ANÁLISIS CRÍTICO DE LOS PROYECTOS DE LEY DE PROTECCIÓN DE DATOS PERSONALES PARTE I: DISPOSICIONES GENERALES.
y2k.cl
ANÁLISIS CRÍTICO DE LOS NUEVOS PROYECTOS DE LEY DE PROTECCIÓN DE DATOS PERSONALES. BOLETINES N° 11.144-07 Y N° 11.092-07.
Francisco Aravena Riveros
PARTE I DISPOSICIONES GENERALES
(I) OBJETO (II) ÁMBITO DE APLICACIÓN MATERIAL (III) ÁMBITO DE APLICACIÓN TERRITORIAL (IV) DEFINICIONES
Esta obra está bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivar 4.0 Internacional. Francisco Aravena Riveros. 2017.
TABLA DE CONTENIDOS I. OBJETO .......................................................................................................................... 1 II. ÁMBITO DE APLICACIÓN MATERIAL ........................................................................... 4 ÁMBITO DE APLICACIÓN ............................................................................................... 4 EXCLUSIONES ................................................................................................................ 6 III. ÁMBITO DE APLICACIÓN TERRITORIAL ................................................................... 10 IV. DEFINICIONES ............................................................................................................. 20 A. DEFINICIONES QUE SE MANTIENEN DE LA LEY N° 19.628 VIGENTE ................. 20 Letra a), “ALMACENAMIENTO DE DATOS” .......................................................... 20 Letra b), “BLOQUEO DE DATOS” .......................................................................... 20 Letra d), “DATO CADUCO”................................................................................... 22 Letra e), “DATO ESTADÍSTICO” ............................................................................ 23 Letra h), “ELIMINACIÓN O CANCELACIÓN DE DATOS” ......................................... 25 Letra j), “ORGANISMOS PÚBLICOS” ...................................................................... 26 B. DEFINICIONES QUE SE AÑADEN .......................................................................... 26 Letra c), “COMUNICACIÓN O TRANSMISIÓN DE DATOS” ....................................... 26 Letra f), “DATO PERSONAL” ................................................................................ 29 Letra g), “DATOS PERSONALES SENSIBLES” ........................................................ 32 Letra i), “FUENTES DE ACCESO PÚBLICO” ........................................................... 35 Letra k), “PROCESO DE ANONIMIZACIÓN O DISOCIACIÓN” .................................. 48 Letra l), “BASES DE DATOS PERSONALES” ........................................................... 49 Letra m), “RESPONSABLES DE DATOS O RESPONSABLES” .................................... 50 Letra n), “TITULAR DE DATOS O TITULAR” .......................................................... 51 Letra ñ), “TRATAMIENTO DE DATOS” .................................................................. 52 Letra o), “CONSENTIMIENTO” .............................................................................. 53 Letras p), q), r), s) y t), “DERECHOS ARCO Y DE PORTABILIDAD” ........................ 55 Letra u), “REGISTRO NACIONAL DE CUMPLIMIENTO Y SANCIONES” ................... 56 C. DEFINICIONES QUE SE AÑADEN, EXCLUSIVAS DEL BOLETÍN N° 11.092-07 ........ 56 Art. 3° N° 11, “INTERMEDIARIOS EN EL TRATAMIENTO” ..................................... 56 Art. 3° N° 12, “DESTINATARIO” .......................................................................... 58 Art. 3° N° 13, 15, 16, 17, 18 y 20, OTROS CONCEPTOS ....................................... 58 D. DEFINICIONES QUE NO SE RECOGIERON DEL RGDP ........................................ 59 Art. 4(17), “REPRESENTANTE” ............................................................................. 59
NOTA El presente texto, y los sucesivos que se publiquen y hagan relación a los proyectos de Ley de Protección de Datos Personales, boletines N° 11.144-07 y N° 11.092, tiene por objeto expresar una opinión personal sobre los mismos, haciendo, cuando sea necesario, una comparativa entre ellos y otros cuerpos legales que merezcan ser considerados. Esta publicación no tiene otro afán más que poder contribuir a la actual discusión sobre el tema en cuestión, aportando con una visión crítica y constructiva. Hago especial énfasis en que este texto podría llegar a ser un tanto árido, considerando que es un análisis netamente legal de los referidos boletines. Cualquier comentario, duda o corrección, será recibido con mucha atención y gratitud al correo electrónico
[email protected]
Francisco Aravena Riveros Abogado PI/TI Linkedin: https://www.linkedin.com/in/franciscoaravena/ Blog: http://www.y2k.cl/ Twitter: https://twitter.com/FcoAravena
(I) Objeto de la ley (artículo 1°, inciso primero) El inciso primero del artículo 1° del proyecto de ley del boletín N° 11.144-07, establece que el objeto de la misma es “regular el tratamiento de los datos personales que realicen las personas naturales o jurídicas, públicas o privadas, con el propósito de asegurar el respeto y protección de los derechos y libertades de quienes son titulares de estos datos, en particular, el derecho a la vida privada”. La redacción de este artículo es simple y deja en claro que lo que se busca es asegurar el respeto y la protección, no de un único derecho, sino que de un cúmulo de derechos y libertades de los titulares en relación al tratamiento de sus datos personales. La norma, como sea, hace un hincapié en un derecho específico, el “derecho a la vida privada”, causando la impresión de que el punto neurálgico de protección de la normativa no es el “derecho a la protección de datos personales”, sino que, valga la redundancia, el de las personas a la vida privada. El derecho de la protección de datos personales ha conocido por varias décadas de numerosas nomenclaturas, tales como “privacidad” (derivada de la palabra “privacy”, común en la tradición de los países de habla inglesa), “protección de datos” (proveniente de la tradición germana y común en otros países europeos continentales), “habeas data” (común en Sudamérica) y “data privacy”, concepto preferido hoy en día por los académicos especializados. El vocablo “privacidad” (privacy) hace especial referencia a aspectos que en muchas ocasiones escapan de la esfera de lo que el derecho moderno de la protección de datos personales engloba, haciendo incluso referencia a aspectos que no tienen relación al tratamiento de datos, que es el objeto de la ley de protección de datos personales, tales como ~1~
la vida privada, la familia, un lugar físico, un domicilio particular, la inviolabilidad del hogar, injerencias u otros ataques. La nomenclatura “protección de datos” (data protection), guarda relación con la protección de las personas físicas en relación al tratamiento de sus datos personales. Si bien la terminología “protección de datos” podría llegar a hacer pensar que lo que se protegen son los datos, ello no es así, por razones jurídicas obvias (a menos que se piense en una protección distinta y con finalidad diferente, como lo son, por ejemplo, los secretos industriales y empresariales, que no vienen al caso). Es por lo anterior que se ha preferido por varios intelectuales del área 1 referirse a esta parcela del derecho como el de la “privacidad de datos” (“data privacy”), lo que vendría a constituirse como una nomenclatura mixta que considere tanto el concepto de “privacidad” como el de “protección de datos” (autodeterminación informativa). Conforme a lo señalado, la redacción del artículo comentado no debería poner exclusivo énfasis en el derecho a la vida privada, sino más bien hacerlo conjuntamente con la protección de datos personales. Sin perjuicio de lo anterior, resulta interesante tomar en cuenta otras propuestas y ejemplos de redacción del artículo en comento. Por ejemplo, el boletín N° 11.092-07, establece en su artículo 1° que el objeto de la ley es “asegurar a las personas naturales el derecho a proteger y “controlar” sus datos personales […]”. Este proyecto, como es sabido, recoge en gran parte lo establecido en el Reglamento General de Datos Personales Europeo (en adelante, “RGDP”), que también asegura el derecho de las personas a “controlar” los datos personales (véase “recital” o considerando 7°) y otros
1
Lee A. Bygrave, por ejemplo.
~2~
derechos, como el nuevo derecho de portabilidad de datos, que cristaliza una verdadera facultad de control del titular (“interesado”, en el RGDP) sobre sus datos. Otro aspecto que se echa de menos de la redacción del objeto del proyecto de ley del boletín N° 11.144-07 es, como contrapartida del derecho de la protección de datos personales, las normas relativas a la libre circulación de los datos. En efecto, la ley de protección de datos personales (“LDPD”), no solamente debe tener como objeto último la protección de los derechos a la privacidad y la protección de datos personales, sino que también debe establecer las normas por las cuales se asienten las condiciones y los requisitos para que los datos de las personas físicas puedan circular libremente, dentro y fuera del país (transferencia transfronteriza o internacional de datos personales). La libre circulación de datos personales, como objeto de regulación, ha sido incorporada en la gran mayoría de las legislaciones modernas de protección de datos, estando presente, por ejemplo, desde hace años en la Directiva de Protección de Datos Personales, que será reemplazada por el RGPD y que también la incorpora y regula. Tanto es así, que el RGDP dispone en el artículo 1° (“Objeto”): “La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales”. Una redacción, que a mi gusto podría considerar todo lo anteriormente expuesto, sería la que sigue: “Artículo 1.- Objeto y ámbito de aplicación. La presente ley tiene por objeto regular el tratamiento de los datos personales que realicen las personas naturales o jurídicas, públicas o privadas, con el propósito de asegurar el respeto y protección de los derechos y libertades de quienes son titulares de estos datos, en particular, el derecho a la vida privada y el derecho a la protección de los datos personales, como también la regulación de la libre circulación de tales datos. La presente ley también tiene por objeto asegurar a los titulares de datos el control sobre los mismos”. ~3~
(II) Ámbito de aplicación material (artículo 1°, inciso segundo) El inciso segundo del artículo 1° del proyecto de ley del boletín N° 11.144-07, establece el ámbito de aplicación de la misma: “Todo tratamiento de datos personales que realicen las personas naturales o jurídicas, incluidos los órganos públicos, que no se encuentre regido por una ley especial quedará sujeto a las disposiciones de esta ley. Con todo, en los asuntos no regulados en las leyes especiales se aplicarán supletoriamente las normas de esta ley”. Dicho precepto establece un ámbito de aplicación amplio, indicando que “todo” tratamiento que no esté regido por una ley especial, se regirá por las disposiciones de dicha ley. El proyecto no distingue entre tratamientos manuales o automatizados (o parcialmente automatizados), ni tampoco hace consideración del medio o soporte en que se encuentren contenidos los datos. Lo anterior se contrapone a lo propuesto por el boletín N° 11.092-07, que sigue lo dispuesto en el RGDP, que hace dicha distinción, indicando que la LPDP se aplicará a cualquiera de esos tratamientos. La adopción de los diferentes enfoques, en nuestra opinión, encuentra su fundamento en razones de seguridad jurídica. En efecto, el RGDP se caracteriza por ser una norma extremadamente estricta y proteccionista de los derechos de los titulares de datos, por lo cual su redacción se hizo en extremo minuciosa, no solamente en cuanto a su ámbito de aplicación, sino que también en relación a las definiciones de cada concepto establecido en cada uno de ~4~
sus 99 artículos, que están clara y detallada explicados por medio de “recitales” o “razones” que permiten facilitar la interpretación del Reglamento. Resulta también de gran interés destacar que, a diferencia del proyecto de ley del boletín N° 11.144-07, el del boletín N° 11.092-07, no contiene una regla en su artículo relativo al “ámbito de aplicación material” que establezca que dicha ley se aplicará respecto del tratamiento de datos “que no se encuentren regulados o regidos por una ley especial”. Lo anterior no es algo que pueda ser pasado por alto, ya que no existiendo una norma de aplicación general que establezca la aplicación supletoria de dicha ley, entonces debería entenderse que todos los tratamientos de datos personales, incluso los regulados por una ley especial, serán regidos por la LDPD, lo que claramente traería consigo drásticas consecuencias en el ámbito de la protección de datos, para bien o para mal. Como sea, es discutible establecer si la LDPD (del boletín N° 11.092-07), como ley general posterior, pudiese o no derogar de manera tácita (ya que no lo hace expresamente, claro) las normas especiales sobre tratamiento de datos personales, ni tampoco si esa derogación podría ser parcial o total. El anterior es un tema que, como se ha indicado por autorizados profesores, tales como Alessandri y Somarriva, se encuentra en el terreno de lo opinable, ya que es una cuestión de interpretación que se resuelve por el examen de la intención legislativa. 2 Cabe consignar, como sea, que existe una norma que podría considerarse regular la situación anterior: el artículo 36 del proyecto del boletín 11.092-07, intitulado “Bases de datos creadas y reguladas por leyes especiales”, el cual prescribe que: “En todos aquellos asuntos en que la ley especial no regule los derechos que esta ley reconoce a los titulares o las obligaciones
2
SANTA MARÍA, Jorge López, "El supuesto principio 'legi speciali per generalem non derogatur', en Doctrinas Esenciales, Instituciones Generales, p. 700.
~5~
que se impone a los responsables y encargados, se aplicaran supletoriamente las disposiciones contenidas en esta ley”. De la simple lectura del artículo precitado, podría concluirse que esta norma vendría siendo el precepto que echamos de menos, ya que ella, en su cuerpo, a diferencia de su título, no limita su aplicación a bases de datos, sino que hace referencia a “todos aquellos asuntos en que la ley especial no regule los derechos que esta ley reconoce”. Esa incongruencia entre cuerpo y título, da lugar a fundadas dudas: ¿se aplica la ley a los datos personales o a las bases de datos? Recordemos que estas últimas son definidas, en el boletín artículo 3° N° 6 del mismo boletín, como todo "conjunto estructurado de datos personales". Lo anterior también es confuso ya que la norma está establecida en el Título IV “Del tratamiento de datos por los organismos públicos”, lo cual limita aún más la supletoriedad de la ley tratamientos exclusivamente efectuados por organismos públicos. Esta confusión se agudiza de manera todavía más grave si consideramos que el título IV se repite tres veces bajo diversos nombres ("Del tratamiento de datos relativos a obligaciones de carácter económico, financiero, bancario o comercial"; "Del responsable y encargado del tratamiento"; y, "Del tratamiento de datos por los organismos públicos"), y no existe el Título VI. Exclusiones al ámbito de aplicación material (artículo 1°, inciso tercero) El inciso tercero del artículo 1° del proyecto de ley del boletín N° 11.144-07, establece tratamientos de datos personales que se considerarán excluidos de la aplicación de la LDPD. Tal exclusión hace referencia al (i) tratamiento de datos que realicen los medios de ~6~
comunicación social en el ejercicio de las libertades de emitir opinión y de informar, regulado por las leyes a que se refiere el artículo 19 N° 12 de la Constitución Política de la República; y (ii) al que efectúen las personas naturales en relación con sus actividades personales. La regulación de las exclusiones por este proyecto de ley es similar a la del boletín 11.09207, por cuanto ambas consideran las mismas hipótesis, salvo que la propuesta del boletín 11.092-07 es un tanto más detallada. Primero, el proyecto del boletín N° 11.144-07 no contiene una contra excepción explícita (aunque podría inferirse, claro) a la exclusión relativa a los tratamientos efectuados por los medios de comunicación social, mientras que el boletín N° 11.092-07 deja expresamente establecido que “[e]n todo caso, los medios de comunicación social se regirán por esta ley en lo referido a las bases de datos personales que mantengan para finalidades distintas a las de opinar e informar, tales como las bases de datos de clientes y personal”. Segundo, el proyecto de ley del boletín N° 11.144-07 simplemente hace referencia a tratamientos de datos personales efectuados por personas naturales en relación con sus actividades personales, mientras que el boletín N° 11.092-07 especifica tales tratamientos, indicando que caben dentro de tal grupo los datos personales almacenados en bases de datos domésticas y para actividades relacionadas con su vida privada y familiar. A la vez, el boletín N° 11.092-07, agrega, para otorgar mayor seguridad interpretativa, que cuando tales bases de datos pierdan el carácter de domésticas o relacionadas con la vida privada y familiar de quien las trata, quedarán sujetas a la ley. Como sea, y sin perjuicio de que el boletín N° 11.092-07 es más específico en cuanto a su redacción (al menos en lo relativo a este punto), no puede desconocerse de que éste peca o yerra cuando hace referencia a "datos personales" almacenados en "bases de datos" domésticas. Si interpretamos literalmente dicha frase, podremos concluir que: (i) los datos ~7~
personales individualmente considerados, no tienen cabida y, (ii) que a diferencia de la norma que le sirvió de inspiración a este proyecto de ley (el artículo 2(2)(c) RGDP), la exclusión de aplicación material no hace referencia al "tratamiento” de datos personales en sí, sino que a solamente a los “datos personales”. En efecto, el referido artículo 2(2)(c) RGDP, prescribe: "2. El presente Reglamento no se aplica al tratamiento de datos personales: c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas". Cabe tener presente que el RGDP, en su recital 18, aclara que “[e]ntre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas”. Como se puede apreciar, cuando existen responsables o encargados de un tratamiento de datos personales, la exclusión de aplicación material de la ley encuentra una contra excepción, haciéndose aplicable la regulación sobre dicho tercero, aun cuando la actividad de quien hace el tratamiento principal sea calificable como personal o doméstica. A diferencia de la técnica legislativa comunitaria, en Chile no contamos con un sistema de recitales, sino más bien de antecedentes, fundamentos e historia de la ley, que son muchísimo menos precisos que el sistema de recitales/razones. Por la misma razón es que situaciones como la contra excepción indicada en el párrafo anterior, deben plasmarse positivamente o por medio de reglamentos o códigos, directrices u otro tipo de instrumento análogo. Finalmente, es dable consignar que el RGDP cuenta con otras exclusiones de aplicabilidad que podrían ser motivo de estudio al momento de efectuarse modificaciones al proyecto en ~8~
análisis: (i) el tratamiento de datos personales efectuado por el Estado cuando se llevan a cabo actividades relativas a política exterior, seguridad y defensa; y (ii) el tratamiento de datos personales por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención. La incorporación de estas dos exclusiones de aplicación material, como sea, debe ser estudiada teniendo en consideración nuestra particular realidad en las materias de política exterior, seguridad, defensa y delitos.
~9~
(III) Ámbito de aplicación territorial (no está presente en el proyecto de ley del boletín N° 11.144-07; sí está incluido en el proyecto de ley del boletín N° 11.092-07) Como bien sabemos, el tratamiento de datos personales no conoce de límites ni territorios. Las empresas, organismos y otro tipo de entidades de las áreas del retail, marketing, análisis financiero, salud y la seguridad, realizan continuamente masivas recogidas y tratamientos de datos de una amplia naturaleza, tanto dentro del territorio chileno como fuera del mismo, gracias a transferencias transfronterizas que hoy por hoy no están reguladas en nuestra legislación. En tal sentido, tener una ley cuyo alcance territorial sea extenso, es más que crucial. Si bien el proyecto de ley del boletín N° 11.144-07 contiene una expresa regulación de la transferencia internacional de datos personales en su Título V, no deja de ser menos cierto que dicha regulación hace referencia a la transferencia de datos personales, y no al tratamiento de datos en sí, no regulando específicamente el tema de la jurisdicción territorial (y extraterritorial, como lo ha hecho la legislación europea). Aunque una transferencia internacional o transfronteriza de datos es una especie de tratamiento de datos, no todo tratamiento de datos podría llegar a ser una transferencia internacional. Por su parte, a diferencia del boletín antes indicado, el boletín N° 11.092-07, inspirándose en el RGDP, sí establece las siguientes reglas sobre el ámbito de aplicación territorial de la LPDP, en su artículo 2°:
~ 10 ~
Artículo 2° Ámbito de aplicación territorial La presente ley se aplica al tratamiento de datos personales en el contexto de las actividades de un responsable o encargado en el territorio nacional, independientemente de que el tratamiento tenga lugar en Chile o no. Asimismo, se aplica al tratamiento de datos personales cuyos titulares residan en Chile por parte de un responsable o encargado no establecido en Chile, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos titulares en Chile, independientemente de si a éstos se les requiere su pago, o b) el control o seguimiento de su comportamiento, en la medida en que éste tenga lugar en Chile. El inciso primero establece que la LDPD se aplica al tratamiento de datos personales en el caso en que el “responsable” o el “encargado” realice actividades en Chile, siendo indiferente si dicho tratamiento tiene o no lugar en Chile. El inciso segundo prescribe que la LDPD se aplica al tratamiento de datos personales de titulares que residan en Chile, cuando dicho tratamiento es efectuado por un responsable o encargado que no está establecido en Chile, cuando sus actividades de tratamiento sean relativas a las hipótesis (a) y (b) más arriba precitadas. La adición del inciso segundo, que establece la extraterritorialidad de la LDPD, se ha inspirado en una de las normas más aclamadas en el derecho de privacidad de datos europeo, por cuanto se ha planteado como la solución al creciente problema de no contar con una ~ 11 ~
norma que extienda sus efectos a procesamientos de datos de residentes locales por parte de responsables o encargados no “establecidos” en dicho país. La comentada norma permite a la LDPD contar con un “brazo largo”, que extienda sus efectos de manera extraterritorial, cuando las actividades de tratamiento de datos efectuadas por el responsable o encargado no establecido en Chile estén relacionadas (a) con la oferta de bienes o servicios a dichos titulares en Chile, independientemente de si a éstos se les requiere su pago, o (b) el control o seguimiento de su comportamiento, en la medida en que éste tenga lugar en Chile. En lo sucesivo haremos una breve explicación de la primera hipótesis, esto es, la del caso en que responsables o encargados “no establecidos en Chile”, realicen tratamiento de datos personales de titulares que residan en Chile, cuando dicho tratamiento esté relacionado con la oferta de bienes o servicios a dichos titulares en Chile. Dicha primera hipótesis sugiere que, primero, debe existir una oferta de bienes o servicios por parte de un responsable que no esté establecido en Chile. Ejemplo de ello, sería el caso de la empresa inglesa de ropa “ASOS”, que (al menos según tengo entendido) no está “establecida” en Chile. Esta hipótesis sugiere, además, que dicha oferta sea efectuada a “titulares en Chile”. Lo anterior denota la idea de que dicha oferta debe estar “dirigida”, y no ser una mera oferta amplia a cualquier posible cliente residente en otro país. Tanto es así en relación a que la oferta debe ser dirigida, que la norma que fue fuente de inspiración de la norma del boletín N° 11.092-07, es explicada en el recital 23 del GDPR, el cual indica que “[p]ara determinar si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión (en nuestro caso, Chile), debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio ~ 12 ~
web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”. Dicho recital sirve bastante para aclarar cuándo un responsable de tratamiento de datos personales no establecido en Chile, se “dirige” en cuanto a sus ofertas de bienes o servicios a residentes en Chile, estableciendo que se trata de una situación fáctica y casuística. Dicha “oferta dirigida” se puede desprender de hechos tales como permitir el pago mediante pesos chilenos, la posibilidad de enviar los productos a Chile, el hecho de indicar otros clientes en Chile, entre otros criterios que pueden variar de caso a caso. En el ejemplo del sitio web de la empresa de ropa ASOS, si bien esta empresa no está “establecida” en Chile, no deja de ser menos cierto que efectivamente podría ser posible aplicar la norma de extraterritorialidad a tratamientos de datos personales de titulares residentes en Chile, toda vez que esta tienda online, por ejemplo, da una opción de “shipping” (envío de productos) a nuestro país, como consta en la siguiente imagen:
~ 13 ~
En lo que atañe a la segunda hipótesis, esto es, al control de comportamiento, es claro que la norma busca hacer referencia a empresas y operadores de redes sociales, social media en general, empresas prestadoras de servicios de motores de búsqueda, correo electrónico y, en general, todas las empresas que realicen actividades de monitoreo del comportamiento de sus usuarios (por ejemplo, a través de técnicas que incluyan data mining y profiling en uso de big data, etc). Como sea, el legislador europeo, al establecer esta hipótesis, para evitar que la extraterritorialidad de la ley sea desmedida, estableció el requisito de que dicho monitoreo o seguimiento del comportamiento de los titulares “sea en la medida en que éste tenga lugar en Chile”. En otras palabras, no cualquier monitoreo o seguimiento de comportamiento hace aplicable de manera extraterritorial la ley chilena, sino que dicho control o seguimiento debe
~ 14 ~
ser “dirigido”. De ahí que se ha sostenido 3 que esta hipótesis está basada en la lógica de “podrías ser blanco de la ley europea (o en nuestro caso, de la ley chilena), sólo si tu apuntas (a Europa o Chile en nuestro caso, claro)”. Para efectos prácticos, y en la medida que nuestro país implemente esta regulación extraterritorial, resulta interesante tomar nota del recital 24 del RGDP, que establece un criterio para determinar si se puede considerar que una actividad de tratamiento controla o no el comportamiento de los titulares: “debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”. Un ejemplo hipotético de la norma de extraterritorialidad sería el de una red social, página de venta de productos o app, por ejemplo, de los EEUU, no establecida en Chile, que procese los datos de sus clientes residentes en Chile de tal forma que analice o monitoree sus conductas de compra y despliegue ofertas acorde a los intereses y gustos de sus usuarios. ¿Suena familiar? Si bien este boletín (el N° 11.092-07), a diferencia del N° 11.144-07, contempla una norma de aplicación territorial, cabe hacer una pequeña observación respecto de la hipótesis expresada en su inciso primero, consistente en que, al parecer, al momento de transcribir la norma homóloga europea del RGDP, se omitió –desconocemos si de manera deliberada o no– un importante término que ha sido ampliamente estudiado en el derecho mercantil, esto es, el de “establecimiento”.
3
DE HERT, Paul y CZERNIAWSKI, Michael, “Expanding the European data protection scope beyond territory: Article 3 of the General Data Protection Regulation in its wider context”, p. 10.
~ 15 ~
La norma europea (artículo 3, inciso primero), establece que: “[e]l presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”. Por su parte, el recital 22 del RGDP, que aclara el sentido y alcance de dicha norma, establece: “Un establecimiento implica el ejercicio de manera efectiva y real de una actividad a través de modalidades estables. La forma jurídica que revistan tales modalidades, ya sea una sucursal o una filial con personalidad jurídica, no es el factor determinante al respecto”. Dicha omisión produce importantes efectos jurídico-interpretativos, toda vez que, de interpretarse la norma tal y como está propuesta por el boletín N° 11.092-07, haría que la norma se haga extensiva solamente respecto al “contexto de las actividades” del responsable (quien trata el dato directamente) o del encargado, y no en relación a sus filiales, sucursales u otras entidades que estén relacionadas a ellas. Muy bien sabemos que para evitar responsabilidades, las empresas podrían camuflar su actuar (en relación al tratamiento de datos personales) bajo la figura de una empresa diversa. Un importante aspecto del cual el GDPR nada dice, y que por tanto, el proyecto chileno del boletín N° 11.092-07 también guarda silencio, es acerca del “enforceability” o aplicabilidad práctica o ejecución de los derechos de los titulares residentes en Chile de la LDPD. ¿Cómo será posible que en la práctica un titular pueda hacer efectiva la tutela legal de la LDPD en contra de un responsable no establecido en Chile? El sentido común podría hacer pensar que la vía sería mediante una demanda o reclamación directa contra tal empresa; otra sería por medio de exhortos internacionales. También podríamos pensar en que la Agencia Nacional de Protección de Datos Personales chilena celebrase convenios de asistencia recíproca con otros estados, tal como lo ha aprovechado de hacer el legislador europeo a ~ 16 ~
través del artículo 61 del RGDP. En este sentido, Chile ya cuenta con cierto grado de experiencia, al haber celebrado con Perú un convenio para recibir reclamos de los consumidores del otro país. 4 Una posible solución sería la del establecimiento del deber de designación de un representante por parte del responsable no establecido en Chile. En efecto, de fundirse ambos proyectos de ley, incorporándose el artículo del boletín N° 11.092-07 que regula el ámbito de aplicación (extra)territorial de la LDPD, se hará absolutamente menester –para velar por la eficacia del inciso segundo del artículo 2° del boletín N° 11.092-07– incorporar lo prescrito en el artículo 27 del RGDP, intitulado “Representantes de responsables o encargados del tratamiento no establecidos en la Unión” o en el artículo 28 del proyecto del boletín N° 11.092-07. El artículo 28 del proyecto del boletín N° 11.092-07, prescribe: “Artículo 28. Responsables no establecidos en Chile. Los responsables del tratamiento no residentes en Chile, deberán designar a un representante en Chile, que atienda, junto al responsable o al encargado, o en su lugar, a las consultas de los titulares, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en la presente ley. La designación de un representante, por el responsable o el encargado del tratamiento, se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado”.
4
Ver
~ 17 ~
Si bien lo propuesto en el artículo 28 del proyecto contenido en el boletín N° 11.092-07 cumple con un alto estándar internacional al replicar el ejemplo del RGDP, cabe consignar lo siguiente: i)
Primero, el artículo 28 no establece la obligación de que dicha designación sea
por escrito (como lo hace el artículo 27, apartado 1 del RGDP), lo cual es un requisito de gran importancia en su homólogo europeo, en donde incluso en el recital 80 se indica que “El representante debe ser designado expresamente por mandato escrito del responsable o del encargado para que actúe en su nombre con respecto a las obligaciones que les incumben en virtud del presente Reglamento. La designación de dicho representante no afecta a la responsabilidad del responsable o del encargado en virtud del presente Reglamento. Dicho representante debe desempeñar sus funciones conforme al mandato recibido del responsable o del encargado, incluida la cooperación con las autoridades de control competentes en relación con cualquier medida que se tome para garantizar el cumplimiento del presente Reglamento. El representante designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado”. ii)
El proyecto del boletín N° 11.092-07 solamente hace referencia al responsable
del tratamiento, más no al encargado. El RGDP hace referencia tanto al responsable como al encargado (artículo 27). El artículo 29 del boletín N° 11.092-07, relativo a los “Deberes del encargado del tratamiento”, nada dice sobre aquello. iii)
Finalmente, el artículo 28 del boletín N° 11.092-07, no establece un sistema de
excepciones a la obligación establecida en dicho artículo, como sí lo hace la norma que le inspiró (artículo 27, apartado 2, letras a y b) Como conclusión general en relación al tema del ámbito de aplicación territorial de la LDPD, cabe indicar que hoy la tendencia mundial es brindar a este tipo de leyes de un alcance ~ 18 ~
extraterritorial, especialmente debido a la clara digitalización de la sociedad moderna, en donde los flujos de datos son tratados como si no existiesen límites jurisdiccionales.
~ 19 ~
(IV) Definiciones (artículo 2°) (A) Definiciones que se mantienen. En primer término, cabe consignar que boletín N° 11.144-07, a diferencia del boletín N° 11.092-07, ha optado por mantener ciertas definiciones de la LDPD vigente, esto es, las definiciones de las letras a), b), d), e), h) y k) [ahora como letra j)]. Letra a) “Almacenamiento de datos”. En cuanto a la letra a), “Almacenamiento de datos”, se mantiene la definición de éste como “la conservación o custodia de datos en un registro o banco de datos”. Esta definición no se encuentra presente en el boletín N° 11.092-07, sino más bien el concepto de “conservación”, que se ha incorporado dentro de la definición amplia de “tratamiento de datos” (artículo 3°, letra c). No vemos problema con mantener esta norma, a menos que, claro, se quisiera entrar en una discusión en cuanto al significado o alcance de los términos registro o banco de datos, lo cual nos parece exagerado, dada la amplitud de los términos. Letra b) “Bloqueo de datos”. En relación a la letra b), “Bloqueo de datos”, éste se ha definido como “la suspensión temporal de cualquier operación de tratamiento de los datos almacenados”.
~ 20 ~
El proyecto del mismo boletín, en su artículo 11, hace referencia al bloqueo de datos, estableciendo las hipótesis en las que puede hacerse efectivo: “Cuando se formule una solicitud de rectificación o cancelación, el titular tiene derecho a solicitar y obtener del responsable el bloqueo temporal de los datos. La solicitud de bloqueo temporal debe ser fundada y el responsable deberá responder a este requerimiento dentro de los 2 días hábiles siguientes a su recepción. En caso de negativa, el responsable deberá invocar una causa justificada y fundar su respuesta”. En otras palabras, conforme al proyecto del boletín que comentamos, el derecho de bloqueo se puede hacer efectivo como una petición accesoria a los derechos de rectificación o cancelación. El mismo boletín también incluye otra mención al derecho de bloqueo, estableciéndolo para el caso del artículo 17 (dentro del título sobre “la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial”). A diferencia del boletín N° 11.144-07, el boletín N° 11.092-07, no contiene, dentro de sus “definiciones”, el concepto de “bloqueo de datos”, sino más bien lo establece derechamente como un derecho de los titulares, en el artículo 11, en relación al 18 (“Derecho de bloqueo del tratamiento”: Artículo 18. Derecho al bloqueo del tratamiento. El titular tendrá derecho a obtener del responsable del tratamiento el bloqueo del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes: a) el titular impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos; b) el ~ 21 ~
tratamiento sea ilícito y el titular se oponga a la supresión de los datos personales y solicite en su lugar el bloqueo para ejercer sus acciones legales; c) el responsable ya no necesite los datos personales para los fines del tratamiento, pero el titular los necesite para la formulación, el ejercicio o la defensa de reclamaciones. Como se puede apreciar, existen tres hipótesis bajo las cuales se puede ejercer este derecho: i) cuando exista impugnación de datos (derecho de rectificación); ii) cuando el titular se oponga a la supresión de sus datos, en caso de tratamiento ilícito, y solicite derechamente el bloqueo de datos para ejercer de manera posterior acciones legales (una suerte de medida prejudicial precautoria, si se puede decir de algún modo); y cuando el titular desee los datos para ejercer derechos. Desde ya puede decirse que la regulación de este derecho resulta más adecuada en el boletín N° 11.092-07, ya que regula de manera más concisa las hipótesis bajo las cuales puede ejercerse, especialmente en relación a la tercera causal, que en nuestra opinión busca empoderar al titular de datos y consagrar cierto tipo de control sobre los mismos, para efectos de hacerse de ellos y utilizarlos para fines legales que sean de su interés o conveniencia (recordemos que el objeto de este boletín no solamente hace referencia a la protección y respeto del derecho de privacidad de datos, sino que también al control de los mismos). Letra d) “Dato caduco”. La letra d) del artículo 2° del boletín N° 11.144-07, define el concepto de “dato caduco”, como “el que ha perdido actualidad por disposición de la ley, por el cumplimiento de la condición o la expiración del plazo señalado para su vigencia o, si no hubiese norma expresa, por el cambio de los hechos o circunstancias que consigna”.
~ 22 ~
Por su parte, el proyecto del boletín N° 11.092-07 no establece una definición de ese tipo de datos, ni tampoco una directa mención a ellos dentro de su articulado. El boletín N° 11.144-07, en cambio, además de definir tal término, también hace expresa y directa referencia al mismo en su artículo 7 (“derecho de cancelación”) y tácita e indirecta en el artículo 6 (“derecho de rectificación”), al indicar que el titular tiene derecho a solicitar la rectificación de sus datos cuando sean inexactos, desactualizados e incompletos. Lo mismo hace en su artículo 19, dentro del título de “la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial”. Letra e) “Dato estadístico”. La letra e) del boletín N° 11.144-07, por su parte, define “dato estadístico” como “el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable”. En cuanto a este concepto y tipo de datos, personalmente creo que esta definición parte de una base errónea, confundiendo el concepto de “datos estadísticos” con el de datos “seudonimizados” o, incluso, con el de datos “anonimizados”. Un dato estadístico no es más que un dato o conjunto de datos cuyo fin tiene servir de base para un estudio estadístico. Que el dato sirva para un análisis estadístico no significa necesariamente que dicho dato no pueda ser asociado a un titular identificado o identificable, ya que, como es sabido, una “muestra” puede contener tanto datos directos como indirectos de las personas cuyos datos se analizan, por lo que en efecto es posible relacionar, cruzar o asociar dicho dato con una persona.
~ 23 ~
En tal sentido, en mi opinión, esta definición no debería mantenerse en la LDPD, puesto que erróneamente hace sinónimos los conceptos de “datos estadísticos” con los de “datos seudonimizados” (seudonimizar es “reemplazar el nombre del titular de datos personales y otros aspectos identificatorios con otras identificadores, con el objeto de hacer imposible o extremadamente
difícil
identificarlo”
[Federal
Data
Protection
Act
(Bundesdatenschutzgesetz, BDSG)] y “datos anonimizados” (anonimizar o hacer anónimo significa "alterar los datos personales de tal forma que la información relativa a circunstancias personales o materiales no puedan atribuirse a un una persona natural identificada o identificable, o que dicha atribución requiere de una cantidad desproporcionada de tiempo, gastos y esfuerzos” [Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG)]). En efecto, un dato estadístico puede ser un dato que, al contrario de lo que indica la definición de la letra e), podría ser asociado. Ello es fácil, ya que hoy en día existen numerosos y sofisticados procedimientos de cruce de grandes bases de datos que pueden permitir la identificación de sujetos o grupos de sujetos. Aunque sea un tema que escape del término en análisis, cabe hacer presente que es completamente erróneo pensar que un dato seudonimizado es sinónimo de dato anónimo. Los datos anónimos escapan de la regulación de las normas de protección de datos, mientras que los datos seudónimos, no. Un ejemplo muy decidor del hecho que los datos estadísticos son datos que tienen la aptitud para permitir identificar a los titulares de datos, consiste en que el RGDP establece en su artículo 89 que cuando se pretenda hacer un tratamiento de datos personales con “fines estadísticos”, dicho tratamiento estará sujeto a “determinadas garantías”, entre ellas, por ejemplo, la de seudonimización. Ello en otras palabras significa que los datos estadísticos de por sí podrían ser asociados a titulares de datos personales. ~ 24 ~
Refuerzan la conclusión de que los datos estadísticos no son sinónimo de dato seudonimizado y/o anonimizado, varias normas legales, entre ellas: 1) El artículo 30° de la Ley N° 17.374, que prescribe que “[l]os datos estadísticos no podrán ser publicados o difundidos con referencia expresa a las personas o entidades a quienes directa o indirectamente se refieran, si mediare prohibición del o los afectados”. Dicha disposición deja en evidencia que un dato estadístico perfectamente puede hacer referencia a una persona. En otras palabras, indica que un dato estadístico puede hacer relación a una persona al menos determinada. 2) El artículo 3° N° 4 del Proyecto de Ley que crea una Nueva Institucionalidad del Sistema Estadístico Nacional, Mensaje N° 1128-363, que define “dato estadístico” como “aquel recogido o elaborado con finalidad estadística”. Como conclusión, no cabe sino eliminar o a lo menos enmendar la definición en comento, toda vez que conceptualmente es errónea y puede aparejar consigo pequeñas pero peligrosas “puertas de escape” que sirvan como excepciones al tratamiento de datos personales. Letra h) “Eliminación o cancelación de datos”. La letra h) del boletín N° 11.144-07 también define “eliminación o cancelación de datos” como “la destrucción de datos almacenados en registros o bancos de datos, cualquiera fuere el procedimiento empleado para ello”. Respecto de esta definición, no tenemos mayores reparos, y mayor análisis en torno al derecho de cancelación o eliminación (o supresión, y su extensión online como “derecho al olvido”), se hará cuando se trate el derecho en cuestión.
~ 25 ~
Letra j) “Organismos públicos”. Finalmente, la letra j), se mantiene intacta: “j) Organismos públicos, las autoridades, órganos del Estado y organismos, descritos y regulados por la Constitución Política de la República, y los comprendidos en el inciso segundo del artículo 1º de la ley N° 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado”. Respecto de esta definición mantenida por el boletín 11.144-07, no existen reparos. De hecho, la definición es compartida con la del boletín N° 11.092-08. (B) Definiciones que se añaden. Letra c) “Comunicación o transmisión de datos personales”. La letra c) del boletín N° 11.144-07 define “Comunicación o transmisión de datos personales”, como “dar a conocer por el responsable de datos, de cualquier forma, datos personales a personas distintas del titular a quien conciernen los datos, sin llegar a cederlos o transferirlos. Las comunicaciones que realice el responsable de datos deben contener información exacta, completa y veraz”. Dicha definición, que no es dada por el proyecto del boletín 11.092-07, establece que comunicación o transmisión (tratadas como sinónimos), consiste en el mero acto de “dar a conocer”, de cualquier forma, datos a terceros, sin que aquello signifique “cederlos” (término de derecho civil que entendemos como una especie de tradición que requiere de un título para transferir el dominio sobre algo) o “transferirlos” (lo que hace relación a una transferencia, o traspaso entre vivos del dominio).
~ 26 ~
Como puede anticiparse, se trata de una definición confusa, amplia y no muy jurídica, ya que bien sabemos que una transmisión es un “traspaso” de derechos por causa de muerte. Al parecer el proyecto ha tomado una posición diversa y mucho menos técnica, quizás inspirada de la nomenclatura usada en textos de protección de datos personales extranjeros, como ocurre con el GDPR, en donde se habla de “disclosure by transmission” (divulgación por transmisión), término que traducido a la versión española del GDPR ha quedado finalmente como “comunicación por transmisión. Como sea, resulta evidente a partir de la definición dada, que “comunicación” o “transmisión” de datos personales, es todo acto por el que el responsable de datos, de cualquier forma, da a conocer a terceros de datos personales de uno o más titulares de dichos datos personales. Dicho término, como se verá más adelante, está incluido en el concepto de “tratamiento de datos”, por lo que no cabe duda que esta “especie” de tratamiento debe cumplir con alguno de los supuestos legales que permitan dicho procesamiento. Del mismo modo, si el tercero al cual se le “da a conocer” el o los datos personales, también debe escudarse en alguno de los supuestos legales o contar con la autorización del o los titulares para tratar tales datos. En fin, además de necesitar el consentimiento del titular o, en su caso, de estar en un supuesto legal que permita tal comunicación, el responsable deberá también cerciorarse de que la información que “comunica” o “transmite” sea exacta, completa y veraz. Personalmente me parece que esta definición, si bien no es criticable en cuanto a su contenido en sí, lo es en cuanto peca de ser redundante, toda vez que i) todo tratamiento de datos requiere fundarse en el consentimiento del titular o causa legal y, ii) porque sobre los ~ 27 ~
responsables del tratamiento de datos pesa un deber de asegurarse que ellos sean exactos, completos y actuales. La única razón de ser de esta definición, en mi opinión, vendría a ser aclarar que se considera tratamiento de datos a los meros actos que tienen por objeto “dar a conocerlos”. Ello hace sentido, por cuanto el proyecto de ley N° 11.144-07, en diversos puntos, hace referencia al concepto de “transmisión”, por ejemplo, en los artículos 27, 28, 29, sobre la transferencia internacional de datos personales. El artículo 27, de manera muy intuitiva, indica que el concepto de transferencia internacional de datos, abarca el de “comunicación o transmisión”, entre otros: “La transferencia internacional de datos considera las operaciones de comunicación, transmisión o cesión de datos personales, según la necesidad y finalidades del tratamiento”. Lo anterior puede resultar de provecho, toda vez que, a diferencia del boletín 11.092-07, el proyecto del boletín N° 11.144-07 define “tratamiento internacional de datos” (en adelante, TID). Dicho boletín, define TID como “cualquier transmisión de datos personales, fuera del territorio nacional, independientemente si el objeto de ésta es una cesión o tratamiento de los datos por cuenta del responsable de la base de datos”. Como uno podría darse cuenta, ambos boletines hacen uso de la terminología transmisión de un modo diverso, uno (el boletín 11.144-07), considerando que la TID “considera” (cubre) las operaciones de “comunicación o transmisión” y cesión, y la otra (el boletín 11.092-07), entendiendo que la TID es “cualquier transmisión”, sea o no su objeto una cesión o tratamiento de datos. Como se puede apreciar, hay una (¿pequeña?) discordancia terminológica.
~ 28 ~
Letra f) “Dato personal”. Por su parte, el concepto de “dato personal” ha sido definido en la letra f) del boletín N° 11.144-07, como “cualquier información vinculada o referida a una persona natural, identificada o identificable a través de medios que puedan ser razonablemente utilizados”. En primer término, resulta correcto que la ley indique que la información haga referencia a una persona natural a lo menos “identificable”, toda vez que existen casos en los cuales responsables del tratamiento de datos cuentan, como se dijo, con información complementaria que podría servir como base para determinar o identificar a una persona, aun cuando un dato solamente hacía referencia a información que no la hiciera totalmente identificable. Lo anterior ocurre, por ejemplo, con los datos que han sido sometidos a técnicas de seudonimización. En segundo lugar, también resulta adecuado que el proyecto indique que un dato personal es cualquier información referida a una persona identificable “a través de medios que puedan ser razonablemente utilizados”, ya que lo anterior permite la libre circulación de datos. En otras palabras, una mera posibilidad de poder determinar o identificar a un titular de datos personales, no es suficiente, sino que, por el contrario, será necesario que dicha posibilidad sea factible mediante el uso de medios razonables, y no de medios o procedimientos extremadamente costosos. Dicho tema ya estaba regulado por la Directiva de Protección de Datos europea (DPD) de 1995, la cual establece, en su recital 26: “(26) Considerando que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que , para determinar si una persona es identificable, hay que considerar el conjunto ~ 29 ~
de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona , para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al artículo 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado”. Si bien la DPD hacía referencia a un criterio para determinar cuándo una persona podría ser identificable, la verdad es que dicho criterio era un tanto amplio, por lo que quedó en mano de los académicos y, en especial del Grupo de Trabajo del Artículo 29 (GP29), determinar sub-criterios e hipótesis que pudiesen ser cubiertas. Como sea, el Reglamento General de Protección de Datos, que derogará el DPD, introdujo mejoras en relación a dicho criterio, estableciendo una serie de sub-criterios no taxativos, también en su considerando 26, que dan luces para determinar cuándo una persona es identificable o no. Entre tales sub-criterios, pueden encontrarse: los medios propiamente tales, como la singularización, costes, tiempo, tecnología disponible y avances tecnológicos: “(26) Los principios de la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable. Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable. Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente ~ 30 ~
a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos. Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación”. En nuestra opinión, creemos que establecer tales criterios en la ley chilena resultaría un tanto difícil, toda vez que no contamos, como se ha dicho, con un sistema de “razones” o recitales. Sin embargo, podría, mediante atribuciones conferidas a la Agencia de Protección de Datos Personales (APDP), establecerse directrices que sirvan tanto para establecer tales criterios e indicar hipótesis. Sin perjuicio de lo anterior, también consideramos que la redacción seguida por el boletín N° 11.092-07, distinta a la del boletín N° 11.144-07, y que sigue la del RGDP europeo, es también adecuada y debería fundirse con la que analizamos unas líneas atrás. La definición de datos personales dada por el boletín N° 11.092-07, incorpora ciertos elementos que sirven de ejemplos prácticos para realizar el proceso de determinación de si una persona es o no “identificable”. Entre tales elementos, el proyecto indica que se considerará identificable a toda persona cuya identidad pueda determinarse directa o indirectamente, mediante información combinada con otros datos, en particular mediante un identificador, como el número de cédula de identidad, el análisis de elementos propios de la ~ 31 ~
identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”. Letra g) “Datos personales sensibles”. La letra g) del artículo del artículo 2° del boletín N° 11.144-07, define el concepto de “datos personales sensibles”, como “aquellos datos personales que conciernen o se refieren a las características físicas o morales de una persona, tales como el origen racial, ideología, afiliación política, creencias o convicciones religiosas o filosóficas, estado de salud físico o psíquico, orientación sexual, identidad de género e identidad genética y biomédica”. Respecto a esta importante categoría de datos personales, la redacción de ambos boletines es muy similar, ya que ambas incluyen casi todos los ejemplos de datos sensibles. Resulta interesante destacar que el boletín N° 11.092-07, a diferencia del boletín N° 11.14407, cuenta con un término que sugiere la idea que el listado de datos personales sensibles que establece no es taxativo. En efecto, el artículo 3° N° 2 de dicho boletín usa la frase final “entre otros”, lo cual permitiría interpretar dicho precepto de una manera más extensa (y lo que estimo dará un margen de interpretación más extenso a la Agencia de Protección de Datos). Como sea, personalmente considero que el boletín N° 11.092-07, establece dos nociones que en mi concepto son erróneas: i)
La primera radica en que establece que datos sensibles son todo dato personal cuyo
tratamiento pueda dar origen a una discriminación arbitraria o ilegal o conlleve un grave riesgo para su titular.
~ 32 ~
Esta primera idea en sí misma es cierta, pero tampoco puede dejarse de lado la idea de que no todo dato sensible es un dato cuyo tratamiento pueda dar origen a una discriminación arbitraria o ilegal o conlleve a un “grave riesgo” para su titular. En mi opinión, estimo que no es una condición sine qua non que el tratamiento de estos datos de origen a discriminaciones arbitrarias o ilegales o conlleve un riesgo grave para su titular. De hecho, puede ocurrir que cierta información no sea susceptible de causar dicho efecto, pero que de cualquier modo su titular prefiere mantener protegida dada su sensibilidad intrínseca. Pongamos el ejemplo de una persona que desea mantener en secreto su bisexualidad. Esta persona prefiere que sus datos personales relativos a su bisexualidad se mantengan protegidos con un mayor estándar, no por miedo a discriminaciones (puesto que –hipotéticamente– vive en una sociedad que sanciona estrictamente la discriminación), sino que porque individualmente ella le atribuye una calidad “más reservada” a dicha información. En este sentido, considero que lo que debería hacerse, es mantener la redacción del proyecto de ley N° 11.144-07, y agregar, a mayor abundamiento, una frase del tipo “Son también datos personales sensibles todo aquel cuyo tratamiento pueda dar origen a una discriminación arbitraria o ilegal o conlleve un grave riesgo para su titular”. ii)
La segunda se encuentra en el hecho de que se incorporó como dato personal sensible
los datos de niños y niñas. Lo anterior es, en mi concepto, erróneo, puesto que los datos de menores, como se ha entendido de manera general, no son intrínsecamente sensibles, sino que están sujetos a un régimen especial de consentimiento, el que debe ser dado por sus padres o quienes sean sus representantes legales.
~ 33 ~
Cuando un dato o datos personales de un niño o niña hace referencia a atributos tales como su origen racial, ideología, afiliación política, creencias o convicciones religiosas o filosóficas, estado de salud físico o psíquico, orientación sexual, identidad de género e identidad genética y biomédica, etc, entonces ahí el dato será “sensible”. Tanto es así, que la normativa en la que el boletín N° 11.092-07 se basa (RGDP), no incluye dentro de las categorías “especiales” (sensibles) de datos, los datos de los menores de edad. De hecho, el RGDP solamente regula el consentimiento de los menores de edad con relación a los servicios de la sociedad de la información o, en otras palabras, procesamiento de datos online (artículo 8), estableciendo reglas de acuerdo a la edad de ellos. En cuanto al procesamiento de datos offline, el RGDP nada dice, lo que es dejado a los Estados Miembros del mismo. Se verá posteriormente, cuando tratemos el tema específico de las condiciones para el procesamiento de datos de menores de edad, que el boletín N° 11.144-07 incurre en un error al ubicar a los datos personales de los niños dentro de la categoría de datos “especiales” (artículo 16 quinquies). Lo anterior resulta bastante curioso, ya que el boletín N° 11.144-07 no incluye a los datos personales de los niños y niñas dentro de la definición de datos personales sensibles, mientras que el boletín N° 11.092-07 sí incurre en dicho error, pero, a su vez, no incurre en el error del boletín N° 11.144-07 de incluir el tratamiento de datos de los niños dentro del párrafo del “Tratamiento de categorías especiales de datos personales”, ya que derechamente regula el tratamiento de datos personales de niños de manera separada del artículo 9, que es el que regula tal categoría de datos. ¿Un enredo, no?
~ 34 ~
Letra i) “Fuentes de acceso público” (FAPs). La letra i) del proyecto de ley del boletín N° 11.144-07 establece el concepto de “fuentes de acceso público”, definiéndolas como “todas aquellas bases de datos personales, públicas o privadas, cuyo acceso o consulta puede ser efectuado en forma lícita por cualquier persona, sin existir restricciones o impedimentos legales para su acceso o utilización”. Fuentes de acceso público en la ley vigente. Estas fuentes, en la vigente Ley N° 19.628, han sido definidas por el artículo 2°, letra i), como “los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes”. De manera excepcional al principio que consagra que el tratamiento de datos personales sólo es lícito si es que se cuenta con el consentimiento de su titular, el artículo 4°, inciso quinto, establece tres hipótesis en las cuales dicho consentimiento no será necesario. Estas hipótesis hacen relación a los datos personales que provengan o se recolecten de fuentes de acceso público, i) cuando sean de carácter económico, financiero, bancario o comercial; ii) cuando se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o; iii) sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios. Dicha norma, si bien es redactada en términos tales de quedar plasmada como una lista taxativa, es más bien amplísima, permitiendo el tratamiento de datos de una importante variedad y naturaleza. ~ 35 ~
Respecto de los datos de “carácter económico, financiero, etc.”, la excepción de fuentes de acceso público cubre, al menos interpretándola literalmente, tanto datos patrimoniales positivos y negativos (la ley solamente establece requisitos para “comunicar” datos negativos [“obligaciones”] en los artículos 17 y siguientes). En cuanto a los datos personales que se contengan en “listados relativos a una categoría de personas”, ésta terminología cubriría un amplio número de “listados” relativos a diversos grupos o categorías de personas. En otras palabras, pueden procesarse datos personales de diversos “listados” de personas que pertenecen, por ejemplo, a categorías como las “profesionales” (de la educación, arquitectura, medicina, derecho, etc), “no profesionales”, “heterosexuales”, “homosexuales”, “morosos”, “enfermos”, “contadores”, “santiaguinos”, “viñamarinos”, etc. El único requisito por cumplir, sería que tales datos estén contenidos en dichos listados que hacen referencia a tales categorías, y que tales listados se limiten a indicar que antecedentes “tales como” (concepto amplio que extendería la noción de “antecedentes” y haría más laxa la excepción en comento), la pertenencia de los individuos al grupo respectivo, su profesión o actividad, sus títulos, dirección o fecha de nacimiento. En lo tocante a la tercera hipótesis, esto es, cuando los datos personales provengan o se recolecten de fuentes de acceso público y “sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios”, es claro que estamos frente al caso del impopular “marketing directo”. Esta excepción no encuentra ningún sustento jurídico, sino que se trata de un mero logro de un grupo de lobbistas que fueron favorecidos de manera cuestionable. La “excepción del marketing directo” es tan inverosímil que si una persona sensata y sincera la quisiere traducir a términos realistas y coloquiales, lo haría del siguiente modo: “No requiere autorización el tratamiento de datos personales que provengan o que se recolecten ~ 36 ~
de fuentes accesibles al público, cuando sean necesarios para invadir con spam, llamadas telefónicas indeseadas e invasivas y transgredir la privacidad del titular de datos”. La existencia de derechos que permitan contrarrestar estas indeseables transgresiones al derecho de privacidad, esto es, de derechos ARCO (incluida la versión online del derecho de cancelación o supresión, esto es, el “derecho al olvido”), no justifica la incorporación de esta excepción, ya que si por ello se tratase, entonces muchas excepciones que afecten derechos de los titulares podrían incorporarse en nuestro régimen de protección de datos, lo cual lo transformaría en un verdadero sistema en donde el opt-out y el accionamiento de los derechos ARCO sería la regla general y el consentimiento una excepción. Fuentes de acceso público en los proyectos de ley en estudio. No podemos comenzar el análisis de los dos proyectos de ley en comento, sino subrayando con el mayor énfasis posible, que el boletín N° 11.092-07 supera con creces la redacción del boletín N° 11.144-07 (a lo menos en cuanto a las FAPs), por cuanto este último adolece de gravísimas faltas que hacen que esta excepción se torne crucialmente peligrosa para los titulares de datos personales. A continuación haremos ciertas críticas al boletín N° 11.144-07, cuya redacción es la siguiente: Artículo 2°, letra i) Fuentes de acceso público: todas aquellas bases de datos personales, públicas o privadas, cuyo acceso o consulta puede ser efectuado en forma lícita por cualquier persona, sin existir restricciones o impedimentos legales para su acceso o utilización. Las dudas o controversias que se susciten sobre si una determinada base de datos es considerada fuente de acceso público serán resueltas por la Agencia de ~ 37 ~
Protección de Datos Personales, quien podrá identificar categorías genéricas, clases o tipos de registros o bases de datos que posean esta condición”. Primera crítica al boletín N° 11.144-07: falta de determinación de las fuentes de acceso público. Si bien el proyecto de ley boletín N° 11.144-07 define de manera amplia las “fuentes de acceso público” y eliminó el artículo 4°, inciso quinto, que establecía las hipótesis en las que no se requiere de consentimiento del titular en relación a las FAPs, no deja de ser menos cierto que en ningún artículo establece una lista taxativa cerrada indicando cuáles serían en la práctica dichas FAPs, lo que solamente empeora la situación de la ley vigente. Esa falta de certeza se ve reflejada en el inciso segundo del artículo 2°, letra i) del boletín N° 11.144-07, en donde se le faculta a la Agencia de Protección de Datos (APDP) para determinar cuándo una base de datos es o no FAP, en caso de controversia. Personalmente no estoy en desacuerdo con entregar dicha facultad a la APDP, sino que, muy por el contrario, lo que no comparto es que la ley no establezca una lista taxativa que, antes de existir una “duda o controversia”, aclare qué bases de datos son FAP y que luego, mediante un examen en concreto, especifique si una determinada base de dato calza o no dentro de la hipótesis listada. De forma contraria a lo hecho en el boletín N° 11.144-07, el boletín N° 11.092-07, claramente ha seguido la tendencia comparada en materias de FAPs, estableciendo en su artículo 3 N° 7 una lista taxativa (léase el término “exclusivamente”) de lo que debe entenderse por ellas: 7) Fuente de Acceso Público: base de datos cuyo acceso o consulta puede ser efectuado legítimamente por cualquier persona, sin más exigencia que, en su caso, el pago respectivo como contraprestación, cuando corresponda. Se entenderá que son fuentes de acceso público exclusivamente: a) El Censo Nacional de Población y Vivienda del Instituto Nacional de Estadísticas, ~ 38 ~
b) La Encuesta de Caracterización Socioeconómica Nacional del Ministerio de Desarrollo Social, c) Los repertorios telefónicos en los términos previstos en su normativa específica, d) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. e) Los diarios y boletines oficiales. f) Los medios de comunicación. Lo hecho en el boletín N° 11.092-907, no solamente es acertado por el hecho de determinar –por intermedio de una lista numerus clausus– los casos específicos de FAPs, tal como lo hace la legislación española de protección de datos, sino que también es aplaudible porque elimina en un caso (“marketing directo”) y modifica en otros (“datos económicos…” y “listas de personas…”) las hipótesis de excepciones al consentimiento de tratamiento de datos personales obtenidos de FAPs, del artículo 4 N° 5 de la ley vigente. Segunda crítica al boletín N° 11.144-07: establecer derechamente que una excepción al consentimiento cuando un dato es recolectado de una fuente de acceso público. De la lectura de la versión vigente de la ley N° 19.628, resulta claro que lo que no requiere del consentimiento del titular no es un dato personal que “provenga o haya sido recolectado de una fuente de acceso público”, sino que, muy distinto, es un dato personal que “provenga o haya sido recolectado de una fuente de acceso público, cuando: -
‘Sean de carácter económico, financiero…’;
-
‘se contengan en listados relativos a una categoría de personas…’; o
-
‘sean necesario para comunicaciones comerciales de respuesta directa…’”.
Como se dijo hace unos párrafos atrás, el boletín N° 11.144-07 incurre en un error crucialmente grave y peligroso, toda vez que derechamente está exceptuando a todo tipo de datos personales recolectados de una fuente de acceso público del consentimiento de su titular. Esta modificación es aún más peligrosa que la ley vigente, toda vez que esta última al ~ 39 ~
menos establece tres hipótesis en las que el consentimiento no será necesario, en cambio, el boletín N° 11.144-07 derechamente elimina las hipótesis y establece de manera tácita que no será necesario el consentimiento en cualquier caso de FAP. Tercera crítica al boletín N° 11.144-07: al igual que la ley vigente, el proyecto exime a los datos provenientes de fuentes de acceso público del principio de finalidad. El inciso primero del artículo 9 de la vigente ley N° 19.628, prescribe de manera expresa que los datos personales deben respetar el principio de finalidad, esto es, utilizarse sólo para los fines para los cuales hubieren sido recolectado. Sin embargo ello, el mismo precepto, acto seguido, establece una excepción: “salvo que provengan o se hayan recolectado de fuentes accesibles al público”. Personalmente creo que dicha norma, nuevamente, es absolutamente reprensible y pareciera que –otra vez– el legislador, al redactarla, otorgó una gran libertad a las diversas instituciones privadas para tratar –indiscriminadamente y con diversas finalidades– datos personales derivados de FAPs. Como sea, el boletín N° 11.144-07, en su artículo 3, letra b), inciso segundo, mantiene la misma línea de la ley vigente, al establecer que “en aplicación del principio de finalidad, no se puede tratar los datos personales con fines distintos a los informados al momento de la recolección, salvo que el titular otorgue nuevamente su consentimiento, los datos provengan de fuentes de acceso público o así lo disponga la ley”. En primer término, dicha redacción es criticable, ya que parte de la base de que el tratamiento hecho de datos que provengan de fuentes de acceso público no requeriría del consentimiento de sus titulares, lo cual es, en mi opinión, erróneo, ya que como se explicó en la segunda crítica, además de ser obtenido de una FAP, es necesario que el dato se encasille en una
~ 40 ~
hipótesis legal, como aquellas tres hipótesis del inciso quinto del artículo 4 de la vigente ley N° 19.628. En segundo lugar, la norma del boletín N° 11.144-07 es reprochable, toda vez que del mismo modo como lo hace la ley vigente, establece que el principio de finalidad no es aplicable cuando los datos provengan de fuentes de acceso público. Como se dijo, dicha excepción otorga un gran margen de maniobra a las empresas que tratan datos personales, toda vez que les permite usar los datos personales de las personas con fines diversos. En este sentido, nuevamente el boletín N° 11.092-07 se aventaja, toda vez que no contiene una norma que establezca la criticada excepción. De hecho, a mayor abundamiento, dicho boletín hace expresa referencia, respecto del tratamiento de datos relativos a obligaciones de carácter económico, financiero, bancario o comercial, a la ley 20.757, que prescribe que deberá respetarse el principio de finalidad en el tratamiento de estos datos. Recomendación adicional respecto de las FAPs. Aun cuando las normas del boletín N° 11.092-07 están redactadas de una manera que personalmente calificaría como adecuadas, es posible incorporar ciertas reglas que permitan mejorar sus términos, extensión, duración y derechos que pueden ejercerse respecto a los datos obtenidos de FAPs, tal como lo hace el artículo 28 y 30, apartado 6 de la Ley Orgánica de Protección de Datos española (en adelante, LOPD), establece el plazo de duración del carácter de FAP de una base de datos (lo que obedece, a mi entender, al principio de temporalidad).
~ 41 ~
Del mismo modo, resultaría conveniente consignar en el proyecto de ley que los principios de calidad y finalidad igualmente se aplican respecto de este tipo de datos (artículo 28 LOPD). Respecto a los principios de información y legitimidad (consentimiento o autorización legal), cabe aclarar que el boletín N° 11.092-07 los hace aplicables respecto de los datos obtenidos de FAP, en los artículos 4, letra f) y 12, inciso penúltimo. Como sea, el boletín N° 11.092-07 (ni mucho menos el N° 11.144-07) nada dice respecto de la necesidad del consentimiento del titular de datos personales cuando el encargado o responsable del mantenimiento de FAP desee incluir “datos adicionales” a tales bases de datos, como si lo hace la parte final del artículo 28 N° 1 LOPD: “La inclusión de datos adicionales por las entidades responsables del mantenimiento de dichas fuentes requerirá el consentimiento del interesado, que podrá ser revocado en cualquier momento”. Del mismo modo, cabría analizar la procedencia de otros principios, tales como el de calidad, proporcionalidad, transparencia, responsabilidad, confidencialidad, minimización de datos y seguridad, todos ellos de aplicación general, y de los que personalmente estimo aplicables a las FAPs. Crítica respecto a las FAPs establecidas en el boletín N° 11.092-07: el Censo y la encuesta CASEN no son FAPs. Si bien es cierto que el boletín N° 11.092 modifica y elimina FAPs de la ley vigente, e incluso agrega FAPs (las del artículo 3° N° 7, letras c), d), e) y f)), basándose en la legislación española, no deja de ser cierto que, en mi opinión, este proyecto incurre en un error de grandes proporciones al añadir como FAPs al “Censo Nacional de Población y Vivienda del Instituto Nacional de Estadísticas” (artículo 3° N° 7, letra a), en adelante el “Censo”) y a la “Encuesta
~ 42 ~
de Caracterización Socioeconómica Nacional del Ministerio de Desarrollo Social” (artículo 3° N° 7, letra b), en adelante la “Encuesta CASEN”). En cuanto al Censo. Personalmente soy de la opinión de que éste no es una FAP, ya que legalmente la accesibilidad a éste se encuentra reservada a ciertas personas y, por lo demás, pesan sobre quienes manejan los datos del Censo diversas obligaciones, como la de “no divulgar los hechos que se refieren a personas o entidades determinadas de que hayan tomado conocimiento en el desempeño de sus actividades”, denominada como la obligación de “secreto estadístico”, del artículo 29 de la Ley N° 17.374, y la obligación establecida en el artículo 30 de la misma ley, que prescribe que “[l]os datos estadísticos no podrán ser publicados o difundidos con referencia expresa a las personas o entidades a quienes directa o indirectamente se refieran, si mediare prohibición del o los afectados”. Si interpretamos las reglas anteriores, no cabe sino concluir que el “acceso público” a la base de dato del Censo no está permitida a “cualquier persona” (terminología usada por el boletín N° 11.092-07, y que constituye, por ende, una de sus condiciones). Si se pudiese acceder de manera pública al Censo, entonces no tendrían sentido las obligaciones de no divulgación (secreto estadístico), publicación o difusión. A mayor abundamiento, el Proyecto de Ley que crea una Nueva Institucionalidad del Sistema Estadístico Nacional, Mensaje N° 1128-363, establece una serie de normas que permiten llegar a la misma conclusión, entre ellas: -
El artículo 31, que consagra el “secreto estadístico”, regulándolo de manera más sólida que la Ley N° 17.374;
-
El artículo 32, que establece el “deber de reserva temporal”, que indica que “las personas intervinientes en el proceso estadístico que, estando o no sujetos a secreto ~ 43 ~
estadístico, tengan acceso a información no divulgada por la autoridad competente, deberán mantener reserva sobre esta información hasta que sea oficializada por la autoridad competente”. -
El artículo 33, que consagra la “naturaleza confidencial de la información”, al indicar respecto de la información que “…una vez que ésta sea recogida con finalidades estadísticas por un órgano de la Administración del Estado o funcionario o interviniente del Sistema de Estadístico Nacional, dicha información adquiere por el solo ministerio de la ley el carácter de secreta o reservada, conforme a lo señalado en los artículos 31 o 32 de la presente ley, según corresponda”.
-
El artículo 34, intitulado “Indeterminación, anonimización e innominación de los datos que se entregan”, establece expresamente que “el Instituto Nacional de Estadísticas
sólo
podrá
entregar
datos
anonimizados,
innominados
e
indeterminables”. Si interpretamos este precepto, no cabe sino concluir que cuando el INE entregue datos (por ejemplo, por intermedio de una solicitud de información pública, a través de la ley N° 20.285, como lo dispone el artículo 36 del proyecto en comento), esta información debe ser anonimizada, innominada e indeterminable, lo que significaría, por tanto, que no se puede acceder al Censo en sí, esto es, como base de datos en estado puro, sino que solamente respecto a datos del mismo, cuando hayan sido sometidos a procedimientos de indeterminación. -
El artículo 38 que establece un acceso de carácter especial a investigadores, es una norma muy decidora en cuanto a la naturaleza reservada del Censo, por cuanto permite un acceso, valga la redundancia, “especial” a investigadores, cuando se cumpla con el requisito de que sea posible generar un campo más amplio de información, utilizando datos y estadísticas realizadas por el Instituto Nacional de Estadísticas, o custodiadas por éste en virtud de lo dispuesto en la letra t) del artículo 7º de la presente ley, todo ello por un plazo determinado y cumpliendo con el procedimiento de acreditación y “otros requisitos” establecidos por el Consejo, ~ 44 ~
acompañando además cierta documentación requerida por la norma. Como se puede apreciar, este precepto consagra un acceso excepcional a la información del Censo, estableciendo altos estándares y requisitos al efecto. Tanto es así, que si se aprueba la solicitud de acceso del investigador, éste “deberá prestar y suscribir una declaración jurada, de guardar secreto sobre la información a la que tendrá acceso, quedando para todos los efectos legales sujeto a las normas que regulan el secreto estadístico regulado en esta ley”. Tan regulado es el acceso a la información del Censo, que incluso el resultado de la investigaciones podría ser libre, siempre y cuando previo a una revisión por parte del INE, éste se cerciore que los datos del Censo han sido indeterminados o anonimizados. Conforme a lo razonado anteriormente, mi conclusión es que el Censo no es una FAP. Lo que en mi opinión podría llegar a constituir una FAP, son las bases de datos en donde conste la información recabada por el Censo, pero siempre que esta haya sido sometida a un procedimiento de anonimización (lo que va en la misma línea del proyecto de Ley N° Proyecto de Ley que crea una Nueva Institucionalidad del Sistema Estadístico Nacional, Mensaje N° 1128-363). En todo caso, la discusión relativa a caracterizar o no a la información derivada del Censo como una FAP –una vez anonimizada y hecha indeterminada– a mi parecer, es fútil, toda vez que, como es sabido, cuando un dato personal es anonimizado, éste deja de ser dato personal (como bien lo indica el artículo 2°, letra k) del proyecto de ley del boletín N° 11.144-07). Como sea, creo que la incorporación del “Censo” como FAP (por parte del boletín N° 11.09207), encuentra su fuente en la regulación de las FAPs de la ley de protección de datos española. Esta ley establece, en su artículo 3°, letra j), inciso segundo, que el “censo promocional” tiene el carácter de FAP. ~ 45 ~
La caracterización de la ley española del Censo como una FAP, ha sido ampliamente discutida y controvertida en España, toda vez que obedece a razones de mero tinte meramente económico, impulsadas principalmente por el sector privado (como ocurrió en Chile con las hipótesis de FAP del artículo 4, inciso quinto de la ley vigente). Como sea, la ley española regula expresamente qué datos del Censo pueden ser usados, limitando éstos al nombre, apellidos y domicilio de las personas que consten en el Censo. Por lo demás, la finalidad de dicha recopilación debe obedecer, conforme lo dispone el artículo 31 LOPD, a actividades “de recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, prospección comercial u otras actividades análogas”. El boletín N° 11.092-07, no solamente incluye al Censo como una FAP, sino que no limita la finalidad del tratamiento de datos, ni tampoco los datos a tratar. Por lo demás, podría argumentarse que el Censo chileno no requiere como dato obligatorio el nombre completo de los encuestados y de sus familias, pero tampoco deja de ser menos cierto que al no establecerse qué datos pueden accederse, los responsables de datos pudiesen perfectamente “determinar” a sus titulares por medio de información complementaria, a través de técnicas de cruces de datos. A mi parecer, los proyectos de LPDP chilenos deberían omitir toda referencia al Censo toda vez que por mandato expreso legal (como se indicó cuando hicimos referencia a la Ley N° 17.374 y el nuevo proyecto de ley que busca reemplazarla), el Censo no es de libre acceso público, sino que admite un acceso especial y calificado.
~ 46 ~
En cuanto a la Encuesta Casen. Entre otras leyes, la ley N° 20.379, que Crea el Sistema Intersectorial de Protección Social e Institucionaliza el Subsistema de Protección Integral a la Infancia "Chile Crece Contigo" (especialmente su artículo 5°), y el Decreto Supremo 22 que “Aprueba Reglamento del Artículo 5° de la. Ley N° 20.379 y del Artículo 3° Letra f) de la Ley 20.530” (en su artículo 8°), establecen normas que regulan la forma en que se tratan los datos de la Encuesta CASEN, consagrando un “deber de confidencialidad”, por el cual “[l]as personas que en virtud de lo dispuesto en el presente reglamento tengan acceso a datos personales, deberán respetar su confidencialidad, de conformidad a lo dispuesto en la Ley Nº 19.628, sobre Protección de la Vida Privada, en el artículo 10º de la Ley Nº 20.530, que Crea el Ministerio de Desarrollo Social y Modifica Cuerpos Legales que Indica, y en las demás normas aplicables”. El referido artículo 10° de la Ley N° 20.530, por su parte, prescribe que “[e]l personal del Ministerio de Desarrollo Social deberá guardar reserva y secreto absolutos de la información que contenga datos personales de la cual tomen conocimiento en el cumplimiento de sus labores. Asimismo, deberá abstenerse de usar dicha información en beneficio propio o de terceros…”. Nuevamente soy de la opinión de que, en base a las obligaciones y principios antes expuestos, al igual que el Censo, la Encuesta CASEN en sí misma, como base de datos, no es una FAP, toda vez que si así lo fuese, no tendrían sentido tales obligaciones y principios por lo que se busca resguardar la información. Por lo demás, se ha entendido continuamente que el concepto de “secreto estadístico” también aplica respecto de ella, esto es, el deber de no podrán divulgar los hechos que se refieren a personas o entidades determinadas de que hayan tomado conocimiento en el desempeño de sus actividades.
~ 47 ~
Letra k) “Proceso de anonimización o disociación”. La letra k) del boletín 11.144-07, define el “proceso de anonimización o disociación”, como el “procedimiento en virtud del cual los datos personales no pueden asociarse al titular ni permitir su identificación, por haberse destruido el nexo con toda información que lo identifica o porque dicha asociación exige un esfuerzo no razonable, entendiendo por tal el empleo de una cantidad de tiempo, gasto o trabajo desproporcionados. Un dato anonimizado deja de ser un dato personal”. En mi opinión el boletín N° 11.144-07 es intuitivo y claro, por lo que a priori la definición es adecuada. Por su parte, la redacción del boletín N° 11.092.07 es menos clara, pero a la vez es más detallada, estableciendo ciertos requisitos respecto de la “información adicional” necesaria para determinar a un individuo. Como sea, ninguno de los boletines hace una distinción entre los procedimientos de anonimización y seudonimización, que fue explicado párrafos atrás cuando hicimos referencia a los datos estadísticos definidos en la letra e). Recordemos que una de las consecuencias prácticas de que un dato sea seudonimizado o anonimizado radica en que los datos anonimizados pierden su carácter de dato personal, mientras que los seudonimizados no, pudiendo ser el individuo determinable mediante el uso de otros datos. La seudonimización también es de importancia, por cuanto sirve, por ejemplo, como “garantía adecuada” para un tratamiento con un fin distinto de aquel para el que se recogieron los datos personales, cuando dicho tratamiento no esté basado en el consentimiento de su ~ 48 ~
titular, como lo establece el artículo 6(4)(e), RGPD y, en el caso del boletín N° 11.092-07, el artículo 6, inciso primero, letra e); como “medidas técnicas y organizativas apropiada para garantizar un nivel de seguridad adecuado al riesgo”, en relación al deber de seguridad, estable artículo 32(1)(a) del RGDP) y en el artículo 31, inciso primero, letra a) del boletín 11.092-07; como “medidas técnicas y organizativas apropiadas”, en relación al deber de protección de datos “por diseño” (artículo 25(1), RGDP; regulación ausente en los boletines chilenos), entre otros ejemplos que se indicarán con posterioridad. También podemos indicar que la seudonimización puede ser un proceso de alto interés, para aquellos responsables del tratamiento de datos que hagan uso de la técnica del profiling. Sobre este punto nos detendremos cuando hagamos expresa referencia a dicha práctica. De gran interés resulta lo establecido en el recital 30 del RGDP, que establece que la identidad de las personas puede “determinarse” (porque estaban seudonimizadas, claro), mediante la asociación a otros identificadores “en línea” facilitados por sus dispositivos, tales como direcciones IP, cookies, etc. Una interesante decisión al efecto, es el recaído en el caso “Breyer v. Federal Republic of Germany”, dictado Corte Europea de Justicia, que establece, en resumidas palabras, que las direcciones IP dinámicas son datos personales, “en la medida que posea otros datos adicionales asociados a dicha dirección IP dinámica, que permitan la identificación del usuario”. Letra l) “Bases de datos personales”. La letra l), define el concepto de “base de datos personales”, como el “conjunto organizado de datos personales, cualquiera sea la forma o modalidad de su creación, almacenamiento,
~ 49 ~
organización y acceso, que permita relacionar los datos entre sí, así como realizar el tratamiento de ellos”. La definición dada por el boletín N° 11.144-07 es bastante amplia, cubriendo amplias hipótesis, ya sea basadas en la forma de creación, almacenamiento, organización y acceso. En nuestro parecer, es una definición más sólida que la dada por el boletín N° 11.092-07, que indica que “base de datos” es “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados”. Esta última definición podría dar lugar a diversas interpretaciones, toda vez que no especifica los criterios que sí establece el boletín N° 11.14407. Además, el boletín N° 11.092-07, al replicar la norma del RGDP, omite la frase “… ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”, la que a nuestro entender hace referencia a casos de bases de datos ubicadas en un solo lugar físico (bases de datos centralizadas), a varios lugares físicos (descentralizadas) o repartidas de acuerdo a criterios funcionales o incluso geográficos. Si bien la definición dada por el boletín N° 11.144-07 podría, gracias a su amplitud, abarcar las hipótesis de bases de datos cubiertas por el RGDP, hacer una especificación como la que hace la norma europea podría salvar confusiones o problemas interpretativos prácticos. Letra m) “Responsable de datos o responsable”. La letra m) conceptualiza el término “responsable de datos o responsable”, como “persona natural o jurídica, pública o privada, a quien compete decidir acerca del tratamiento de datos personales, con independencia de si los datos son tratados directamente por él o a través de un tercero o mandatario, y de su localización”. ~ 50 ~
Por su parte, el boletín N° 11.092-07, también define el término, aunque de una manera más concisa: “la persona natural o jurídica que solo o junto con otros, determine los fines y medios del tratamiento”. El RGDP europeo define al responsable del tratamiento como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”. Finalmente, la ley español de protección de datos conceptualiza el término como la “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Si bien entre todos los conceptos existen elementos generales que se comparten, estimo que hay puntos que merecen ser replicados, tales como: i) la especificación persona jurídica, mediante una serie de ejemplos no taxativos (“autoridad pública, servicio u otro organismo), lo que ayuda a hacer a la norma un tanto más clara; y, ii) la indicación de la ley española en la que se señala que el responsable es aquel no solamente que decida respecto del “tratamiento” en sí, sino que también respecto de su “finalidad, contenido y uso del mismo”. Letra n) “Titular de datos o titular”. La letra n) del boletín N° 11.144-07, define al titular de datos personales, como la “persona natural, identificada o identificable, a quien conciernen o se refieren los datos personales”.
~ 51 ~
Esta definición creo es más idónea que la dada por el boletín N° 11.092-07 (“la persona a la que se refieren los datos de carácter personal”), ya que esta última conceptualización podría generar dudas en torno a si esa definición aplica o no respecto de una persona “identificable” (que puede identificarse mediante la asociación con otros datos). Lo anterior es sin perjuicio de que el criticado boletín haya seguido la línea de redacción del RGDP, definiendo implícitamente al titular dentro del concepto de “datos personales” en su artículo 3° N° 1. Como sea, estimo que no volver a definir dicho concepto de manera directa y explícita cuando puede hacerse, podría generar problemas interpretativos. Letra ñ) “Tratamiento de datos”. El tratamiento de datos personales, ha sido definido en el boletín N° 11.144-07, como “cualquier operación o conjunto de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, procesar, almacenar, comunicar, transmitir o utilizar de cualquier forma los datos personales”. Por su parte, el boletín N° 11.092-07, define como tratamiento de datos personales “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de ellos, ya sea por procedimientos automatizados o no, tales como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, indexación, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”. Ambas definiciones definen adecuadamente el término en comento, ya que establecen una lista no taxativa de lo que debe entenderse por tratamiento de datos (al usar el término “cualquier”, “cualquier forma” y “tales como”), lo que va en directo beneficio de los titulares ~ 52 ~
de datos, principalmente en atención a las diversas formas de tratamientos que han surgido y surgirán gracias al advenimiento de nuevas tecnologías. Sin embargo, estimo que la definición del artículo 11.092-07 está redactada en términos más acabados, por cuanto establece más ejemplos prácticos de tratamientos que el boletín N° 11.144-07, lo que da luces al intérprete sobre otras nuevas formas de tratamiento. Letra o) “Consentimiento”. El boletín N° 11.144-07, ha definido al “consentimiento” en materia de datos personales, como “toda manifestación de voluntad libre, específica, inequívoca e informada mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen”. Por su parte, el boletín N° 11.092-07, lo define como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el titular acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Esta definición sigue la definición del RGDP europeo. Como se puede apreciar, ambas definiciones comparten una serie de elementos básicos, a saber: i)
una manifestación de voluntad;
ii)
una manifestación de voluntad libre;
iii)
una manifestación de voluntad específica;
iv)
una manifestación de voluntad informada; y
v)
una manifestación de voluntad inequívoca.
~ 53 ~
Un punto que el boletín N° 11.092 pasó por alto (por lo menos en las definiciones), fue establecer, como lo hizo el boletín N° 11.144-07, que la manifestación de voluntad puede ser dada por un representante legal o mandatario del titular de datos, según corresponda. Si bien ello obedece a una idea de plasmar las reglas generales de los actos jurídicos, resulta conveniente establecer dicha idea en la noción de consentimiento, para evitar confusiones o interpretaciones antojadizas. Si bien el consentimiento en sí está regulado en disposiciones posteriores de los proyectos de ley que comentamos (artículo 12, en el boletín N° 11.144-07; y artículo 5° en el boletín N° 11.092-07), muy importante es tener en cuenta el sentido y alcance de cada uno de los elementos del consentimiento, esto es, una “manifestación de voluntad libre, específica, informada e inequívoca”. Para determinar el sentido y alcance de esos conceptos, el RGDP establece en varios recitales una serie de criterios e hipótesis, principalmente en los recitales 32, 33, 38, 42 y 43, los que estimo se debiesen tener en cuenta, por lo menos al momento de establecer directrices por parte de una posible Agencia Nacional de Protección de Datos Personales. 5
5
Recital 32. (32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Recital 33. (33) Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida. Recital 38.
~ 54 ~
Un interesante aspecto que se establece en los recitales 42 y 43 del RGDP, es el de las cláusulas abusivas, que hace directa relación con el requisito de “manifestación de voluntad libre”. 6 Letras p), q), r), s) y t) “Derechos ARCO y derecho de portabilidad”. Respecto a las definiciones de los derechos de acceso, rectificación, cancelación y oposición (“ARCO”) y el derecho de nueva generación, de portabilidad, la verdad es que no encontramos mayores reparos respecto a sus definiciones, principalmente por cuanto ellas (las definiciones) resultan una verdadera repetición de los requisitos de procedencia de tales prerrogativas. Estos derechos se establecen en los artículos 4° a 9° del boletín N° 11.144-07 (38) Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños. Recital 42. (42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Recital 43. (43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento. 6 Ejemplo de cláusulas abusivas en materia de protección de datos son aquellas que atentan contra el principio de finalidad, o las que desnaturalizan o hacen complejo el ejercicio de derechos de protección de datos personales mediante cláusulas de fijación de jurisdicción extranjera.
~ 55 ~
y en los artículo 11 a 19 del boletín N° 11.092-07, que serán estudiados en un capítulo posterior del análisis de tales proyectos. Letras u) “Registro Nacional de Cumplimiento y Sanciones”. La letra u) del artículo 2° del boletín N° 11.144-07, define “Registro Nacional de Cumplimiento y Sanciones”, como el “registro nacional de carácter público, administrado por la Agencia de Protección de Datos Personales, que consigna las sanciones impuestas a los responsables de datos por infracción a la ley, los modelos de prevención de infracciones que implementes (sic) los responsables y los programas de cumplimiento debidamente certificados”. (C) Definiciones que se añaden, exclusivas del boletín N° 11.092-07. Artículo 3° N° 11 “Intermediarios en el tratamiento”. Concepto de “Intermediarios en el tratamiento”, del artículo 3° N° 11: “persona natural o jurídica, distinta del responsable y del encargado, que presta servidos (sic) de infraestructura, plataforma, software u otros servicios a los responsables y/o encargados para el almacenamiento de los datos personales tratados y/o para facilitar enlaces a éstos o instrumentos de búsqueda, sin que ello importe realizar operaciones de tratamiento sobre los referidos datos. Los intermediarios estarán sujetos a los mismos deberes, responsabilidades y sanciones que los encargados”. El boletín N° 11.092-07 sigue la redacción del RGDP, al establecer una serie de sujetos que tienen o pueden tener lugar respecto del tratamiento de datos personales: -
el titular; ~ 56 ~
-
el responsable;
-
el encargado:
-
el o los intermediarios;
-
el destinatario; y
-
el tercero.
Como bien indica el artículo 3° N° 11, el “intermediario en el tratamiento” es una persona jurídica o natural que es distinta al “responsable” y del “encargado”. El rasgo distintivo radica en la función del intermediario, que se limita a prestar servicios a tales personas (responsable y/o encargado), sin que tales servicios importen operaciones de tratamientos. Como sea, el proyecto establece que los intermediarios, aunque no realicen necesariamente funciones de tratamiento, están sujetos a los mismos deberes y responsabilidades y sanciones que los “encargados”, esto es, se sujetan a lo dispuesto en los artículos 26, 28, 29, 30, 31, etc. Lo anterior hace enorme sentido, toda vez que el principio de seguridad de datos es aplicable respecto de todo dato personal (artículo 8°, letra j)) Sin embargo lo anterior, y aunque será materia para un análisis en el capítulo correspondiente, estimamos que la redacción del inciso primero del artículo 8° no es correcta, toda vez que comienza con la frase “el tratamiento de datos personales se someterá a los principios de…”. Dicha redacción da la idea de que es el tratamiento de datos es el que está sujeto a los principios generales de la ley, y no los datos en sí, como lo establece el RGDP en su artículo 5(1). Lo anterior resulta de importancia, ya que según lo dispuesto en el artículo 3° N° 11, los intermediarios estarán sujetos a los mismos deberes que los encargados, aunque sus servicios no importen realizar operaciones de tratamiento de datos.
~ 57 ~
En otras palabras, los redactores del boletín N° 11.092-07, alteraron la letra del RGDP, sin verificar las posibles consecuencias interpretativas que esta modificación pudiese aparejar. Artículo 3° N° 12 “Destinatario”. El artículo 3° N° 12, define el término “destinatario”, como “la persona natural o jurídica al que se comuniquen datos personales, se trate o no de un tercero”. La importancia de establecer este concepto se relaciona con diversos derechos y obligaciones, tales como el derecho de acceso (artículo 13); deber que pesa sobre los responsables y encargados de llevar un registro de actividades de tratamiento (artículo 26, inciso primero, letra d)); y, el deber que pesa sobre los encargados de llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de un responsable que contenga, entre otros, las transferencias internacionales de datos personales y la identificación del destinatario (artículo 30, inciso primero, letra c)). Artículo 3° N° 13, 15, 16, 17, 18 y 20 “Tercero”, “Violación de la seguridad de los datos personales”, “Datos genéticos”, “Datos biométricos”, “Datos relativos a la salud” y “Transferencia internacional de datos”. Todas las definiciones referidas en este apartado siguen las definiciones dadas por el RGDP, las cuales deben incorporarse en la versión refundida que se pretende hacer con el boletín N° 11.144-07, toda vez que son conceptos claves en materias de seguridad de la información (violación de la seguridad de los datos personales), de los denominados datos sensibles (datos genéticos, biométricos y relativos a la salud) y en relación al llamado tratamiento transfronterizo de datos (transferencia internacional de datos).
~ 58 ~
Solamente para efectos de posible análisis interpretativo de las normas por parte de una posible Agencia Nacional de Protección de Datos, el RGDP ha aclarado el sentido y alcance de cada noción. Respecto del término “violación de la seguridad de los datos personales” (en los recitales 85, 86, 86, 87 y 88); en cuanto a los “datos genéticos” (en el recital 34); en relación a los “datos biométricos” (en el recital 91); y, en cuanto a los “datos relativos a la salud” (en los recitales 35 y 91). (D) Definiciones que no se recogieron del RGDP: “representante” (artículo 4(17)). Si bien se han recogido casi la gran mayoría de las definiciones del RGDP, y se han dejado de lado términos cuya aplicabilidad no se ajustaría a nuestra realidad jurídica, existe un término que ha sido recogido por el artículo 28 del boletín N° 11.092-07, esto es, el de “representante”. Dicho término, si bien aparece mencionado en el artículo referido, no se ha definido por el proyecto en referencia, lo que si fue hecho en el RGDP, al definir el concepto de “representante”, como “persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento” Dicha definición podría tener plena aplicación respecto del proyecto del boletín N° 11.092, que mandata establecer un representante en Chile en los siguientes términos: “Artículo 28. Responsables no establecidos en Chile. Los responsables del tratamiento no residentes en Chile, deberán designar a un representante en Chile, que atienda, junto al responsable o al encargado, o en su lugar, a las consultas de los titulares, sobre todos los asuntos relativos al ~ 59 ~
tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en la presente ley. La designación de un representante, por el responsable o el encargado del tratamiento, se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado”. El concepto de “representante”, adecuándose al proyecto del boletín N° 11.092-07, debiese establecerse más o menos del siguiente modo, en su artículo 3°, de las definiciones: “Representante: persona física o jurídica establecida en Chile, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 28, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud de la presente ley”.
~ 60 ~
~ 61 ~
Y2K.CL
