Habeasdata org.cl

I. Fue convocada por el Consejo de Transparencia y ha sido cerrada una consulta pública, a efectos de recibir comentarios sobre una propuesta de “recomendación  instructiva” en materia de protección de datos personales al interior de los servicios públicos.

Si bien es cierto el documento es un buen resumen dogmático de la ley 19.628 de Chile -a lo cual contribuimos con un Informe en Derecho encargado por el Consejo al efecto-, esta competencia que le asignó el artículo 33 letra m de la ley 20.285, consistente en “velar por la aplicación de la ley 19.628 en los servicios públicos”,  no puede leerse sino como un complemento de las otras normas de la ley de acceso a la información y transparencia[1] y no como un mandato abierto para “instruir” bajo la denominación de “recomendación”, reglamentar y establecer nuevos requisitos no contemplados en el texto de la ley 19.628, crear procedimientos de reclamo de habeas data ilegales, y darse competencia para conocer alternativamente de los recursos del artículo 12 de la ley 19.628, lo que nunca estuvo ni en el espíritu ni en el debate del legislador de la ley 20.285.

“Cuando la ley 20.285 se refiere a las facultades de dictar instrucciones y recomendaciones declara explícitamente la dimensión en la que se puede mover el Consejo y en ella no queda comprendida la protección de datos. De ahí en adelante, y sin ese piso legal, lo que viene es ilegal…”. Lo establecido en el artículo 33 letra m) es  además una competencia limitada. Esta facultad no se puede extender al punto de considerar que estamos frente a la nueva Autoridad o Agencia de Protección de Datos chilena, y de creer que el Consejo posee competencia procesal y administrativa para conocer de reclamos en que un titular y respecto de sus propios datos pesonales ejerza los derechos del artículo 12 (“ARCO”, por acceso y otros)  o invoque la no aplicación o respeto de la ley 19.628 por los servicios públicos.

II. Falta en esta recomendación alguna referencia a los artículos 7° y 21 N°2 de la ley 20.285. Es decir, para empezar diciéndole a los servicios públicos que no transparenten activamente más datos personales que aquellos que excepcionalmente se permite (remuneraciones y subsidios asignados); y para recalcarles que es causal de secreto o reserva y de no entrega cuando se soliciten documentos sobre su gestión que contengan datos sobre la vida privada de los ciudadanos o, derechamente, únicamente cuando se les pidan estos datos en forma aislada. La omisión se explica porque el Consejo no es un autoridad de protección de datos y ya  han demostrado que no llevan en su ADN la importancia de velar por la privacidad de los chilenos.

III. La relación entre la protección de datos personales o el habeas data y el derecho de acceso a la información de la gestión del Estado no son, de modo alguno, “las dos caras de la misma moneda”. Aunque David Banisar lo haya escrito así y el Consejo de Transparencia lo amplifique. De hecho, la cara del  habeas data de la ley 19.628 es esencial en un mundo no relacionado con la gestión de los servicios públicos, es decir, en el sector privado y para que las personas controlen sólo el uso de sus datos personales.

A propósito de la gestión de los órganos del Estado, con el norte de transparentarla para evitar faltas a la probidad y corrupción que es la razón de ser de la ley 20.285, tanto el artículo 8° de la Constitución de 1980 como los artículos 7° y 21 de la ley de acceso son claros en el sentido de la necesidad de restringir y resguardar la reserva y confidencialidad de los datos personales. Lo que en verdad ocurre que son monedas o billetes de diverso cuño y de distinto valor que sirven para conflictos jurídicos diversos.

Y tampoco la “protección de datos personales”, que nace en la década de los 70, es una especie del moderno género de “acceso a la información” del Estado; la primera es una restricción del segundo, y no debe perderse de vista esta idea. Como tampoco debe olvidarse que el habeas data del artículo 12 de la ley 19.628 no necesita para ser ejercido de un ámbito de posible falta de transparencia, posible falta de probidad o posible corrupción, que es el único donde puede operar con competencia el Consejo de Transparencia.

IV. No es menor que el Consejo olvide que tanto las competencias como las interpretaciones de Derecho Público sólo deben hacerse por ley o por órganos (como el Tribunal Constitucional) con competencia para hacerlo, que no es el caso del Consejo. Ahora al “instruir” bajo la carátula formal de “recomendar” en los numerales 5.1 inciso 4° y 5.12 inciso 3° pretende ilegalmente autoasignarse la competencia de conocer directa y alternativamente de los habeas data contemplados en el artículo 12 de la ley 19.628; es delicado. Dicen que si un titular de datos personales no quiere seguir el camino judicial para ejercer el habeas data del artículo 12 puede optar por hacerlo ante el Consejo de Transparencia; y esto, asignarse competencias de Derecho Público, es ilegal.

Ya antes el Consejo había interpretado que  cuando se pedía un documento con datos personales y aunque el recurrente en virtud del amparo del artículo 24 de la ley 20.285 no lo supiera ni tuviera la intención de hacerlo, se estaba ejerciendo tácitamente una especie de habeas data “impropio” .  No se debe olvidar que se trata de un derecho personalísimo que sólo puede ejercerse expresamente, por los propios titulares de los datos personales y en la forma que establece la ley 19.628; pero ahora, en la “recomendación-instructiva” propuesta profundiza esta interpretación ilegal carente de todo fundamento jurídico y lo declara formalmente.

V. En paralelo, las decisiones del Consejo al conocer de las acciones de amparo reguladas por el artículo 24 de la ley de acceso y transparencia que ya hemos cuestionado, han reflejado la falta de sensibilidad de un órgano que nace para transparentar con la necesidad de proteger la privacidad, tanto en cuanto datos personales procesados computacionalmente.  Sin volver a posteos y  publicaciones anteriores,  a la gravedad de ordenar la entrega a cualquiera y sin tener que declararse motivo que justifique la petición de los datos de los discapacitados registrados en el SERVEL y de las calificaciones de miles de funcionarios públicos, se suma una decisión que ordenaba que se entregara a un ciudadano que sólo perseguía fines de lucro el detalle de todas las operaciones de compraventa de bienes raíces celebradas durante varios años, lo que vulneraba normas expresas de secreto tributario y el artículo 19 N°4 de la Constitución; pero el Consejo no lo entendió así.

VI. Quizás por estos criterios reiterados y equivocados, un fallo de la Sexta Sala de la I. Corte de Apelaciones de Santiago de enero del 2011 ha llamado al orden al Consejo de Transparencia. La claridad de sus Considerandos es importante. Conociendo de un reclamo contra la Decisión del Consejo que obligaba a entregar a una persona que no invocaba motivos legítimos y que sólo tenía fines de lucro los detalles de las operaciones de compraventa de bienes raíces durante varios años, señaló: (i) en el considerando décimo tercero, que no se estaba pidiendo información alguna que hubiera sido ocultada, silenciada o no transparentada, sino que ella era de público acceso pero disponible en el Conservador de Bienes Raíces; (ii) en el décimo cuarto, que el servicio público que no entregó los datos no infringió los principios rectores de la ley 20.285 ni el espíritu del Constituyente, porque nada ocultó ni nada omitió; (iii) en el décimo quinto, que el reclamante de amparo al cual el Consejo le dio la razón en desmedro de la protección de datos personales no estaba con su petición contribuyendo a fortalecer la transparencia de la función pública ni a la reducción de los posibles ámbitos de corrupción y que no estaba ejerciendo un control democrático de la gestión estatal; y, (iv) en el décimo sexto, que las solicitudes de los peticionarios si debían contener intereses legítimos, ya que en caso contrario (aplicándose el criterio reiterado del Consejo) se caía en un caso de abuso del derecho.

El fallo fue confirmado por la Excelentísima Corte Suprema.

VII. Siempre a propósito de las malas interpretaciones del Consejo, están haciendo una muy mala aplicación de los artículos 4°, 5° y 10° de la ley 20.285. O bueno, una aplicación abiertamente contraria a los principios de la ley 19.628 y a la garantía del artículo 19 N°4.

Es esencial definir hasta dónde llega o cuál es el alcance jurídico de la referencia a “todo otro tipo de información que obre en poder de la Administración o que sea elaborada con fondos públicos”, de los artículos 5° y 10° de la ley 20.285, para entender -o no (que es nuestro parecer)- que los datos personales -per se- no se pueden considerar incluidos junto a los actos, contratos, resoluciones, procedimientos y documentos que deben ser públicos al estar en poder de los servicios públicos y accesibles para cualquier persona que los solicite, sin expresar causa o motivo legítimo.

No existe debate alguno en las actas parlamentarias que haya concluido en la opción de la inclusión; la institucionalidad de la protección de datos personales se opone a la inclusión; y no respetar lo establecido en los artículos 8° de la Constitución y 21 N°2 de la ley 20.285 para entender que en esta referencia amplia sólo se subsumen antecedentes que den cuenta de una gestión del Estado corrupta, poco transparente o poco proba y no datos personales o nominativos, ha llevado a que alguna Decisión del Consejo configure un caso de “abuso del derecho”.

Si bien a nivel del principios en el artículo 11° letra c) se consagra el principio de apertura o transparencia, conforme al cual “toda la información en poder de los órganos de la Administración del Estado” se presume pública, salvo leyes de quórum calificado que establezcan lo contrario, esta presunción de publicidad no puede extenderse, con fundamento jurídico serio, a los datos personales o nominativos.   Si a un servicio público se le solicitan directamente en sede de la ley 20.285 los nombres de los habitantes de una comuna, sus domicilios, sus direcciones de correo electrónico, sus profesiones, sus propiedades o sus estados de salud la respuesta debiera ser el rechazo, teniendo como fundamento o por este sólo hecho de tratarse de datos personales excluidos de las causales de solicitud, y antes de entrar al análisis de fondo en cuanto a la procedencia de la causal de reserva del artículo 21 N°2.

Lo anterior puede ser expresado a modo de fórmula: …si dado lo que disponen el artículo 8° de la Constitución, el artículo 7 letra i), el artículo 21 números 2° y 5° y el artículo 33 letra m) se concluye que el Constituyente el legislador de la ley 20.285 fueron sensibles    -desde el punto de vista de la Política Pública regulada- a la necesidad de proteger los datos personales y en definitiva la privacidad de los administrados, ….el alcance de los artículos 5° y 10° de la misma ley no puede interpretarse para comprender o subsumir dentro de la información que debe transparentarse, entregarse sin motivo o causa o publicarse a los datos nominativos de los ciudadanos, que no serían una especie de aquella “toda otra información que obre en poder de los órganos de la Administración” o de aquella referida como “toda información elaborada con presupuesto público”.

Adicionalmente, si retomamos el inciso segundo del artículo 5° de la ley 20.285 cuando establece que “es pública… toda otra información que obre en poder de los órganos de la Administración”, y tenemos presente la definición esencial del contenido del principio de transparencia del inciso segundo del artículo 4°, debe concluirse que sólo será pública la información administrativa que por su naturaleza sea factible de “facilitarse su acceso” a cualquier persona, sin que se le exija a ella expresión de causa o motivo al solicitar conocerla. Pues bien, esta condición no concurre respecto de los datos personales o nominativos de los administrados que sean tratados por los servicios públicos[2], porque ellos y en conformidad al artículo 12° de la ley 19.628 sólo son accesibles para su propio titular, y porque a su respecto existe -para los responsables del tratamiento en el órgano administrativo- la obligación general de secreto del artículo 7° de la misma ley.

VIII. Sigue pendiente y suena fuerte el afán del Consejo de Transparencia por desnaturalizarse, y transformarse en la nueva autoridad chilena de protección de datos personales.  Es decir, dejar de transparentar documentos del Estado para velar por la privacidad y confidencialidad de los datos personales de los chilenos -ya no tan sólo en el contexto de la gestión de los servicios públicos-, sin tener la idoneidad ni la preparación necesaria.

Esperan tener el presupuesto y el respaldo para hacerlo; siguen apostando a que se tramite un Boletín 6120 modificatorio de la ley 19.628, que presentado sin un debate previo y serio por el Minsegpres del 2009 se preparó para cumplir con los requisitos de incorporación a la OECD; afirma su Presidente que una supuesta mayoría doctrinaria apoyaría la opción de transformar al Consejo en el órgano de protección de datos para el sector privado, lo que es osado y confuso por decir lo menos; afirman seguir un modelo inglés, sin decir que bajo un mismo paraguas formal existen dos entes diversos y que ha sido deficitario para la protección de datos; minimizan la opción mayoritaria e idónea de que existan dos entes diferenciados, uno para la protección de datos y otro para el acceso a la información de la gestión del Estado, poniendo al mismo nivel las opciones deficitarias de Inglaterra y México con las de Canadá, Francia, España o Argentina; no avanzan en las propuestas de mejoras de fondo a la ley 19.628, y se contentan -sin crítica alguna- con decir que en 1999 no podía hacerse otra cosa porque sólo la evolución del tratamiento de datos personales la hizo tan deficitaria; y realizan lobby parlamentario y ante el Ejecutivo al efecto. Pero la solución que esperan los chilenos en materia de institucionalidad de protección de datos no pasa por asignar competencias a entes no idóneos.

Lamentablemente, siguen sin hacerse cargo de los argumentos en contrario de un informe neutral de una Escuela de Ingeniería que ellos mismos encargaron.  En las páginas 110 y 111 del estudio, de forma clara y directa, se consigna que no es idóneo tener en una misma institución las funciones de protección de datos y de acceso a la información; que la experiencia internacional recogida demuestra que en su gran mayoría los temas los abordan agencias diversas;  que es crítico el desconocer que se trata de “negocios” muy distintos, considerando los principios involucrados, las funciones que deben desarrollarse (transparentar una y resguardar la confidencialidad y privacidad de los datos personales), los sectores donde operan (no hay acceso en el sector privado) y que los conflictos de intereses se presentan también en ámbitos muy diversos.

rjl

TÉNGASE PRESENTE: …el texto definitivo fue publicado en el Diario Oficial del 14 de Septiembre del año 2011.

[1] Lo dicho, lo sostenemos pensando -por ejemplo- (i) en la obligación de velar por el resguardo y/o la confidencialidad de los datos personales de los ciudadanos -de sus antecedentes sociales y personales sensibles en sede de transparencia activa-, y (ii) ante la obligación de ponderar adecuadamente cuando conozca de un recurso de amparo al derecho de acceso el alcance de las causales de reserva o secreto establecidas en el artículo 21 de la ley 20.285, en cuanto se relacionen con los derechos de las personas, tratándose de su seguridad, su salud y de la esfera de su vida privada.

[2] La excepción estará dada por los datos personales que provengan de fuentes públicas a cuyo respecto el servicio público tenga competencia para darlos a conocer, o cuando estemos frente a datos personales contenidos en documentos como certificados o resoluciones que, también por ley, sea de la competencia exclusiva del servicio público el emitirlos (v.gr. Registro Civil, TGR, Aduana, SII, etcétera).

Un buen amigo reclama porque dice haber recibido un “SPAM” desde un Ministerio o servicio público…   Sobre la autoría del correo que lo invitaba a vivir sanamente no hay duda; fue desde “@presidencia.cl”, donde una empresa Masterbase sólo opero como prestador del servicio que actuó por encargo; …la cosa a dilucidar es que hará a futuro con la base de datos de las direcciones de correo, …si es que no era suya de antes y en definitiva no la recibió cedida desde el Gobierno como mi amigo parece creer.   Ojo: …aplicaron opt out, porque le ofrecieron removerlo.

Gran tema, se comparte la inquietud, pero hay mucho paño que cortar… Un dato: fui uno de los que se opuso a que se regulara en Chile el año 2006 y mediante un Decreto Supremo 93  el envío de correos desde los servicios públicos -en definitiva sólo se reguló acá el filtrado o la forma de eliminarlo-, porque los teóricos de turno entendían que el envío de DOS (léase bien, 2) correos en el año en el marco de sus funciones de servicio público y para beneficio de los ciudadanos debía ser “spam” y que debía pedírsele autorización expresa a los ciudadanos…

Entonces, primero consensuemos que entendemos por spam y después veamos si los servicios públicos pueden ser sancionados como spammers… Cabe entenderse por “spam” al envío indiscriminado de correos electrónicos no solicitados, “basura” o “chatarra” y generalmente con promociones comerciales, los que saturan casillas de correos electrónicos. No es necesario contar con una definición detallada o unívoca de esta práctica. Basta con tener presente un concepto que reúna algunas de las diversas características que se han consensuado y que, de concurrir -no necesariamente todas a la vez-, la transforman en una actividad nociva, perjudicial y eventualmente ilícita, si se hace en forma clandestina, masiva y abusiva.

Lo que no debe hacerse es caer en la simpleza de definírselos como “todo correo electrónico no deseado, no solicitado o no consentido” y de creer que así se engloban sus principales características, de partida porque un correo que se envía por ejemplo una única vez no causa perjuicio alguno al destinatario, y porque en definiciones tan simples cabría por ejemplo el caso de que un alumno de derecho o un colega abogado le enviaran un correo a otro abogado para formalizar un contacto, sin que ambos supieran que el destinatario no lo deseaba y no lo consentía, y por cierto sin haberlo solicitado el receptor.

El tema si está regulado para los servicios públicos; (i) en la Ley de Bases de la Administración del Estado, porque los recursos públicos sólo se pueden usar para fines de servicio público, y este sería el caso si la base de datos personales con las direcciones de correo hubiese sido alimentada, sin ruidos ni silencios, por el servicio público; (ii) en el artículo 20 de la ley 19.628, si es que tratar el dato dirección de correo y usarlo para comunicaciones con los ciudadanos fuera una de las competencias de derecho público de un servicio; y (iii) por el artículo 4° de la misma ley, si existiera una norma legal expresa que lo permitiera sin necesidad de pedirle autorización al ciudadano titular de la dirección de email. Agora, aggiornando: …existen incluso normas especiales que permiten las notificaciones y las citaciones de Derecho Público realizadas en forma electrónica o mediante casillas de correo electrónico.

Además, el referido Decreto Supremo 93 ha sido complementado por un Ordinario N°563 de fecha 25 de Abril del año 2007, del Ministerio Secretaría General de la Presidencia, que recogiendo los trabajos de un Subcomité de Gestión de Seguridad y Confidencialidad del Documento Electrónico, puso a disposición de los servicios públicos una “Guía Modelo de Protección de Casillas Electrónicas”. Sugiero leerlo… No obstante ser su contexto el de las formas técnicas y administrativas de evitar o minimizar “la recepción” de correos masivos, no solicitados y con promociones comerciales en los sistemas de los servicios públicos, desde otra perspectiva muy diversa, la Guía contiene un numeral Octavo referido a las consideraciones que deben tenerse presente en materia de “emisión” o envío de “spam” (es el término usado) desde redes gubernamentales, de cara a la responsabilidad del funcionario público “usuario” y a la del “administrador de los sistemas”.

En esencia, subyace la idea y la percepción en los redactores de la Guía   -que rechazamos por ilegal y no ajustada a la ley 19.628- que un órgano de la Administración del Estado debería enviar un correo electrónico (lo que técnicamente implica el tratamiento de un dato personal del ciudadano) con autorización previa del receptor (la que legalmente está dada); que el correo debería contener información clara y precisa sobre la fuente de origen del mensaje (lo que siempre ocurre tratándose de servicios públicos, que no operan en forma anónima); y, que se debería ofrecer al ciudadano un mecanismo efectivo para que pueda exigir su exclusión (es el criterio del opt-out) de la lista usada para el envío de los mensajes electrónicos.

El Subcomité de Gestión de Seguridad que redactó el documento consideró que, “consciente o inconscientemente“, las redes telemáticas de gobierno y sus usuarios se convertían en emisoras de spam, provocando -supuestamente, porque no realizaron levantamiento empírico serio- daños a la imagen de la red gubernamental, problemas de capacidad de respuesta en los servidores de correo institucional, desperdicio de ancho de banda nacional e internacional con flujos de correo basura y molestias a los ciudadanos receptores de los correos. Para este Subcomité, de legalidad cuestionable, resultó “relevante” que se tomara conciencia del problema -que en mi opinión es inexistente- y que se adoptaran las medidas necesarias para monitorearlo y controlarlo si se llegara a detectar algún “brote” de la actividad.

Entre las consideraciones sobre la posible responsabilidad de los  funcionarios  públicos “administradores de los sistemas de correo electrónico”, de manera genérica se señala que ellos deben velar porque las condiciones de seguridad de sus sistemas permitan minimizar las posibilidades de que ocurran emisiones de spam desde la red gubernamental, y de manera específica y esencialmente técnica, se sugiere, por ejemplo,  el generar reglas para controlar y monitorear los tráficos de correos salientes, o incluso, al extremo y ya alejándose definitivamente del envío de correos masivos, el establecer políticas para controlar el uso de aplicaciones “P2P” que se prestan para actividades ilegales cuando se intercambian creaciones digitales originales violándose las leyes de derecho de autor.

Es muy poco probable que los servicios públicos en Chile adquieren listas de correos en el mercado informal o, desde otra perspectiva, vendan o comercializen las bases de datos con las direcciones de correos de los ciudadanos que recopilan en el marco de su función pública. Es que si lo hacen, el sumario por la responsabilidad administrativa “caería de cajón…”. Además que al no poseer competencia para hacerlo y al recaer en principio sobre ellos la obligación general de secreto del artículo 7° de la ley 19.628, este proceder sería ilegal y negligente, sancionable incluso penalmente por el artículo 4° de la ley 19.223 si fuera el funcionario responsable del sistema el que revelase las cuentas de correo.

Los servicios públicos  tampoco podrían incurrir en prácticas en las que concurran algunas de las posibles notas características más perjudiciales del spam en el sector privado, esto es: (i) no envían correos electrónicos en forma masiva y reiterativa; (ii) al enviar un correo electrónico no lo hacen de forma anónima sino que se contiene la identidad del emisor y del receptor del mensaje; (iii) no realizan promociones comerciales o publicidad no solicitada; (iv) no actúan fuera de su competencia legal; y, (v) no operan usando direcciones de correo adquiridas ilícitamente en el mercado informal sino sólo las de sus propias bases de datos. Creo que no es el caso que le afectó a mi amigo….

Incluso más: los servicios públicos son competentes y no pueden desviar la data nominativa “direcciones de correo electrónico” que identifica a los ciudadanos que recogen para cumplir sus obligaciones legales para “fines diversos” -por ejemplo una campaña política partidista en período de elecciones-, porque serían responsables legal, constitucional, administrativa y civilmente en conformidad a las leyes generales, de la actuación indebida, del mal uso del dato personal dirección de correo electrónico y de los eventuales perjuicios ocasionados al administrado.

Ojo, a lo mejor se pensó que si en Chile el spam todavía es legal en el sector privado, bajo ciertos respectos, podía entenderse que esta validación alcanza a generar competencia  para que un servicio público promueva sus servicios entre los ciudadanos. Pero la respuesta es negativa, toda vez que la validación requiere que estemos en los supuestos de la ley de derechos del consumidor, esto es, que el correo lo envíe un comerciante a un consumidor o posible cliente, y que el contenido consista en la oferta comercial de un bien o de la prestación de un servicio.

¿La sugerencia a mi amigo? …presentar un recurso de habeas data del artículo 12 de la ley 19.628, para que le informen dentro de 48 horas como obtuvieron su dato personal dirección de correo electrónico y con que fin lo usan, pudiendo pedir que lo eliminen.

rjl