Habeasdata org.cl

En la línea de lo que escribimos hace algún tiempo, acerca de que “las empresas Dicom son necesarias“, a esta fecha una  propuesta de ley se debate en la Cámara de Diputados (contenida en el Boletín 7392), que busca restringir la herramienta que otorga el sistema legal actual  y esconder la información comercial negativa del acceso del mercado, para que sólo pueda ser consultada por la banca y otras entidades que otorgan créditos.

Desde el punto de vista del marketing se promueve como la ley que pondrá fin en Chile al sistema de las empresas de informes comerciales, como “Dicom”.

Su error de fondo es creer que el tratamiento de datos personales negativos tiene como única finalidad la evaluación de riesgos para el proceso de otorgamiento de créditos. De aprobarse esta capitis diminutio para las empresas de información comercial sería grave, y la protección de los miles de ciudadanos informados se acercaría a un “perdonazo” de su insolvencia a esta fecha.   

En la legislación extranjera, por las leyes de buros de crédito, y en Chile, por la ley 19.628, la publicación o la comunicación a terceros de información comercial negativa sobre insolvencia patrimonial o sobre mora y protestos es legal. El orden público económico o la economía de una sociedad  requiere estabilidad, y ella se logra con algún grado -limitado en el tiempo- de transparencia para las conductas  que puedan perjudicar el comercio. Un vendedor necesita saber si su comprador es habitué a girar cheques sin fondos que son protestados; una arrendador necesita saber si su eventual arrendatario es insolvente; la posible aceptación de una persona como aval o fiador de otra requiere saber si posee estabilidad comercial;  se necesita la posibilidad de verificar el domicilio real de una persona para poder demandarla;  y una empresa pyme necesita lograr el cobro de sus facturas impagas publicando la morosidad en el pago de sus clientes -publicados los deudores pagan, sin necesidad de juicios ejecutivos-   

De modo alguno esto pone en juego la privacidad de las personas. Porque sobre esta garantía prima el bien común que reclama estabilidad, seguridad y certeza para el comercio y la actividad empresarial. Y, porque si la deuda de dinero es verdadera no forma parte de la privacidad porque sale de la esfera personal y afecta a un tercero que es el acreedor.

La solución propuesta no es la adecuada para evitar los malos usos de la información comercial negativa que al sistema se informa. Si a esta fecha se detectan discriminaciones y perjuicios para una persona al acudir a una clínica, para en trabajador que no es contratado, para una familia al no ingresar a un colegio o para la negativa en la prestación de un servicio básico, lo que debe hacerse es sancionarse duramente esos abusos, estableciéndose multas y obligaciones de responder por escrito y fundadamente y creándose una institucionalidad al efecto. Dicho de otra forma: hay que hacer el trabajo largo que es crear leyes de burós de crédito y corregir las distorsiones, pero no beneficiando a incumplidores y perjudicando a los que se benefician con la publicación de datos sobre insolvencia.

Lo anterior, ha sido entendido por otro proyecto de ley, elaborado transversalmente por la Comisión de Economía del Senado y que está pendiente de patrocinio por el Gobierno. No sólo se contemplan altísimas multas para el uso indebido o no acorde a la finalidad para la cual los datos son recopilados y procesados, sino que se propone la creación de una Superintendencia de Bases y Bancos de Datos.

I. Fue convocada por el Consejo de Transparencia y ha sido cerrada una consulta pública, a efectos de recibir comentarios sobre una propuesta de “recomendación  instructiva” en materia de protección de datos personales al interior de los servicios públicos.

Si bien es cierto el documento es un buen resumen dogmático de la ley 19.628 de Chile -a lo cual contribuimos con un Informe en Derecho encargado por el Consejo al efecto-, esta competencia que le asignó el artículo 33 letra m de la ley 20.285, consistente en “velar por la aplicación de la ley 19.628 en los servicios públicos”,  no puede leerse sino como un complemento de las otras normas de la ley de acceso a la información y transparencia[1] y no como un mandato abierto para “instruir” bajo la denominación de “recomendación”, reglamentar y establecer nuevos requisitos no contemplados en el texto de la ley 19.628, crear procedimientos de reclamo de habeas data ilegales, y darse competencia para conocer alternativamente de los recursos del artículo 12 de la ley 19.628, lo que nunca estuvo ni en el espíritu ni en el debate del legislador de la ley 20.285.

“Cuando la ley 20.285 se refiere a las facultades de dictar instrucciones y recomendaciones declara explícitamente la dimensión en la que se puede mover el Consejo y en ella no queda comprendida la protección de datos. De ahí en adelante, y sin ese piso legal, lo que viene es ilegal…”. Lo establecido en el artículo 33 letra m) es  además una competencia limitada. Esta facultad no se puede extender al punto de considerar que estamos frente a la nueva Autoridad o Agencia de Protección de Datos chilena, y de creer que el Consejo posee competencia procesal y administrativa para conocer de reclamos en que un titular y respecto de sus propios datos pesonales ejerza los derechos del artículo 12 (“ARCO”, por acceso y otros)  o invoque la no aplicación o respeto de la ley 19.628 por los servicios públicos.

II. Falta en esta recomendación alguna referencia a los artículos 7° y 21 N°2 de la ley 20.285. Es decir, para empezar diciéndole a los servicios públicos que no transparenten activamente más datos personales que aquellos que excepcionalmente se permite (remuneraciones y subsidios asignados); y para recalcarles que es causal de secreto o reserva y de no entrega cuando se soliciten documentos sobre su gestión que contengan datos sobre la vida privada de los ciudadanos o, derechamente, únicamente cuando se les pidan estos datos en forma aislada. La omisión se explica porque el Consejo no es un autoridad de protección de datos y ya  han demostrado que no llevan en su ADN la importancia de velar por la privacidad de los chilenos.

III. La relación entre la protección de datos personales o el habeas data y el derecho de acceso a la información de la gestión del Estado no son, de modo alguno, “las dos caras de la misma moneda”. Aunque David Banisar lo haya escrito así y el Consejo de Transparencia lo amplifique. De hecho, la cara del  habeas data de la ley 19.628 es esencial en un mundo no relacionado con la gestión de los servicios públicos, es decir, en el sector privado y para que las personas controlen sólo el uso de sus datos personales.

A propósito de la gestión de los órganos del Estado, con el norte de transparentarla para evitar faltas a la probidad y corrupción que es la razón de ser de la ley 20.285, tanto el artículo 8° de la Constitución de 1980 como los artículos 7° y 21 de la ley de acceso son claros en el sentido de la necesidad de restringir y resguardar la reserva y confidencialidad de los datos personales. Lo que en verdad ocurre que son monedas o billetes de diverso cuño y de distinto valor que sirven para conflictos jurídicos diversos.

Y tampoco la “protección de datos personales”, que nace en la década de los 70, es una especie del moderno género de “acceso a la información” del Estado; la primera es una restricción del segundo, y no debe perderse de vista esta idea. Como tampoco debe olvidarse que el habeas data del artículo 12 de la ley 19.628 no necesita para ser ejercido de un ámbito de posible falta de transparencia, posible falta de probidad o posible corrupción, que es el único donde puede operar con competencia el Consejo de Transparencia.

IV. No es menor que el Consejo olvide que tanto las competencias como las interpretaciones de Derecho Público sólo deben hacerse por ley o por órganos (como el Tribunal Constitucional) con competencia para hacerlo, que no es el caso del Consejo. Ahora al “instruir” bajo la carátula formal de “recomendar” en los numerales 5.1 inciso 4° y 5.12 inciso 3° pretende ilegalmente autoasignarse la competencia de conocer directa y alternativamente de los habeas data contemplados en el artículo 12 de la ley 19.628; es delicado. Dicen que si un titular de datos personales no quiere seguir el camino judicial para ejercer el habeas data del artículo 12 puede optar por hacerlo ante el Consejo de Transparencia; y esto, asignarse competencias de Derecho Público, es ilegal.

Ya antes el Consejo había interpretado que  cuando se pedía un documento con datos personales y aunque el recurrente en virtud del amparo del artículo 24 de la ley 20.285 no lo supiera ni tuviera la intención de hacerlo, se estaba ejerciendo tácitamente una especie de habeas data “impropio” .  No se debe olvidar que se trata de un derecho personalísimo que sólo puede ejercerse expresamente, por los propios titulares de los datos personales y en la forma que establece la ley 19.628; pero ahora, en la “recomendación-instructiva” propuesta profundiza esta interpretación ilegal carente de todo fundamento jurídico y lo declara formalmente.

V. En paralelo, las decisiones del Consejo al conocer de las acciones de amparo reguladas por el artículo 24 de la ley de acceso y transparencia que ya hemos cuestionado, han reflejado la falta de sensibilidad de un órgano que nace para transparentar con la necesidad de proteger la privacidad, tanto en cuanto datos personales procesados computacionalmente.  Sin volver a posteos y  publicaciones anteriores,  a la gravedad de ordenar la entrega a cualquiera y sin tener que declararse motivo que justifique la petición de los datos de los discapacitados registrados en el SERVEL y de las calificaciones de miles de funcionarios públicos, se suma una decisión que ordenaba que se entregara a un ciudadano que sólo perseguía fines de lucro el detalle de todas las operaciones de compraventa de bienes raíces celebradas durante varios años, lo que vulneraba normas expresas de secreto tributario y el artículo 19 N°4 de la Constitución; pero el Consejo no lo entendió así.

VI. Quizás por estos criterios reiterados y equivocados, un fallo de la Sexta Sala de la I. Corte de Apelaciones de Santiago de enero del 2011 ha llamado al orden al Consejo de Transparencia. La claridad de sus Considerandos es importante. Conociendo de un reclamo contra la Decisión del Consejo que obligaba a entregar a una persona que no invocaba motivos legítimos y que sólo tenía fines de lucro los detalles de las operaciones de compraventa de bienes raíces durante varios años, señaló: (i) en el considerando décimo tercero, que no se estaba pidiendo información alguna que hubiera sido ocultada, silenciada o no transparentada, sino que ella era de público acceso pero disponible en el Conservador de Bienes Raíces; (ii) en el décimo cuarto, que el servicio público que no entregó los datos no infringió los principios rectores de la ley 20.285 ni el espíritu del Constituyente, porque nada ocultó ni nada omitió; (iii) en el décimo quinto, que el reclamante de amparo al cual el Consejo le dio la razón en desmedro de la protección de datos personales no estaba con su petición contribuyendo a fortalecer la transparencia de la función pública ni a la reducción de los posibles ámbitos de corrupción y que no estaba ejerciendo un control democrático de la gestión estatal; y, (iv) en el décimo sexto, que las solicitudes de los peticionarios si debían contener intereses legítimos, ya que en caso contrario (aplicándose el criterio reiterado del Consejo) se caía en un caso de abuso del derecho.

El fallo fue confirmado por la Excelentísima Corte Suprema.

VII. Siempre a propósito de las malas interpretaciones del Consejo, están haciendo una muy mala aplicación de los artículos 4°, 5° y 10° de la ley 20.285. O bueno, una aplicación abiertamente contraria a los principios de la ley 19.628 y a la garantía del artículo 19 N°4.

Es esencial definir hasta dónde llega o cuál es el alcance jurídico de la referencia a “todo otro tipo de información que obre en poder de la Administración o que sea elaborada con fondos públicos”, de los artículos 5° y 10° de la ley 20.285, para entender -o no (que es nuestro parecer)- que los datos personales -per se- no se pueden considerar incluidos junto a los actos, contratos, resoluciones, procedimientos y documentos que deben ser públicos al estar en poder de los servicios públicos y accesibles para cualquier persona que los solicite, sin expresar causa o motivo legítimo.

No existe debate alguno en las actas parlamentarias que haya concluido en la opción de la inclusión; la institucionalidad de la protección de datos personales se opone a la inclusión; y no respetar lo establecido en los artículos 8° de la Constitución y 21 N°2 de la ley 20.285 para entender que en esta referencia amplia sólo se subsumen antecedentes que den cuenta de una gestión del Estado corrupta, poco transparente o poco proba y no datos personales o nominativos, ha llevado a que alguna Decisión del Consejo configure un caso de “abuso del derecho”.

Si bien a nivel del principios en el artículo 11° letra c) se consagra el principio de apertura o transparencia, conforme al cual “toda la información en poder de los órganos de la Administración del Estado” se presume pública, salvo leyes de quórum calificado que establezcan lo contrario, esta presunción de publicidad no puede extenderse, con fundamento jurídico serio, a los datos personales o nominativos.   Si a un servicio público se le solicitan directamente en sede de la ley 20.285 los nombres de los habitantes de una comuna, sus domicilios, sus direcciones de correo electrónico, sus profesiones, sus propiedades o sus estados de salud la respuesta debiera ser el rechazo, teniendo como fundamento o por este sólo hecho de tratarse de datos personales excluidos de las causales de solicitud, y antes de entrar al análisis de fondo en cuanto a la procedencia de la causal de reserva del artículo 21 N°2.

Lo anterior puede ser expresado a modo de fórmula: …si dado lo que disponen el artículo 8° de la Constitución, el artículo 7 letra i), el artículo 21 números 2° y 5° y el artículo 33 letra m) se concluye que el Constituyente el legislador de la ley 20.285 fueron sensibles    -desde el punto de vista de la Política Pública regulada- a la necesidad de proteger los datos personales y en definitiva la privacidad de los administrados, ….el alcance de los artículos 5° y 10° de la misma ley no puede interpretarse para comprender o subsumir dentro de la información que debe transparentarse, entregarse sin motivo o causa o publicarse a los datos nominativos de los ciudadanos, que no serían una especie de aquella “toda otra información que obre en poder de los órganos de la Administración” o de aquella referida como “toda información elaborada con presupuesto público”.

Adicionalmente, si retomamos el inciso segundo del artículo 5° de la ley 20.285 cuando establece que “es pública… toda otra información que obre en poder de los órganos de la Administración”, y tenemos presente la definición esencial del contenido del principio de transparencia del inciso segundo del artículo 4°, debe concluirse que sólo será pública la información administrativa que por su naturaleza sea factible de “facilitarse su acceso” a cualquier persona, sin que se le exija a ella expresión de causa o motivo al solicitar conocerla. Pues bien, esta condición no concurre respecto de los datos personales o nominativos de los administrados que sean tratados por los servicios públicos[2], porque ellos y en conformidad al artículo 12° de la ley 19.628 sólo son accesibles para su propio titular, y porque a su respecto existe -para los responsables del tratamiento en el órgano administrativo- la obligación general de secreto del artículo 7° de la misma ley.

VIII. Sigue pendiente y suena fuerte el afán del Consejo de Transparencia por desnaturalizarse, y transformarse en la nueva autoridad chilena de protección de datos personales.  Es decir, dejar de transparentar documentos del Estado para velar por la privacidad y confidencialidad de los datos personales de los chilenos -ya no tan sólo en el contexto de la gestión de los servicios públicos-, sin tener la idoneidad ni la preparación necesaria.

Esperan tener el presupuesto y el respaldo para hacerlo; siguen apostando a que se tramite un Boletín 6120 modificatorio de la ley 19.628, que presentado sin un debate previo y serio por el Minsegpres del 2009 se preparó para cumplir con los requisitos de incorporación a la OECD; afirma su Presidente que una supuesta mayoría doctrinaria apoyaría la opción de transformar al Consejo en el órgano de protección de datos para el sector privado, lo que es osado y confuso por decir lo menos; afirman seguir un modelo inglés, sin decir que bajo un mismo paraguas formal existen dos entes diversos y que ha sido deficitario para la protección de datos; minimizan la opción mayoritaria e idónea de que existan dos entes diferenciados, uno para la protección de datos y otro para el acceso a la información de la gestión del Estado, poniendo al mismo nivel las opciones deficitarias de Inglaterra y México con las de Canadá, Francia, España o Argentina; no avanzan en las propuestas de mejoras de fondo a la ley 19.628, y se contentan -sin crítica alguna- con decir que en 1999 no podía hacerse otra cosa porque sólo la evolución del tratamiento de datos personales la hizo tan deficitaria; y realizan lobby parlamentario y ante el Ejecutivo al efecto. Pero la solución que esperan los chilenos en materia de institucionalidad de protección de datos no pasa por asignar competencias a entes no idóneos.

Lamentablemente, siguen sin hacerse cargo de los argumentos en contrario de un informe neutral de una Escuela de Ingeniería que ellos mismos encargaron.  En las páginas 110 y 111 del estudio, de forma clara y directa, se consigna que no es idóneo tener en una misma institución las funciones de protección de datos y de acceso a la información; que la experiencia internacional recogida demuestra que en su gran mayoría los temas los abordan agencias diversas;  que es crítico el desconocer que se trata de “negocios” muy distintos, considerando los principios involucrados, las funciones que deben desarrollarse (transparentar una y resguardar la confidencialidad y privacidad de los datos personales), los sectores donde operan (no hay acceso en el sector privado) y que los conflictos de intereses se presentan también en ámbitos muy diversos.

rjl

TÉNGASE PRESENTE: …el texto definitivo fue publicado en el Diario Oficial del 14 de Septiembre del año 2011.

---

[1] Lo dicho, lo sostenemos pensando -por ejemplo- (i) en la obligación de velar por el resguardo y/o la confidencialidad de los datos personales de los ciudadanos -de sus antecedentes sociales y personales sensibles en sede de transparencia activa-, y (ii) ante la obligación de ponderar adecuadamente cuando conozca de un recurso de amparo al derecho de acceso el alcance de las causales de reserva o secreto establecidas en el artículo 21 de la ley 20.285, en cuanto se relacionen con los derechos de las personas, tratándose de su seguridad, su salud y de la esfera de su vida privada.

[2] La excepción estará dada por los datos personales que provengan de fuentes públicas a cuyo respecto el servicio público tenga competencia para darlos a conocer, o cuando estemos frente a datos personales contenidos en documentos como certificados o resoluciones que, también por ley, sea de la competencia exclusiva del servicio público el emitirlos (v.gr. Registro Civil, TGR, Aduana, SII, etcétera).

Un buen amigo reclama porque dice haber recibido un “SPAM” desde un Ministerio o servicio público…   Sobre la autoría del correo que lo invitaba a vivir sanamente no hay duda; fue desde “@presidencia.cl”, donde una empresa Masterbase sólo opero como prestador del servicio que actuó por encargo; …la cosa a dilucidar es que hará a futuro con la base de datos de las direcciones de correo, …si es que no era suya de antes y en definitiva no la recibió cedida desde el Gobierno como mi amigo parece creer.   Ojo: …aplicaron opt out, porque le ofrecieron removerlo.

Gran tema, se comparte la inquietud, pero hay mucho paño que cortar… Un dato: fui uno de los que se opuso a que se regulara en Chile el año 2006 y mediante un Decreto Supremo 93  el envío de correos desde los servicios públicos -en definitiva sólo se reguló acá el filtrado o la forma de eliminarlo-, porque los teóricos de turno entendían que el envío de DOS (léase bien, 2) correos en el año en el marco de sus funciones de servicio público y para beneficio de los ciudadanos debía ser “spam” y que debía pedírsele autorización expresa a los ciudadanos…

Entonces, primero consensuemos que entendemos por spam y después veamos si los servicios públicos pueden ser sancionados como spammers… Cabe entenderse por “spam” al envío indiscriminado de correos electrónicos no solicitados, “basura” o “chatarra” y generalmente con promociones comerciales, los que saturan casillas de correos electrónicos. No es necesario contar con una definición detallada o unívoca de esta práctica. Basta con tener presente un concepto que reúna algunas de las diversas características que se han consensuado y que, de concurrir -no necesariamente todas a la vez-, la transforman en una actividad nociva, perjudicial y eventualmente ilícita, si se hace en forma clandestina, masiva y abusiva.

Lo que no debe hacerse es caer en la simpleza de definírselos como “todo correo electrónico no deseado, no solicitado o no consentido” y de creer que así se engloban sus principales características, de partida porque un correo que se envía por ejemplo una única vez no causa perjuicio alguno al destinatario, y porque en definiciones tan simples cabría por ejemplo el caso de que un alumno de derecho o un colega abogado le enviaran un correo a otro abogado para formalizar un contacto, sin que ambos supieran que el destinatario no lo deseaba y no lo consentía, y por cierto sin haberlo solicitado el receptor.

El tema si está regulado para los servicios públicos; (i) en la Ley de Bases de la Administración del Estado, porque los recursos públicos sólo se pueden usar para fines de servicio público, y este sería el caso si la base de datos personales con las direcciones de correo hubiese sido alimentada, sin ruidos ni silencios, por el servicio público; (ii) en el artículo 20 de la ley 19.628, si es que tratar el dato dirección de correo y usarlo para comunicaciones con los ciudadanos fuera una de las competencias de derecho público de un servicio; y (iii) por el artículo 4° de la misma ley, si existiera una norma legal expresa que lo permitiera sin necesidad de pedirle autorización al ciudadano titular de la dirección de email. Agora, aggiornando: …existen incluso normas especiales que permiten las notificaciones y las citaciones de Derecho Público realizadas en forma electrónica o mediante casillas de correo electrónico.

Además, el referido Decreto Supremo 93 ha sido complementado por un Ordinario N°563 de fecha 25 de Abril del año 2007, del Ministerio Secretaría General de la Presidencia, que recogiendo los trabajos de un Subcomité de Gestión de Seguridad y Confidencialidad del Documento Electrónico, puso a disposición de los servicios públicos una “Guía Modelo de Protección de Casillas Electrónicas”. Sugiero leerlo… No obstante ser su contexto el de las formas técnicas y administrativas de evitar o minimizar “la recepción” de correos masivos, no solicitados y con promociones comerciales en los sistemas de los servicios públicos, desde otra perspectiva muy diversa, la Guía contiene un numeral Octavo referido a las consideraciones que deben tenerse presente en materia de “emisión” o envío de “spam” (es el término usado) desde redes gubernamentales, de cara a la responsabilidad del funcionario público “usuario” y a la del “administrador de los sistemas”.

En esencia, subyace la idea y la percepción en los redactores de la Guía   -que rechazamos por ilegal y no ajustada a la ley 19.628- que un órgano de la Administración del Estado debería enviar un correo electrónico (lo que técnicamente implica el tratamiento de un dato personal del ciudadano) con autorización previa del receptor (la que legalmente está dada); que el correo debería contener información clara y precisa sobre la fuente de origen del mensaje (lo que siempre ocurre tratándose de servicios públicos, que no operan en forma anónima); y, que se debería ofrecer al ciudadano un mecanismo efectivo para que pueda exigir su exclusión (es el criterio del opt-out) de la lista usada para el envío de los mensajes electrónicos.

El Subcomité de Gestión de Seguridad que redactó el documento consideró que, “consciente o inconscientemente“, las redes telemáticas de gobierno y sus usuarios se convertían en emisoras de spam, provocando -supuestamente, porque no realizaron levantamiento empírico serio- daños a la imagen de la red gubernamental, problemas de capacidad de respuesta en los servidores de correo institucional, desperdicio de ancho de banda nacional e internacional con flujos de correo basura y molestias a los ciudadanos receptores de los correos. Para este Subcomité, de legalidad cuestionable, resultó “relevante” que se tomara conciencia del problema -que en mi opinión es inexistente- y que se adoptaran las medidas necesarias para monitorearlo y controlarlo si se llegara a detectar algún “brote” de la actividad.

Entre las consideraciones sobre la posible responsabilidad de los  funcionarios  públicos “administradores de los sistemas de correo electrónico”, de manera genérica se señala que ellos deben velar porque las condiciones de seguridad de sus sistemas permitan minimizar las posibilidades de que ocurran emisiones de spam desde la red gubernamental, y de manera específica y esencialmente técnica, se sugiere, por ejemplo,  el generar reglas para controlar y monitorear los tráficos de correos salientes, o incluso, al extremo y ya alejándose definitivamente del envío de correos masivos, el establecer políticas para controlar el uso de aplicaciones “P2P” que se prestan para actividades ilegales cuando se intercambian creaciones digitales originales violándose las leyes de derecho de autor.

Es muy poco probable que los servicios públicos en Chile adquieren listas de correos en el mercado informal o, desde otra perspectiva, vendan o comercializen las bases de datos con las direcciones de correos de los ciudadanos que recopilan en el marco de su función pública. Es que si lo hacen, el sumario por la responsabilidad administrativa “caería de cajón…”. Además que al no poseer competencia para hacerlo y al recaer en principio sobre ellos la obligación general de secreto del artículo 7° de la ley 19.628, este proceder sería ilegal y negligente, sancionable incluso penalmente por el artículo 4° de la ley 19.223 si fuera el funcionario responsable del sistema el que revelase las cuentas de correo.

Los servicios públicos  tampoco podrían incurrir en prácticas en las que concurran algunas de las posibles notas características más perjudiciales del spam en el sector privado, esto es: (i) no envían correos electrónicos en forma masiva y reiterativa; (ii) al enviar un correo electrónico no lo hacen de forma anónima sino que se contiene la identidad del emisor y del receptor del mensaje; (iii) no realizan promociones comerciales o publicidad no solicitada; (iv) no actúan fuera de su competencia legal; y, (v) no operan usando direcciones de correo adquiridas ilícitamente en el mercado informal sino sólo las de sus propias bases de datos. Creo que no es el caso que le afectó a mi amigo….

Incluso más: los servicios públicos son competentes y no pueden desviar la data nominativa “direcciones de correo electrónico” que identifica a los ciudadanos que recogen para cumplir sus obligaciones legales para “fines diversos” -por ejemplo una campaña política partidista en período de elecciones-, porque serían responsables legal, constitucional, administrativa y civilmente en conformidad a las leyes generales, de la actuación indebida, del mal uso del dato personal dirección de correo electrónico y de los eventuales perjuicios ocasionados al administrado.

Ojo, a lo mejor se pensó que si en Chile el spam todavía es legal en el sector privado, bajo ciertos respectos, podía entenderse que esta validación alcanza a generar competencia  para que un servicio público promueva sus servicios entre los ciudadanos. Pero la respuesta es negativa, toda vez que la validación requiere que estemos en los supuestos de la ley de derechos del consumidor, esto es, que el correo lo envíe un comerciante a un consumidor o posible cliente, y que el contenido consista en la oferta comercial de un bien o de la prestación de un servicio.

¿La sugerencia a mi amigo? …presentar un recurso de habeas data del artículo 12 de la ley 19.628, para que le informen dentro de 48 horas como obtuvieron su dato personal dirección de correo electrónico y con que fin lo usan, pudiendo pedir que lo eliminen.

rjl

En el video que está en la URL   http://www.youtube.com/watch?v=VREHWhok-Xo&feature=BF&playnext=1&list=QL&index=1 , a contar del minuto 40, se puede escuchar un resumen de 20 minutos con las críticas principales a la ley 19.628 de Chile.

Cordialmente,

rjl

No en una sino en tres decisiones del Consejo de Transparencia, el órgano ha formulado una doctrina que no puede compartirse y que demuestra una comprensible  falta de sensibilidad con los principios y la naturaleza personalísima de los derechos de autodeterminación informativa y de habeas data o de control de los propios datos personales, recogidos por la ley 19.628 en general y por su artículo 12 en particular.

En efecto, en las decisiones de amparo del año 2010 Roles C134-10 y C178-10 del año 2010, y en la decisión Rol C49-11 del año 2011, el Consejo ha entendido que cuando un reclamante o recurrente de amparo ante una negativa de entrega de información de un servicio público ejerce el acceso a la información y documentación administrativa en conformidad a las normas y procedimientos de la ley 20.285  -concretamente para conocer el contenido de documentos en cuyo contenido se consignen datos sensibles tales como certificados o diagnósticos médicos, copias de declaraciones policiales o fichas clínicas-,  “…es posible verificar que el titular de los datos está haciendo uso del habeas data, particularmente el ejercicio del derecho de acceso a los datos de carácter personal que obren en poder de un tercero”, en conformidad al artículo 12 de la ley 19.628.

Este derecho personalísimo que debe ejercerse sólo expresa y directamente por el propio titular de los datos personales ante el responsable de las bases de datos en primer lugar y ante los Tribunales de Justicia en segunda instancia, el Consejo de Transparencia entiende que tácita, implícita y paralelamente también “…puede efectuarse en sede de derecho de acceso a la información pública”; y consecuentemente -aunque no lo dicen- ellos -el Consejo o los Consejeros- y no los Tribunales de Justicia en conformidad al artículo 16 de la ley 19.628, tendrían la competencia para conocer de los reclamos contra el servicio público responsable de la base de datos o registro donde estaban contenidos los datos personales o nominativos que no se permitieron conocer.

Se puede ver como a unos mismos hechos y ante acciones entabladas por el titular de los datos teniendo como fundamento la ley 20.285, que permite acceder a información que conste exclusivamente en actos, resoluciones, actas, expedientes, contratos y acuerdos o en un formato o soportes determinados, es el Consejo de Transparencia el que forzadamente les asigna o atribuye una calificación jurídica distinta, teniendo en mente o aplicándoles las disposiciones de la ley 19.628.

La primera de las decisiones de amparo, de Junio del año 2010 y que rola bajo el número C134-10, se dictó ante el requerimiento formulado a Carabineros de Chile para que entregara un diagnóstico médico que contenía, obviamente y respecto del requirente de amparo de la ley 20.285, datos sensibles y reservados que le concernían al referirse a su salud psíquica y que son definidos en el artículo 2° letra g de la ley 19.628. En ella, y luego de aludirse a los artículos 12 y 16 de la ley 19.628, en el considerando noveno se señala que sin perjuicio de lo dispuesto en la ley de protección de datos personales, la solicitud de saberse cómo Carabineros de Chile obtuvo el diagnóstico psiquiátrico “…puede ser amparada por la Ley de Transparencia en los términos que ésta establece, esto es, sólo en cuanto el reclamante requirió acceder a uno o más documentos que den cuenta de la obtención de sus datos personales”. Discrepamos de este criterio, que implica auto-atribuirse en derecho competencias de Derecho Público que no se le encomendaron, haciendo interpretaciones -también de Derecho Público- que sólo pueden hacerse por ley; en la especie, el recurrente debía haber presentado expresa y directamente una acción del habeas data del artículo 12 de la ley 19.628 en contra de Carabineros de Chile, y de ser rechazada o no contestada, dentro de 48 horas tendría que haber recurrido ante los tribunales de justicia y no ante el Consejo de Transparencia.

La segunda de las decisiones de amparo, de Julio del año 2010 y que rola bajo el número C178-10, se dictó ante el requerimiento formulado para acceder a la copia de una declaración verificada ante la BRIDEC de la Policía de Investigaciones de Chile (PDI), en el contexto de una denuncia por un posible delito de malversación de caudales públicos. En este caso y nuevamente en el terreno de las interpretaciones, en el considerando octavo el Consejo señala que en este caso “…se puede apreciar que el reclamante está haciendo uso del habeas data” -en el hecho, paralelamente, de forma implícita y no expresa como en derecho debe hacerse- del artículo 12 de la ley 19.628, y que según lo ya resuelto en la decisión C134-10, tanto en el ejercicio del derecho de acceso a la información pública como en el ejercicio del habeas data puede accederse al contenido de la declaración que se prestó ante la PDI.

El año 2008 escribimos algunas reflexiones, acerca de no satanizar ni culpar desde el desconocimiento a los buscadores de la red Internet de violaciones a la privacidad:

http://www.habeasdataorg.cl/2008/01/27/internet-no-siempre-es-la-culpable-de-violar-la-privacidad%E2%80%A6/

Hoy, la prensa da cuenta de nuevos cuestionamientos por este tema a la empresa Google:

http://www.elpais.com/articulo/sociedad/Google/enfrenta/Espana/borrado/datos/personales/elpepusoc/20110118elpepisoc_3/Tes#despiece2

…En esta pasada estamos con Google; hay irracionalidad en responsabilizar jurídicamente por los contenidos de internet no a los distintos usuarios que los “hostean”, “suben” o almacenan en los servidores de los ISP, sino a una empresa que permite técnicamente localizarlos, relacionarlos y consultarlos en segundos. Es una idea censuradora que también se ha propuesto en Chile, sea para que se impida el acceso a contenidos protegidos por la propiedad intelectual, sea para que se eliminen antecedentes personales de los ciudadanos.

La responsabilidad es del sitio web que origina los contenidos; el buscador sólo enlaza lo que está disponible on line; lo que pasa es que la APD de España es un ente administrativo y hay que ver que resuelven los tribunales; el caso mas famoso es el de un profesor que en un ayuntamiento fue multado por orinar en la vía pública, y la multa se publicó en la página del municipio; “técnica y algorítmicamente” google la enlazó en una búsqueda y los alumnos supieron; pero no es responsabilidad del buscador; si el sitio del ayuntamiento baja la información de la multa, google nada encontrará…

rjl

El tema generó un fuerte debate público este año 2010, y llevo incluso a que órganos de la Comunidad Europea pidieran restricciones al sistema que permite a los usuarios obtener una visión de 360 grados de calles, edificios, tráfico y personas, usando fotografías y videos obtenidos por vehículos con cámaras de Google .

Captación de datos personales.

Respecto al uso de cámaras en calles, plazas o lugares públicos para registrar videos, imágenes o fotos y en definitiva conductas de personas identificadas o identificables o datos personales, y a propósito del cuestionado proyecto de la empresa Google y su sistema “Street View”, cabe preguntarse si la legislación chilena protege al ciudadano en caso que él no quiera que su casa, su patente de auto o su cara se vean disponibles en Internet.

Puede responderse a priori que no, porque al ser en la vía pública lo filmado por Google con sus cámaras móviles, la empresa quedaría habilitada después procesar o tratar libre, arbitraria y electrónicamente los antecedentes que identifican a una persona. ¿Parafraseando el latín, sería algo así como “pública res, sed pública”?. Pero, si se analiza bien, en la medida que luego de ser grabada se la identifica o se le individualiza se está operando con antecedentes nominativos o personales…, en definitiva, con sus derechos de privacidad, a la imagen e incluso a la honra si se le localiza en un lugar indebido o cuestionable.

Jurídicamente, estas personas individualizadas en base a sus antecedentes están formalmente protegidos por la ley 19.628 sobre tratamiento de datos personales, que en el artículo cuarto exige “autorización previa del titular” o “habilitación de una norma legal”.

Por cierto, en sede de protección de datos personales habría también que definir si “la calle” es una fuente pública de datos personales, porque de ser así, en Chile si se podrían procesar sin autorización y en forma legal videos, imágenes o fotos. Pero los datos personales le pertenecen a la persona individualizada o que se pueda reconocer, y no cabría considerar -con fundamento sólido- que por estar en la vía pública una persona (la registrada) autoriza “tácitamente” a que se haga con sus datos lo que quiera el que los recolecta, e incluso antes, siquiera que los recolecte y los almacene.

Acceso a redes inalámbricas.

Sobre éstas, la pregunta a plantearse es si una empresa como Google puede captar en Chile -en forma legal o lícita- datos que estaban circulando por redes WiFi no encriptadas o no cerradas por sus propietarios . Cabe considerar que el análisis podría ser distinto si lo hacen por casualidad o intencionalmente. En segundo lugar, habría que analizar qué hace después una empresa como Google con los datos captados o accesados, sobre todo si se trata de correos personales o de claves de acceso, que es lo realmente relevante.

Dicho de otra forma: ¿sería dable sancionar la captación “por error o sin intención” de datos que circulan en redes inalámbricas no encriptadas, máxime cuando la exigencia de dolo específico es uno de los elementos del tipo del delito de acceso no autorizado a un sistema de tratamiento de información del artículo 2° de la ley 19.223?. Recuérdese que sólo se sanciona a quien “con el ánimo de” apoderarse, usar o conocer, “indebidamente” de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, con presidio menor en su grado mínimo a medio.

En el caso de que la captación de Google no sea intencional ni dolosa y además se origine por la negligencia o desinterés del propietario de la red, quien no usa para la seguridad o para evitar la existencia de “puntos de falla” un algoritmo llamado “WEP” o Wired Equivalent Privacy ni usa un mecanismo de autenticación mediante password, sin restringirse el acceso, ¿podría esto invocarse como atenuante e interpretarse como una autorización tácita de acceso, el que no sería indebido o no autorizado?.

Creo que si la captación de datos en redes inalámbricas “de hecho se puede hacer” cuando no son cerradas o seguras (previa password), ello no significa que “en derecho” sea lícito o legal. (i) Si lo captado a consecuencia del acceso son correos personales o claves de acceso, se violaría la garantía del artículo 19 N°4 de la Constitución, que protege la privacidad o intimidad; (ii) se vulneraría también el 19 N°5 y el Código Penal, que respectivamente aseguran y sancionan penalmente la inviolabilidad “de toda forma de comunicación privada”, si es que se entiende que una red inalámbrica sin clave de seguridad lo es y que no posee la cualidad de ser abierta y de libre acceso, aún cuando la apertura es inherente a esta tecnología ; (iii) y no existe, en mi opinión, argumento jurídico alguno para entender que al no cerrarse la red existe jurídicamente una especie de autorización tácita de la persona propietaria de la red.

Link al blog:  http://www.habeasdata2010.com.ar/

El texto de la ponencia que presentamos, puede verse en la URL …

http://www.slideshare.net/Renato36/habeasdata-2010 ; en síntesis, la ley chilena 19.628 tiene un año más que la de Argentina, es casi contemporánea y usó supuestamente las mismas fuentes de Derecho Comparado, y las diferencias son radicales y absimantes; la ley chilena es una “no ley” de protección de datos personales debido al mal y no casual trabajo parlamentario.

rjl

Las llamadas direcciones IP o de protocolos de Internet  son el identificativo que permite que cualquier usuario de la red Internet pueda acceder a un concreto y específico servidor, y constituyen además la forma de ubicar al computador desde el cual se ha producido una determinada conexión, por ejemplo cuando se hace con fines ilícitos o para realizar una penetración o un acceso no autorizado. Los números IP, por ende, siempre serán uno sólo, únicos y exclusivos.

Una variante de enorme aplicación práctica, sobre todo en caso de comisión de delitos informáticos de acceso no autorizado a un servidor de un servicio público -lo que está sancionado en Chile por el artículo 2° de la ley 19.223 y técnicamente se denomina “hackeo”- es la relacionada con la responsabilidad y la naturaleza tanto (i) de las claves secretas o password que generan los usuarios para asociarlas a su RUT e identificarse o autenticarse al acceder al sitio web, como (ii) de las llamadas “direcciones IP”, que son el número identificativo que un ISP o proveedor de conectividad asigna a un usuario de la red Internet para navegar en ella y que permite identificar al computador desde el cual se llama para conectarse a un servidor determinado.

Téngase presente: sea cual sea el número o la dirección IP desde la cual se conecte un ciudadano, se trata de datos personales de conectividad que identifican al usuario y que son asignados por el ISP en el marco de una relación de confidencialidad, reserva o secreto. Ellas, asociadas al RUT de una persona, en síntesis permiten identificar al sistema desde el cual un usuario de la red Internet accede al sitio web. Constituyen en conformidad al artículo 2° de la ley 19.628 datos personales que identifican a un usuario[1], le son asignadas por su respectivo proveedor de conectividad o ISP, y para el sistema donde se registran automáticamente -porque es información que el programa navegador de la red le envía al sitio web visitado o accesado[2] constituyen legalmente      -de cara a su tratamiento y eventual comunicación a terceros- datos sujetos a secreto o reserva, en conformidad al artículo 7° de la ley 19.628.

La misma norma citada, pero en sus artículos 2° letras c) y o), aclaran que el tratamiento que debe ser secreto comprende la imposibilidad de verificarse una comunicación o transmisión de datos a terceros, al definir esta operación como dar a conocer de cualquier forma los datos de carácter personal a personas distintas del titular, sean determinadas o indeterminadas.

La calidad de dato de conexión o de conectividad reservado de las direcciones IP en Chile es compartida y legalmente está así normado para las empresas ISP o proveedoras de conectividad, que por regulaciones de la Ley  General de Telecomunicaciones e instrucciones de la Subsecretaría de Telecomunicaciones    no son accesibles al público o a cualquier persona y están sujetas a una obligación de “reserva” para dichas empresas. Estas empresas asignan un rango a cada uno de sus clientes, y sólo revelan el antecedente de la dirección de Internet desde la cual alguno se conecta previa orden o resolución de un tribunal o, en concreto, del Ministerio Público.

Es el artículo 6° del Decreto Supremo 142 del año 2005, sobre interceptación y grabación de comunicaciones telefónicas y otras formas de telecomunicación, el que establece que los proveedores de acceso a Internet deberán mantener, “en carácter reservado” y a disposición del Ministerio Público o de toda otra institución que por ley esté facultada para requerirlo, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a 6 meses, de los números IP de las conexiones que realicen sus abonados.

Estas direcciones IP -por ende- no pertenecen al propietario del servidor que es llamado o conectado en línea desde ellas, no son generadas por el servidor, y no son el parámetro que identifica a los ciudadanos cuando acceden autenticádamente a un sitio, porque esta funcionalidad es posterior e independiente, y se entrega a las ya mencionadas claves de acceso asociadas a un RUT.

---

[1] La norma citada los define como los relativos a cualquier información concerniente a personas naturales, identificadas o identificables.

[2] Técnicamente, dependiendo de la configuración que viene por defecto o de la que defina el usuario, lo que el programa navegador envía al servidor es la dirección IP del proveedor de conectividad que se le asigna al usuario que se conecta, el nombre del sistema operativo que se está utilizando, y el nombre y la versión del programa navegador. Los sitios web que reciben estos datos declaran que sólo los utilizan para fines estadísticos, pero será una cuestión de hecho el precisar caso a caso si así ocurre con los sitios de los servicios públicos.

Un par de noticias en la prensa han dado cuenta,  como una novedad inédita en la política chilena, de la elaboración de un anteproyecto de ley para proteger los datos personales o nominativos, privados y sensibles de las personas naturales y jurídicas.  Lo han hecho en forma transversal los cinco miembros  -”del oficialismo y de la oposición…” dice la nota de prensa-  de la Comisión de Economía del Senado de la República.

Los he visto trabajar.  Primero, en el debate de algunos proyectos de ley relacionados sólo con los datos personales y patrimoniales negativos -léase sobre insolvencia, mora y protestos- regulados por el Título III de la ley 19.628.

En segundo lugar y durante tres meses de jornadas, en el análisis y estudio de casos reales de abusos, del contenido de normas extranjeras (Francia, España y Argentina especialmente) y del articulado específico de las leyes vigentes en Chile a esta fecha, todo en pos de la formulación de una Política Pública y de un nuevo marco general normativo para la protección de todo tipo de datos personales en su conjunto, que        -apartándose radicalmente de los modelos extranjeros- se estableció  en 1999 al promulgarse la ley 19.628.  Ella fue insuficiente, por sus deficiencias de forma y de fondo, por sus sombras predominantes más que por sus pocas luces,  y porque esencialmente posibilitó legalizar el negocio de las empresas con mínimas restricciones “para no ser burocráticos” o “para no encarecer los costos del negocio”, como consignan expresamente las Actas.

Pocas veces uno puede sentirse orgulloso de la calidad analítica y de la capacidad de trabajo y empoderamiento de sus parlamentarios.  Es el caso.  La Comisión de Economía del Senado entendió que, junto a la necesaria regulación de un mercado desregulado que permite el tráfico anónimo de listas, bases y bancos de datos personales con fines de lucro, era esencial entender la perspectiva de proteger una garantía fundamental como la privacidad, en Chile vulnerada cotidiánamente.

Como profesor de la Escuela de Derecho de la PUCV inicialmente y como asesor de la Comisión de Economía posteriormente, colaboramos para (i) sistematizar cuáles deberían ser los contenidos al proponer un anteproyecto acerca de la regulación de todo el “Sistema Chileno de Tratamiento de datos Personales” y sus subsistemas específicos; (ii) hacer un levantamiento o catastro de las principales normas vigentes y propuestas como Mociones parlamentarias o Mensajes del Ejecutivo; y (iii) redactar un concreto anteproyecto de  ley global que, con el Norte de establecer una Política Pública clara y centrada en la tutela de la privacidad de los chilenos y en el fortalecimiento de sus derechos como titulares y propietarios de los datos  -…que es la gran novedad ante la vigente y “lírica” ley 19.628-, la Comisión de Economía propondría en forma transversal.

A la espera de la presentación del proyecto definitivo, resulta interesante anticipar algunos de sus principios fundamentales. Los cuatro principios asumidos como esenciales por los Senadores -que en parte menciona la nota de prensa- para la nueva Política Pública de Chile han sido:

(i) Buscar proteger la garantía del artículo 19 N°4 de la Constitución, ante el procesamiento computacional de datos personales ;

(ii) Legislar desde la perspectiva del titular y propietario de datos personales, para dotarlo de mecanismos jurídicos idóneos y eficaces que le permitan ejercer el “habeas data” del artículo 12 de la ley 19.628, autodeterminando, autorizando (casi sin excepciones) y controlando el procesamiento de sus antecedentes;

(iii) Subsanar los problemas derivados de la falta de un registro público de responsables de bases de datos y de un órgano fiscalizador y de control autónomo y descentralizado funcionalmente; y,

(iv) Establecer nuevos estándares legales que modifiquen las condiciones, cargas, obligaciones y responsabilidades de los operadores, agentes o responsables de bases y bancos de datos nominativos, tanto del sector público pero muy especialmente del sector privado, que es donde se presenta con mayor gravedad el conflicto y en forma reiterada los casos de abusos.

Notable trabajo.  De verdad notable. Mientras algunos creen, con pobrísimos argumentos y afanados por lograr posicionamientos políticos en un nicho donde nada tienen que aportar,  que lo esencial es sólo debatir sobre la orgánica o la institucionalidad que velará por la aplicación de esta nueva normativa, los senadores además han trabajado rigurósamente para proponer regular y evitar abusos en el mundo del comercio electrónico, del marketing directo, de la fidelización de clientes, del tráfico de bases de datos, de la publicación de datos sobre insolvencia patrimonial al amparo de la llamada “Ley Dicom” y de la violación de privacidad en redes sociales.

Así me gusta Chile….

rjl