El año 2010 Chile ingresó a la Organización para la Cooperación y el Desarrollo Económicos (en adelante “OCDE”), convirtiéndose en el primer país sudamericano en participarcomo país miembro endicha organización.
Para ser miembro de esta institución, es necesario que el país adopte ciertos estándares internacionales en materias económicas y comerciales con el objeto de tener un mínimo común respecto a cómo se elaboran y ejecutan políticas públicas.Más allá de lo meramente económico y siempre en base al trabajo conjunto de los países miembros paracompartir experiencias, estadísticasy regulaciones, la OCDE busca desarrollar las mejores prácticas en diversas áreas de las políticas públicas, tales como educación, probidad e integridad, gobierno corporativo, mercados financieros, medio ambiente y protección de datos personales.
En materia de protección de datos personales, quizá porque la OCDE no fijó un plazo fatal para su adecuación y adopción, o quizá porque se consideró que otros asuntos eran más apremiantes, lo cierto es que Chile aún no ha conseguido fortalecer su legislación, siendo actualmente considerado por la OCDE como un país “no adecuado” en esta materia.
Dentro de las principales falencias de la actual regulación según la OCDE se encuentran: la inexistencia de una autoridad de control o supervigilancia independiente e imparcial, dotada de facultades sancionatorias para velar por su cumplimiento;la inexistencia de un régimen general de responsabilidad derivado del incorrectotratamiento de datos personales; sanciones y multas de bajo monto que no tienen un efecto disuasivo ni tampoco preventivo y la ausencia de regulación relativa a la transferencia internacional de datos.
La autoridad de control es uno de los aspectos más relevantes e indispensables de incorporar en la normativa de protección de datos ya que actualmente la falta de una institucionalidad con las características precedentemente señaladas, conlleva a una regulación con escasos márgenes de control, siendo que el acelerado desarrollo tecnológico a nivel mundial requiere de constante actualización en materia de regulación e interpretación a nivel local, lo que solo puede conseguir de forma efectiva una institución dedicada a la materia en cuestión.
En orden a hacer frente a esta realidad, el Congreso de Chile se encuentra tramitandoun proyecto (en adelante el “Proyecto”),que busca remediar lo anterior,implementando modificaciones que cambiarán de manera sustancial la actual Ley N° 19.628 (en adelante, la “Ley de Datos Personales”). Las directrices yordenamientos de referencia tenidos en consideración para la elaboración del Proyecto fueron los del Consejo Europeo y otras normativas de la Unión Europea, el Foro de Cooperación Económica Asia-Pacífico (APEC) y la Resolución de Madrid sobre los Estándares Internacionales sobre Protección de Datos Personales y Privacidad, como asimismo los de la propia OCDE.
Si bien uno de los primeros grandes avances en esta materia fue la reforma constitucional de junio de 2018,que consagró el derecho a la protección de datos personales, el Proyecto contiene novedades que vale la pena resaltar yque ajustarían la Ley de Datos Personales alos estándares internacionales. De esta forma, Chile transitaría a niveles adecuados de protecciónde conformidad con lo definido por la OCDE. Entre los principales cambios propuestos, podemos resaltar los siguientes:
a) El establecimiento de los principios de licitud del tratamiento, finalidad, proporcionalidad, calidad, seguridad, responsabilidad, transparencia e información y confidencialidad, los que regirán el tratamiento de datos personales y compondrán el marco teórico y normativo de esta materia.Para los órganos del Estado que realicen tratamiento de datos, se incorporan además los principios de coordinación, eficiencia, transparencia y publicidad.
b) La adecuación de la terminología de la Ley de Datos Personales para homogenizarla con regulaciones más modernas en esta materia.
c) La incorporación de nuevos derechos a los titulares de datos personales, los denominados derechos “ARCO”, de acceso, rectificación, cancelación y oposición, que serán personales, intransferibles e irrenunciables, estando prohibida su limitación por cualquier acto o convención. Además, se introduce el derecho a la portabilidad de datos personales, que dará a su titular el derecho a solicitar una copia de ellos de manera estructurada, en un formato genérico y de uso habitual,y de comunicarlos o transferirlos a otro responsable de datos, siconcurren ciertos requisitos o circunstancias. En este mismo ámbito, se establece el procedimiento,la forma y medios que el titular de datos tiene para ejercer sus derechos ante el responsable de datos.
d) La regulación de los requisitos del consentimiento para autorizar el tratamiento de datos, que deberá ser libre, informado, inequívoco y específico en cuanto a sus finalidades, y laimplementación de otras formaslícitaspara el tratamiento de datos.
e) La instauración de un régimen de responsabilidades, obligaciones y deberes para los responsables de datos, regulándose ademásel tratamiento automatizado de grandes volúmenes de datos y la cesión o transferencia de las bases de datos personales, así como el tratamiento de datos a través de un tercero o mandatario en representación o por encargo del responsable.Asimismo se contempla adoptar nuevas descripciones y clasificaciones de las infracciones en que puedan incurrir los responsables de datos categorizándolas en leves, graves y gravísimas según el bien jurídico protegido, se aumentan considerablemente las multas y sanciones, regularla reincidencia aumentando los castigos, crear el Registro Nacional de Cumplimiento y Sanciones y establecer atenuantes de responsabilidad, como la adopción de modelos de prevención de infracciones.
f) El establecimiento de una normativa general para el tratamiento de datos personales sensibles y sus excepciones, y la incorporación de nuevas categorías especiales relativas a niños y adolescentes, datos con fines históricos, estadísticos, científicos y de estudios o investigaciones y datos de geolocalización, todos sujetos a una regulación especial.
g) La creación deuna Agencia de Protección de Datos Personales(en adelante la “Agencia”), organismo público, autónomo, descentralizado, de carácter técnico, con personalidad jurídica y patrimonio propio, sometido a la supervigilancia del Presidente de la República a través del Ministerio de Hacienda, y cuya misión será velar por el cumplimiento de la normativa relativa al tratamiento de los datos personales y su protección.
h) La regulación de la transferencia internacional de datos personales.
Como se mencionó precedentemente, la creación de una autoridad de control es quizás una de las modificaciones más importantes del Proyecto, ya que esindispensable contar con un órgano con amplias facultades para supervigilar,sobre todo en una materia tan específica y que se ha desarrollado muy aceleradamente con los cambios tecnológicos, la masificación del acceso ainternet, el comercio electrónico, etc.No obstante, se ha observado que, bajo los estándares de la OCDE en este tema particular, la autoridad no sería enteramente independiente,dado que dicho órgano estaría sometido a la supervigilancia del Presidente de la República a través del Ministerio de Hacienda.
Dado que no hay un modelo único en el derecho comparado, no se puede manifestar a priori que el Proyecto no se ajusta, por este solo hecho estructural de la Agencia, a los criterios internacionales; sin embargo, es un aspecto que deberá abordarse durante la discusión parlamentaria con miras a mantener la continuidad en los criterios y objetivos buscados por el Proyecto, permitiendo una adecuada protección de datos más allá de los cambios en el gobierno de turno. Por lo demás, el gobierno es potencialmente –y así ha ocurrido– un sujeto interesado en el uso de estos datos y, por tanto, que tenga el control de la Agencia parece a lo menos discutible.
Por último y en relación con lo anterior, hace algunas semanas el Congreso Nacional recibió una indicación del Poder Ejecutivo que propone que el Consejo para la Transparencia (“CPLT”), organismo autónomo de índole constitucional que vela por la transparencia de la función pública y el derecho de accesoa la información por parte de los ciudadanos, sea la autoridad de control de la normativa asociada a la protección de datos.
De las actuales instituciones, el CPLT es probablemente la que más se acerca en términos generales al área en debate, pero debe tenerse presente que los derechos protegidos por la Agencia que propone el Proyecto, por una parte y por el CPLT, por la otra, son distintos porque su alcance y objeto sonde naturaleza diversa y, en cierto modo, contradictoria.Hasta ahora, el CPLT tiene por objeto transparentar y hacer públicos los fundamentos de las decisiones de los órganos de la administración del Estado, mientras que la Agenciapretende resguardar los derechos y libertades de las personas naturales titulares de sus datos ante el tratamiento de éstos por personas naturales o jurídicas, públicas o privadas impidiendo que dichos datos se hagan conocidos. Será fundamental entonces que, de aprobarse la indicación del Ejecutivo, el CPLT mantenga la independencia necesaria, no solo en términos de estructura orgánica, sino que también en la aplicación de criterios y decisiones que adopte en materia deprotección de datos personales, armonizando intereses que pueden parecer contrapuestos.
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp