LA PRINCESA Y NUESTRA AUSENCIA DE UNA CULTURA DE PROTECCIÓN DE DATOS PERSONALES
La reciente formulación de una denuncia por la difusión de imágenes de Leonor de Borbón, princesa de Asturias, visitando un centro comercial en la ciudad de Punta Arenas, a raíz del viaje de instrucción que realiza a bordo del buque escuela Juan Sebastián Elcano, grafican con gran elocuencia los enormes desafíos y el impacto que conlleva en nuestra realidad la pronta implementación de las modificaciones introducidas por la Ley N°21.719 a la Ley N°19.628, sobre Protección de Datos Personales (en adelante LPDP).
Las imágenes, en las que se puede ver a la heredera al trono entrando en el centro comercial y caminando en su interior, proceden de las cámaras de seguridad del establecimiento comercial, por lo cual, todo indica que alguno de los involucrados en el uso de dicho dispositivo de video vigilancia facilitó el acceso a un medio de comunicación, que las ha publicado.
En nuestro entorno no existe conciencia de que la imagen física de una persona y las imágenes generadas por un sistema de cámaras o videocámaras son datos de carácter personal y que su tratamiento está sujeto a la normativa de protección de datos.
En efecto, legalmente, un dato personal es cualquier información vinculada o referida a una persona natural identificada o identificable (Art. 2° letra f) LPDP) y el tratamiento de datos es cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan de cualquier forma recolectar, procesar, almacenar, comunicar, transmitir o utilizar datos personales o conjuntos de datos personales (Art. 2° letra o) LPDP).
El tratamiento de datos personales está sometido a ciertos principios de cumplimiento obligatorio por todo aquel que realice dichas actividades, entre los que destaca el principio de finalidad, que dispone que los datos personales deben ser recolectados con fines específicos, explícitos y lícitos y su tratamiento debe limitarse al cumplimiento de estos fines (Art. 3° letra b) LPDP).
En este caso particular, el responsable (Art. 2° letra n) LPDP), es el centro comercial, que ha resuelto llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus propias instalaciones.
Huelga explicar que la facilitación de las imágenes de la princesa de Asturias a un medio de comunicación excede por completo dicha finalidad, por lo que debería entenderse infringido dicho principio y la obligación del responsable de asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines (Art. 14 letra b) LPDP). Los hechos también dan cuenta que el responsable tampoco habría cumplido con su deber de adoptar medidas de seguridad que aseguren la confidencialidad y eviten el tratamiento o acceso no autorizado de los sistemas de tratamiento de datos (Articulo 14 quinquies LPDP).
Todas las vulneraciones descritas son calificadas por la nueva normativa de datos como infracciones graves, por cuanto suponen tratar datos personales con una finalidad distinta de aquélla para la cual fueron recolectados (Art. 34 ter letra a) LPDP) y/o comunicar o ceder datos personales para un fin distinto del autorizado (Art. 34 ter letra b) LPDP), que expondrán, en el futuro próximo, a un responsable de datos a multas que podrían llegar hasta las 10.000 unidades tributarias mensuales (Art. 35 letra b) LPDP), es decir, alrededor de unos
$680.000.000. Dichas sanciones serán aplicadas administrativamente al infractor por la Agencia de Protección de Datos Personales en ejercicio de sus facultades legales (Art. 30 bis letra e) LPDP) y sin perjuicio de la responsabilidad civil que pudiera derivarse de estos mismos hechos para los involucrados.
Si bien estas modificaciones legales entrarán en vigencia el 1 de diciembre de 2026, el caso que afectó a la princesa de Asturias pone en evidencia nuestra cruda realidad, que muestra que, salvo contadas excepciones, empresas, instituciones y otros responsables de datos presentan importantes brechas organizativas y técnicas para abordar la implementación de la ley. Hay que recordar que el marco legal vigente data de 1999; no contaba con un órgano de control; y, hasta ahora, no había sido objeto de reformas sustantivas, lo que ha provocado un gran desfase en la incorporación de estándares adecuados de protección de datos personales. Sin duda, nuestro nuevo régimen de protección de datos personales es un avance significativo que impone retos importantes, ya que su cumplimiento requiere un enfoque integral y sistémico.
Pero el mayor desafío es la instalación de una cultura de la protección de datos personales, tanto en las personas como en las entidades públicas y privadas, para dejar atrás prácticas instaladas de tratamiento de datos personales bajo condiciones que, con una alta probabilidad, no aprobarán un test de legalidad a la luz del nuevo marco normativo que prontamente entrara en vigencia en Chile.