EL PRESENTE Y EL FUTURO DE LA PROTECCIÓN DE DATOS PERSONALES EN CHILE
La globalización genera un contexto dinámico de diversos alcances en materia política, económica, social y cultural, que sumada a la rápida evolución tecnológica, ha causado un impacto relevante en diversos ámbitos regulatorios, uno de ellos es el de la protección de datos personales.
Nunca en la historia la circulación de información personal, alimentada por personas que la difunden a un volumen cada vez mayor a escala mundial, habia alcanzado las magnitudes presentes y tampoco tiene precedentes la capacidad de tratamiento que la tecnología le brinda a las organizaciones para utilizarla.
Esta realidad desafía a los sistemas normativos que deben equilibrar la circulación de los datos con el resguardo de los derechos de sus titulares.
Si bien en el ámbito internacional existen acuerdos y directrices que promueven estándares para fomentar la cooperación entre los países y la armonización de políticas y legislaciones que garanticen un flujo de información personal en condiciones de protección adecuadas, es probablemente el Reglamento General de Protección de Datos de la Unión Europea, vigente a contar de 2018, la fuente jurídica internacional más robusta y relevante como modelo regulatorio global.
En la base de esta regulación se encuentra el derecho de toda persona “a la protección de los datos de carácter personal que la conciernan. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley”, según lo establece el artículo 8º de la Carta de los Derechos Fundamentales de la Unión Europea del año 2000.
En Chile, el tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares se rige por la Ley Nº19.628, de 1999, sobre protección de la vida privada. Dicha normativa, innovadora en su momento, se encuentra superada por una realidad que cambió radicalmente.
Con todo, la Ley Nº19.628 establece una serie de obligaciones, bastante poco difundidas pero vigentes y exigibles, en ámbitos como los requisitos para la licitud del tratamiento; reglas para la obtención del consentimiento de los titulares de la información; limitaciones del plazo de conservación de las bases de datos; exigencias respecto de la exactitud de la información; derechos de los titulares de los datos y el derecho de recurrir de amparo judicial para indemnizar el daño patrimonial y moral que se causare por el tratamiento indebido de los datos.
El año 2018, la Ley Nº21.096, incorporó en nuestro país la consagración constitucional del derecho a la protección de los datos personales, en los siguentes términos: “Artículo 19. La Constitución asegura a todas las personas: (…) 4º. El respeto y protección a la vida privada y a la honra de la persona y su familia, y, asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley”. Como consecuencia de lo anterior, el titular de los datos cuenta ahora con mayor protección jurídica al detentar la posibilidad de interponer un recurso de protección frente a hipótesis de privación, perturbación, amenaza arbitraria o ilegal a tal derecho.
Pero este fue sólo el preludio de un profundo proceso de reforma del régimen de protección de datos personales en el país. Un proyecto de ley que ya cuenta con la aprobación del Senado y que dió inicio, el presente año, a su segundo trámite constitucional en la Cámara de Diputados pretende, de acuerdo a su mensaje: “Actualizar y modernizar el marco normativo e institucional con el propósito de establecer que el tratamiento de los datos personales de las personas naturales se realice con el consentimiento del titular de datos o en los casos que autorice la ley, reforzando la idea de que los datos personales deben estar bajo la esfera de control de su titular”.
Con el propósito indicado, el proyecto sustituye el régimen legal vigente por un conjunto de disposiciones que siguen a las tendencias regulatorias recientes, especialmente las del mencionado Reglamento General de Protección de Datos de la Unión Europea.
Para dimensionar la intensidad de la reforma, cabe considerar que el proyecto incorpora a nuestro sistema legal, entre otros importantes alcances, principios para el tratamiento de datos, de licitud, finalidad y proporcionalidad, entre otros; derechos de los titulares de la información, los derechos de acceso, rectificación, cancelación y oposición (ARCO), y el de portabilidad de los datos; reglas para el tratamiento y deberes para el responsable de dicho tratamiento, como el deber de secreto, de información y transparencia, de protección desde el diseño y por defecto y de seguridad; normas para la cesión de datos; reglas para el tratamiendo de datos sensibles y categorias especiales de datos; normas para la transferencia internacional de datos; una autoridad de control, el Consejo para la Transparencia con facultades de supervisión, fiscalización y certificación; un Registro Nacional de Cumplimiento y Sanciones; sanciones administrativas que podrian llegar a las 10.000 UTM; la promoción de modelos de prevención de infracciones y programas de cumplimiento y la creación, al interior de ciertas organizaciones, de la figura del Delegado de Protección de Datos.
Los efectos de esta sustantiva reforma tendrán un amplio alcance, ya que toda organización, pública o privada, recoge y trata datos personales y su implantación requerirá desarrollar al interior de éstas, estrategias específicas e integradas para cumplir con los estándares y buenas prácticas que rigen el tratamiento de datos personales y que conformen un marco para la gestión de dicha información que considere elementos tales como la capacitación y sensibilización, políticas, roles y funciones, el establecimiento de procesos y de un sistema de cumplimiento de normas y requisitos. Para llegar a ese destino, el camino pasa por un plan de acción que debe ser abordado bajo un enfoque sistémico y multidisciplinario que de cuenta de la situación actual e identifique cuáles son las brechas que acortar y los instrumentos a incorporar en un estrategia gradual de instalación de una verdadera cultura organizacional de la protección de datos personales.