Sobre el proyecto de reforma de la ley de datos personales en Chile

congreso_chile

Por Pedro Huichalaf Roa

Desde el año 1999, Chile cuenta con un cuerpo legal específico para reglar la forma en la que se tratan los datos personales de los ciudadanos del país. Lo que historicamente había sido un tema bastante secundario en la realidad nacional, hoy ha cobrado vida con los importantes avances en el desarrollo de la tecnología y el dominio casi pleno de la Internet como plataforma de información.

Cuando en 1999 el legislador optó por las soluciones de la ley vigente, la Internet en Chile y en esta parte de Sudamérica estaba en pañales. Por tanto, una actualización de esta materia era necesaria para poner al día nuestra legislación en lo que a tratamiento de datos personales se trata.

Pero ¿cuales son las formas de aproximarse a este tema?.

El Gobierno ha optado por una línea bastante clara, y aunque en general pretende obtener un buen nivel de protección para nuestros datos personales, ha fallado profundamente en el conocimiento de la realidad de los negocios en la Internet moderna desconociendo, incluso, materias desprotegidas de vital importancia como  la existencia de “intermediarios” cómo lo es hoy WordPress, Yahoo, Google o, en algunos casos, Facebook o Twitter.

Además, el excesivo nivel de proteccionismo establecido en el proyecto de ley que ha ingresado al Congreso, llevará a que Chile tenga una posición desventajosa frente a los competidores internacionales en este mercado, creando trabas para el emprendimiento y  realidades artificiales que harán imposible la fiscalización de la ley.

¿Por qué esta materia tiene que interesarnos y preocuparnos?. Los problemas que se generarían con la nueva ley no son menores, y pretendemos detallarlos a continuación:

La Realidad

¿Qué sucede con los datos personales que entregamos, a diario, a terceras personas?. ¿Qué límites existen para el uso de esa información en el comercio tradicional o digital? ¿Cuales son los datos de carácter personal?.

Estas con sólo algunas de las preguntas que se deben realizar a la hora de evaluar la realidad de los datos personales. La legislación moderna busca la protección de los datos de carácter personal que son entregados por las personas naturales, ya que dichos datos han sido confiados, frecuentemente, con una finalidad establecida y acotada, y quien realiza el tratamiento de dichos datos (la entidad receptora de la información) debe utilizarlos exclusivamente en el ámbito que le han sido confiados. Sin embargo, la realidad dista de este escenario ideal.

Nuestro nombre, domicilio, direcciones de correo, preferencia sexual, condición de salud, lineamiento político, y otros datos de carácter sensible, podrían circular libremente por las redes de información sin contar con nuestro consentimiento, lo cual es suficiente razón para hacer de esta conducta una condición indeseable en la vida social.

La solución del ejecutivo

Durante enero de 2012, el Gobierno ingresó el nuevo proyecto de ley sobre Datos Personales, el cual pretende modificar y actualizar la ley 19.628, actualmente vigente sobre la misma materia.

En este proyecto, el ejecutivo establece las nuevas reglas del juego, entre las cuales se destacan puntos como la obligatoriedad del consentimiento previo y expreso del titular para poder recolectar sus datos personales, la necesidad de contar con la autorización de los padres para la entrega de datos personales de menores de edad o los deberes para la industria de informar por correo electrónico, al menos una vez al año, de la existencia de datos personales en sus bases de datos; solo por nombrar algunos.

Aunque esto suena muy bien a primera vista, el análisis en profundidad destapa una serie de problemas de tal seriedad, que cualquier persona que ejerza labores en Internet, ya sean comerciales, educativas o recreativas, no puede dejar de lado el informarse respecto de esta materia ya que podría cambiar totalmente la forma en la que accedemos a la red u otros servicios.

Los Nuevos Problemas

Muchas veces, la legislación tapa un hoyo y perfora otro en un mismo acto. Creemos que el proyecto de ley crea una serie de desigualdades y resultados indeseados para los usuarios finales y las empresas o los emprendedores que realizan actividades que puedan estar sujetas a la ley.

1. Libertad de Opinión y Expresión Artística o Cultural

El proyecto de ley no contempla excepción alguna para el tratamiento de datos personales con fines artísticos, culturales o como mero ejercicio de la libertad de expresión. En la teoría, y de acuerdo a la redacción de la ley, se podrían dar casos tan irrisorios como un demandante solicitando den de baja WordPress.com, Blogger u otro servicio en línea, por la aparición de su nombre en una de estas páginas, las cuales dicho sea de paso, no están exentas de las obligaciones del proyecto de ley, al tener el mismo estatus que el encargado de la base de datos, realicen o no tratamiento de datos personales: un nuevo vacío en la ley.

Nuestra Constitución Política de la República garantiza a todas las personas el libre ejercicio de su derecho de expresión y opinión, sin embargo, la propuesta del ejecutivo falla en salvaguardar este derecho, haciendo de cualquier persona un potencial infractor al ejercer estos derechos. En el fondo, bajo el escudo de la protección de datos personales, nos podríamos encontrar con actos de censura sistemática, ya sea de personas naturales, jurídicas o entes administrativos.

Es necesario establecer una excepción general de la aplicación de la ley en caso de tratarse de usos para fines artísticos o periodísticos y, de esta manera, evitar que se utilice la nueva legislación de datos personales como un método de censura contra la opinión emitida libremente por los ciudadanos, de acuerdo a los derechos consagrados en el artículo 19, número 12 de la Constitución Política de la República.

2. Manifestación del Consentimiento acorde a la industria de las Tecnologías de la Información

La manifestación del consentimiento es uno de los temas clave a la hora de analizar el sistema de tratamiento de datos personales. En este sentido, es de vital importancia el dar cabida a los medios modernos, claros y fidedignos que permiten al usuario entregar su consentimiento informado a aquellas empresas o personas que hacen tratamiento de datos personales.

Imaginemos la vida diaria en la Internet con la obligación de manifestar el consentimiento previo y expreso para el tratamiento de datos personales: nos veríamos tapados de ventanas y carteles señalando que, para acceder a ‘este servicio’ (sea cual sea), debemos leer el contrato y aceptar su contenido.

Para el proyecto de ley, no importa que tipo de datos se estén recolectando, ni su destino, necesidad o incluso que el recolector sea un ciudadano común y silvestre que posee un blog o un sitio web. Simplemente, se establece la obligación de solicitar el consentimiento previo y expreso para poder acceder a las funcionalidades que requieran de datos personales para su uso. Por ejemplo: un perfil de Facebook, una cuenta en Twitter o un Blog en WordPress.com.

Es necesario que la nueva ley acoja medios para la manifestación del consentimiento acordes a la realidad de una industria tan dinámica como Internet. De lo contrario, los perjudicados serán, precisamente, los usuarios, quienes se verán invadidos por cantidades innecesarias de información y documentos legales para poder acceder a un servicio cualquiera y, por otro lado, aquellos que desean emprender y llevar su negocio a Internet, deberán incurrir en los costos asociados de esta arquitectura de consentimiento, simplemente, estableciendo barreras para el ejercicio de sus labores.

Finalmente, hay que señalar que este tipo de medidas afectarán, primordialmente, a la industria nacional, mas no a aquellas empresas sin domicilio en el territorio chileno y que, al no estar sujetos a la legislación de nuestro país, no deberán cumplir con esta exigencia que el empresario local si deberá honrar creando, artificialmente, desventajas comerciales para la competencia en este rubro, y un profundo problema de enforcement o de medios para hacer cumplir las obligaciones de la ley.

A su vez, es necesario revisar el derecho al acceso contemplado en el proyecto de ley, en cuanto obliga a los responsables de las bases de datos a entregar, tras la solicitud del titular y gratuitamente, los datos personales del titular que se encuentren almacenados en sus registros, al menos una vez al año.

Esta obligación no distingue entre pequeñas y grandes empresas, por lo que es razonable sugerir que, en caso de tratarse de empresas dedicadas a la gestión de bases de datos, esta obligación pueda hacerse efectiva, al menos, cada tres meses por parte de los titulares, manteniendo la regla general de un año para las pequeñas y medianas empresas.

3. Tratamiento de datos de Menores de Edad

La reforma a la ley actual, establece un nuevo nivel de seguridad para los datos personales de menores de edad, sin embargo, estas medidas se hacen impracticables para la realidad nacional, siendo un claro ejemplo el caso de la legislación de los Estados Unidos con la Children’s Online Privacy Protection Act, más conocida como ley COPPA.

La legislación estadounidense, establece la necesidad de contar con el consentimiento de padres o tutores de aquellos menores de 13 años que desean hacer uso de un servicio en Internet. En la teoría, el requerimiento es bastante bueno, sin embargo, la respuesta de la mayoría de las compañías con domicilio en los Estados Unidos es, simplemente, denegar el acceso a los menores de 13 años dada la cantidad de papeleo y burocracia que se hace necesaria para poder otorgar el paso a dichos menores.

Esto se traduce en usuarios que falsifican las declaraciones de edad (¿quién no conoce algún menor de 13 años con un perfil en Facebook?), con la imposibilidad de fiscalizar si de hecho dichas declaraciones son verídicas y, por otro lado, coartando el acceso de los menores – superponiendo esta obligación a la patria potestad de los padres o tutores – y afectando los fines educacionales o recreativos de la red para los menores de edad.

En este sentido, es más razonable el crear barreras para la protección de los datos personales y sensibles de los menores de edad (los cuales raramente son utilizados por los servicios en la red), y sujetar a los adolescentes al régimen de los adultos cómo regla general, manteniendo un nivel de protección más alto para los datos sensibles.

La participación de ONG META

Estos y muchos otros puntos de la ley se ha comenzado a discutir la semana pasada en la Cámara de Diputados, por lo que hemos hecho llegar a la comisión de Economía nuestra minuta sobre la materia y la forma en la que vemos se puede proteger a los usuarios de Internet, ya sea en su fase de usuarios como tal, o como emprendedores que desarrollan su negocio en la red.