Desde el punto de vista del marketing se promueve como la ley que pondrá fin en Chile al sistema de las empresas de informes comerciales, como “Dicom”.

Su error de fondo es creer que el tratamiento de datos personales negativos tiene como única finalidad la evaluación de riesgos para el proceso de otorgamiento de créditos. De aprobarse esta capitis diminutio para las empresas de información comercial sería grave, y la protección de los miles de ciudadanos informados se acercaría a un “perdonazo” de su insolvencia a esta fecha.   

En la legislación extranjera, por las leyes de buros de crédito, y en Chile, por la ley 19.628, la publicación o la comunicación a terceros de información comercial negativa sobre insolvencia patrimonial o sobre mora y protestos es legal. El orden público económico o la economía de una sociedad  requiere estabilidad, y ella se logra con algún grado -limitado en el tiempo- de transparencia para las conductas  que puedan perjudicar el comercio. Un vendedor necesita saber si su comprador es habitué a girar cheques sin fondos que son protestados; una arrendador necesita saber si su eventual arrendatario es insolvente; la posible aceptación de una persona como aval o fiador de otra requiere saber si posee estabilidad comercial;  se necesita la posibilidad de verificar el domicilio real de una persona para poder demandarla;  y una empresa pyme necesita lograr el cobro de sus facturas impagas publicando la morosidad en el pago de sus clientes -publicados los deudores pagan, sin necesidad de juicios ejecutivos-   

De modo alguno esto pone en juego la privacidad de las personas. Porque sobre esta garantía prima el bien común que reclama estabilidad, seguridad y certeza para el comercio y la actividad empresarial. Y, porque si la deuda de dinero es verdadera no forma parte de la privacidad porque sale de la esfera personal y afecta a un tercero que es el acreedor.

La solución propuesta no es la adecuada para evitar los malos usos de la información comercial negativa que al sistema se informa. Si a esta fecha se detectan discriminaciones y perjuicios para una persona al acudir a una clínica, para en trabajador que no es contratado, para una familia al no ingresar a un colegio o para la negativa en la prestación de un servicio básico, lo que debe hacerse es sancionarse duramente esos abusos, estableciéndose multas y obligaciones de responder por escrito y fundadamente y creándose una institucionalidad al efecto. Dicho de otra forma: hay que hacer el trabajo largo que es crear leyes de burós de crédito y corregir las distorsiones, pero no beneficiando a incumplidores y perjudicando a los que se benefician con la publicación de datos sobre insolvencia.

Lo anterior, ha sido entendido por otro proyecto de ley, elaborado transversalmente por la Comisión de Economía del Senado y que está pendiente de patrocinio por el Gobierno. No sólo se contemplan altísimas multas para el uso indebido o no acorde a la finalidad para la cual los datos son recopilados y procesados, sino que se propone la creación de una Superintendencia de Bases y Bancos de Datos.

Si bien es cierto el documento es un buen resumen dogmático de la ley 19.628 de Chile -a lo cual contribuimos con un Informe en Derecho encargado por el Consejo al efecto-, esta competencia que le asignó el artículo 33 letra m de la ley 20.285, consistente en “velar por la aplicación de la ley 19.628 en los servicios públicos”,  no puede leerse sino como un complemento de las otras normas de la ley de acceso a la información y transparencia[1] y no como un mandato abierto para “instruir” bajo la denominación de “recomendación”, reglamentar y establecer nuevos requisitos no contemplados en el texto de la ley 19.628, crear procedimientos de reclamo de habeas data ilegales, y darse competencia para conocer alternativamente de los recursos del artículo 12 de la ley 19.628, lo que nunca estuvo ni en el espíritu ni en el debate del legislador de la ley 20.285.

“Cuando la ley 20.285 se refiere a las facultades de dictar instrucciones y recomendaciones declara explícitamente la dimensión en la que se puede mover el Consejo y en ella no queda comprendida la protección de datos. De ahí en adelante, y sin ese piso legal, lo que viene es ilegal…”. Lo establecido en el artículo 33 letra m) es  además una competencia limitada. Esta facultad no se puede extender al punto de considerar que estamos frente a la nueva Autoridad o Agencia de Protección de Datos chilena, y de creer que el Consejo posee competencia procesal y administrativa para conocer de reclamos en que un titular y respecto de sus propios datos pesonales ejerza los derechos del artículo 12 (“ARCO”, por acceso y otros)  o invoque la no aplicación o respeto de la ley 19.628 por los servicios públicos.

II. Falta en esta recomendación alguna referencia a los artículos 7° y 21 N°2 de la ley 20.285. Es decir, para empezar diciéndole a los servicios públicos que no transparenten activamente más datos personales que aquellos que excepcionalmente se permite (remuneraciones y subsidios asignados); y para recalcarles que es causal de secreto o reserva y de no entrega cuando se soliciten documentos sobre su gestión que contengan datos sobre la vida privada de los ciudadanos o, derechamente, únicamente cuando se les pidan estos datos en forma aislada. La omisión se explica porque el Consejo no es un autoridad de protección de datos y ya  han demostrado que no llevan en su ADN la importancia de velar por la privacidad de los chilenos.

III. La relación entre la protección de datos personales o el habeas data y el derecho de acceso a la información de la gestión del Estado no son, de modo alguno, “las dos caras de la misma moneda”. Aunque David Banisar lo haya escrito así y el Consejo de Transparencia lo amplifique. De hecho, la cara del  habeas data de la ley 19.628 es esencial en un mundo no relacionado con la gestión de los servicios públicos, es decir, en el sector privado y para que las personas controlen sólo el uso de sus datos personales.

A propósito de la gestión de los órganos del Estado, con el norte de transparentarla para evitar faltas a la probidad y corrupción que es la razón de ser de la ley 20.285, tanto el artículo 8° de la Constitución de 1980 como los artículos 7° y 21 de la ley de acceso son claros en el sentido de la necesidad de restringir y resguardar la reserva y confidencialidad de los datos personales. Lo que en verdad ocurre que son monedas o billetes de diverso cuño y de distinto valor que sirven para conflictos jurídicos diversos.

Y tampoco la “protección de datos personales”, que nace en la década de los 70, es una especie del moderno género de “acceso a la información” del Estado; la primera es una restricción del segundo, y no debe perderse de vista esta idea. Como tampoco debe olvidarse que el habeas data del artículo 12 de la ley 19.628 no necesita para ser ejercido de un ámbito de posible falta de transparencia, posible falta de probidad o posible corrupción, que es el único donde puede operar con competencia el Consejo de Transparencia.

IV. No es menor que el Consejo olvide que tanto las competencias como las interpretaciones de Derecho Público sólo deben hacerse por ley o por órganos (como el Tribunal Constitucional) con competencia para hacerlo, que no es el caso del Consejo. Ahora al “instruir” bajo la carátula formal de “recomendar” en los numerales 5.1 inciso 4° y 5.12 inciso 3° pretende ilegalmente autoasignarse la competencia de conocer directa y alternativamente de los habeas data contemplados en el artículo 12 de la ley 19.628; es delicado. Dicen que si un titular de datos personales no quiere seguir el camino judicial para ejercer el habeas data del artículo 12 puede optar por hacerlo ante el Consejo de Transparencia; y esto, asignarse competencias de Derecho Público, es ilegal.

Ya antes el Consejo había interpretado que  cuando se pedía un documento con datos personales y aunque el recurrente en virtud del amparo del artículo 24 de la ley 20.285 no lo supiera ni tuviera la intención de hacerlo, se estaba ejerciendo tácitamente una especie de habeas data “impropio” .  No se debe olvidar que se trata de un derecho personalísimo que sólo puede ejercerse expresamente, por los propios titulares de los datos personales y en la forma que establece la ley 19.628; pero ahora, en la “recomendación-instructiva” propuesta profundiza esta interpretación ilegal carente de todo fundamento jurídico y lo declara formalmente.

V. En paralelo, las decisiones del Consejo al conocer de las acciones de amparo reguladas por el artículo 24 de la ley de acceso y transparencia que ya hemos cuestionado, han reflejado la falta de sensibilidad de un órgano que nace para transparentar con la necesidad de proteger la privacidad, tanto en cuanto datos personales procesados computacionalmente.  Sin volver a posteos y  publicaciones anteriores,  a la gravedad de ordenar la entrega a cualquiera y sin tener que declararse motivo que justifique la petición de los datos de los discapacitados registrados en el SERVEL y de las calificaciones de miles de funcionarios públicos, se suma una decisión que ordenaba que se entregara a un ciudadano que sólo perseguía fines de lucro el detalle de todas las operaciones de compraventa de bienes raíces celebradas durante varios años, lo que vulneraba normas expresas de secreto tributario y el artículo 19 N°4 de la Constitución; pero el Consejo no lo entendió así.

VI. Quizás por estos criterios reiterados y equivocados, un fallo de la Sexta Sala de la I. Corte de Apelaciones de Santiago de enero del 2011 ha llamado al orden al Consejo de Transparencia. La claridad de sus Considerandos es importante. Conociendo de un reclamo contra la Decisión del Consejo que obligaba a entregar a una persona que no invocaba motivos legítimos y que sólo tenía fines de lucro los detalles de las operaciones de compraventa de bienes raíces durante varios años, señaló: (i) en el considerando décimo tercero, que no se estaba pidiendo información alguna que hubiera sido ocultada, silenciada o no transparentada, sino que ella era de público acceso pero disponible en el Conservador de Bienes Raíces; (ii) en el décimo cuarto, que el servicio público que no entregó los datos no infringió los principios rectores de la ley 20.285 ni el espíritu del Constituyente, porque nada ocultó ni nada omitió; (iii) en el décimo quinto, que el reclamante de amparo al cual el Consejo le dio la razón en desmedro de la protección de datos personales no estaba con su petición contribuyendo a fortalecer la transparencia de la función pública ni a la reducción de los posibles ámbitos de corrupción y que no estaba ejerciendo un control democrático de la gestión estatal; y, (iv) en el décimo sexto, que las solicitudes de los peticionarios si debían contener intereses legítimos, ya que en caso contrario (aplicándose el criterio reiterado del Consejo) se caía en un caso de abuso del derecho.

El fallo fue confirmado por la Excelentísima Corte Suprema.

VII. Siempre a propósito de las malas interpretaciones del Consejo, están haciendo una muy mala aplicación de los artículos 4°, 5° y 10° de la ley 20.285. O bueno, una aplicación abiertamente contraria a los principios de la ley 19.628 y a la garantía del artículo 19 N°4.

Es esencial definir hasta dónde llega o cuál es el alcance jurídico de la referencia a “todo otro tipo de información que obre en poder de la Administración o que sea elaborada con fondos públicos”, de los artículos 5° y 10° de la ley 20.285, para entender -o no (que es nuestro parecer)- que los datos personales -per se- no se pueden considerar incluidos junto a los actos, contratos, resoluciones, procedimientos y documentos que deben ser públicos al estar en poder de los servicios públicos y accesibles para cualquier persona que los solicite, sin expresar causa o motivo legítimo.

No existe debate alguno en las actas parlamentarias que haya concluido en la opción de la inclusión; la institucionalidad de la protección de datos personales se opone a la inclusión; y no respetar lo establecido en los artículos 8° de la Constitución y 21 N°2 de la ley 20.285 para entender que en esta referencia amplia sólo se subsumen antecedentes que den cuenta de una gestión del Estado corrupta, poco transparente o poco proba y no datos personales o nominativos, ha llevado a que alguna Decisión del Consejo configure un caso de “abuso del derecho”.

Si bien a nivel del principios en el artículo 11° letra c) se consagra el principio de apertura o transparencia, conforme al cual “toda la información en poder de los órganos de la Administración del Estado” se presume pública, salvo leyes de quórum calificado que establezcan lo contrario, esta presunción de publicidad no puede extenderse, con fundamento jurídico serio, a los datos personales o nominativos.   Si a un servicio público se le solicitan directamente en sede de la ley 20.285 los nombres de los habitantes de una comuna, sus domicilios, sus direcciones de correo electrónico, sus profesiones, sus propiedades o sus estados de salud la respuesta debiera ser el rechazo, teniendo como fundamento o por este sólo hecho de tratarse de datos personales excluidos de las causales de solicitud, y antes de entrar al análisis de fondo en cuanto a la procedencia de la causal de reserva del artículo 21 N°2.

Lo anterior puede ser expresado a modo de fórmula: …si dado lo que disponen el artículo 8° de la Constitución, el artículo 7 letra i), el artículo 21 números 2° y 5° y el artículo 33 letra m) se concluye que el Constituyente el legislador de la ley 20.285 fueron sensibles    -desde el punto de vista de la Política Pública regulada- a la necesidad de proteger los datos personales y en definitiva la privacidad de los administrados, ….el alcance de los artículos 5° y 10° de la misma ley no puede interpretarse para comprender o subsumir dentro de la información que debe transparentarse, entregarse sin motivo o causa o publicarse a los datos nominativos de los ciudadanos, que no serían una especie de aquella “toda otra información que obre en poder de los órganos de la Administración” o de aquella referida como “toda información elaborada con presupuesto público”.

Adicionalmente, si retomamos el inciso segundo del artículo 5° de la ley 20.285 cuando establece que “es pública… toda otra información que obre en poder de los órganos de la Administración”, y tenemos presente la definición esencial del contenido del principio de transparencia del inciso segundo del artículo 4°, debe concluirse que sólo será pública la información administrativa que por su naturaleza sea factible de “facilitarse su acceso” a cualquier persona, sin que se le exija a ella expresión de causa o motivo al solicitar conocerla. Pues bien, esta condición no concurre respecto de los datos personales o nominativos de los administrados que sean tratados por los servicios públicos[2], porque ellos y en conformidad al artículo 12° de la ley 19.628 sólo son accesibles para su propio titular, y porque a su respecto existe -para los responsables del tratamiento en el órgano administrativo- la obligación general de secreto del artículo 7° de la misma ley.

VIII. Sigue pendiente y suena fuerte el afán del Consejo de Transparencia por desnaturalizarse, y transformarse en la nueva autoridad chilena de protección de datos personales.  Es decir, dejar de transparentar documentos del Estado para velar por la privacidad y confidencialidad de los datos personales de los chilenos -ya no tan sólo en el contexto de la gestión de los servicios públicos-, sin tener la idoneidad ni la preparación necesaria.

Esperan tener el presupuesto y el respaldo para hacerlo; siguen apostando a que se tramite un Boletín 6120 modificatorio de la ley 19.628, que presentado sin un debate previo y serio por el Minsegpres del 2009 se preparó para cumplir con los requisitos de incorporación a la OECD; afirma su Presidente que una supuesta mayoría doctrinaria apoyaría la opción de transformar al Consejo en el órgano de protección de datos para el sector privado, lo que es osado y confuso por decir lo menos; afirman seguir un modelo inglés, sin decir que bajo un mismo paraguas formal existen dos entes diversos y que ha sido deficitario para la protección de datos; minimizan la opción mayoritaria e idónea de que existan dos entes diferenciados, uno para la protección de datos y otro para el acceso a la información de la gestión del Estado, poniendo al mismo nivel las opciones deficitarias de Inglaterra y México con las de Canadá, Francia, España o Argentina; no avanzan en las propuestas de mejoras de fondo a la ley 19.628, y se contentan -sin crítica alguna- con decir que en 1999 no podía hacerse otra cosa porque sólo la evolución del tratamiento de datos personales la hizo tan deficitaria; y realizan lobby parlamentario y ante el Ejecutivo al efecto. Pero la solución que esperan los chilenos en materia de institucionalidad de protección de datos no pasa por asignar competencias a entes no idóneos.

Lamentablemente, siguen sin hacerse cargo de los argumentos en contrario de un informe neutral de una Escuela de Ingeniería que ellos mismos encargaron.  En las páginas 110 y 111 del estudio, de forma clara y directa, se consigna que no es idóneo tener en una misma institución las funciones de protección de datos y de acceso a la información; que la experiencia internacional recogida demuestra que en su gran mayoría los temas los abordan agencias diversas;  que es crítico el desconocer que se trata de “negocios” muy distintos, considerando los principios involucrados, las funciones que deben desarrollarse (transparentar una y resguardar la confidencialidad y privacidad de los datos personales), los sectores donde operan (no hay acceso en el sector privado) y que los conflictos de intereses se presentan también en ámbitos muy diversos.

rjl

TÉNGASE PRESENTE: …el texto definitivo fue publicado en el Diario Oficial del 14 de Septiembre del año 2011.

[1] Lo dicho, lo sostenemos pensando -por ejemplo- (i) en la obligación de velar por el resguardo y/o la confidencialidad de los datos personales de los ciudadanos -de sus antecedentes sociales y personales sensibles en sede de transparencia activa-, y (ii) ante la obligación de ponderar adecuadamente cuando conozca de un recurso de amparo al derecho de acceso el alcance de las causales de reserva o secreto establecidas en el artículo 21 de la ley 20.285, en cuanto se relacionen con los derechos de las personas, tratándose de su seguridad, su salud y de la esfera de su vida privada.

[2] La excepción estará dada por los datos personales que provengan de fuentes públicas a cuyo respecto el servicio público tenga competencia para darlos a conocer, o cuando estemos frente a datos personales contenidos en documentos como certificados o resoluciones que, también por ley, sea de la competencia exclusiva del servicio público el emitirlos (v.gr. Registro Civil, TGR, Aduana, SII, etcétera).

Gran tema, se comparte la inquietud, pero hay mucho paño que cortar… Un dato: fui uno de los que se opuso a que se regulara en Chile el año 2006 y mediante un Decreto Supremo 93  el envío de correos desde los servicios públicos -en definitiva sólo se reguló acá el filtrado o la forma de eliminarlo-, porque los teóricos de turno entendían que el envío de DOS (léase bien, 2) correos en el año en el marco de sus funciones de servicio público y para beneficio de los ciudadanos debía ser “spam” y que debía pedírsele autorización expresa a los ciudadanos…

Entonces, primero consensuemos que entendemos por spam y después veamos si los servicios públicos pueden ser sancionados como spammers… Cabe entenderse por “spam” al envío indiscriminado de correos electrónicos no solicitados, “basura” o “chatarra” y generalmente con promociones comerciales, los que saturan casillas de correos electrónicos. No es necesario contar con una definición detallada o unívoca de esta práctica. Basta con tener presente un concepto que reúna algunas de las diversas características que se han consensuado y que, de concurrir -no necesariamente todas a la vez-, la transforman en una actividad nociva, perjudicial y eventualmente ilícita, si se hace en forma clandestina, masiva y abusiva.

Lo que no debe hacerse es caer en la simpleza de definírselos como “todo correo electrónico no deseado, no solicitado o no consentido” y de creer que así se engloban sus principales características, de partida porque un correo que se envía por ejemplo una única vez no causa perjuicio alguno al destinatario, y porque en definiciones tan simples cabría por ejemplo el caso de que un alumno de derecho o un colega abogado le enviaran un correo a otro abogado para formalizar un contacto, sin que ambos supieran que el destinatario no lo deseaba y no lo consentía, y por cierto sin haberlo solicitado el receptor.

El tema si está regulado para los servicios públicos; (i) en la Ley de Bases de la Administración del Estado, porque los recursos públicos sólo se pueden usar para fines de servicio público, y este sería el caso si la base de datos personales con las direcciones de correo hubiese sido alimentada, sin ruidos ni silencios, por el servicio público; (ii) en el artículo 20 de la ley 19.628, si es que tratar el dato dirección de correo y usarlo para comunicaciones con los ciudadanos fuera una de las competencias de derecho público de un servicio; y (iii) por el artículo 4° de la misma ley, si existiera una norma legal expresa que lo permitiera sin necesidad de pedirle autorización al ciudadano titular de la dirección de email. Agora, aggiornando: …existen incluso normas especiales que permiten las notificaciones y las citaciones de Derecho Público realizadas en forma electrónica o mediante casillas de correo electrónico.

Además, el referido Decreto Supremo 93 ha sido complementado por un Ordinario N°563 de fecha 25 de Abril del año 2007, del Ministerio Secretaría General de la Presidencia, que recogiendo los trabajos de un Subcomité de Gestión de Seguridad y Confidencialidad del Documento Electrónico, puso a disposición de los servicios públicos una “Guía Modelo de Protección de Casillas Electrónicas”. Sugiero leerlo… No obstante ser su contexto el de las formas técnicas y administrativas de evitar o minimizar “la recepción” de correos masivos, no solicitados y con promociones comerciales en los sistemas de los servicios públicos, desde otra perspectiva muy diversa, la Guía contiene un numeral Octavo referido a las consideraciones que deben tenerse presente en materia de “emisión” o envío de “spam” (es el término usado) desde redes gubernamentales, de cara a la responsabilidad del funcionario público “usuario” y a la del “administrador de los sistemas”.

En esencia, subyace la idea y la percepción en los redactores de la Guía   -que rechazamos por ilegal y no ajustada a la ley 19.628- que un órgano de la Administración del Estado debería enviar un correo electrónico (lo que técnicamente implica el tratamiento de un dato personal del ciudadano) con autorización previa del receptor (la que legalmente está dada); que el correo debería contener información clara y precisa sobre la fuente de origen del mensaje (lo que siempre ocurre tratándose de servicios públicos, que no operan en forma anónima); y, que se debería ofrecer al ciudadano un mecanismo efectivo para que pueda exigir su exclusión (es el criterio del opt-out) de la lista usada para el envío de los mensajes electrónicos.

El Subcomité de Gestión de Seguridad que redactó el documento consideró que, “consciente o inconscientemente“, las redes telemáticas de gobierno y sus usuarios se convertían en emisoras de spam, provocando -supuestamente, porque no realizaron levantamiento empírico serio- daños a la imagen de la red gubernamental, problemas de capacidad de respuesta en los servidores de correo institucional, desperdicio de ancho de banda nacional e internacional con flujos de correo basura y molestias a los ciudadanos receptores de los correos. Para este Subcomité, de legalidad cuestionable, resultó “relevante” que se tomara conciencia del problema -que en mi opinión es inexistente- y que se adoptaran las medidas necesarias para monitorearlo y controlarlo si se llegara a detectar algún “brote” de la actividad.

Entre las consideraciones sobre la posible responsabilidad de los  funcionarios  públicos “administradores de los sistemas de correo electrónico”, de manera genérica se señala que ellos deben velar porque las condiciones de seguridad de sus sistemas permitan minimizar las posibilidades de que ocurran emisiones de spam desde la red gubernamental, y de manera específica y esencialmente técnica, se sugiere, por ejemplo,  el generar reglas para controlar y monitorear los tráficos de correos salientes, o incluso, al extremo y ya alejándose definitivamente del envío de correos masivos, el establecer políticas para controlar el uso de aplicaciones “P2P” que se prestan para actividades ilegales cuando se intercambian creaciones digitales originales violándose las leyes de derecho de autor.

Es muy poco probable que los servicios públicos en Chile adquieren listas de correos en el mercado informal o, desde otra perspectiva, vendan o comercializen las bases de datos con las direcciones de correos de los ciudadanos que recopilan en el marco de su función pública. Es que si lo hacen, el sumario por la responsabilidad administrativa “caería de cajón…”. Además que al no poseer competencia para hacerlo y al recaer en principio sobre ellos la obligación general de secreto del artículo 7° de la ley 19.628, este proceder sería ilegal y negligente, sancionable incluso penalmente por el artículo 4° de la ley 19.223 si fuera el funcionario responsable del sistema el que revelase las cuentas de correo.

Los servicios públicos  tampoco podrían incurrir en prácticas en las que concurran algunas de las posibles notas características más perjudiciales del spam en el sector privado, esto es: (i) no envían correos electrónicos en forma masiva y reiterativa; (ii) al enviar un correo electrónico no lo hacen de forma anónima sino que se contiene la identidad del emisor y del receptor del mensaje; (iii) no realizan promociones comerciales o publicidad no solicitada; (iv) no actúan fuera de su competencia legal; y, (v) no operan usando direcciones de correo adquiridas ilícitamente en el mercado informal sino sólo las de sus propias bases de datos. Creo que no es el caso que le afectó a mi amigo….

Incluso más: los servicios públicos son competentes y no pueden desviar la data nominativa “direcciones de correo electrónico” que identifica a los ciudadanos que recogen para cumplir sus obligaciones legales para “fines diversos” -por ejemplo una campaña política partidista en período de elecciones-, porque serían responsables legal, constitucional, administrativa y civilmente en conformidad a las leyes generales, de la actuación indebida, del mal uso del dato personal dirección de correo electrónico y de los eventuales perjuicios ocasionados al administrado.

Ojo, a lo mejor se pensó que si en Chile el spam todavía es legal en el sector privado, bajo ciertos respectos, podía entenderse que esta validación alcanza a generar competencia  para que un servicio público promueva sus servicios entre los ciudadanos. Pero la respuesta es negativa, toda vez que la validación requiere que estemos en los supuestos de la ley de derechos del consumidor, esto es, que el correo lo envíe un comerciante a un consumidor o posible cliente, y que el contenido consista en la oferta comercial de un bien o de la prestación de un servicio.

¿La sugerencia a mi amigo? …presentar un recurso de habeas data del artículo 12 de la ley 19.628, para que le informen dentro de 48 horas como obtuvieron su dato personal dirección de correo electrónico y con que fin lo usan, pudiendo pedir que lo eliminen.

rjl

Cordialmente,

rjl

En efecto, en las decisiones de amparo del año 2010 Roles C134-10 y C178-10 del año 2010, y en la decisión Rol C49-11 del año 2011, el Consejo ha entendido que cuando un reclamante o recurrente de amparo ante una negativa de entrega de información de un servicio público ejerce el acceso a la información y documentación administrativa en conformidad a las normas y procedimientos de la ley 20.285  -concretamente para conocer el contenido de documentos en cuyo contenido se consignen datos sensibles tales como certificados o diagnósticos médicos, copias de declaraciones policiales o fichas clínicas-,  “…es posible verificar que el titular de los datos está haciendo uso del habeas data, particularmente el ejercicio del derecho de acceso a los datos de carácter personal que obren en poder de un tercero”, en conformidad al artículo 12 de la ley 19.628.

Este derecho personalísimo que debe ejercerse sólo expresa y directamente por el propio titular de los datos personales ante el responsable de las bases de datos en primer lugar y ante los Tribunales de Justicia en segunda instancia, el Consejo de Transparencia entiende que tácita, implícita y paralelamente también “…puede efectuarse en sede de derecho de acceso a la información pública”; y consecuentemente -aunque no lo dicen- ellos -el Consejo o los Consejeros- y no los Tribunales de Justicia en conformidad al artículo 16 de la ley 19.628, tendrían la competencia para conocer de los reclamos contra el servicio público responsable de la base de datos o registro donde estaban contenidos los datos personales o nominativos que no se permitieron conocer.

Se puede ver como a unos mismos hechos y ante acciones entabladas por el titular de los datos teniendo como fundamento la ley 20.285, que permite acceder a información que conste exclusivamente en actos, resoluciones, actas, expedientes, contratos y acuerdos o en un formato o soportes determinados, es el Consejo de Transparencia el que forzadamente les asigna o atribuye una calificación jurídica distinta, teniendo en mente o aplicándoles las disposiciones de la ley 19.628.

La primera de las decisiones de amparo, de Junio del año 2010 y que rola bajo el número C134-10, se dictó ante el requerimiento formulado a Carabineros de Chile para que entregara un diagnóstico médico que contenía, obviamente y respecto del requirente de amparo de la ley 20.285, datos sensibles y reservados que le concernían al referirse a su salud psíquica y que son definidos en el artículo 2° letra g de la ley 19.628. En ella, y luego de aludirse a los artículos 12 y 16 de la ley 19.628, en el considerando noveno se señala que sin perjuicio de lo dispuesto en la ley de protección de datos personales, la solicitud de saberse cómo Carabineros de Chile obtuvo el diagnóstico psiquiátrico “…puede ser amparada por la Ley de Transparencia en los términos que ésta establece, esto es, sólo en cuanto el reclamante requirió acceder a uno o más documentos que den cuenta de la obtención de sus datos personales”. Discrepamos de este criterio, que implica auto-atribuirse en derecho competencias de Derecho Público que no se le encomendaron, haciendo interpretaciones -también de Derecho Público- que sólo pueden hacerse por ley; en la especie, el recurrente debía haber presentado expresa y directamente una acción del habeas data del artículo 12 de la ley 19.628 en contra de Carabineros de Chile, y de ser rechazada o no contestada, dentro de 48 horas tendría que haber recurrido ante los tribunales de justicia y no ante el Consejo de Transparencia.

La segunda de las decisiones de amparo, de Julio del año 2010 y que rola bajo el número C178-10, se dictó ante el requerimiento formulado para acceder a la copia de una declaración verificada ante la BRIDEC de la Policía de Investigaciones de Chile (PDI), en el contexto de una denuncia por un posible delito de malversación de caudales públicos. En este caso y nuevamente en el terreno de las interpretaciones, en el considerando octavo el Consejo señala que en este caso “…se puede apreciar que el reclamante está haciendo uso del habeas data” -en el hecho, paralelamente, de forma implícita y no expresa como en derecho debe hacerse- del artículo 12 de la ley 19.628, y que según lo ya resuelto en la decisión C134-10, tanto en el ejercicio del derecho de acceso a la información pública como en el ejercicio del habeas data puede accederse al contenido de la declaración que se prestó ante la PDI.

http://www.habeasdataorg.cl/2008/01/27/internet-no-siempre-es-la-culpable-de-violar-la-privacidad%E2%80%A6/

Hoy, la prensa da cuenta de nuevos cuestionamientos por este tema a la empresa Google:

http://www.elpais.com/articulo/sociedad/Google/enfrenta/Espana/borrado/datos/personales/elpepusoc/20110118elpepisoc_3/Tes#despiece2

…En esta pasada estamos con Google; hay irracionalidad en responsabilizar jurídicamente por los contenidos de internet no a los distintos usuarios que los “hostean”, “suben” o almacenan en los servidores de los ISP, sino a una empresa que permite técnicamente localizarlos, relacionarlos y consultarlos en segundos. Es una idea censuradora que también se ha propuesto en Chile, sea para que se impida el acceso a contenidos protegidos por la propiedad intelectual, sea para que se eliminen antecedentes personales de los ciudadanos.

La responsabilidad es del sitio web que origina los contenidos; el buscador sólo enlaza lo que está disponible on line; lo que pasa es que la APD de España es un ente administrativo y hay que ver que resuelven los tribunales; el caso mas famoso es el de un profesor que en un ayuntamiento fue multado por orinar en la vía pública, y la multa se publicó en la página del municipio; “técnica y algorítmicamente” google la enlazó en una búsqueda y los alumnos supieron; pero no es responsabilidad del buscador; si el sitio del ayuntamiento baja la información de la multa, google nada encontrará…

rjl

Captación de datos personales.

Respecto al uso de cámaras en calles, plazas o lugares públicos para registrar videos, imágenes o fotos y en definitiva conductas de personas identificadas o identificables o datos personales, y a propósito del cuestionado proyecto de la empresa Google y su sistema “Street View”, cabe preguntarse si la legislación chilena protege al ciudadano en caso que él no quiera que su casa, su patente de auto o su cara se vean disponibles en Internet.

Puede responderse a priori que no, porque al ser en la vía pública lo filmado por Google con sus cámaras móviles, la empresa quedaría habilitada después procesar o tratar libre, arbitraria y electrónicamente los antecedentes que identifican a una persona. ¿Parafraseando el latín, sería algo así como “pública res, sed pública”?. Pero, si se analiza bien, en la medida que luego de ser grabada se la identifica o se le individualiza se está operando con antecedentes nominativos o personales…, en definitiva, con sus derechos de privacidad, a la imagen e incluso a la honra si se le localiza en un lugar indebido o cuestionable.

Jurídicamente, estas personas individualizadas en base a sus antecedentes están formalmente protegidos por la ley 19.628 sobre tratamiento de datos personales, que en el artículo cuarto exige “autorización previa del titular” o “habilitación de una norma legal”.

Por cierto, en sede de protección de datos personales habría también que definir si “la calle” es una fuente pública de datos personales, porque de ser así, en Chile si se podrían procesar sin autorización y en forma legal videos, imágenes o fotos. Pero los datos personales le pertenecen a la persona individualizada o que se pueda reconocer, y no cabría considerar -con fundamento sólido- que por estar en la vía pública una persona (la registrada) autoriza “tácitamente” a que se haga con sus datos lo que quiera el que los recolecta, e incluso antes, siquiera que los recolecte y los almacene.

Acceso a redes inalámbricas.

Sobre éstas, la pregunta a plantearse es si una empresa como Google puede captar en Chile -en forma legal o lícita- datos que estaban circulando por redes WiFi no encriptadas o no cerradas por sus propietarios . Cabe considerar que el análisis podría ser distinto si lo hacen por casualidad o intencionalmente. En segundo lugar, habría que analizar qué hace después una empresa como Google con los datos captados o accesados, sobre todo si se trata de correos personales o de claves de acceso, que es lo realmente relevante.

Dicho de otra forma: ¿sería dable sancionar la captación “por error o sin intención” de datos que circulan en redes inalámbricas no encriptadas, máxime cuando la exigencia de dolo específico es uno de los elementos del tipo del delito de acceso no autorizado a un sistema de tratamiento de información del artículo 2° de la ley 19.223?. Recuérdese que sólo se sanciona a quien “con el ánimo de” apoderarse, usar o conocer, “indebidamente” de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, con presidio menor en su grado mínimo a medio.

En el caso de que la captación de Google no sea intencional ni dolosa y además se origine por la negligencia o desinterés del propietario de la red, quien no usa para la seguridad o para evitar la existencia de “puntos de falla” un algoritmo llamado “WEP” o Wired Equivalent Privacy ni usa un mecanismo de autenticación mediante password, sin restringirse el acceso, ¿podría esto invocarse como atenuante e interpretarse como una autorización tácita de acceso, el que no sería indebido o no autorizado?.

Creo que si la captación de datos en redes inalámbricas “de hecho se puede hacer” cuando no son cerradas o seguras (previa password), ello no significa que “en derecho” sea lícito o legal. (i) Si lo captado a consecuencia del acceso son correos personales o claves de acceso, se violaría la garantía del artículo 19 N°4 de la Constitución, que protege la privacidad o intimidad; (ii) se vulneraría también el 19 N°5 y el Código Penal, que respectivamente aseguran y sancionan penalmente la inviolabilidad “de toda forma de comunicación privada”, si es que se entiende que una red inalámbrica sin clave de seguridad lo es y que no posee la cualidad de ser abierta y de libre acceso, aún cuando la apertura es inherente a esta tecnología ; (iii) y no existe, en mi opinión, argumento jurídico alguno para entender que al no cerrarse la red existe jurídicamente una especie de autorización tácita de la persona propietaria de la red.

Link al blog:  http://www.habeasdata2010.com.ar/

El texto de la ponencia que presentamos, puede verse en la URL …

http://www.slideshare.net/Renato36/habeasdata-2010 ; en síntesis, la ley chilena 19.628 tiene un año más que la de Argentina, es casi contemporánea y usó supuestamente las mismas fuentes de Derecho Comparado, y las diferencias son radicales y absimantes; la ley chilena es una “no ley” de protección de datos personales debido al mal y no casual trabajo parlamentario.

rjl

Una variante de enorme aplicación práctica, sobre todo en caso de comisión de delitos informáticos de acceso no autorizado a un servidor de un servicio público -lo que está sancionado en Chile por el artículo 2° de la ley 19.223 y técnicamente se denomina “hackeo”- es la relacionada con la responsabilidad y la naturaleza tanto (i) de las claves secretas o password que generan los usuarios para asociarlas a su RUT e identificarse o autenticarse al acceder al sitio web, como (ii) de las llamadas “direcciones IP”, que son el número identificativo que un ISP o proveedor de conectividad asigna a un usuario de la red Internet para navegar en ella y que permite identificar al computador desde el cual se llama para conectarse a un servidor determinado.

Téngase presente: sea cual sea el número o la dirección IP desde la cual se conecte un ciudadano, se trata de datos personales de conectividad que identifican al usuario y que son asignados por el ISP en el marco de una relación de confidencialidad, reserva o secreto. Ellas, asociadas al RUT de una persona, en síntesis permiten identificar al sistema desde el cual un usuario de la red Internet accede al sitio web. Constituyen en conformidad al artículo 2° de la ley 19.628 datos personales que identifican a un usuario[1], le son asignadas por su respectivo proveedor de conectividad o ISP, y para el sistema donde se registran automáticamente -porque es información que el programa navegador de la red le envía al sitio web visitado o accesado[2] constituyen legalmente      -de cara a su tratamiento y eventual comunicación a terceros- datos sujetos a secreto o reserva, en conformidad al artículo 7° de la ley 19.628.

La misma norma citada, pero en sus artículos 2° letras c) y o), aclaran que el tratamiento que debe ser secreto comprende la imposibilidad de verificarse una comunicación o transmisión de datos a terceros, al definir esta operación como dar a conocer de cualquier forma los datos de carácter personal a personas distintas del titular, sean determinadas o indeterminadas.

La calidad de dato de conexión o de conectividad reservado de las direcciones IP en Chile es compartida y legalmente está así normado para las empresas ISP o proveedoras de conectividad, que por regulaciones de la Ley  General de Telecomunicaciones e instrucciones de la Subsecretaría de Telecomunicaciones    no son accesibles al público o a cualquier persona y están sujetas a una obligación de “reserva” para dichas empresas. Estas empresas asignan un rango a cada uno de sus clientes, y sólo revelan el antecedente de la dirección de Internet desde la cual alguno se conecta previa orden o resolución de un tribunal o, en concreto, del Ministerio Público.

Es el artículo 6° del Decreto Supremo 142 del año 2005, sobre interceptación y grabación de comunicaciones telefónicas y otras formas de telecomunicación, el que establece que los proveedores de acceso a Internet deberán mantener, “en carácter reservado” y a disposición del Ministerio Público o de toda otra institución que por ley esté facultada para requerirlo, un listado actualizado de sus rangos autorizados de direcciones IP y un registro, no inferior a 6 meses, de los números IP de las conexiones que realicen sus abonados.

Estas direcciones IP -por ende- no pertenecen al propietario del servidor que es llamado o conectado en línea desde ellas, no son generadas por el servidor, y no son el parámetro que identifica a los ciudadanos cuando acceden autenticádamente a un sitio, porque esta funcionalidad es posterior e independiente, y se entrega a las ya mencionadas claves de acceso asociadas a un RUT.

[2] Técnicamente, dependiendo de la configuración que viene por defecto o de la que defina el usuario, lo que el programa navegador envía al servidor es la dirección IP del proveedor de conectividad que se le asigna al usuario que se conecta, el nombre del sistema operativo que se está utilizando, y el nombre y la versión del programa navegador. Los sitios web que reciben estos datos declaran que sólo los utilizan para fines estadísticos, pero será una cuestión de hecho el precisar caso a caso si así ocurre con los sitios de los servicios públicos.

Los he visto trabajar.  Primero, en el debate de algunos proyectos de ley relacionados sólo con los datos personales y patrimoniales negativos -léase sobre insolvencia, mora y protestos- regulados por el Título III de la ley 19.628.

En segundo lugar y durante tres meses de jornadas, en el análisis y estudio de casos reales de abusos, del contenido de normas extranjeras (Francia, España y Argentina especialmente) y del articulado específico de las leyes vigentes en Chile a esta fecha, todo en pos de la formulación de una Política Pública y de un nuevo marco general normativo para la protección de todo tipo de datos personales en su conjunto, que        -apartándose radicalmente de los modelos extranjeros- se estableció  en 1999 al promulgarse la ley 19.628.  Ella fue insuficiente, por sus deficiencias de forma y de fondo, por sus sombras predominantes más que por sus pocas luces,  y porque esencialmente posibilitó legalizar el negocio de las empresas con mínimas restricciones “para no ser burocráticos” o “para no encarecer los costos del negocio”, como consignan expresamente las Actas.

Pocas veces uno puede sentirse orgulloso de la calidad analítica y de la capacidad de trabajo y empoderamiento de sus parlamentarios.  Es el caso.  La Comisión de Economía del Senado entendió que, junto a la necesaria regulación de un mercado desregulado que permite el tráfico anónimo de listas, bases y bancos de datos personales con fines de lucro, era esencial entender la perspectiva de proteger una garantía fundamental como la privacidad, en Chile vulnerada cotidiánamente.

Como profesor de la Escuela de Derecho de la PUCV inicialmente y como asesor de la Comisión de Economía posteriormente, colaboramos para (i) sistematizar cuáles deberían ser los contenidos al proponer un anteproyecto acerca de la regulación de todo el “Sistema Chileno de Tratamiento de datos Personales” y sus subsistemas específicos; (ii) hacer un levantamiento o catastro de las principales normas vigentes y propuestas como Mociones parlamentarias o Mensajes del Ejecutivo; y (iii) redactar un concreto anteproyecto de  ley global que, con el Norte de establecer una Política Pública clara y centrada en la tutela de la privacidad de los chilenos y en el fortalecimiento de sus derechos como titulares y propietarios de los datos  -…que es la gran novedad ante la vigente y “lírica” ley 19.628-, la Comisión de Economía propondría en forma transversal.

A la espera de la presentación del proyecto definitivo, resulta interesante anticipar algunos de sus principios fundamentales. Los cuatro principios asumidos como esenciales por los Senadores -que en parte menciona la nota de prensa- para la nueva Política Pública de Chile han sido:

(i) Buscar proteger la garantía del artículo 19 N°4 de la Constitución, ante el procesamiento computacional de datos personales ;

(ii) Legislar desde la perspectiva del titular y propietario de datos personales, para dotarlo de mecanismos jurídicos idóneos y eficaces que le permitan ejercer el “habeas data” del artículo 12 de la ley 19.628, autodeterminando, autorizando (casi sin excepciones) y controlando el procesamiento de sus antecedentes;

(iii) Subsanar los problemas derivados de la falta de un registro público de responsables de bases de datos y de un órgano fiscalizador y de control autónomo y descentralizado funcionalmente; y,

(iv) Establecer nuevos estándares legales que modifiquen las condiciones, cargas, obligaciones y responsabilidades de los operadores, agentes o responsables de bases y bancos de datos nominativos, tanto del sector público pero muy especialmente del sector privado, que es donde se presenta con mayor gravedad el conflicto y en forma reiterada los casos de abusos.

Notable trabajo.  De verdad notable. Mientras algunos creen, con pobrísimos argumentos y afanados por lograr posicionamientos políticos en un nicho donde nada tienen que aportar,  que lo esencial es sólo debatir sobre la orgánica o la institucionalidad que velará por la aplicación de esta nueva normativa, los senadores además han trabajado rigurósamente para proponer regular y evitar abusos en el mundo del comercio electrónico, del marketing directo, de la fidelización de clientes, del tráfico de bases de datos, de la publicación de datos sobre insolvencia patrimonial al amparo de la llamada “Ley Dicom” y de la violación de privacidad en redes sociales.

Así me gusta Chile….

rjl

La novísima institucionalidad de la transparencia y el acceso a los actos, contratos, documentos, resoluciones y licitaciones del Estado ha caminado, lentamente, estableciendo nuevos paradigmas en el Sector Público para los órganos de la Administración del Estado. Hoy, los funcionarios saben que se pueden conocer y fiscalizar sus resoluciones y el uso que hagan de bienes públicos, y el órgano que ampara a los ciudadanos para ello es el Consejo de Transparencia.

Una limitante constitucional y legal esencial es que so pretexto del acceso y control no deben vulnerarse los derechos, la intimidad ni la esfera privada de las personas, y ello no se ha cumplido. La única relación válida y lógica para equilibrar dos garantías constitucionales -transparencia del Estado y privacidad de las personas- pasa por entenderse que cuando cualquier persona, sin expresión de causa y sin motivos justificados (porque así lo permite la ley) quiera conocer los antecedentes de la gestión de los servicios públicos, esa facultad no alcanzará a los datos personales o nominativos y en especial a los sensibles o personalísmos de los ciudadanos en poder del Estado.

Lamentablemente, demostrando una notable falta de sensibilidad con la tutela de los datos personales, afanando el transparentar por la obligación de resguardar la privacidad y olvidando hacer cumplir la ley 19.628 -lo que expresamente puso de su cargo el artículo 33 letra m de la ley 20.285-, el Consejo de Transparencia ha deslindado proteger la privacidad y ha obligado en sus Dictámenes (i) a entregar -pudiendo haberse negado- tanto los millones de antecedentes personales y sensibles registrados por el SERVEL como las calificaciones de cientos de funcionarios públicos ante un requerimiento presentado al MINVU y a FONASA, y (ii) a que los servicios públicos se transformen en productores de bases de datos personales para que los ciudadanos asuman tareas con fines de lucro -como es el caso de agentes inmobiliarios que deseaban conocer todos los datos de los propietarios de bienes raíces en una región-.

En paralelo y sin una Política Pública clara debatida, el Gobierno anterior, apremiado con las exigencias para cumplir con los requisitos de incorporación a la OECD, el año 2009 mediante un proyecto de ley propuso desnaturalizar al Consejo de Transparencia y asignarle una nueva competencia, a saber, trasladarlo ahora al Sector Privado de la sociedad y ser el garante de que se respete la privacidad de las personas cuando los datos personales se procesan -por ejemplo- en la banca, en las ISAPRE, en las compañías de seguros, en las AFP, en el retail o en las empresas de marketing. Esta opción, que el Decano de Derecho promueve y pontifica, es una muy mala solución.

Si de proteger la privacidad de los chilenos se trata debe dejarse de lado al actual Consejo de Transparencia, para que se aboque a consolidarse; es una tarea esencial y delicada y ya ha sido superado en cuanto a capacidades y recursos.

Este órgano no tiene la sensibilidad, el expertice, la estructura ni los recursos necesarios para que, desnaturalizado y trasladado el mundo del comercio electrónico, del marketing directo, de la fidelización de clientes, del tráfico de bases de datos, de la publicación de datos sobre insolvencia patrimonial al amparo de la llamada “Ley Dicom” y de la violación de privacidad en redes sociales, sea una especie -para que se entienda- de “Sernac de los datos personales”.

Nuestro país necesita una institucionalidad y una orgánica idónea, para evitar que al acudir a una farmacia o al recibir una tarjeta comercial prehecha sepamos que una Isapre o una AFP transfirieron -al parecer indebidamente- un bien tan valioso como lo es nuestra información nominativa.

Renato Jijena Leiva
www.jijena.com

            Esta piedra angular vino a fortalecer, para los ciudadanos, el llamado Derecho de Acceso a la Información relacionada con los actos y documentos de la Administración Estatal, consagrada en la Ley de Bases de la Administración del Estado, y a aclarar que sólo el Parlamento y no los propios entes públicos serán los llamados a establecer excepciones a la publicidad cuando ella afectare, como señala la Norma Fundamental, el cumplimiento de las funciones públicas, los derechos de las personas, la seguridad de la nación o en interés nacional.            

             Hoy, cuando invocando el ejercicio de este Derecho de Acceso a la Información  Pública consistente en actos y documentos de los órganos estatales se ha requerido de acceso a diversos servicios públicos (los Dictámenes pueden verse en la URL www.consejodetranparencia.cl)  resulta preocupante ver como ante la opinión pública se desnaturaliza otra garantía muy poco conocida-. Ella se relaciona específica y exclusivamente con la posibilidad de que las personas controlen, autodeterminen y accedan a todos aquellos datos personales o nominativos que les afecten por referirse a ellos, a su vida privada, intimidad o privacidad, sea que ellos sean procesados -o “tratados” dice la ley 19.628- tanto por órganos públicos como -especialmente- por empresas particulares. 

            En Chile es al artículo 12 de dicha ley el que consagra el llamado Derecho de Acceso, Habeas Data o Habeas Scriptum, una garantía sólo de rango legal y procesal que vino a desarrollar la garantía del respeto y protección de la vida privada que contempla el artículo 19 N°4 de la Constitución Política.  Por su intermedio cada titular puede requerir a quien sea “responsable de una base o banco de datos” conocer y corregir, modificar o actualizar la información computacional, tratándose de datos personales, nominativos, o relativos a cualquier información concerniente a personas naturales, identificadas o identificables, particularmente si son los sensibles o referidos  a características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como hábitos personales, el origen racial, las ideologías  y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

             Se ha sostenido desde hace años que el abuso de las posibilidades computacionales constituye la amenaza por excelencia contra la intimidad, porque detentándose un enorme cúmulo de datos y cruzándose telemáticamente datos personales o nominativos puede obtenerse un perfil  de las personas cuyos antecedentes son procesados. Esta imagen inmaterial debe ser “resguardada, controlada, autodeterminada y accesada”,  porque puede ser creada errada o dolosamente y sólo con fines de lucro, lo que eventualmente se traducirá en discriminaciones, en la imposibilidad de ejercer algún derecho, o en la pérdida de algún beneficio. Estamos en el contexto de un conflicto que se presenta entre dos garantías individuales y de rango constitucional. A saber, por un lado el derecho a la intimidad, tanto en cuanto datos personales o nominativos, sensibles o no, procesados computacionalmente, y por otro, el derecho a la información que reclama la sociedad toda.            

                Lo que se intenta clarificar en los párrafos anteriores dista mucho de ser una cuestión meramente doctrinaria o purista, toda vez que, desde el año 2009, la Corte de Apelaciones de Santiago al conocer de un reclamo de ilegalidad interpuesto contra el llamado Consejo de Transparencia confunde abierta y expresamente el recurso de habeas data o derecho de acceso a los datos personales o nominativos del artículo 12 de la ley 19.628, con el recurso de amparo al derecho de acceso a la información del Estado del artículo 10 de la ley 20.285.             

            La causa original que dio lugar al Recurso de Ilegalidad  fue un Amparo por denegación de solicitud de información -contemplado en la ley 20.285 y no en la 19.628- interpuesto por un señor Pérez Castro en contra del Banco Estado, respecto al cual el citado Consejo resolvió que no era competente para conocer del amparo  por tratarse de un recurso en contra de una empresa pública a cuyo respecto sólo tenía competencia en materia de Transparencia Activa (esto es, para fiscalizar lo que obligatoriamente debe publicarse en Internet). Más específicamente, el Consejo había estimado por mayoría que no se trataba de una denegación ante el Amparo deducido sino de una declaración de incompetencia.             

            La Corte de Apelaciones de Santiago hizo público un fallo de la Séptima Sala en el cual resolvió por unanimidad rechazar  el Recurso de Ilegalidad por considerarlo “extemporáneo” (se había presentado fuera de fecha, ya que la ley 20.285 otorga un plazo máximo de 15 días para la interposición ante la Corte de Apelaciones), pero -y acá radica el error conceptual y jurídico- en la misma resolución determinó que el Consejo para la Transparencia era “plenamente competente para conocer del reclamo de habeas data deducido por el recurrente contra el Banco del Estado”. 

            Una de las secuelas de la última elección presidencial en Chile fue el reflotar de un debate relacionado con las empresas Distribuidoras de Informes Comerciales -no es sólo una, aunque la caricatura diga lo contrario- y los perjuicios patentes y cotidianos sufridos por los chilenos con la actividad de lo que -en otras latitudes- se denominan “bureau de información crediticia” y las empresas de fidelización de clientes. Al debate le faltan contenidos claros para intentar algún grado de ordenamiento. 

            Existe una perspectiva de la sociedad chilena referida a intereses superiores, que en la política, la sociología y

Véase en la URL http://sil.congreso.cl/cgi-bin/sil_ultproy.pl# el Boletín 6594 y la presentación del proyecto en http://www.senado.cl/prontus_galeria_noticias/site/artic/20090710/pags/20090710164630.html . Venimos planteando la necesidad del tema desde hace muchos años: http://www.mouse.cl/antes/Nro.160-1998.03.12/Nro.160B.html .

Expusimos en la Cámara de Diputados, con ocasión de la tramitación de un proyecto de ley que modifica la ley 19.628, que esta función orgánica no debía ser asignada al recién creado Consejo de Transparencia: http://www.derecho.ucv.cl/jijenacam.pdf . Señalamos en una columna que esta opción implicaría “desnaturalizar” al referido Consejo: http://www.latercera.com/contenido/895_146299_9.shtml

Y antes, en la Cámara de Diputados (http://www.habeasdataorg.cl/2008/06/05/%c2%bfhacia-la-constitucionalizacion-del-habeas-data-en-chile/) y en el Senado (http://www.habeasdataorg.cl/2009/05/15/nuevamente-se-avanza-en-materia-de-constitucionalizacion-del-habeas-data/) se propuso constitucionalizar la garantía procesal del habeas data o derecho de acceso.

….Las cosas caminan en forma, con la misma idoneidad que debió haberse hecho en 1999, cuando no se recogieron los modelos existentes en la legislación extranjera y sólo se buscó legalizar el negocio de las empresas que procesan datos personales. Así nació la ley 19.628. Porque, téngase presente: …ninguna de las modificaciones “legales” (Boletín 6120) y “constitucionales” en curso es nueva o decantada en los últimos años; todas, sin excepciones, son norma vigente en el Derecho Comparado desde fines de la década de los 70, fueron validadas en los 80, y optimizadas en los años 90, como ocurre con la Directiva Europea de 1995 que exige -si o si- la existencia de un registro de responsables de bases de datos y de un órgano de control.

¿El contenido de la Moción que busca constitucionalizar la existencia de una Agencia de Protección de Datos en Chile?; es el siguiente:

Boletín N° 6.594-07

Proyecto de reforma constitucional, iniciado en Moción de los Honorables Senadores señores Muñoz Aburto, Escalona y Gazmuri, con la que inician un proyecto de reforma constitucional que crea una Agencia de Protección de Datos Personales. Vistos:

Lo dispuesto en los artículos 1°, 19° y en el Capítulo XV de la Constitución Política de la República. Considerando:

1.- Que en la actualidad, atendidos los avances en los soportes informáticos, la difusión de las tecnologías y los requerimientos en materia de identificación de las personas, se han masificado bases de datos de diversa naturaleza y características. 2.- Que los antecedentes contenidos en ellas revisten enorme importancia, tanto respecto de aspectos personales de los individuos, como de sus decisiones económicas más trascendentes, como la adquisición de bienes, suscripción de contratos, obtención de créditos, etc.

3.- Que, por lo anterior, su protección resulta de enorme trascendencia. Esto ha sido advertido por nuestra legislación, habiéndose dictado, en 1999, la Ley N° 19.628, sobre Protección de la Vida Privada o Protección de Datos de Carácter Personal. 4.- Que dicho texto constituyó un indudable avance, sirviendo como una regulación mínima que venía a relevar el tema, superando la omisión existente con anterioridad.

Luego, diversas enmiendas han procurado mejorar la normativa, especialmente en cuanto a los datos de carácter financiero y su utilización tanto con fines crediticios como de acceso al empleo. 5.- Que sin embargo el tiempo ha revelado diversas imperfecciones del texto legal, el que se ha hecho insuficiente para regular eficazmente la realidad actual, caracterizada por una inconmensurable cantidad de bases de datos y una cada vez más expedita y habitual comunicación de los mismos, con el consiguiente riesgo para la intimidad de las personas.

6.- Que entre las principales falencias sobre el particular se señalan la inexistencia de registros respecto de las bases de datos particulares existentes; las débiles sanciones para las infracciones a la ley, pues sólo se dispone de un proceso indemnizatorio en que deben acreditarse los perjuicios y las dificultades para frenar el uso indiscriminado de publicidad indeseada, por los más diversos medios, entre otros. 7.- Que, sin embargo, a nuestro juicio, la mayor carencia es la inexistencia de un organismo público regulador de esta materia capaz de concentrar las funciones de registro y control de las bases de datos, resguardar los derechos de las personas y velar por la aplicación de la ley.

Ello, en nuestra legislación se logra sólo supletoriamente a través del SERNAC cuando media una relación comercial entre las partes o de algunas Superintendencias, según la naturaleza de los datos involucrados, pero se carece de una instancia especializada, como ocurre, en otros, con los siguientes países y entidades de todo el orbe:

- Agencia Española de Protección de Datos (España)

- Comisión Nacional de la Informática y de las Libertades (Francia)

- Comisionado Federal para la Protección de Datos (Alemania)

- Garante para la Protección de Datos Personales (Italia)

- Oficina del Comisionado de Información (Reino Unido)

- Oficina para la Protección de los Datos Personales (Rep. Checa)

- Autoridad Griega de Protección de Datos

- Autoridad Holandesa de Protección de Datos

- Inspector General para la Protección de Datos Personales (Polonia)

- Comisionado de Protección de Datos de Irlanda

- Comisión Nacional de Protección de Datos (Portugal)

- Director Nacional de Protección de Datos Personales (Argentina)

- Comisionado de Privacidad de Nueva Zelanda

- Agencia de Protección de Datos de Andorra

8.- Que, asimismo, existen esfuerzos multinacionales como la Red Iberoamericana de Protección de Datos (RIPD), que surge del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos (EIPD) celebrado en La Antigua, Guatemala, el año 2003.

Dicha conjunción de esfuerzos fue refrendada en la Cumbre de Jefes de Estado y de Gobierno de los países iberoamericanos, celebrada en Santa Cruz de la Sierra, Solivia, el mismo año en que se relevó la protección de datos personales a nivel de derecho fundamental de las personas y se enfatizó en la importancia de contar con iniciativas regulatorias a nivel subregional. Esfuerzos similares existen al amparo de la Unión Europea respecto de las naciones del viejo continente.

9.- Que resulta indispensable llenar esta carencia procurando la creación de un organismo público que asuma, a lo menos, las siguientes funciones:a) Supervigilar a las entidades privadas y públicas que administren bases de datos, b) Resolver administrativamente litigios entre los particulares y los administradores de los registros.

c) Informar a los ciudadanos respecto de sus derechos en materia de protección de datos personales. Su creación y aspectos particulares debiera, evidentemente, precisarse en un texto legal.

10.- Que un proyecto legislativo en trámite en la Cámara de Diputados entrega esta función al recientemente creado Consejo para la Transparencia, lo que resulta inadecuado, tanto para la consolidación de dicho órgano en sus funciones originales como para una atención especializada y acuciosa de la protección de datos. Por lo anterior, los senadores que suscriben vienen en presentar el siguiente:

PROYECTO DE REFORMA CONSTITUCIONAL Artículo Único:

Incorpórese, en el artículo 19°, numeral 4° de la Constitución Política de la República, a continuación de la expresión “familia” un punto seguido y la oración “Habrá una Agencia, autónoma y con personalidad jurídica, encargada de velar por la adecuada de los datos de carácter personal, resguardar la aplicación de las leyes y los derechos de los ciudadanos en la materia y los responsables de los registros privados o públicos”.

La noticia en http://www.mer.cl/modulos/catalogo/Paginas/2009/06/02/MERSTCT011AA0206.htm

Ella dice:

“Nombre, nacimiento, actividad, sexo, nacionalidad, estado civil, RUT, avalúo de bienes raíces y puntaje de comportamiento comercial. Toda esta información está a un par de clics para cualquier usuario que tenga una tarjeta de crédito bancaria y ocupe el nuevo buscador de personas, trywho.com, que acaba de debutar en Chile.

Hay 5 mil usuarios registrados y se han hecho cerca de 2.500 consultas de información pagada. Y, dependiendo del tipo de información que se busque, se puede gastar desde $1.990 hasta cerca de $10 mil, para obtener el perfil de una persona.

¿Cómo consiguen acceder a toda esta información personal? “El sitio no tiene bases de datos; hace consultas a proveedores de información, entre ellos Infomax (que entrega los datos de Dicom, Servel, SII, Registro Civil), además de Publiguías y Mapcity”, explica la gerenta de Trywho, Soledad Sotomayor.

Esta empresa funciona bajo la ley 19.628 de “Protección de datos de carácter personal”, que permite acceder a información de fuente pública. Es decir, no hay nada ilegal en el funcionamiento de Trywho. Pero su entrada en funciones reabre el debate sobre lo vulnerable que parece la información privada de las personas en Chile.

“Llevamos diez años desde que se dictó una seudo ley de protección, que es un instrumento jurídico poco idóneo. Lo que se hizo en Chile fue legalizar el negocio de las empresas que tienen bases de datos y no proteger los datos personales”, dice el abogado Renato Jijena, académico de la U.C. de Valparaíso.

Jijena participó, entre otras personas de distintas reparticiones públicas, en la redacción de un proyecto que quiere modificar esa ley. Uno de los cambios básicos es reconocer la naturaleza de la privacidad de estos datos como un derecho constitucional que requiere del consentimiento de las personas para que sean usados en condiciones claramente establecidas. Hoy la ley permite que la información pública sea usada libremente, sin requerir este consentimiento. Lo que deriva en el usufructo de esos datos por terceros.

“Cualquier persona puede comercializar bases de datos de manera anónima. Con los cambios propuestos, quien tenga esta información deberá estar identificado y registrado y decir por qué y para qué tiene esa información”, explica Jijena.

Cuando un mal uso de la información requiere una sanción, la actual ley no contempla un procedimiento expedito; hay que pasar por los tribunales de justicia. Por eso uno de los aspectos clave de la nueva ley es que genera un organismo rector o superintendencia a cargo del manejo de datos personales. Este organismo fiscalizará el cumplimiento de la ley y sancionará a los infractores con multas”.

rjl