Reforma a la ley de protección de datos en Chile: un buen proyecto con un mal presagio

Por Carlos Reusser Monsálvez

Probablemente esta columna será más larga de lo habitual, pero es que el asunto a tratar no es baladí: de hecho podría constituirse en uno de los más significativos avances en derechos fundamentales de nuestra actual democracia.

El pasado 13 de marzo de 2017 la Presidente Bachelet, en un acto público realizado en el salón Montt–Varas del Palacio de la Moneda, firmó el proyecto de ley (Boletín 11.144) que reforma en su totalidad la Ley N° 19.628, llamada de protección de la vida privada (no crea que le protege de algo), generando un cúmulo de expectativas y alcances que hay que explicar.

Esta es una reforma largamente esperada, pues actualmente el Estado mantiene a su población desprotegida contra los abusos del tratamiento de datos personales, lo que repercute diariamente, entre otras cosas, en limitaciones al acceso al mercado del trabajo, al crédito, a la salud, a la educación y, en general, a todos los derechos fundamentales.

¿Por qué?. Porque gracias al tratamiento indiscriminado y abusivo de los datos “alguien”, cree saber algo de ti, y toma decisiones que te afectan en tu vida diaria. Nunca conocerás qué es lo que cree saber ni sabrás en base a qué información toma su decisión, pero tu vida se verá inexorablemente perjudicada y hoy no tienes a quien recurrir, o a veces ni siquiera contra quién recurrir.

Lo anterior, en parte muy significativa del planeta está prohibido y existen estándares internacionales mínimos para proteger a la gente, de forma que la información que circule en la sociedad sea de calidad y que existan garantías de que ella solo se difunde en las condiciones establecidas por la ley o las permitidas por la propia persona.

Ahora, el proyecto de ley en comento es, de hecho, muy bueno. ¿Y por qué lo es?. Porque recoge en parte importante el diálogo que se suscitó a comienzos del Gobierno de la Presidente Bachelet entre la banca, las compañías de seguros, las Universidades, el retail financiero, las organizaciones de la sociedad civil y los organismos de Gobierno y que concluyeron en una propuesta de proyecto de ley que aunaba los criterios a aplicar de forma tal que fuera compatible con los estándares de la Unión Europea (que estamos obligados a cumplir por el Acuerdo de Asociación Chile – Unión Europea de 2002) y con las exigencias de la OCDE (selecto club al que creemos pertenecer).

Entonces el proyecto firmado por la Presidente es un buen proyecto porque el que se hizo hace dos años y medio atrás, también lo era: ahora el Ministerio de Hacienda le ha cambiado el envase, un par de cosas y lo ha presentado a la firma de la Presidente.

Pero como en Chile la República se refunda cada vez que hay elección presidencial, lo más probable es que si no ha concluido su tramitación antes de marzo de 2018, el nuevo Gobierno que asuma lo retire o le formule indicaciones hasta hacerlo irreconocible. Como dije, es un buen proyecto, pero como lo presenta un Gobierno que se muere y tampoco le asigna ninguna urgencia, en los hechos compromete seriamente su éxito.

Ahora, sería injusto no reconocer alguno de sus méritos: como el proyecto se ha retrasado tanto (injustificadamente), han tenido tiempo de insertar algunas novedades que aparecieron en la discusión del nuevo reglamento de protección de datos de la Unión Europea que entrará a regir el 2018, lo que es bueno, pero también podrían haberlo hecho mientras se tramitaba en el Congreso.

Entonces, sin más dilación y haciendo una simplificación grosera que espero el lector sepa excusar en aras del no aburrimiento, podemos sintetizar contando…

LO BUENO

  1. Se crea una Autoridad de naturaleza administrativa, la Agencia de Protección de Datos, encargada de velar por el respeto a la protección de los datos de las personas naturales tanto en el ámbito público como en el privado, de forma tal que la gente vulnerada en sus derechos pueda acudir directamente a ella solicitando protección.
  2. Se establecen sanciones económicas fuertes e incluso una especie de prohibición de funcionar (todo graduable según la gravedad del caso, asi como la reincidencia en las malas prácticas) para quienes vulneren los principios y normas del derecho a la protección de datos personales.
  3. Se establece la obligación de informar, por parte de quien realiza el tratamiento de datos a los titulares de los mismos (o sea, a nosotros), en ciertos casos en que el primero sea víctima de actos que hayan comprometido la seguridad de los datos (data breach notification). En el fondo es algo así como “Señor X, nuestra seguridad ha sido vulnerada y han extraído los datos personales que le conciernen. Tome las providencias necesarias pues existe un alto riesgo de…”.
  4. Se fortalece enormemente lo que es la protección de los datos de los niños y adolescentes bastante en línea con el reglamento europeo.
  5. En general se ajustan todos los conceptos, principios, directrices y derechos específicos a la forma en que se entienden en la Europa de hoy, quienes son los innegables líderes en la materia, de forma tal que ya tendríamos un lenguaje común y existen grandes posibilidades de que se reconozca a Chile como un país con un nivel adecuado de protección de datos y, por ende, que los datos de ciudadanos otros países puedan ser enviados al nuestro por considerársele “seguro”.
  6. A partir de la aprobación de la ley estaremos en condiciones de generar todo un mercado de servicios relacionados con datos, como son las empresas de certificación de datos personales, auditoras y aseguradoras de datos, así como también el reforzamiento de las empresas y entidades que se ocupan de la seguridad de la información y de quienes prestan servicios de custodia de datos para terceros países, como los servicios de Cloud Computing.

LO MALO

  1. Se insiste en conservar una idea que ya era anticuada cuando se estableció la ley, esto es, que ella tiene el “propósito de asegurar el respeto y protección de los derechos y libertades de quienes son titulares de estos datos, en particular, el derecho a la vida privada”.
    Eso es falso pues, en realidad, lo que se protege es la autodeterminación informativa (el derecho de cada uno a determinar que se hace con los propios datos) o, si se quiere, el derecho a la protección de datos personales, independientemente de si afectan la vida privada o no.

Lo explico: si se difunde que en un trabajo anterior estabas afiliado al sindicato de la empresa, ¿te van a emplear en un trabajo nuevo?. Existe la probabilidad de que no, por el riesgo de que a ojos del empleador seas “conflictivo”. La afiliación a un sindicato, ¿es parte de tu vida privada?. No, la pertenencia a organizaciones de trabajadores o incluso a partidos políticos no es privada ni debe serlo, y en este caso se vulnera el derecho al trabajo, pero no el derecho a la vida privada.

¿Y si demandaste a quién te alquilaba una vivienda por la mala calidad de ésta y figura ese hecho en una base de datos disponible para los arrendadores?. Un nuevo arrendador, ¿querrá contratar contigo?. Complejo. Ahora, el hecho de demandar a alguien, ¿es un dato de la vida privada?. Para nada: desde el inicio del procedimiento hasta la sentencia es mantenida en registros abiertos al público. Y si nadie te arrienda un lugar donde vivir por lo que creen saber de tí, lo vulnerado es el derecho a la vivienda, no el derecho a la vida privada.

En conclusión, no tiene sentido insistir con lo de la vida privada si la ley no tiene una relación necesaria con ella.

  1. A la cabeza de la Agencia de Protección de Datos se ha puesto la figura de un Director, pero este en el proyecto de ley carece de la necesaria autonomía e independencia para tomar decisiones. Si al Presidente de la República no le gustan sus criterios o decisiones (o a algún Ministro), ya sea porque afecta los intereses de una repartición pública (en desmedro de los ciudadanos) o los suyos particulares o los de sus redes de contacto (en América Latina se han vuelto populares los Presidentes empresarios), sencillamente se puede defenestrar al Director de la Agencia o no renovar su nombramiento.

En ese contexto, ¿qué independencia puede tener un Director sujeto a la sensibilidad de la epidermis de la autoridad política de turno o que ve amenazada la renovación de su cargo por lo que está haciendo por los ciudadanos?. Sus opciones se reducen a hacer lo menos posible o derechamente postrarse de rodillas ante el poder político.
La inamovilidad del cargo por un periodo fijo de tiempo es un requisito fundamental para la independencia de la Agencia en la defensa de los derechos de las personas sobre sus propios datos y es un factor crítico de éxito.

  1. El proyecto contiene una asimetría grave e insoportable entre el sector público y el privado en perjuicio de la efectividad de los derechos de las personas. Ello se traduce en que si un privado vulnera tus derechos en materia de protección de datos, puedes recurrir a la Agencia para pedir que se haga cargo del asunto y restablezca tus derechos. Pero si quien vulnera los derechos de las personas es un organismo público, entonces tienes que tener el dinero suficiente para pagar a un abogado y someter el asunto a las ritualidades propias de un juicio, deduciendo un reclamo de ilegalidad ante las Cortes de Apelaciones del país, que ya tienen una carga de trabajo generosa en el día a día.

¿Razones para ello?. La verdad es que nada justifica esta asimetría y, en la práctica, es poner a los ciudadanos de clase media y a los más pobres una barrera de acceso a la protección efectiva de sus derechos: la generalidad de la gente tiene dinero para vivir, pero no el suficiente como para sobrellevar los costos de un juicio, por lo que tienden a aceptar lo que no deberían.

  1. Este proyecto versa sobre protección de derechos fundamentales; en consecuencia es una iniciativa que debería estar a cargo del Ministerio de Justicia o del Ministerio Secretaría General de Gobierno, pero no del Ministerio de Hacienda, que tiene otros roles y fines.
    Tal vez este hecho es un ejemplo de lo mal entendido que está todo este asunto, y que incide, entre otras cosas, en la reiterada obstaculización al avance del mismo basada en una visión economicista y sesgada de lo que significa el derecho fundamental a la protección de datos, lo que se traduce en ciertos errores conceptuales e incluso en materia de principios que deben corregirse.

Finalmente cabe mencionar que el proyecto fue ingresado a la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado de la República, presidida por el senador Felipe Harboe, y dicha comisión aprobó refundir el proyecto del Gobierno con una moción parlamentaria presentada por el propio Harboe y otros senadores (Boletín 11.092-07), lo que no ayuda en nada al buen y pronto desenlace de esta iniciativa legislativa, sino que lo hace más inmanejable.

Por lo pronto solo cabe reiterar que el proyecto del Gobierno es un buen proyecto y que todos los interesados deberíamos apoyar su avance en el Congreso Nacional, promoviendo las correcciones necesarias y estando muy atentos a sus avances y detenciones pues, como ya les dije en el título, los tiempos para aprobar la ley son la principal debilidad del proyecto, particularmente cuando no se le ha asignado urgencia alguna, lo que abre las puertas al fracaso.