y datos ha marcado una serie de hechos icónicos durante el siglo XX; actos que perduran hasta la actualidad. Si nos situamos solo en el occidente, Estados Unidos ha sido uno de los grandes protagonistas. Por ejemplo, con el Proyecto Shamrock de 1945, donde, a través del espionaje por parte del gobierno, se permitió acceder a datos transmitidos por telegrafía; asimismo, el conocido escándalo Watergate en 1972, junto con el encubrimiento del expresidente Richard Nixon, con el que ilegalmente se obtuvieron documentos del Partido Demócrata, con valiosa información que permitió el triunfo de los Republicanos en aquellas elecciones; y cómo olvidar la Ley FISA, de Jimmy Carter en 1978, que posibilitó la recolección de datos a través de la vigilancia a estadounidenses y residentes, quienes fueron definidos como «posibles espías» en territorio norteamericano. Y así, la lista de sucesos continúa.

Hoy, el caso más importante de la última década ha sido el de Cambridge Analytica, empresa que utilizó Facebook para recolectar e interpretar datos personales alojados en esa red social, los que habrían sido utilizados para que el actual mandatario de los Estados Unidos, Donald Trump, triunfara en la campaña presidencial de 2016. Destapando uno de los escándalos de vulneración a la privacidad más llamativos en el mundo. Lo central de estos emblemáticos casos es que todos ellos tienen algo en común: la violación a la vida privada y el uso indebido de datos personales.

¿Quieres conocer más acerca de estos casos?

Haz clic en la imagen para visualizarlos

Casos recientes de vulnerabilidad de datos

Cambridge Analytica

Actualmente, el mayor escándalo de adquisición, uso y manejo de datos ha sido el de Cambridge Analytica y las elecciones presidenciales de Estados Unidos en 2016. Esta empresa consultora fue contratada por los asesores del Partido Republicano para la campaña presidencial de Donald Trump, viéndose en 2018, junto con Facebook, involucrada en uno de los mayores casos de violación de la privacidad de datos en la historia moderna, teniendo que pagar la red social una multa millonaria como consecuencia.

Se recomienda visualizar en pantalla completa
Zoom Video Communications

Esta plataforma se ha vuelto muy popular debido a la necesidad de trabajar y estudiar a distancia con motivo de los decretos de cuarentena alrededor del mundo producto del COVID-19. Sin embargo, esta herramienta ha tenido problemas con el manejo y almacenamiento de los datos de los usuarios. Según Clarín, más de 530 mil cuentas estuvieron en venta en la Dark Web, con el fin de entrar como intrusos en videollamadas para generar malestar o confusión, o incluso transmitir contenido ilícito, como violencia o pornografía.

Se recomienda visualizar en pantalla completa

¿Qué tan importantes son los datos personales?

La Alianza Global de Asociaciones de Marketing de Datos («GDMA», -por sus siglas en inglés-), basado en un trabajo realizado entre 2012 y 2015 por la Asociación de Marketing de Datos de Gran Bretaña y Foresight Factory, estableció en su investigación internacional «Privacidad de datos en el mundo: lo que realmente piensan los consumidores», la segmentación entre aquellos ciudadanos que se manifestaban en contra del uso de sus datos, como quienes accedían a su tratamiento a cambio de beneficios, los que fueron clasificados como: «Pragmáticos de datos», «Fundamentalistas del dato» y «Despreocupados de sus datos».

De acuerdo con los resultados del informe publicado en mayo de 2018, en promedio, el 77% de las personas se consideran «Pragmáticos» y «Despreocupados», lo que quiere decir que estarían dispuestas a sopesar si el servicio o la mejora ofrecida conviene o no como para entregar algún dato personal, o facilitar derechamente su información sin ninguna restricción, respectivamente. La categoría «Pragmáticos de datos» alcanza, en la media, el 51% de las representaciones en los cuatro continentes estudiados (Europa, América del Norte, América del Sur y Oceanía), donde las cifras se elevan casi hasta el 60% en España, Estados Unidos y Singapur.

Sin embargo, el 78% de los encuestados considera que las empresas son quienes más se benefician del intercambio de datos personales, frente al 22% de quienes consideran que son los clientes quienes ganan la pulseada. Aun así, según lo demuestra el estudio del GDMA, el 41% de las personas entienden que compartir datos es una parte esencial del buen funcionamiento de la sociedad moderna.

«Las empresas se benefician de los datos personales»
0%
«Los clientes se benefician de sus propios datos»
0%
«Compartir datos articula la sociedad»
0%
Información: GDMA. Pág. 8

Pero no solo existe almacenamiento de información que se entrega voluntariamente, como aceptar los términos y condiciones de uso para acceder a alguna aplicación móvil, o simplemente dictando el RUT en una multitienda o supermercado con el fin de obtener algún descuento, sino que también existen aquellos datos que se acumulan sin contar con la previa autorización del usuario: fotografías de la patente del vehículo en autopistas y estacionamientos privados, la imagen del rostro captado por cámaras con tecnología de reconocimiento facial en tiendas y calles, los recorridos en bicicleta, los horarios, los micrófonos, y más, son algunos de los casos en donde la información personal da a parar a una base de datos de la cual no se tiene control.

Almacenamiento y uso de cookies
Vídeo enlazado entre el segundo 00:13 y el minuto 01:04 (51 segundos de explicación)

¿Cuánto saben los chilenos sobre protección de datos?

Desde 2009, el «Estudio Nacional de Transparencia del Consejo para la Transparencia» («CPLT») ha indagado sobre algunos temas relacionados con la protección de datos personales entre los ciudadanos, donde los primeros resultados mostraron que el 14% de las personas consideraron «muy importante la protección de los datos personales», lo que para 2019 representó el 82%, pero, al mismo tiempo, las prácticas cotidianas, como por ejemplo, la entrega del RUT en diversos comercios para «acumulación de puntos», se reconocían como «prácticas habituales». Entonces, ¿cuánto saben realmente los chilenos sobre esta materia? De acuerdo con la medición de 2018, solo el 18% de los chilenos indicaba conocer la normativa vigente, mientras que, en 2019, la cifra aumentó a un todavía bajo 23%.

En contraste, según el estudio «Data Driven Marketing 2019» elaborado por el Observatorio de Sociedad Digital de la Facultad de Economía y Negocios de la Universidad de Chile, en conjunto con la Asociación de Marketing Directo y Digital de Chile («AMDD»), señala que solo el 27% de los líderes empresariales en Chile conoce o está al tanto del proyecto que buscar modificar la Ley de Protección de Datos, mientras que el 83% considera críticos e importantes los datos para sus gestiones. En cuanto a percepción ciudadana, el 71% está dispuesto a compartir su información personal, pero el 87% asegura que declinará sus preferencias si es que llega a saber de un mal uso de sus datos.

Si aún no tienes conocimientos técnicos sobre la protección de datos personales, no te preocupes.

Te invitamos a revisar el siguiente glosario con algunos de los conceptos claves tratados en el artículo 2 de
la Ley N° 19.628.

Chile: oasis de información

A partir de 1999, tras promulgarse la Ley N° 19.628, Chile cuenta por primera vez en su historia con un cuerpo normativo dedicado a regular el tratamiento de datos personales, como también los derechos y deberes de los ciudadanos sobre esta materia. Y es que, a finales del siglo XX, dicho país se convirtió en uno de los primeros de América Latina, junto con Argentina (en el 2000), en contar con una Ley de Protección de Datos Personales. Pero, a pesar de dicho mérito, según el abogado Renato Jijena en su artículo «Sobre la no protección de la intimidad en Chile. Análisis de la Ley 19.628, de agosto de 1999» (2001), «el cuerpo legal fue considerado insuficiente para proteger a los individuos del tratamiento de sus datos personales por parte de terceros, incluso en la discusión legislativa previa a su tramitación».

Así también lo ratificó la Organización para la Cooperación y Desarrollo Económico («OCDE»), que, de acuerdo con la Fundación Datos Protegidos, exigió en 2010 -mismo año en el que Chile hizo ingresó a este organismo-, el perfeccionamiento de su ley. Petición que fue ratificada en 2015 a través de una carta remitida a la ex subsecretaria de Economía Katia Trusich, presionando al gobierno a cumplir con lo pactado. Sin embargo, desde su promulgación, hasta la fecha, no ha habido cambios profundos en la normativa. Lo que, según indica la abogada e investigadora del Centro de Estudios en Derecho Informático de la U. Chile, Michelle Bordachar, «(respecto de este punto) no existe sanción formal al incumplimiento de las condiciones que impone la OCDE».

Si se analiza con detención, son cinco los proyectos que han prosperado en el Congreso hasta hoy y que, por consecuencia, han modificado algunos escritos insertos en la Ley N° 19.628. El primero de ellos se corrigió en junio de 2002, apenas tres años después de la promulgación de la normativa, con la finalidad de favorecer la reinserción laboral de las personas desempleadas, mediante el reemplazo de los artículos 16°, 17° y 18°.

En octubre de 2010 -ocho años después- la Cámara de Diputados apeló por la «suspensión del plazo determinado respecto de la información comercial de las personas cesantes», con tal de resguardar la vida privada; una segunda modificación al artículo 17°, que puso mayor énfasis en el resguardo de los datos de carácter económicos de los ciudadanos, por sobre el resto de ellos.

El 9° enunciado, por su parte, vería la corrección ocho meses más tarde -en julio de 2011-, tras la incorporación de un reglón que garantiza que «la información entregada a través de predictores de riesgo sea exacta, actualizada y veraz». La cuarta modificación, tendría como protagonista nuevamente al artículo 17°. En esta oportunidad, para establecer el principio de finalidad en el tratamiento de datos personales de carácter económico; conocida por la prensa como «Ley Dicom», pues, a partir de febrero de 2012, quedó completamente restringida la comunicación de datos de carácter financiero, bancario o comercial de cualquier individuo en el país; mas no, nuevamente, el resto de sus datos personales.

La quinta y, de momento, última modificación, tiene relación una vez más con el artículo 17°. En esta instancia, desde febrero de 2020, queda totalmente prohibido exhibir información respecto de las deudas contraídas y destinadas para financiar la educación, en cualquiera de sus niveles.

Pero si de modificaciones se trata, el mayor avance para el país en esta materia, hasta la fecha, llegó a inicios de 2018. Fue el 11 de mayo cuando, a través de la Ley N° 21.096, se consagró la protección de datos personales como un derecho constitucional. Un avance que fue aplaudido desde todos los sectores políticos y desde la academia.

«El respeto y protección a la vida privada y a la honra de la persona y su familia, y, asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley».

Dicha frase se incorporó en el Artículo N° 19, inciso N° 4, en la Constitución, donde se especificó, en detalle, el derecho de los civiles a la protección de sus datos personales «en condiciones que estipule la ley»; una técnica legislativa, que, según confirma el senador Felipe Harboe, fue de utilidad, sobre la actual normativa, para la consagración de los derechos ARCO (de «acceso», «rectificación», «cancelación» y «oposición» de la información), los que se encuentran incluidos en el documento legal desde sus orígenes.

¿Qué son los «Derechos ARCO»?

Ante este escenario, la Fundación Derechos Digitales asegura en su documento «El estado de la protección de datos personales en Chile», que la normativa actual «no busca proteger a los individuos del tratamiento de sus datos realizado por terceros, sino regular el mercado de tratamiento de datos personales». Pues, la ley no establece sanciones ante las cuales recurrir para protegerse frente a una infracción; así, el problema se centra en que no existe un ente regulador que fiscalice, regule, o sancione el uso incorrecto de los datos.

En 2016, el Departamento de Evaluación de la Cámara de Diputados congregó la visión de representantes del mundo privado, la sociedad civil, académicos y organismos públicos, quienes no solo coincidieron en la urgencia de conformar una institución administrativa-autónoma y con las capacidades necesarias para fiscalizar el cumplimiento de la ley, sino también de contar con las garantías suficientes para sancionar a quienes la infrinjan.

Desde el origen de la ley, hasta la fecha, el Poder Legislativo ha avanzado con el proceso de actualización de la Ley de Protección de Datos, pero no a la velocidad que esta temática amerita. Los casos de filtración y acceso indebido a datos personales promovían visualizar la necesidad de concretar un ajuste en la ley que fuera más activo y con prontitud.

¿Sabes de algún caso de filtración de datos en Chile?
Haz clic en cada imagen para averiguar más

Reformar: una carrera a paso lento

Para comenzar a hablar sobre tratamiento de datos en Chile, es necesario remontarse hasta marzo de 1993, cuando el senador de la UDI, Eugenio Cantuarias, presentó la primera moción parlamentaria en relación con el resguardo de la vida privada, a partir del Boletín 896-07. Un proyecto que, según el abogado Tomás Vial, en 1997, tenía como fundamento la legislación comparada con España y su Ley Orgánica sobre la protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (N° 1), a tal punto que «puede llegar a considerarse tributaria de esta». Una inspiración que llegó a materializarse en 1999, tras promulgarse la Ley N° 19.628.

Pero, pese a que el proyecto fue publicado seis años después, desde sus orígenes no estuvo exento de controversias. Pues, inicialmente, la propuesta presentada por Cantuarias, como lo hizo ver en 2010 el abogado y especialista en Derecho Informático, Renato Jijena, «fue redactado con la asesoría directa de grupos, gremio y empresas interesadas en asegurar el negocio que constituye el procesamiento de datos personales, lo que se sumó al desconocimiento de los parlamentarios que la impulsaron», siendo denominada, entre quienes rondaban la tramitación en su minuto, conforme testifica el abogado y ex consejero del Instituto Chileno de Derecho y Tecnologías, Carlos Reusser, como la «Ley Dicom, en honor a su principal lobbista»; aludiendo a la empresa Equifax.

De acuerdo con Reusser, la manera en que esta empresa habría convencido a los legisladores de la época a no considerar dentro del proyecto de ley la creación de una autoridad de protección de datos, ni tampoco un régimen de sanciones, fue utilizando la premisa de que regular «muy duramente» la protección de datos implicaría una desaceleración económica, sobre todo para aquellos emprendedores en tecnología, rubro que globalmente comenzaban a tomar, cada vez, una mayor relevancia de cara el siglo XXI, pues delimitaría el acceso a la información de las empresas.

En ese contexto, Chile se convierte en el primer país de América Latina en contar con una tramitación respecto de la protección de datos personales, que, según la directora de la Fundación Datos Protegidos, Jessica Matus, «fue quedando muy relegada en comparación a otras normativas americanas», asegurando, además, que en la actualidad «no existe regulación sobre los estándares de seguridad en la comunicación y traspaso entre organismos públicos sobre datos personales, tampoco hay reglas sobre la comunicación transfronteriza de datos personales, y el procedimiento jurisdiccional establecido radica en tribunales civiles; una materia que requiere de un procedimiento breve y que garantice el respeto efectivo a los derechos sobre datos personales», aludiendo al recurso judicial del Habeas Data.

¿Qué es el habeas data?

Un paso obligatorio: Bachelet y las presiones de la OCDE

En 2010, Chile lograría concretar su ingreso a la OCDE, un paso importante para trabajar sobre datos personales; formalizando su incorporación el 11 de enero de ese año, tras una serie de actualizaciones legislativas incentivadas por la cartera de Hacienda, comandada en ese entonces por el ministro del gobierno de Michelle Bachelet, Andrés Velasco. Una de ellas, el Boletín 6120-07; proyecto de ley ingresado a través de Mensaje Presidencial a la Cámara de Diputados en octubre de 2008, cuyo propósito era introducir modificaciones a la Ley N° 19.628, sobre la Protección de la Vida Privada, y a la Ley N° 20.285, sobre el Acceso a la Información Pública. Siendo el primer atisbo en relación con el avance concreto del país sobre esta materia.

Una entidad que tomó relevancia en aquella discusión legislativa fue el Consejo para la Transparencia. El organismo público, fundado el 20 de agosto de ese mismo año (2008), contempla dentro de sus funciones, de acuerdo con el artículo 33° de la Ley N° 20.285, la poco específica atribución de «velar por el adecuado cumplimiento de la Ley N° 19.628, de protección de datos de carácter personal, por parte de los órganos de la Administración del Estado», siendo considerado por el Ejecutivo, en más de una oportunidad, como una vía en cuanto a la regulación de esta materia en el país. Sin embargo, tras dos años de tramitación en el Congreso, ni la propuesta, ni tampoco el proyecto lograron avanzar más allá de su primer proceso constitucional, registrando su último movimiento en enero de 2010; dos meses antes del cambio de gobierno.

Piñera y su desconfianza a la oposición

Dos años después de asumir la presidencia de la República, Sebastián Piñera trabajó en una nueva reforma que ingresó con posterioridad (11 de enero de 2012) a la Cámara de Diputados, a través del Boletín 8143-03. El proyecto de ley, al igual que el presentado por Bachelet, buscaba modificar la Ley N° 19.628, coherente al cumplimiento de estándares internacionales, mientras que, en lo que respecta a la inclusión de una entidad reguladora y fiscalizadora, atribuiría la responsabilidad a cada organismo del Estado acorde a sendas situaciones en particular que tuviesen relación con el tratamiento de la información de los ciudadanos. Sin embargo, el Servicio Nacional del Consumidor («Sernac») tomó relevancia en el proyecto del oficialismo, luego de que se ingresara una serie de indicaciones en enero de 2013.

Según Danielle Zaror, ex abogada de la División Jurídica del Ministerio de Economía (entre 2007 y 2012), el Ejecutivo, por medio del ministro Juan Andrés Fontaine, habría sido «seducido» en otorgar facultades a la entidad pública, luego de la realización del VI Foro Iberoamericano de Agencias Gubernamentales de Protección al Consumidor, organizado por el Sernac, donde el Federal Trade Commission, de Estados Unidos, habría sido el principal factor de consideración al tomar esta decisión. Así, este organismo sería el encargado de fiscalizar la protección de datos de los ciudadanos ante organizaciones privadas, de acuerdo con las indicaciones presentadas, donde el sector público estaría regularizado por el CPLT.

«En las reuniones que teníamos con Juan Andrés (Fontaine) solo existía voluntad para tramitarlo, porque nos ponía en una mejor situación ante el mercado para competir. De hecho, una de las modificaciones que a la administración no le pareció sensato era hacer crecer el Estado, por lo que si el Consejo para la Transparencia llegaba a asumir el rol de ente regulador único, sería una contradicción tremenda con su modelo de gobierno».

Una segunda oportunidad para una tarea pendiente

Pero pese a su larga tramitación, el proyecto, que consideró incluso el primer año del segundo gobierno de Bachelet, no logró convencer a la Cámara, siendo archivado el 30 de mayo de 2017 tras el oficio N° 13.339 presentado por el Ejecutivo de ese entonces. Así, la presidenta comenzaría su segundo mandato (2015) trabajando en un anteproyecto liderado, principalmente, por la subsecretaria de Economía, Katia Trusich y su asesor, el abogado Raúl Arrieta, quien ya había participado en el primer proyecto presentado por la mandataria, siendo invitado por el entonces ministro de la Secretaría General de Gobierno («Segegob»), José Antonio Viera-Gallo y que, también, habría figurado como principal lobbista contra el proyecto presentado por Sebastián Piñera.

Para iniciar la redacción del documento, la subsecretaria Trusich convocó a diversos representantes de organizaciones empresariales y no gubernamentales, de la academia y de la sociedad civil, con tal de conformar una consulta ciudadana que reuniera la mayor cantidad de visiones respecto de la materia, en una agrupación que se denominó «Consejo de la Sociedad Civil de Protección de Datos Personales». Así, entidades como la Asociación de Bancos e Instituciones Financieras, la Cámara Nacional de Comercio, la Cámara de Comercio de Santiago, el Comité de Retail Financiero, la Asociación de Aseguradores de Chile, el Instituto Chileno de Derecho y Tecnología, Pro Acceso, la ACTI, la Facultad de Derecho de la Universidad de Chile, Amcham, Digital AG, la Fundación Datos Protegidos, Conadecus y Derechos Digitales, iniciaron la mesa multiparte.

«El sector privado estaba sumamente interesado en poder avanzar en esta materia, porque se vio en la necesidad de actualizar su marco regulatorio para poder ofrecer sus servicios en licitaciones internacionales, por lo que la mesa de trabajo, por primera vez, tuvo un alto grado de consenso».

Sin embargo, el documento redactado en el Consejo no convenció del todo al entonces ministro de Economía, Luis Felipe Céspedes, quien, de acuerdo con Zaror «las autoridades políticas de la época nunca dieron su abono a este proyecto; nunca les interesó avanzar en cuanto a la protección de datos personales por el supuesto impacto que podría representar en la economía del país al incrementar la carga regulatoria de las empresas».

Una visión que fue respaldada por el recién asumido ministro de Hacienda, Rodrigo Valdés, quien ingresó a la cartera el 11 de mayo de 2015 y que, según el diario La Tercera, mantenía una «muy buena sintonía» con Céspedes. Este hecho comenzaría a cimentar el fin de un anteproyecto y la abdicación de un funcionario clave en el desarrollo de este.

El desamparo de Trusich y los paredones del Ejecutivo

En mayo de 2015, el proyecto de reforma de datos personales estaba en tu etapa final para ingresar a trámite legislativo, sin embargo, fue el 12 de mayo, tan solo un día después de la entrada de Valdés al Ministerio de Hacienda, que el recién asumido titular de la cartera «ordenó frenar la iniciativa para revisar y analizar el documento con el Fisco, con tal de garantizar la existencia de recursos necesarios para financiar la creación de una Agencia de Protección de Datos», según confirmó El Pulso. No obstante, para ello, decidió paralizar el trámite e iniciar una nueva discusión, pero esta vez el proyecto quedó a su tutela. Así, en noviembre del mismo año, Valdés impondría su visión respecto de que la mejor opción para el país era que el resguardo de datos personales quedara bajo la estructura del Sernac, o, en su defecto, dentro del Consejo para la Transparencia.

«Hubo un proceso de consulta ciudadana que fue calificado como ejemplar tanto por las ONGs como por la academia y varios actores de la industria. Por eso resulta extraño que después de un año de consulta pública, donde ya estaba consensuado un 80% del proyecto, Hacienda recién aparezca para plantear sus observaciones. Eso habla de un problema serio de gestión, porque dilata una decisión que debía haberse tomado con anterioridad».

Conforme aseveró el diario La Tercera, fue la discusión de este proyecto el que terminó por quebrar la relación entre el ministro de Economía, Luis Felipe Céspedes, y la subsecretaria de la cartera, Katia Trusich, quien «se fue quedando sin proyectos propios y con escasa relación política al interior del gobierno», por lo que, poco tiempo después, el 4 de enero de 2016, presentó su renuncia al cargo ante Michelle Bachelet, donde se asegura que «eran conocidas sus discrepancias al interior del ministerio (refiriéndose a Luis Felipe)».

Pese a lo anterior, y luego de tres años, finalmente el 15 de marzo de 2017, Michelle Bachelet ingresó a la Cámara su segundo proyecto en materia de protección de datos, a través del Boletín N° 11.144-07, el que siete días después (22 de marzo de 2017), se refundió con el Boletín N° 11.092-07, presentado dos meses antes por la Comisión de Hacienda del Senado, liderada por el senador del PPD, Felipe Harboe, quien, tras cinco años de aquel episodio, presenta nuevas conclusiones sobre lo sucedido en aquel entonces.

Vídeo enlazado entre los minutos 12:35 y 13:30 (55 segundos de cita)

«El proyecto de ley es un paso fundamental para defender plenamente los derechos ciudadanos en un mundo en el que crecientemente la información más íntima de las personas circula por medios digitales».

Sin embargo, ni el proyecto presentado por la Cámara, ni el del Ejecutivo, incorporaron en la discusión los artículos N° 16, 17 y 18, en lo que respecta a datos de carácter financiero, bancario y comercial, los que sí se habían modificado con éxito años atrás, por sobre los datos personales. Un acto, que el senador Harboe califica como «inteligente», basándose en lo que ya es costumbre en la discusión legislativa en Chile.

Lo que sí incorporaría la mandataria en su proyecto, sería la modificación del artículo sexto transitorio, por decreto expedido por el intermedio del Ministerio de Hacienda, pudiendo, con ello, anunciar que «se conformará el primer presupuesto de la Agencia de Protección de Datos Personales (APD), y transferirá a ella los fondos necesarios para que se cumplan sus funciones, pudiendo crear, suprimir o modificar los capítulos, asignaciones, ítem y glosas presupuestarias que sean pertinentes». Pidiendo por primera vez la incorporación de una entidad autónoma en esta materia; facultad que, por Constitución, únicamente el Poder Ejecutivo cuenta para proponer, mediante Mensaje Presidencial. Lo que situaría a Chile, en este tema, al nivel de países como España, Francia, Suiza, Canadá, Austria, Italia, Bélgica, Croacia, Portugal, Finlandia, Grecia, los Países Bajos, Irlanda, Bulgaria, Nueva Zelanda y Dinamarca, quienes actualmente cuentan con una APD.

Pero, a pesar de lograr avances significativos en el Congreso, el 3 de julio de 2018, Sebastián Piñera, a través de sus facultades constitucionales, ingresó 302 indicaciones consensuadas con el equipo de asesores de los senadores, con respecto del boletín refundido, además de añadir una polémica indicación sustitutiva para facultar al Consejo para la Transparencia, por sobre la APD.

En su tramitación, el 5 de agosto de 2019, la Comisión de Constitución del Senado acordó, con tres votos contra dos, entregar mayores atribuciones al CPLT, para ser finalmente el órgano que se encargue de regular y fiscalizar el tratamiento de datos personales, tanto para el sector público como para el privado, además de fijar sanciones. La decisión fue respaldada por los senadores Andrés Allamand, Víctor Pérez Varela y Francisco Huenchumilla, mientras que en contra se pronunciaron los senadores Felipe Harboe y Alfonso De Urresti.

Si bien, la designación del órgano regulador era uno de los puntos donde aún existe mayor división entre los expertos, algunos ven con buenos ojos sentenciar un proyecto que reforme, de una vez, la Ley 19.628, dado que, hasta la fecha, aún espera la revisión de Hacienda para dar paso a su segundo trámite constitucional en la Cámara de Diputados.

Te podría interesar: otros casos de lobby en el proyecto de ley de datos personales

Derecho comparado: perspectiva internacional de la protección de datos

De acuerdo con la Subsecretaría de Relaciones Económicas Internacionales, Chile mantiene actualmente 29 acuerdos comerciales con 65 mercados, lo que representa el 67% de la población mundial y el 88% del PIB global, dentro de los que se incluyen negociaciones en materias como Economía Digital y Comercio Electrónico desde los años 90s, lo que exige una mayor rigurosidad en cuanto al tratamiento de datos comerciales, no solo de sus ciudadanos, sino que también de los que provienen de aquellos mercados con los cuales el país se vincula.

En ese sentido, Raúl Arrieta advierte que «el gran problema de Chile es que tenemos una normativa que puede ser comparada con países del tercer mundo; una legislación muy poco garantista de los derechos de las personas, pero, al mismo tiempo, mucho más peligrosa que en aquellos casos, porque tenemos un nivel de informatización y un nivel de adopción de tecnologías que es muy alto, por lo que la posibilidad de afectar derechos es mucho más grande».

Vídeo enlazado entre los minutos 05:57 y 07:02 (1 minuto 5 segundos de cita)

Así también lo confirma el jefe de Departamento de Economía Digital de la Subsecretaría de Relaciones Económicas Internacionales, Nicolás Schubert, quien además explica que los tratados que Chile mantiene, desde los más remotos en esta materia como el bilateral con Estados Unidos y Australia sobre E-Commerce, hasta los más recientes con países como Argentina, Brasil, Uruguay, o el último acuerdo pactado con Singapur y Nueva Zelanda (DEPA), precisamente en cuanto a Economía Digital -con foco en pequeñas y medianas empresas-, «existe un reconocimiento a la importancia de la protección de datos personales, pero únicamente enfocada en la regulación a nivel doméstico, pues ninguno de ellos establece estándares de ningún tipo, bajo la lógica de que cada uno responde por su propia realidad y su sistema jurídico».

A ese respecto, el abogado destaca dos casos completamente distintos en el mundo en cuanto a tratamiento y protección de datos que Chile debería observar: Estados Unidos y la Unión Europea.

Estados Unidos: pluralidad legislativa

Hablar sobre protección de datos en Estados Unidos siempre ha resultado ser un caso especial. En primer lugar, por escándalos como el de Facebook y Cambridge Analytica, y, en segundo lugar, por lo difícil que ha sido para ellos lidiar con esta problemática, dada la variación legislativa que existe en el tratamiento de datos en el país, al estar dividido por estados. Lo que implica, en la práctica, diferentes niveles de seguridad y exigencias dependiendo del espacio geográfico en que se ubique y opere cada empresa u organización.

«En el caso de Estados Unidos, uno no puede hablar de un solo modelo de protección de datos como tal. Si bien existe la Federal Trade Commission, que en algunas materias revisa cuestiones de privacidad en relación con los consumidores, a nivel federal no existe una legislación al respecto», explica el abogado y ex director jurídico (S) del Consejo para la Transparencia, Pablo Contreras, quien agrega que, por el contrario, «existen distintas leyes a niveles estaduales con distintos estándares; algunos bastante altos que se apegan al Reglamento General de Protección de Datos de Europa, como en el caso de California y su Acta de Privacidad del Consumidor (APCC)».

Tal como afirma Contreras, el «Estado Dorado» introdujo a mediados de 2018, a través del APCC, niveles de protección de datos al más alto estándar internacional, dado su afán por seguir potenciando las relaciones comerciales de grandes industrias situadas en dicho territorio, sobre todo para acceder a un mercado tan cotizado como el europeo, que les exigía a las empresas externas garantizar la protección transfronteriza de los datos de sus ciudadanos.

Vídeo enlazado entre los minutos 05:30 y 06:37 (1 minuto 7 segundos de cita)

Históricamente, el intercambio comercial entre Estados Unidos y la Unión Europea ha sido clave en el desarrollo de las naciones involucradas. Hasta 2015 imperó entre ambos el denominado «Puerto Seguro» («Safe Harbor», -por su nombre en inglés-), reemplazado en 2016 por el «Escudo de la Privacidad UE-EE. UU.» (EU-US Privacy Shield, -en su idioma original-). Estos acuerdos sirvieron de garante respecto del cumplimiento de las normativas europeas en materia de la protección de la privacidad, siendo este último más eficaz en la seguridad del intercambio de datos con Estados Unidos, debido a su carácter autorregulatorio. Sin embargo, el Escudo de la Privacidad perdió garantías y, a la fecha, no es más que un indicador de confianza para los clientes norteamericanos, pues, tras el RGPD, la Unión Europea decretó la obligatoriedad de su cumplimiento para poder establecer tratos comerciales con empresas europeas; desmarcándose de la autorregulación y apegándose a la exigencia de la norma. Por esta razón, el APCC de California se posiciona como una normativa estatal, totalmente vanguardista para los Estados Unidos. Pero cuando hablamos de los datos de los consumidores norteamericanos, el caso suele ser distinto.

Desde 1914, Estados Unidos creó la Comisión Federal de Comercio (Federal Trade Commission o FTC), una agencia independiente del gobierno, cuya misión principal es promover los derechos de los consumidores y la eliminación y prevención de prácticas que atentan contra la libre competencia. Desde esa línea, los datos pasan a ser única responsabilidad del consumidor, mas no una obligación para acceder a un servicio.

En el caso de las empresas ligadas al área de salubridad, el tratamiento de datos en Estados Unidos tiene una regulación federal específica para ese tema, tras ser considerada la información clínica del paciente como «datos sensibles». Desde 1996 existe la Ley de Responsabilidad y Portabilidad del Seguro de Salud («Health Insurance Portability and Accountability Act», -en inglés: HIPAA-), la cual establece pautas para proteger la confidencialidad y privacidad de la información del paciente y sus datos médicos, ya sea su nombre, su número de seguro social o su enfermedad, de manera electrónica o en papel, garantizando un correcto tratamiento sobre esta materia.

Vídeo enlazado entre los minutos 10:40 y 12:04 (1 minuto 24 segundos de cita)

No obstante, en el caso de que la información personal de un residente de la UE sea ​​recopilada por un proveedor de atención médica dentro de los EE. UU., ese proveedor de atención médica no necesariamente tendrá que cumplir con el RGPD, sino más bien, deberá apegarse al cumplimiento del HIPAA. En caso de que esos datos se recopilaron mientras la persona estaba en la UE, debería aplicarse la normativa europea.

Unión Europea: hermetismo de datos

Quienes sí gozan de un apropiado sistema de protección de datos personales, son los ciudadanos integrantes de la Unión Europea (UE). Pues, el 27 de abril de 2016, los países miembros del organismo adoptaron la integración del Reglamento General de Protección de Datos (RGPD), el que, tras poco más de dos años de tramitación en el Parlamento, entró en vigor a contar del 25 de mayo de 2018 para garantizar la total seguridad de los datos personales de toda la comunidad.

Dicho reglamento establece una serie de normativas que deben ser aplicadas obligatoria y transversalmente en todos los Estados de esta comunidad política, derogando parte de la ya existente Ley Orgánica de Protección de Datos (LOPD) y su Reglamento de Desarrollo (RD), heredados de la transposición de la antigua Directiva de Protección de Datos del año 1995; marcando un antes y después respecto del resguardo de la información privada de millones de civiles por su vanguardismo normativo.

Dadas sus capacidades políticas, la nueva legislación no requirió una tramitación interna de carácter habilitante, por lo que fue implementada para toda la comunidad de manera, prácticamente, automática. Con ello, quienes no cumplan con esta normativa, enfrentarán sanciones económicas de hasta 20 millones de euros o, en su defecto, el 4% de la facturación anual mundial de la organización; la cantidad que sea mayor.

Pero, pese a todo lo avanzado que parecía estar la normativa, durante los últimos años, el Reglamento (UE) 2016/679 ha realizado particulares actualizaciones en lo que respecta a la protección de las personas físicas, su tratamiento de datos personales y la libre circulación de su información. Como por ejemplo: reforzar el derecho a su acceso de forma clara y comprensible; el derecho a portabilidad, garantizando una libre transmisión de datos; un derecho más claro a la suspensión, de no existir una razón legítima para su conservación; o, incluso, el de informar oportunamente cuando sean víctimas de una suplantación de identidad.

Asimismo, tras el brote de COVID-19, el último comunicado de prensa de la Comisión Europea, en lo que respecta a las reformas de protección de datos de la UE, se adoptaron una serie de recomendaciones, como la autorización al uso de la tecnología y los datos a fin de combatir y superar la crisis de la pandemia, en particular con lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados (Recomendación (UE) 2020/518); y la protección de las personas físicas respecto del tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos (Directiva (UE) 2016/680), derogando la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, pp. 89-131).

Protección transfronteriza de datos

Esta normativa (RGPD) afecta directamente a todos los organismos públicos o privados que almacenen o procesen datos de ciudadanos europeos, independientemente de dónde se sitúan geográficamente sus oficinas centrales. Es decir, si una empresa norteamericana, o proveniente de Latinoamérica, pretende tratar datos de personas que cuenten con nacionalidad europea -de aquellos países que integran el organismo-, deberán cumplir con la normativa, velando por la protección y privacidad de la información receptada; lo que aplica el concepto de transterritorialidad.

En ese respecto, tal como señala Schubert, la principal atribución del RGPD es su autonomía en el ordenamiento puntual y específico del cumplimiento de una serie de normativas respecto del almacenamiento y gestión de datos personales de los europeos, así como también para aquellos países que requieran generar, con Estados miembros de dicha comunidad, un intercambio comercial de datos.

Vídeo enlazado entre los minutos 09:15 y 10:40 (1 minuto 25 segundos de cita)

Una arista mercantil que, según el Centro de Economía Digital de la Cámara de Comercio de Santiago (CCS), proyectó un crecimiento del año 2020 para Chile por sobre los US$ 7.000 millones; un escenario de futuro visualizado incluso antes de la crisis sanitaria, que, justamente, hoy aceleró la necesidad de trabajar en los procesos de transformación digital.

En su ensayo «El sobrio significado de la democracia», Samuel P. Huntington plantea que «el significado político más importante para la democracia es la capacidad que poseen sus instituciones de proteger los derechos y libertades de los ciudadanos», y hoy, pese a lo mucho que queda por recorrer, Chile está a un paso, tras más de veinte años, de poder dar por cerrado un capítulo de larga tramitación en su historia legislativa, en lo que respecta a vida privada y resguardo de datos personales. Pues, más allá de las repercusiones económicamente positivas que podrían significar para el país contar con una actualización de la normativa -que garantice, en efecto, el correcto uso y tratamiento de la información de millones de personas-, o, incluso, por sobre las diferentes opiniones al interior del Congreso, resulta urgente para la nación poder avanzar cuanto antes en materia de derechos para los civiles, garantizándoles protección frente a quienes deseen ejercer, por sobre sus libertados individuales, el poder de los datos.

error: ¡Contenido protegido!