El mes pasado, la Comisión de Constitución, Legislación, Justicia y Reglamento de la Cámara de Diputados dio inicio al debate de cada una de las indicaciones formuladas al proyecto de ley que regula la protección y el tratamiento de nuestros datos personales (Boletines N° 11.092-07 y N° 11.144-07, refundidos).

Previo a ello, la Comisión escuchó a un gran número de organizaciones, personas y expertos académicos, destinando algunos meses a escuchar las distintas miradas que generó el proyecto discutido por más de cuatro años en el Senado. Todos ellos coincidieron en la importancia de avanzar en esta materia, a la mayor celeridad posible, pero recomendando cambios o mejoras en ámbitos específicos del proyecto de ley.

Cabe tener presente que este proyecto constituye una puesta al día de la actual ley N° 19.628, sobre protección de la vida privada. La nueva legislación promete importantes novedades en materia de privacidad de datos, tales como:

1. La consagración de principios que deben orientar la actividad de tratamiento de datos personales (finalidad, proporcionalidad, seguridad, transparencia, etc.)
2. El establecimiento de nuevos derechos para los titulares, específicamente la oposición y la portabilidad de los datos personales, los cuales se suman a los derechos de acceso, modificación y eliminación
3. La imposición de obligaciones a los responsables del tratamiento de datos, como el deber de contar con medidas de ciberseguridad, garantizar la protección de los sistemas informáticos desde el diseño y por defecto, informar sobre las políticas de tratamiento, contar con mecanismos de transparencia y publicidad, etc.
4. La fijación de requisitos para la transferencia internacional de datos personales
5. La creación de una agencia especializada en la fiscalización de la ley y la sanción de infracciones
6. El incremento de las sanciones, considerando multas de hasta 635.000 USD y la incorporación del infractor a un registro de sanciones

Panorama general

El lunes 6 de junio concluyó el plazo fijado por la Comisión de Constitución para que los parlamentarios y el Poder Ejecutivo hicieran llegar las adiciones o enmiendas a la iniciativa legal, las cuales habrían de fijar el marco del debate en particular del proyecto. En ese plazo, los diputados Leonardo Soto, Miguel Ángel Calisto, Andrés Longton, Luis Fernando Sánchez y Raúl Leiva, así como la Vicepresidenta de la República, presentaron poco más de 100 indicaciones.

En general, las diferentes indicaciones apuntan a precisar algunos temas menores (reemplazar la denominación “cancelar” por “suprimir”); reforzar las atribuciones del Ministerio Público para utilizar datos personales en el marco de sus investigaciones; suprimir referencias innecesarias al tratamiento automatizado de grandes volúmenes de datos; entre otras.

Cabe precisar que ninguna de las enmiendas altera radicalmente el núcleo regulatorio fundamental aprobado en el Senado, a excepción de la indicación conjunta de los diputados Leonardo Soto y Miguel Ángel Calisto que apunta a reemplazar la Agencia de Protección de Datos Personales por el Consejo para la Transparencia (CPLT). Ahora bien, aparece difícil que esta idea prospere en el debate, toda vez que determinar las funciones de los órganos públicos (en este caso, el CPLT) es una materia cuya iniciativa legislativa corresponde, en exclusiva, al Presidente de la República. A este respecto, el propio Ministro Secretario General de la Presidencia, Giorgio Jackson, ya anunció que el lineamiento del Ejecutivo es contar con una agencia especializada en la materia, y no un órgano ya existente.

Resumen de las principales indicaciones

Exigencia a los proveedores extranjeros de un representante en Chile

El proyecto de ley, en su versión aprobada en el Senado, establece que los responsables que no tengan domicilio en Chile deben “señalar y mantener actualizado y operativo un correo electrónico u otro medio de contacto idóneo para recibir comunicaciones de los titulares de datos y de la Agencia de Protección de Datos Personales” (art. 14 inc. final).

Ahora bien, se han presentado indicaciones que problematizan acerca de los alcances de la extraterritorialidad de la nueva legislación, ya que señalar un correo electrónico no parece un estándar suficiente. Por ello, se ha propuesto que los proveedores extranjeros designen por escrito ante la Agencia “un representante domiciliado en el país para los efectos de que el titular pueda ejercer sus derechos consagrados en la presente ley y se le practiquen las comunicaciones y notificaciones judiciales o administrativas a que haya lugar” (L. Sánchez). Se aprecia que una disposición similar contiene el Reglamento Europeo de Protección de Datos, cuando en su artículo 27.1 dispone que los responsables no establecidos en la Unión Europea habrán de “designar por escrito un representante en la Unión”.

Eliminación de fuentes de acceso público

La indicación del Poder Ejecutivo elimina como fuente de licitud del tratamiento de datos, en que no se requiere el consentimiento del titular, la información personal que haya sido recolectada de fuentes de acceso público. Durante la discusión en la Comisión se argumentó que, de mantener esa causal, se hace imposible ejercer un control sobre los datos personales, y por lo tanto también se hace imposible el ejercicio del derecho a la autodeterminación informativa. En Europa las fuentes de acceso público fueron eliminadas como fuentes de licitud.

Reemplazo de la autoridad de control

La indicación de los diputados Leonardo Soto y Miguel Ángel Calisto plantean radicar en el Consejo para la Transparencia (CPLT) la atribución controladora, fiscalizadora y sancionadora en materia de datos personales. Esta idea fue largamente discutida en el Senado, en donde finalmente se optó por crear una agencia especialmente dedicada a la privacidad de datos.

En lo formal, la indicación es inadmisible, ya que invade las materias de iniciativa exclusiva del Presidente de la República al determinar las funciones y atribuciones de un servicio público ya existente (en este caso, el CPLT), quien vería aumentada sus prerrogativas.

En lo sustantivo, la idea de entregar al CPLT el liderazgo en materia de privacidad de datos contradice, funcionalmente, la misión fundamental que el legislador asignó a este organismo al crearlo: dar publicidad a la información pública. En cambio, la función de protección de datos busca sustraer del dominio de terceros la información privada. Donde uno debe velar por la apertura y transparencia de los actos y resoluciones, el otro debe poner reserva donde están en juego datos personales y sensibles.

Aumento de la carga regulatoria prevista para el deber de información y transparencia

En la versión despachada por el Senado, el proyecto de ley considera como parte del deber de información y transparencia el hecho de mantener el responsable a disposición del público la política de tratamiento de datos; la individualización del encargado de prevención, si tuviere; el domicilio postal y un correo electrónico; las medidas de seguridad que adopta; los derechos que asisten al titular y su posibilidad de recurrir a la Agencia, etc.

Ahora, en la Cámara de Diputados, una indicación del diputado Leonardo Soto añade nuevas exigencias a ese deber de información y transparencia, tales como: indicar la base de legitimidad del tratamiento, y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían estos; la intención del responsable de transferir datos personales a un tercer país u organización internacional y si estos ofrecen o no un nivel adecuado de protección; el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; la existencia de decisiones automatizas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el titular; entre otras.

Aumento de la carga regulatoria prevista para el deber de adoptar medidas de seguridad

El Poder Ejecutivo ha propuesto como indicación precisar aún más el contenido del deber de adopción de medidas de seguridad. Para ello, propone que el responsable y el encargado del tratamiento apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

• La seudonimización y el cifrado de datos personales
• La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
• La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnicoUn proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
• Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Con todo, estas medidas deben establecerse teniendo en cuenta el estado de la técnica y los costes de aplicación, así como la naturaleza, el alcance, el contexto y los fines del tratamiento. También deben considerar los riesgos de probabilidad y gravedad variables para los derechos y libertades de los titulares.

Incorporación de una evaluación de impacto

Los diputados Leonardo Soto y Miguel Ángel Calisto proponen agregar un artículo 15 quáter, que tenga por finalidad exigir una evaluación de impacto relativo a las operaciones de tratamiento de datos. En lo medular, esta evaluación procederá cuando “sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas (sic)”. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.

En esta evaluación, el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado. Además, será obligatoria cuando la Agencia así lo exija. La evaluación deberá incluir como mínimo:

• Una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento
• Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad
• Una evaluación de los riesgos para los derechos y libertades de los titulares
• Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la conformidad con la presente ley, teniendo en cuenta los derechos e intereses legítimos de los titulares y de otras personas afectadas.

El responsable deberá consultar a la Agencia antes de proceder al tratamiento cuando una evaluación de impacto muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.

Supresión del tratamiento automatizado de grandes volúmenes de datos

Los diputados Leonardo Soto y Miguel Ángel Calisto proponen suprimir el artículo 15 ter, el cual regula el tratamiento automatizado de grandes volúmenes de datos. Esta actividad la desarrollan importantes empresas que desarrollan Big Data o cualquiera que tenga un sistema de inteligencia artificial que procese datos a gran escala. Es un elemento central de marketing al día de hoy.

No se sabe aún cuál es el propósito de esta indicación, pero difícilmente pareciera ser que los parlamentarios quieran prohibir estas operaciones. Más bien se trataría de evitar una reiteración innecesaria del proyecto de ley, ya que el tratamiento automatizado estaría reconocido en el actual artículo 8 bis, siendo inoficioso entrar a detallar si se trata de grandes o pequeños volúmenes de datos. Por otro lado, durante la discusión en Comisión uno de los expositores manifestó que la regulación sobre algoritmos o decisiones automatizadas no debería estar incluida en una normativa de privacidad.

Prohibición del tratamiento de datos relativos a la salud y al perfil biológico humano

Los diputados Soto y Calisto proponen eliminar el artículo que aborda los datos relativos a la salud y al perfil biológico humano, manteniendo únicamente un inciso vinculado a su faz prohibitiva: “Queda prohibido el tratamiento y la cesión de los datos relativos a la salud y al perfil biológico de un titular y las muestras biológicas asociadas a una persona identificada o identificable, incluido el almacenamiento del material biológico, cuando los datos o muestras han sido recolectados en el ámbito laboral, educativo, deportivo, social, de seguros, de seguridad o identificación, salvo que la ley expresamente autorice su tratamiento en casos calificados y que se refiera a alguno de los casos mencionados en este artículo”.

En la discusión general del proyecto se manifestó que la legislación sobre derechos y deberes de los pacientes ya regula esta materia, por lo que aparece innecesario tratar este tema en el proyecto de ley de privacidad de datos. Aquí puede estar la razón por la cual los parlamentarios proponen su supresión.

Ampliación de las potestades fiscalizadoras de la Agencia

Una de las atribuciones de la Agencia es fiscalizar el cumplimiento de las disposiciones de la ley, sus reglamentos y las instrucciones y normas generales que se dicten respecto de los tratamientos de datos personales. Para ello, puede requerir a quienes realicen tratamiento de datos la entrega de cualquier documento, libro o antecedente y toda la información que fuere necesaria para el cumplimiento de su función fiscalizadora.

Sobre este último punto, los diputados Soto y Calisto plantean complementar la atribución de la autoridad, en el sentido de facultarle también para “obtener el acceso a los locales del responsable y del tercero mandatario o encargado del tratamiento, incluidos cualesquiera equipos y medios de tratamiento de datos, de conformidad con las normas procesales que regulen la materia”.

Incremento del umbral de multas

El proyecto despachado por el Senado contempla tres tipos de sanciones: amonestación, suspensión del tratamiento de datos hasta por 30 días, y multas. De acuerdo a la entidad de la infracción, la multa podrá variar entre 1 a 100 UTM (infracciones leves); multa de 101 a 5.000 UTM (infracciones graves); y multa de 5.001 a 10.000 UTM (infracciones gravísimas).

Las indicaciones del Poder Ejecutivo y de los diputados Soto y Calisto apuntan a subir el umbral de multas de las infracciones graves y gravísimas cuando el responsable sea una empresa. De esta manera, las infracciones graves serán sancionadas con multa de 101 hasta 5.000 UTM, pero en el caso de empresas la multa podrá ser hasta la suma equivalente al 2% del total anual de las ventas globales del infractor en el año anterior, optándose por la de mayor cuantía.

Respecto de las infracciones gravísimas, los responsables serán sancionados con multa de 5.001 hasta 10.000 UTM, pero si son empresas la multa podrá ascender hasta la suma equivalente al 4% del total anual de las ventas globales del infractor en el año anterior, optándose por la de mayor cuantía.

Las multas leves no fueron objeto de enmienda.

Exclusión de las certificaciones revocadas como anotación del Registro de Cumplimiento y Sanciones

Las indicaciones del diputado Luis Sánchez y del Poder Ejecutivo buscan eliminar de las anotaciones que contiene el Registro de Cumplimiento y Sanciones la información de las personas que, habiendo tenido un certificado de modelo de prevención, éste se le haya revocado. La finalidad de esta indicación parece ser no desincentivar la adopción de modelos de prevención.

Con todo, pese a ser una materia sobre la cual se argumentó en la discusión en general, la inclusión en el Registro continúa siendo por 5 años, sin diferenciar si la condena fue por una infracción leve, grave o gravísima. Esto podría resultar desproporcionado a la luz de la garantía constitucional de igualdad ante la ley y no discriminación arbitraria.

Unificación del modelo de prevención de infracciones

El proyecto de ley ofrece al responsable la elección entre dos sistemas alternativos de modelo de prevención de infracciones: (i) designar un delegado de protección de datos; o (ii) contar con un programa de cumplimiento, que adicionalmente conlleva la designación de un delegado. El diputado Luis Sánchez propone unificar los dos modelos que aparecen en el proyecto de ley. Al parecer no tendría sentido generar dos modelos de prevención, completamente voluntario, ya que las empresas optarán por el menos gravoso con el fin de beneficiarse de la atenuante de responsabilidad por un eventual ilícito. Así aparece como más razonable mantener un solo modelo de prevención, totalmente voluntario, pero que sea claro y preciso.

Mecanismo de control a los órganos constitucionalmente autónomos

Los órganos del Estado que gozan de autonomía constitucional son, por ejemplo, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral. En virtud de esa autonomía, no parece deseable que queden sometidos a otro órgano o poder del Estado. Por ello, el proyecto de ley señala que la Agencia no tendrá competencias respecto de su actuar.

Con todo, una indicación del diputado Luis Sánchez busca someter a un cierto control ese accionar sobre el efectivo cumplimiento de la ley. Para ello, la indicación propone que tales organismos autónomos informen una vez al año a la Comisión de Constitución de la Cámara de Diputados sobre cuatro aspectos: (i) las reclamaciones en su contra presentadas por los titulares de datos; (ii) las políticas, normas e instrucciones que hubieren dictado para dar cumplimiento a los principios y obligaciones establecidos en la ley; (iii) las acciones disciplinarias que hubieren adoptado en relación con las infracciones cometidas en esta materia por sus respectivos funcionarios; y (iv) todo otro asunto que tales instituciones y organismos consideren del interés de la Comisión en este ámbito.

Competencia específica del Sernac en materia de relaciones de consumo

Una indicación del Poder Ejecutivo busca mantener la competencia del Servicio Nacional del Consumidor en lo relativo a la interpretación de la normativa de datos personales aplicada a las relaciones de consumo.

La propuesta despachada del Senado, en cambio, radicaba completamente en la Agencia la interpretación, fiscalización y sanciones de las materias de privacidad de datos, a fin de no generar asimetrías regulatorias.

Otros cambios propuestos

Existen otras indicaciones que, aunque de menor envergadura y consecuencias jurídicas, el conjunto de ellas rediseña la fisonomía del tratamiento de datos personales en el país.

1. Se busca sustraer de la aplicación de la nueva legislación a las policías, fiscales, tribunales y demás autoridades encargadas de la persecución penal (A. Longton, L. Soto y M. Calisto). Esto es con la finalidad de no entorpecer o ralentizar el trabajo de estos actores, quienes tendrán un estándar más laxo para el tratamiento de datos
2. Se busca eliminar la enumeración de ejemplos que contiene la definición del vocablo “dato personal”, tales como nombre, número de cédula de identidad, etc., a fin de incluir un mayor número de hipótesis por parte del sentenciador (A. Longton, L. Soto y M. Calisto)
3. Se precisa que no todos los “hábitos personales” constituyen un dato sensible, sino únicamente aquellos hábitos que refieran a datos de carácter sensible (P. Ejecutivo). Ello obedece a que la mayoría de nuestros hábitos diarios (ir al supermercado, salir a hacer deporte, etc.) no necesariamente suponen la existencia o relación con datos sensibles
4. Se cambia la denominación al “derecho de cancelación” por “derecho de supresión” (P. Ejecutivo), para evitar confusiones en el derecho interno con la acción del acreedor que, frente al pago del deudor, extingue o “cancela” esa obligación contraída
5. Se mejora la regulación del derecho de portabilidad en dos sentidos. Por un lado, establece que la transmisión de la data se realice de manera directa entre responsables, cuando sea técnicamente posible (P. Ejecutivo). Por el otro, precisa que el ejercicio del derecho de portabilidad no siempre conllevará la eliminación de los datos en el responsable cedente, ya que por diferentes motivos el titular querrá mantener sus datos personales en ambas entidades para recibir servicios diversos (L. Sánchez)
6. Se elimina del Registro de Cumplimiento y Sanciones la mención a las certificaciones de los modelos de prevención que hayan sido revocadas (P. Ejecutivo, L. Sánchez). Ello, porque quitaba el incentivo a los responsables por adoptar voluntariamente estos modelos de prevención, ya que en caso que perder la certificación, iban a quedar expuestos al reproche social de aparecer en un registro con una certificación retirada
7. Se introducen precisiones al principio de proporcionalidad, en el sentido que los datos personales que se traten deben limitarse “estrictamente” (L. Soto y M. Calisto) a aquellos que resulten necesarios, “adecuados y pertinentes” (P. Ejecutivo) en relación con los fines del tratamiento
8. Se precisa que el consentimiento no sólo debe ser libre, informado, específico en cuanto a su finalidad, e inequívoco, sino que además debe manifestarse de forma “previa” (L. Sánchez) y “expresa” (A. Longton)
9. Se permite que el tratamiento de datos sensibles relativos a niños, niñas y adolescentes menores de 16 años sea efectuado sin el consentimiento de los padres, cuando dicha gestión tenga por objeto contactar a los padres o representantes; para su propia protección; o en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a ellos (R. Leiva)
10. Se precisa la regulación de la categoría especial de datos personales con fines históricos, estadísticos, científicos y de estudios o investigaciones, en el sentido de que todos ellos deben atender a “fines de interés público” para acogerse al interés legítimo como base de licitud (L. Sánchez). Además, se exige al responsable hacer un análisis de riesgo cuando la labor histórica, estadística, científica o de investigación verse sobre datos sensibles (L. Sánchez)
11. Se re-categorizan algunas infracciones. La entrega de información incompleta en el proceso de certificación del modelo de prevención deja de ser una infracción gravísima, proponiendo una indicación que pase a ser de carácter grave (L. Soto y M. Calisto), mientras que otra indicación propone que sea infracción leve (L. Sánchez). Asimismo, se precisa que lo que constituye una infracción gravísima es la entrega de información falsa “a sabiendas” (L. Soto y M. Calisto) en el proceso de certificación del modelo
12. En lo relativo a la suspensión del tratamiento de datos personales, se propone que dicha sanción no afecte el almacenamiento de datos que tenga el responsable, y podrá ser parcial o total, no pudiendo decretarse cuando se afecten los derechos de los titulares (P. Ejecutivo). Asimismo, se propone que esta sanción se imponga por períodos sucesivos de “máximo” (L. Soto y M. Calisto) 30 días
13. Se propone que el reclamo de ilegalidad a ser presentado ante la Corte de Apelaciones por alguna resolución de la Agencia baste con que dicho acto sea ilegal, no siendo necesario ahora acreditar que cause perjuicio al interesado (L. Soto y M. Calisto)
14. Se propone que las compañías de seguro puedan establecer bases de datos comunes para efectos de la liquidación de siniestros y la colaboración estadístico actuarial que permita la tarificación, selección de riesgos y elaboración de estudios de técnica aseguradora (R. Leiva)
15. Se posterga la entrada en vigencia de la nueva legislación, prevista en un año desde su publicación en el Diario Oficial, y en 18 meses para que las bases de datos preexistentes hagan su adecuación a los nuevos estándares. Ahora se propone que entre en vigencia a los dos años de publicada en el Diario Oficial (R. Leiva). Respecto de las empresas de menor tamaño, se propone que entre en vigor a los 19 meses (P. Ejecutivo) y se entregue un espacio de 24 meses para que las empresas de menor tamaño adecuen las bases de datos preexistentes (P. Ejecutivo)