Chile y la protección de datos personales ¿están en crisis nuestros derechos fundamentales?

CHILE Y LA PROTECCIÓN DE DATOS PERSONALES: ¿ESTÁN EN CRISIS NUESTROS DERECHOS FUNDAMENTALES?

© Ediciones Universidad Diego Portales, 2009 Inscripción nº 178.268 en el Registro de Propiedad Intelectual ISBN: 978-956-314-064-4 Universidad Diego Portales Dirección de Extensión y Publicaciones Av. Manuel Rodríguez Sur 415 Teléfono: (56 2) 676 2000 Santiago – Chile www.udp.cl (Ediciones UDP) Diseño: Felicidad Impreso en Chile por Salesianos Impresores S. A.

Chile y la protección de datos personales ¿están en crisis nuestros derechos fundamentales?

Índice

Sobre los autores ................................................................................................... 9 Presentación .......................................................................................................... 11 Raúl Arrieta Chile y la protección de datos personales: compromisos internacionales ................... 13 Claudio Ortiz La protección de datos personales y la información comercial ................................. 23 Mikel Uriarte El tratamiento de datos personales en la determinación del riesgo .......................... 37 Rodrigo Gutiérrez Castro Consideraciones y recomendaciones en materia de tratamiento de datos personales por organismos públicos ................................................................... 47 Lorena Donoso El tratamiento de datos personales en el sector de la educación ................................. 57 Luis Cordero Videovigilancia e intervención administrativa: las cuestiones de legitimidad ......... 81

SOBRE LOS AUTORES

Raúl Arrieta

Abogado por la Universidad Central. Magíster (c) en derecho público por la Universidad de Chile.

claudio ortiz

Ex gerente general de la Cámara de Comercio de Santiago (1995-2006).

Mikel Uriarte

Presidente de la Asociación de Aseguradores de Chile A.G. Rodrigo Gutiérrez Castro

Ingeniero civil industrial por la Universidad Técnica Federico Santa María y magíster en gerencia y políticas públicas por la Universidad Adolfo Ibáñez. Jefe de Planificación y Desarrollo de la Superintendencia de Seguridad Social. Lorena Donoso

Abogado por la Universidad de Chile, y magíster en informática y derecho por la Universidad Complutense de Madrid. Directora del Centro de Estudios en Derecho Informático de la Facultad de Derecho de la Universidad de Chile. Luis Cordero

Doctor en derecho por la Universidad de Lleida y magíster en políticas públicas por la Universidad de Chile. Profesor de derecho administrativo en esta última universidad. Miembro del Instituto Chileno e Iberoamericano de Derecho Administrativo.

9

Presentación

El vertiginoso avance de las tecnologías de la información y la comunicación, que queda en evidencia con sólo advertir la masificación de internet, permite una interconexión a nivel planetaria entre personas, grupos de interés, empresas, instituciones, Estados y organismos supranacionales. Los beneficios de esa interrelación son indudables y por todos conocidos. Sin embargo, también plantea amenazas que, además de consistentes, poseen extremos aterradores que Orwell, Bentham y otros, con la clara excepción de Foucault, probablemente creyeron que permanecerían sólo dentro del ámbito de lo posible. La sobreabundancia de información sobre cada uno de nosotros en el ámbito familiar, comercial y bancario, además de lo concerniente al cumplimiento de las obligaciones legales, al paso por el sistema educacional e incluso al estado de salud, por citar sólo algunas áreas, unidos a la capacidad tecnológica de relacionar todos nuestros datos, procesarlos y usarlos aun con el propósito más altruista, conlleva el riesgo cierto de que se vulneren algunos de nuestros derechos, como la honra, el acceso a la educación, la asistencia médica o la libertad, y que también perdamos nuestra vida privada, o la fuente de trabajo o la libertad de actuar y de decidir. En consecuencia, el conocimiento y difusión del derecho a la protección de los datos personales ha ido adquiriendo una relevancia creciente y se ha ido incorporando como parte de los temas que deben discutirse en el campo de las políticas públicas. Y, cuando hablamos de la protección de los datos personales, nos referimos a la protección jurídica que se otorga a las personas respecto de la recogida, almacenamiento, utilización, transmisión y cualquier otra operación realizada sobre sus respectivos datos, destinada a cuidar que su tratamiento se realice con lealtad y licitud, de manera que no afecte indebidamente sus derechos constitucionales, legales u otros de cualquiera clase. Esa protección se origina, entre muchas otras razones, debido a la arbitrariedad con la que se pueden tomar algunas decisiones basadas en datos registrados en sistemas manuales y automatizados de tratamiento de la información. Ello constituye una amenaza que incluso constriñe a las personas a no ejercer sus derechos por el temor a que esas actuaciones queden registradas en un sistema de datos personales y, por ende, que éstos sean susceptibles de ser conocidos y utilizados en su contra por las autoridades públicas, por

11

los poderes privados o por otros terceros que estén en posición de etiquetar socialmente a la gente. Se entiende entonces que una preocupación central de los países democráticos deba ser el establecimiento de condiciones adecuadas para el tratamiento de los datos personales que, por una parte, satisfagan las necesidades de información de una sociedad globalizada e interconectada y, por otra, resguarden los derechos de las personas titulares de esos datos. Un Estado realmente democrático es aquel que se ocupa no sólo de reconocer determinados derechos ciudadanos o de respetar conquistas sociales, sino que, además, promueve y protege los mismos a través de mecanismos reales y efectivos, lo que no obsta a que entienda que, en la sociedad actual, a los agentes económicos, a los gobiernos, a los grupos de interés y a una variedad de otros actores les resulta indispensable contar con información para tomar decisiones eficientes. Sin embargo, el Estado también debe entender que, para que estas decisiones sean acertadas, es presupuesto necesario que los datos contenidos en los sistemas informáticos sean de calidad y que estén debidamente resguardados frente a agresiones ilegítimas en su fase de recogida, de procesamiento e incluso en la etapa de elaboración de informes. Y estas condiciones de seguridad y calidad de la información almacenada en los sistemas de tratamiento integran lo que se llama orden público tecnológico, que es una parte cada vez más sustancial del orden público económico gracias al impulso y creciente influencia de los procesos de globalización económica y mundialización de los derechos. Aunque Chile cuenta con legislación sobre la materia, ello no nos debe llevar a cerrar los ojos y a concluir que es suficiente, sobre todo si consideramos que las leyes no solucionan por sí mismas los problemas sociales ni el desamparo de los derechos hipotéticamente protegidos; también se requiere un proceso en el que se sensibilice a todos los actores sociales y una etapa de aplicación práctica para, recién ahí, poder responder a la esencial pregunta de si nuestro sistema normativo de protección de datos contribuye al establecimiento de una sociedad más democrática. Esta publicación busca centrar la atención del lector en diferentes aspectos de la vida cotidiana que están rodeados del tratamiento de datos personales, de manera de contribuir a tomar conciencia respecto a las implicancias que tiene vivir en una sociedad globalmente conectada y las soluciones urgentes que el país requiere en materia de derechos fundamentales. Raúl Arrieta / Carlos Reusser Coordinadores

12

Chile y la protección de datos personales: compromisos internacionales Raúl Arrieta

Consideraciones preliminares

Desde sus orígenes, la protección de los datos personales ha estado vinculada al derecho a la privacidad. Un ejemplo de ello es el desarrollo legislativo que ha tenido la materia en nuestro país, cuyo tratamiento lo podemos encontrar fundamentalmente en la ley 19.628 sobre protección de la vida privada. Así, la protección de datos nace concebida como parte del derecho de las personas a ser dejadas solas. Sobre la base de esta idea es posible afirmar que en una sociedad democrática el juego pareciera tener lugar entre la protección de datos, como forma de privacidad, y la publicidad, de manera que la primera aparece configurándose como un elemento que restringe el anhelado derecho a que la democracia sea concebida, utilizando las palabras de Stefano Rodotà, como el “gobierno en público”,1 donde la transparencia es un elemento fundamental de la corrección de la vida pública en su conjunto. En ese marco, el esfuerzo principal de la normativa asociada a dichas materias debería concentrarse en establecer los criterios que permitan ponderar cuál valor democrático debería prevalecer, básicamente teniendo en consideración el interés público que pueda generar la información de que se trata y el hecho de que en ambos casos nos encontramos frente a derechos consagrados constitucionalmente. Sin embargo, una aproximación actual de la relación existente entre democracia y protección de datos nos obliga a tener presentes los cambios que ha producido la incorporación masiva de la tecnología en la vida cotidiana de las personas. En efecto, las telecomunicaciones y el desarrollo de avanzados sistemas computacionales permiten tratar en milésimas de segundos gran cantidad de información y, dependiendo del manejo que se haga de ésta en todos los niveles, mayor o menor será la posibilidad de que ella pueda afectar no sólo el derecho a la privacidad, sino también cualquier otro derecho. De esta forma, la protección de los datos personales deja de tener una correspondencia unívoca con el derecho a la vida privada y a la intimidad, para pasar más bien a configurarse como un derecho autónomo relacionado con la posibilidad de cada persona de tutelar la circulación de la información 1 Rodotà, S., “Democracia y protección de datos”, Cuadernos de Derecho Público, INAP, Madrid, 2003, p. 15.

13

que le incumbe. Así, la protección de datos se convierte en un elemento central de la forma en que el ciudadano vive y se relaciona en la sociedad de la información y comunicación. En tal sentido, el cambio de paradigma es sustantivo, sobre todo si se tiene en consideración que en el derecho a la vida privada los mecanismos de tutela del mismo parten de la premisa de que la persona tiene derecho a excluir interferencias ajenas sobre su vida; así, la tutela es estática y negativa. Sin embargo, en la protección de datos personales la cuestión es sustancialmente diferente, ya que su ejercicio se concreta en poderes de intervención; la tutela es dinámica y sigue a los datos durante su circulación. Adicionalmente, se confía no sólo a la iniciativa de las personas interesadas, sino que también requiere la instalación de autoridades independientes que contribuyan a proteger a las personas, lo que implica una permanente y específica responsabilidad pública.2 Dicho esto, consideramos indispensable resaltar que los derechos fundamentales deben crear y mantener las condiciones elementales para asegurar una vida en libertad y digna. Esto sólo se consigue cuando la libertad de la vida en sociedad resulta garantizada en igual medida que la libertad individual. Ambas se encuentran inseparablemente unidas.3 Si lo anterior se vincula al hecho de que vivimos en un mundo cada vez más integrado, queda en evidencia la crisis de autosuficiencia de los ordenamientos nacionales. Ello se advierte sobre todo en materia de derechos fundamentales, debido a la tensión universalística que anima la protección de la persona humana.4 Así, la internacionalización de los derechos fundamentales nos conduce inexorablemente hacia la búsqueda de instituciones y técnicas de codificación que permitan garantizar y tutelar en forma adecuada el derecho a la protección de datos personales. Ello es de tal magnitud, que los países y asociaciones que forman parte de nuestro entorno de referencia habitual, o de aquéllos a los que como país nos deseamos integrar, nos exigen resolver las cuestiones que permitan incrementar y asegurar el adecuado respeto a los derechos de las personas en lo que se relaciona con el tratamiento de datos personales. De este modo, estimamos que el verdadero desafío que se nos presenta es determinar cuál es el estándar internacional de protección de datos que se le exige al país para ser parte de una sociedad globalmente relacionada.

2 Ibíd. 3 Hesse, C., Manual de derecho constitucional, Marcial Pons, Barcelona, 2001, p. 89. 4 Rolla, G., “La concepción de los derechos fundamentales en el constitucionalismo latinoamericano”, p. 9, www.costituzionale.unige.it/crdc/docs/articles/Rolla3.pdf (consulta: 05.07.08).

14

El estándar internacional y la protección adecuada

Definir el estándar que debe cumplir nuestro país en materia de protección de datos pasa por establecer cuál es el parámetro que los Estados y asociaciones que forman parte de nuestra esfera de influencia nos exigen para poder integrarnos realmente con ellos, sea simplemente porque se lo mire bajo un prisma de utilitarismo comercial o porque nos interese realmente incrementar los niveles de protección de los derechos humanos. Y mucho más si consideramos que Huntington nos recuerda que el sentido político más importante de la democracia es la capacidad que poseen sus instituciones para proteger los derechos y libertades de los individuos.5 Para el análisis de este punto resulta necesario tener a la vista los principales instrumentos normativos de nuestro entorno de referencia habitual y de las asociaciones a las que pertenecemos o deseamos incorporarnos. Así, resulta necesario considerar los fundamentos que provienen de la Organización para la Cooperación y el Desarrollo Económico (OCDE), la Unión Europea, la Organización de las Naciones Unidas (ONU) y el Foro de Cooperación Económica del Asia Pacífico (APEC). De la revisión de dichos instrumentos es posible advertir que existe una significativa coherencia y consistencia respecto de los elementos que han de configurar el estándar de protección de datos que debiera satisfacer nuestro país. Con todo, estimamos que para la conformación de ese estándar es útil considerar un principio que es de habitual incorporación en los convenios de derechos humanos, el de pro homine, según el cual no puede restringirse o menoscabarse ninguno de los derechos reconocidos en un Estado en virtud de su legislación interna o de otros tratados internacionales, invocando como pretexto que el convenio en cuestión no lo reconoce o lo reconoce en menor grado. Se ha entendido, entonces, que conforme a ese principio se debe acudir a la norma más amplia o a la interpretación más extensiva cuando se trata de reconocer derechos protegidos.6 Con ello –no obstante no ser plenamente homologable la situación– nos parece que la mirada subyacente es enteramente aplicable y, de este modo, el instrumento internacional que habremos de tener en cuenta es aquel que permita “atrincherar” en nuestro ordenamiento jurídico el derecho, brindando la protección más extensiva para las personas, ya que con ello nuestro país quedará en condiciones de satisfacer las exigencias que todos los estados y asociaciones de nuestro entorno habitual nos demandan.

5 Huntington, S., “El sobrio significado de la democracia”, Revista Estudios Públicos, Centro de Estudios Públicos, Santiago, 33, 1989, p. 2. 6 Uprymni, R., “Bloque de constitucionalidad, derechos humanos y proceso penal”, p. 64. www.wcl. american.edu/humright/hracademy/2008/documents/RodrigoUprimny-BloquedeContitucionalidad.pdf (consulta: 05.07.08).

15

En el presente trabajo sostendremos que para fijar el estándar de protección de datos que deberá cumplir Chile debe considerarse la normativa proveniente de la Unión Europea y especialmente la directiva 95/45/CE, relativa a la protección de las personas, en lo que respecta al tratamiento de datos personales y su circulación, de manera de determinar cuáles son las condiciones que nos impone la Unión Europea para considerar que Chile tiene una “protección adecuada” en la materia. En consecuencia, lo primero que es necesario determinar es qué se entiende por “protección adecuada” y, en segundo lugar, cuál es la importancia que tiene dicha calificación. La protección adecuada es una calificación que exige la Unión Europea para permitir que los datos de sus nacionales circulen libremente por un país que la integra, por considerar que el conocimiento de ellos por parte de ese tercer Estado es capaz de ofrecer protección a las personas. Por esta razón, el G-297 ha sostenido que las normas de protección de datos sólo contribuyen a la protección de las personas si efectivamente se cumplen en la práctica, por lo que resulta necesario considerar no sólo el contenido de las normas aplicables a los datos personales transferidos a un tercer país, sino también el sistema utilizado para asegurar la eficacia de esas normas.8 Así, es claro que la primera exigencia para lograr una adecuada protección es tener en cuenta que no basta con “atrincherar” derechos, sino que resulta igualmente importante y necesario contar con los mecanismos y estructuras judiciales y/o administrativas que aseguren que esos derechos van a ser debidamente amparados. De este modo, cualquier análisis que busque pronunciarse sobre los requerimientos que debe satisfacer Chile para garantizar una adecuada protección según las exigencias que impone la Unión Europea supone analizar dualmente la materia. Por una parte, respecto del contenido de las normas aplicables y, por la otra, en cuanto a los medios que permiten asegurar que su aplicación realmente logre brindar protección a las personas cuyos datos son objeto de tratamiento. 1. Principios de contenido de la protección de datos personales

Se trata de una serie de principios informadores, con pretensión de carácter universal, que han de inspirar la forma y la oportunidad en las que se desarrolla el tratamiento de datos personales por parte de los responsables del mismo y de los bancos de datos. Así, se trata de ciertas consideraciones mínimas que deberán estar incorporadas en las reglamentaciones sobre la materia. Los principios básicos reconocidos por el G-29 son: 7 Grupo de trabajo de la Unión Europea sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales de la Unión Europea. 8 G-29, “Documento de trabajo. Transferencia de datos personales a terceros países: aplicación de los artículos 25 y 26 de la directiva sobre protección de datos de la UE”, Comisión Europea, 1998, p. 5.

16

a. Principio de limitación de objetivos. b. Principio de proporcionalidad y calidad de los datos. c. Principio de transparencia. d. Principio de seguridad. e. Derechos de acceso, rectificación y oposición. f. Restricciones respecto de transferencias sucesivas a otros terceros países. 2. Normas de ejecución

Norberto Bobbio, en el Diálogo en torno a la república9, que mantiene con Mauricio Virola, nos plantea la idea de que la exigencia de los derechos nace de la necesidad de defenderse de la prepotencia y la opresión, de todas las formas de poder despótico que hemos experimentado durante nuestra vida. Sin duda, esta reflexión nos ayuda a profundizar la idea de que no basta con que los derechos sean incorporados en la legislación, sino que también se hace necesario configurar un sistema complejo de protección de las personas que, junto con establecer y plasmar principios, implante mecanismos que permitan tutelar la efectividad de su cumplimiento. Por ende, al pensar en la protección de datos personales, la idea es –una vez atrincherados los derechos– implementar un sistema que sea capaz de articular la concurrencia de ciertos elementos esenciales que contribuyan a ofrecer un nivel satisfactorio de cumplimiento de las normas, conocimiento de los derechos y obligaciones de los actores del tratamiento de datos personales y de las vías y/o recursos que posibiliten amparar los derechos una vez que han sido amenazados o privados. De este modo, advertiremos que los objetivos de un sistema de protección de datos son básicamente tres, en opinión del G-29: a) Ofrecer un nivel satisfactorio de cumplimiento de las normas. Para ello la atención debe centrarse en que los responsables del tratamiento de datos personales conozcan clara y precisamente cuáles son sus obligaciones. Por otra parte, los titulares de datos deben tener claridad respecto de sus derechos y de los medios disponibles para asegurar su cumplimiento. Finalmente, es necesario que el sistema de protección considere sanciones efectivas que permitan disuadir las malas prácticas e ilícitos en la materia. b) Ofrecer apoyo y asistencia a los interesados en el ejercicio de sus derechos. Esto está orientado a que los interesados deben tener la capacidad de hacer valer sus derechos con rapidez, eficacia y sin que los costos asociados aparezcan como un desincentivo para actuar. En este punto, la Unión Europea considera indispensable la existencia de un mecanismo institucional que permita investigar las denuncias de manera independiente.

9 Bobbio, N., y Virola, M., Diálogo en torno a la república, Tusquets, Barcelona, 2002, p. 41.

17

c) Ofrecer vías adecuadas de recurso a quienes resulten perjudicados por la no observancia del cumplimiento de las normas. Esto se centra en que el afectado debe poder obtener una resolución judicial o un equivalente jurisdiccional que reconozca la infracción y que eventualmente ordene el pago de las indemnizaciones e imponga las sanciones. Por último, es necesario señalar que la importancia de que Chile sea reconocido como un país que tiene un nivel de protección adecuado gira fundamentalmente en torno a la posibilidad de que los datos personales circulen libremente entre nuestro país y Europa sin mayor burocracia, de manera de agilizar el flujo de información transfronterizo. Estas facilidades incidirían en la pretensión nacional de convertir a Chile en un país plataforma para la provisión de servicios con valor agregado. Además, por cierto, de habernos incorporado al selecto grupo de países que hoy considera que no es posible un verdadero desarrollo sustentable en la sociedad de la información y el conocimiento sin que se resguarden debidamente los derechos fundamentales, sobre todos aquellos que se hacen más vulnerables como consecuencia de la masiva incorporación de tecnología al quehacer cotidiano. Estado de la legislación nacional

El cuerpo normativo principal asociado a la protección de datos personales es –como se dijo– la ley 19.628, titulada de protección a la vida privada. No obstante su nombre, la causa de su dictación se origina en la necesidad de establecer un marco legislativo que permitiera el tratamiento de datos personales para efectos de disminuir nuestro “riesgo país”. Ello hizo que no se considerara adecuadamente que se estaba hablando de una actividad que podía afectar los derechos fundamentales de las personas, lo que, a su vez, trajo consigo que, si bien la finalidad de la ley era absolutamente válida y legítima, ella terminara teniendo graves defectos y falencias para garantizar el estándar internacional que Chile debe satisfacer. Esto, además, impide que nuestro país sea considerado como uno de aquellos que tienen un “nivel de protección adecuado”. Del mismo modo, la ley permite e incentiva, en abierta contradicción con su espíritu, ciertas estrategias que posibilitan la vulneración de los derechos supuestamente amparados por la misma, sin considerar sanciones para los responsables del tratamiento de datos personales que infringen la ley; igualmente, la acción judicial prevista para la protección del derecho no cumple estándares de aseguramiento del principio del debido proceso que debe regir a los procedimientos judiciales. A ello se suma que el sistema de información a los ciudadanos es insuficiente y que no se cuenta con una autoridad de control, lo que redunda en que las personas, que diariamente se ven afectadas por la forma en que se tratan sus datos personales, muchas veces abusiva-

18

mente, tanto por parte de organismos públicos como privados, ni siquiera conocen o dimensionan cuáles son sus derechos ni cómo se ejercen. Y, cuando lo hacen, la barrera del acceso a la justicia termina –a causa de los costos de tramitación– echando por la borda la voluntad de exigir el respecto de los derechos vulnerados por la forma en que se tratan los datos personales. Por tanto, es posible afirmar categóricamente que la legislación nacional sobre la materia tiene dificultades en lo que se refiere al estándar internacional que debe satisfacer, tanto en la dimensión de los principios de contenido de la protección de datos personales como en la de las normas de ejecución. Chile no cumple con las exigencias que su entorno de referencia le demanda; en consecuencia, debe incorporar una serie de modificaciones a la legislación con miras a lograr el cumplimiento del estándar internacional requerido. Las principales dificultades de la ley 19.628 se encuentran, entre otras materias, en las siguientes: a) Ausencia de consagración del principio de finalidad en el tratamiento de datos personales. Se trata de uno de los principios esenciales que permiten salvaguardar que los datos personales sean realmente utilizados sólo para los objetivos para los cuales fueron recolectados, y que por lo demás es la causa en cuya virtud el titular de éstos libremente consintió en su entrega. Junto a este vacío normativo, el artículo 4º, inciso final, de la ley permite que las personas jurídicas privadas podrán tratar datos personales sin autorización del titular para el uso exclusivo suyo, de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquéllos. Esta norma acarrea uno de los mayores riesgos del tratamiento de datos, pues permite que por la vía de la asociación se vulneren todas las normas y principios que pretendidamente protege la ley10. b) Existencia de conceptos que generan dificultades interpretativas y que han servido para vulnerar la protección de datos personales. Por ejemplo, lo que ocurre con el concepto de fuente accesible al público, el que adolece de un defecto sustancial: radicar en el titular del registro o banco de datos la facultad de dejar o no abierto a público un registro, con el consecuente riesgo cierto de fraude al espíritu de la ley, especialmente en lo que dice relación con la posibilidad de realizar tratamiento de datos sin autorización del titular de los datos en aquellos casos en que la fuente es de esta naturaleza11. c) Falta de claridad respecto de quién es el responsable del tratamiento de datos personales. La ley define al responsable del registro o banco de datos como la persona natural o jurídica privada, o el respectivo organismo público, a quien competen las decisiones relacionadas con el tratamiento de los 10 Donoso, L., y Reusser, C., “Chile y el derecho a la protección de datos. Propuesta de adecuación de la normativa nacional a los estándares internacionales”, documento de trabajo, p. 5. www.subtel.cl/prontus_subtel/site/edic/base/port/p_estt_proyectos.html (consulta: 05.07.08). 11 Ibíd., p. 10.

19

datos de carácter personal. Sin embargo, no se hace cargo de definir al responsable del tratamiento de datos, que es la persona que toma las decisiones operativas respecto del banco de datos y en quien debiera radicar la responsabilidad directa por el uso indebido de los datos personales12. d) Deber de información en el tratamiento de datos personales. Éste persigue que los titulares de datos personales sean informados de los posibles tratamientos de datos que puedan afectarles para los efectos de que puedan ejercer los derechos que les otorga la ley. La legislación nacional no regula esta materia, lo que es un elemento básico y esencial de la protección de datos personales. e) Falta de registro de banco de datos privados. Se trata de una forma de materialización del deber de información en el tratamiento de datos personales, donde por intermedio de un registro de carácter universal cualquier persona puede consultar sobre los tratamientos de datos que se hacen de ella. En nuestro país, no obstante que las bases de datos del sector público deben estar inscritas en un registro que mantiene el Registro Civil, no han sido incorporadas al mismo la gran mayoría de las bases de los obligados, careciendo aquél, en consecuencia, de validez y confianza. Adicionalmente, no existe el mandato de registro de las bases de datos privadas. f ) Ausencia de sanciones por infracción a la normativa. La ley carece de un régimen sancionatorio por el incumplimiento de las obligaciones que impone, lo que redunda en que las vulneraciones a la misma quedan impunes y, consecuentemente, no hay presencia de mecanismos disuasivos ni correctivos por no tratar los datos de acuerdo a las exigencias mínimas que se imponen para asegurar la vida privada. También resulta gratuito, por ejemplo, no cumplir con la obligación de registro de las bases de datos públicas en el Registro Civil. g) Recurso de habeas data atrofiado. La forma que ha tomado este recurso en la ley ha traído como consecuencia que, pese a la existencia de un recurso especial para garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y bloqueo de los datos personales, aquél no haya sido utilizado, prefiriendo los operadores jurídicos recurrir por intermedio del recurso de protección a los tribunales de justicia invocando la vulneración de un derecho fundamental, normalmente la privacidad. Las dificultades que presenta el recurso de habeas data son muchas, pero sólo con fines enunciativos podemos aseverar que tiene problemas para el titular de los datos personales en lo que significa la determinación del tribunal competente; el desigual tratamiento procesal que tienen las partes en el proceso, lo que trae implícita la vulneración del debido proceso y la bilateralidad de la audiencia; y, final-

12 Ibíd., p. 8.

20

mente, no se establece un plazo de prescripción de la acción, con lo que se afecta la seguridad jurídica. h) Ausencia de una autoridad de control. El hecho de no contar con una autoridad independiente que se encuentre permanentemente velando por el cumplimiento de la ley tanto por parte de los organismos públicos como privados, que tenga la posibilidad de aplicar sanciones por el incumplimiento y que tenga un fuerte rol de promoción de la protección de datos personales, es un vacío que quizás formalmente aparece como la mayor dificultad de Chile para cumplir el estándar internacional exigido. i) Recogida y tratamiento de datos para marketing directo. La ley considera que para los efectos de realizar marketing directo es posible tratar datos personales sin autorización del titular, otorgándole a éste el derecho de oponerse cuando sea con fines de publicidad. Ello ha conducido a que en nuestro país nos encontremos desbordados por el spam o correo electrónico no deseado. Reflexiones finales

Si consideramos que la protección de datos personales es el amparo de los ciudadanos contra la posible utilización por parte de terceros, en forma no autorizada, de sus datos personales con el fin de confeccionar información que, identificable con él, afecte su entorno personal, social o profesional, en los límites de su intimidad13, claramente el análisis expuesto en las páginas precedentes nos conduce inexorablemente a la conclusión de que la legislación sobre protección de datos personales existente en nuestro país ha debilitado el sistema de derechos y garantías consagrados en la Constitución. La inadecuada forma en que los organismos públicos y privados, como consecuencia de la tolerancia legal normativa, tratan los datos personales lleva a que los ciudadanos vean hasta con naturalidad que se pueda hacer cualquier cosa con la información de las personas, sin considerar que se afectan, o se puede afectar con ello, derechos fundamentales, como el derecho a la vida privada, al trabajo, a la educación, a la salud, etcétera. Por otra parte, el no cumplimiento del estándar que internacionalmente se le exige a Chile trae consigo que la integración o incorporación al entorno de referencia habitual se vea entorpecido y se pierdan ventajas comparativas con los países con los cuales competimos para convertirnos en aliados estratégicos. Así, a modo de ejemplo, una transferencia de datos personales de ciudadanos europeos hacia Argentina se demora un día, mientras que a Chile tarda siete meses aproximadamente, lo que ha hecho que los inversionistas europeos que desean prestar servicios como los call center evalúen

13 Garriga, A., Tratamiento de datos personales y derechos fundamentales, Dykinson, Madrid, 2004, p. 29.

21

positivamente a nuestros vecinos en esta materia y no a Chile. Otra dificultad concreta con la OCDE es que mientras no cumplamos el estándar exigido no podremos incorporarnos a tan anhelado club de países desarrollados. Así, los desafíos que tenemos por delante son muchos. Por una parte, actualizar nuestra normativa de manera de resolver los déficit institucionales, mejorar el tratamiento que se hace de los principios del tratamiento de datos personales, asegurar que los derechos consagrados en la legislación sean exigibles, y que quienes no respeten la ley sean sancionados y reparadas aquellas víctimas del tratamiento ilegal y/o abusivo de datos personales. Por otra parte, resulta indispensable que la normativa se infunda a todo el ordenamiento jurídico y se eduque a la población respecto del derecho a la protección de datos, de manera que sea el principal custodio de su información personal.

22

La protección de datos personales y la información comercial Claudio Ortiz

Introducción

En los últimos veinte años, el desarrollo de las tecnologías de la información y comunicación (TIC) y, más recientemente, la masificación de internet han terminado por consolidar la llamada aldea global. Los insospechados alcances de esta revolución mundial plantean día a día nuevos desafíos para empresas, personas, Estados y todos aquellos que están directa o indirectamente involucrados en el desarrollo de las políticas públicas. Este fenómeno ha contribuido –entre otras cosas– a que tanto las empresas como el Estado sean más eficientes en su gestión y que las personas accedan a servicios de mejor calidad, con mayores oportunidades y menores costos. Durante mucho tiempo se habló de la nueva y de la vieja economía como una forma de describir el cambio que se estaba gestando. En la actualidad, parece más evidente que la economía, si bien es una sola, es dinámica y, por lo tanto, está sujeta a procesos de transformación. El nuevo escenario ha permitido globalizar la economía mundial, derribando importantes barreras entre los países y fortaleciendo su interacción, y produciendo oportunidades y amenazas para empresas y personas. Las empresas han quedado permeables a una nueva y más agresiva competencia, y han debido avanzar hacia una oferta de productos y servicios más sofisticada en la disputa por atraer y retener a consumidores que también se han vuelto globales y más exigentes. El marketing ha evolucionado hacia un concepto one to one, que busca llegar con productos y servicios específicos para cada consumidor. A diferencia del modelo que primó en la era industrial, hoy, gracias a las TIC, las empresas son capaces de recopilar y procesar información suficiente y en tiempo real sobre sus consumidores, lo que ha permitido segmentar aun más la oferta de productos y desarrollar sofisticados servicios de pre y posventa. Los innegables beneficios que el flujo cada vez más amplio, inmediato y completo de información trae a la economía en su conjunto también suponen importantes desafíos respecto de su tratamiento para fines comerciales, particularmente en lo relativo a la privacidad de las personas, derecho con-

23

sagrado en la Constitución chilena. Estamos, sin duda, ante una limitante crucial que los legisladores y el propio Estado deben considerar si deciden impulsar políticas públicas que de algún modo afecten garantías constitucionales tan centrales. Cuando hablamos de flujos de información y privacidad, debemos tener presente que existen muchos tipos de información y formas de utilizarla. Esto plantea la necesidad de analizar este problema con una óptica más vertical cuando se estudian nuevas regulaciones, a diferencia de lo que ha ocurrido hasta ahora con la ley 19.628, que entrega una mirada muy general y horizontal sobre esta materia. La naturaleza eminentemente distinta de la información hace necesario generar modelos regulatorios para cada categoría, lo que evidentemente le agrega una importante cuota de complejidad al análisis. Existen al menos dos grandes clasificaciones de datos: los sensibles y los no sensibles. Los primeros se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, el estado de salud física y psíquica, y la vida sexual. Los segundos son aquellos datos vinculados a asuntos económicos y comerciales; estos últimos, además, se distinguen entre los relativos a personas naturales y personas jurídicas. Con el propósito de focalizar el aporte de este trabajo –que pretende entregar una visión desde la experiencia del funcionamiento de los mercados–, se planteará una aproximación práctica sobre el tratamiento de datos y los sistemas de información comercial en el contexto de la reciente discusión pública, motivada por el interés del Ministerio de Hacienda de impulsar una gran reingeniería al sistema de información comercial crediticia en Chile. Los datos personales en el comercio

Antes de teorizar respecto del uso de la información, es necesario definir lo que se entiende por resguardo de datos personales. Una de las definiciones más acertadas es la que aporta Ana Garriga, quien señala: “Entendemos por protección de datos personales el estatuto jurídico destinado a definir las condiciones sobre las cuales terceros podrán hacer uso de datos que conciernen a una persona. Ello principalmente porque un mal uso de dichos datos puede afectar su entorno personal, social o profesional desde las esferas más públicas de su persona y hasta los límites de su intimidad. De esta definición resulta necesario clarificar que la protección de datos no persigue abstraer del conocimiento público la información de una persona, sino dotarla de los medios necesarios para controlar quién, cómo, dónde y con qué motivo conoce cualquier información acerca de su persona, sea ésta calificable como

24

íntima o no, pública o secreta”.1 Teniendo esta definición como referencia, a continuación podemos abordar la materia que nos convoca: el uso de la información en el comercio. Desde hace muchos años se viene observando, por parte de sectores del poder legislativo, un creciente interés por influir en el mercado de la información. Algunos, preocupados desde la óptica de la invasión a la vida privada de las personas naturales, y otros, desde el ángulo del perfeccionamiento de los mercados crediticios. Esta discusión no sólo está teniendo lugar en Chile, sino también en varios otros países. Este proceso ha arrojado hasta ahora dos conclusiones básicas: a) Es un gran tema a debatir y requiere un amplio espacio de análisis que considere la experiencia internacional y la realidad cultural propia de cada país, así como la realidad de cada mercado. En el caso de Chile, la composición de la oferta en el mercado de los créditos de consumo es atípica en relación a la mayoría de los países. b) No es posible detectar una tendencia clara que permita establecer estándares internacionales replicables, sobre todo cuando se quiere impulsar cambios por la vía compulsiva. Ello, debido a que por esa vía se afectan innumerables derechos adquiridos, tanto de las personas como de los distintos agentes económicos. Cuando hablamos de información no existe claridad en relación a qué tipo de información nos estamos refiriendo. Hasta ahora se habla, a modo de simplificar la discusión, de la información negativa y la positiva. Quizás la más fácil de entender sea la negativa, ya que se refiere a todos los datos vinculados con protestos de letras, cheques y pagarés, y cuotas morosas impagas que tienen las personas naturales y jurídicas con el sistema financiero y comercial en su conjunto. Básicamente, toda la información que circula en la industria a través de los diferentes boletines comerciales y burós de crédito. La información negativa está bastante acotada y se justifica por sí sola por el hecho de que su promoción sin el consentimiento del titular tiene por objetivo ayudar a prevenir al mercado sobre aquellas personas que por diversas razones tienen conductas comerciales desordenadas. La información positiva se refiere a un concepto amplio que ha sido objeto de abundante teorización por parte de un gran número de economistas a nivel mundial. En esta línea y dentro del discurso global se plantean diferentes alternativas para incluirla como información abierta para la industria del crédito. Algunos hablan de dar a conocer el comportamiento (historial) de pago que una persona ha tenido históricamente; otros se refieren a la suma1 Garriga, Ana, Tratamiento de datos personales y derechos fundamentales, Dykinson, Madrid, 2004, pp. 29-30.

25

toria de toda la deuda vigente que no ha vencido en el sistema, y otros a los datos patrimoniales de personas y empresas. Antes de profundizar en este tema, revisaré las principales características del sistema de información vigente en el segmento del comercio. Hay que distinguir varios tipos de información comercial en este ámbito. En primer lugar se encuentra la información sobre cheques, pagarés y letras protestados, la que debe ser obligatoriamente entregada al Boletín de Información Comercial (BIC), el cual actúa como centralizador del sistema. Esta información es pública y su tratamiento se encuentra regulado por el decreto 950 y por la ley 19.628 de protección de la vida privada. En segundo lugar, la información negativa que se genera directamente en el sistema de casas comerciales –es decir, las cuotas morosas de créditos y tarjetas de crédito– se encuentra sujeta a un modelo voluntario de envío por parte de los acreedores, también regulado por los dos cuerpos legales mencionados. En la práctica, las empresas del sector envían al BIC las cuotas morosas de sus carteras, lo que permite al ente centralizador procesar y distribuir esta información entre los burós de crédito (Dicom, Databusiness, Sinacofi y Siifa), los que, a su vez, la ponen a disposición de los interesados (ver figura 1). De la misma forma, en el sector bancario existe un sistema que agrupa la información sobre morosidad de cuotas de crédito bancarias, datos que son enviados por los bancos a Sinacofi (buró de crédito dedicado al procesamiento de datos, perteneciente a la Asociación de Bancos e Instituciones Financieras –ABIF–, pero que entrega servicios de información casi en exclusiva a sus asociados). Sinacofi distribuye, a su vez, esta información en forma consolidada a sus socios y también la comercializa al resto de los burós de crédito, de manera individual (RUT a RUT), al igual que el sistema utilizado por el BIC respecto de la morosidad del comercio. Finalmente, existe un mecanismo similar a los dos anteriores denominado Sicom, que en general reúne información de morosidad proveniente del comercio de menor tamaño y de otras fuentes voluntarias, y que es procesado por la empresa Dicom-Equifax. Las personas naturales, de acuerdo a la ley 19.628, tienen derecho a consultar gratuitamente dos veces al año la información que estas bases de datos mantienen sobre ellas. La Cámara de Comercio de Santiago creó un sistema que permite en forma ágil cumplir esta condición. En el caso de la información positiva, es decir, la información sobre endeudamiento vigente (tipo de deuda, plazo, monto, etcétera), los bancos e instituciones financieras reguladas por la SBIF, Superintendencia de Bancos e Instituciones Financieras (incluyendo los tres bancos comerciales del sector retail), deben entregar obligatoriamente la información sobre endeudamiento de sus clientes a esta institución, la que la consolida para cada persona de ma-

26

figura 1 Sistema de Información Comercial (Segmento Boletín Comercial)

generadores

ordenador

distribuidores

Otros agentes crediticios

DICOM / EQUIFAX Banca

Comercio

Agentes crediticios 1. Cheques protestados

25%

CCS

SINACOFI

2. Letras protestadas 3. Pagarés protestados

Notarías

4. Cuotas morosas bancos

DATABUSINESS

5. Cuotas morosas comercio

75%

SIISA Personas naturales y jurídicas Fuente: Cámara de Comercio de Santiago.

nera individual. Tras este proceso, la SBIF devuelve la información a Sinacofi para la posterior consulta de sus asociados, que deben hacerlo obligatoriamente para evaluar las solicitudes de crédito (ver figura 2). La ley prohíbe a instituciones no reguladas por la SBIF consultar u obtener la información positiva del endeudamiento de las personas en el sector financiero, por lo que el sector comercio no tiene acceso a ella. Las casas comerciales sólo deben entregar información agregada sobre sus clientes, la cual es utilizada por la ABIF para monitorear el mercado. Por consiguiente, los datos sobre endeudamiento que consultan las entidades supervisadas por la ABIF no incluyen la deuda de las personas con las grandes casas comerciales, como tampoco deudas del comercio menor, de cadenas regionales o de cualquier otra institución no supervisada por la ABIF, como créditos automotores, cajas de compensación, factoring y compañías de seguros. El creciente interés de los bancos por disponer de esta información, validado por el dogmatismo académico de algunos economistas, mantiene abierto el

27

figura 2 Sistema de Información Comercial

generadores

distribuidores

USUARIOS

· BOLETÍN COMERCIAL AGENTES CREDITICIOS

· CHEQUES PROTESTADOS · LETRAS PROTESTADAS · PAGARÉS PROTESTADOS · CUOTAS MOROSAS BANCO · CUOTAS MOROSAS COMERCIO

· DIARIO OFICIAL · SOCIOS Y SOCIEDADES · CONSTITUCIÓN, MODIF. Y DISOLUCIÓN DE SOCIEDADES · PRENDAS · QUIEBRAS

DICOM / EQUIFAX

Otros agentes crediticios

· DIRECCIÓN DEL TRABAJO · BOLETÍN LABORAL PREVISIONAL · DEUDAS PREVISIONALES · INFRACCIONES LABORALES

· REGISTRO CIVIL

SINACOFI

· VIGENCIA CÉDULA IDENTIDAD · RUT / NOMBRE · DEFUNCIONES

· SII · RUT / RAZÓN SOCIAL · ANOTACIONES VIGENTES · VERIFICACIÓN DECLARACIÓN · IMPUESTOS

Personas naturales y jurídicas

DATABUSINESS

· SERVICIO ELECTORAL · RUT / NOMBRE · DIRECCIÓN · SEXO · FECHA NACIMIENTO

Comercio

· FUENTES PRIVADAS · FACTURAS IMPAGAS · TV CABLE · TAG · CRÉDITO UNIVERSITARIO · OTROS

SIISA

· SBIF · DEUDA POSITIVA BANCOS

Banca

Fuente: Cámara de Comercio de Santiago.

debate respecto de la pertinencia de exigir a los actores no financieros la entrega de su información sobre deudas vigentes para consolidarla a nivel individual (para cada deudor) con la información del sistema financiero. A nivel internacional, este tema ha motivado un sinnúmero de foros, en los que se ha discutido si es conveniente o no consolidar la información positiva. Pero el debate no está zanjado, por lo que todavía no existe consenso respecto de la conveniencia de consolidarla. Revisemos algunos ejemplos: Australia –considerado por el Banco Mundial en el tercer lugar en el ránking de los países de mayor desarrollo de su mercado de créditos de consumo– opera sólo con intercambio de información negativa. Finlandia, Alemania y Brasil son ejemplos similares. Por otro lado, Estados Unidos promueve la consolidación y ocupa el séptimo lugar en ese informe. En el caso de Brasil, por ejemplo, la información no está consolidada. Incluso más: es interesante preguntarse por qué la economía más grande de Latinoamérica ha optado, hasta ahora, por esta línea.

28

Adicionalmente, no se pueden dejar de lado las otras variables asociadas a la discusión de una política pública de esta naturaleza. Es indudable que cualquier modificación al modelo existente repercutirá en el mercado. Por lo tanto, lo primero que debe hacerse es definir cuál es la imperfección del mercado a resolver. En nuestro país se ha escuchado a algunos expertos y políticos pregonar que con la consolidación de la deuda positiva debiera mejorar el acceso al crédito y el colateral reputacional de las personas, incrementar la competencia y bajar el costo del crédito, como una buena noticia para los consumidores. Otros ven esto desde una óptica de competencia y plantean eliminar asimetrías competitivas, y, por último, están quienes esperan obtener un avance en la calidad de la industria de los informes comerciales. Por lo tanto, es legítimo reflexionar y preguntarse cuál es el real problema que los responsables de políticas públicas buscan resolver con esta discusión. Ello porque, respecto del acceso al crédito de consumo, las estadísticas del mercado nos permiten visualizar una curva con una gran pendiente de crecimiento, gracias a la fuerte competencia en la industria del crédito nacional. Es muy probable que esta tendencia cambie transitoriamente, por los efectos de la crisis financiera internacional y su incidencia en la economía chilena. Aquí hay actores relevantes, como la banca, casas comerciales, cajas de compensación, cooperativas de ahorro y préstamo, compañías de seguro, empresas de créditos comerciales (como los créditos automotrices) y un sinnúmero de pequeños comercios a lo largo de todo Chile, que han generado una gran oferta y competencia por los créditos de consumo. Por eso, es difícil creer que toda esta transformación al sistema se esté provocando para ofrecer acceso al crédito a 300 mil personas que, a la fecha, estarían fuera del mercado bancario.2 ¿Está la autoridad dispuesta a asumir los enormes costos de modificar un sistema sustentado sobre bases sólidas, maduro, y, lo más importante, que funciona en forma eficiente, sólo por dar acceso al crédito a un segmento tan pequeño? Más que generar una respuesta a esta interrogante, cabe agregar otra pregunta: ¿por qué esos 300 mil chilenos no tienen acceso al crédito pese a las múltiples opciones que provee el mercado? La respuesta pareciera ser bastante obvia, pero irónicamente no lo es para algunos que no indagan las causas en las condiciones de la economía o en la distribución del ingreso. Para ellos es mucho más acertado encontrar la falla en la falta de acceso a la información comercial positiva. Resulta al menos cuestionable que la banca incorpore al crédito a segmentos que tradicionalmente descuidó solamente por el argumento de disponer de información positiva del comercio. Esos segmentos no están bancarizados

2 Según informe de Cristián Larraín solicitado por el Ministerio de Hacienda.

29

porque sus niveles de riesgo no son compatibles con el negocio bancario. Otra de las argumentaciones para levantar la necesidad de consolidar la información es el llamado sobreendeudamiento de la población. En el retail, la estrategia comercial se denomina de “siembra”, ya que se caracteriza por la entrega de pequeños créditos con poca información, los que con el paso del tiempo, y en vista del comportamiento comercial de la persona, se van ampliando en forma gradual. Por el otro lado, la banca aplica el sistema de “copamiento”, que no es otra cosa que entregar en un solo acto la máxima capacidad de crédito, incluyendo tarjetas, líneas de crédito y otros instrumentos financieros. En este escenario, el resultado más probable de un modelo en el que los bancos obtienen información sobre potenciales deudores actualmente servidos por el comercio es que estas instituciones intentarán colocar la mayor cantidad de créditos en tales deudores, acentuando y no disminuyendo la deuda en el sistema. Finalmente, es importante destacar que los estudios que manejan las propias autoridades económicas dan cuenta a nivel global de dos importantes tendencias: el aumento en el endeudamiento de los hogares chilenos en relación al PIB y las holguras de estos hogares para adquirir más deudas, cuyos índices son más conservadores de los que manejan las economías más desarrolladas a las cuales Chile desea emular. Asimetrías competitivas

Otra de las argumentaciones que la banca ha planteado como fundamental para insistir en la consolidación de la información es que actualmente, al no contar con todos los datos disponibles, las instituciones financieras no pueden evaluar correctamente a sus clientes, generando con ello las llamadas asimetrías competitivas. Cuando hablamos de la información negativa estamos hablando de una fuente que fluye en los mercados como el agua: abierta, clara y transparente. Respecto de la deuda vigente, los bancos tienen un circuito propio que opera bajo el concepto de la reserva bancaria. Allí los actores del mercado comparten información al alero de una ley que los protege (y los obliga). Esto fue impulsado por la autoridad (es similar a lo que acontece en otros países) y lo hace exigible considerando que los bancos captan dinero del público y que el Estado da garantía a los depósitos. La medida surge de alguna manera como contrapartida por el comentado riesgo sistémico. Por otra parte, los datos de los clientes deambulan en el sistema al cambiarse éstos periódicamente de banco o al producirse fusiones. Por ello es válido suponer que hoy día los bancos han acumulado una gran cantidad de información. De hecho, los grandes agentes crediticios, como la banca y el comercio, utilizan sofisticadas

30

tecnologías de evaluación y seguimiento bajo el concepto de business intelligent, sistema que es capaz de procesar todo este cúmulo de información. Éste –utilizando tecnología complementaria– puede incluso georreferenciar a los consumidores, lo que en definitiva permite contactar potenciales clientes de forma mucho más precisa. En vista de la tecnología de punta con la que se cuenta a la hora de recopilar y administrar información de clientes, que redunda en un sofisticado sistema de credit scoring, surge la legítima duda sobre si los bancos, al incorporar la información que les falta proveniente del comercio, podrán mejorar sustancialmente sus sistemas de evaluación como para llegar a los 300 mil clientes que ya hemos comentado (o incluso a un segmento más significativo de la población). A lo anterior se debe agregar toda la información positiva y patrimonial que los clientes debemos entregar bajo juramento al momento de tramitar un crédito. Pese a lo ya expuesto, parece razonable pensar que la banca tenga interés en abordar segmentos socioeconómicos que en la práctica (gracias a su relación con el comercio) han demostrado ser menos riesgosos, en su búsqueda de mayor rentabilidad. Estos segmentos, históricamente desatendidos por la banca, fueron acogidos por las casas comerciales, a riesgo y costo individual, asumiendo años de pérdidas y morosidades en un proceso formativo que ahora sí interesa conocer. Hoy, el cliente que pertenece al segmento socioeconómico C3D es considerado buen pagador, tiene asegurado un acceso permanente a bienes y servicios que hace algunos años parecían inalcanzables, y ha mejorado notoriamente su calidad de vida. Con el propósito de aportar al debate sobre la bancarización de sectores postergados, resulta importante preguntarse cuál es la mejor solución para avanzar en esta dirección. ¿No será más apropiado afrontar uno de los grandes temas pendientes en nuestra economía, como es la eliminación de la tasa máxima convencional? Éste es un tema en el que –en privado– existe mucho consenso entre los expertos y autoridades económicas de distintas tendencias ideológicas, pero en el que hasta ahora no ha existido la voluntad política de avanzar. Adicionalmente, es absurdo que el sistema de cálculo actual aún mantenga como criterio sólo el promedio ponderado de las operaciones de los bancos. Luego, el comercio y los otros agentes crediticios no bancarios deben regirse por ese parámetro sin que sus operaciones (de menor monto) participen en el proceso de cálculo. Al parecer, esto genera asimetría competitiva. ¿Se está diagnosticando la enfermedad correcta?

Parece atingente insistir respecto de cuál es el problema que se quiere resolver con esta discusión. Si se trata del riesgo sistémico y el sobreendeudamiento, la verdad es que las cifras del Banco Central y de la Superintendencia

31

de Bancos e Instituciones Financieras muestran una economía chilena lejana de padecer alguno de estos síntomas. El propio informe elaborado por encargo del Ministerio de Hacienda plantea que la relación deuda global-ingreso per cápita es todavía muy baja respecto de países con mercados más desarrollados, como Europa y Estados Unidos. En cuanto a la industria de los burós de crédito, la única verdad absoluta en torno a la discusión sobre el uso de la información personal de los individuos es que mejorarán sus ventas al poder ofrecer más consultas con nuevos cruces de información. Así, se suman a la banca como grandes beneficiados con esta medida. Cambios a la institucionalidad del sistema

En términos prácticos, no es fácil resolver esta ecuación costo-beneficio de impulsar un cambio de este tipo. Una cosa es la teoría económica, otra la práctica comercial. De hecho, desde este punto de vista es positivo que en los mercados exista mayor información, de modo que todo sea más transparente y mejore la eficiencia y la calidad de la toma de decisiones. El gran problema es cómo esta teoría económica se baja a la práctica sin afectar los derechos de propiedad de los distintos agentes económicos y los derechos a la privacidad de las personas. A futuro, quién asumirá el costo de generar información y de otorgar el primer crédito sin historia si la información pasa a ser un bien público. Actualmente, en Chile existe un sistema que opera en forma eficiente. Se trata de un mecanismo de información comercial crediticia centralizado en la generación, y descentralizado y competitivo en la distribución, que entrega información confiable y de alta calidad. En Estados Unidos, por citar un país al que se está mirando en su modelo de información, se utiliza un sistema descentralizado donde uno de los grandes problemas que se debe enfrentar es la calidad de la información. Pese a los altos estándares tecnológicos, la vanguardia metodológica y el liderazgo financiero mundial que ostenta ese país, hay cifras categóricas publicitadas por las propias autoridades respecto de los problemas de calidad de la información. Tanto es así, que allí existe una industria compuesta por cientos de empresas de servicios dedicadas a la reparación de datos de las personas naturales y jurídicas. No son otra cosa que oficinas de servicios legales que se dedican a enmendar los errores que el sistema descentralizado comete por no contar con una central única de información, como sí la hay en Chile. A modo de ejemplo, una gran empresa en Estados Unidos que se dedique a evaluar créditos requiere de al menos tres conexiones a tres burós de crédito diferentes para poder tener la información completa. Aun más, en el mercado se vende hoy a modo de promoción (con descuento) el informe en modalidad “tres x uno”, porque nadie tiene la totalidad de la información.

32

¿Se está dispuesto a asumir el costo?

A modo de cierre, es necesario señalar que en Chile se cuenta con un sistema de información crediticia que opera reconocidamente bien. Nadie pone en duda la calidad de la información. Puede tener imperfecciones como todo sistema, pero una cosa es hablar de perfeccionar un sistema y otra completamente diferente es hacer una reingeniería para cambiarlo. Si no tenemos claro cuáles son los reales problemas que se quiere resolver o el beneficio que se persigue alcanzar con esta reforma, se corre el riesgo de caer en el mismo pecado que se cometió con el Transantiago. Por ello, es muy importante evaluar lo que significa esta transformación desde el punto de vista del impacto en los mercados, al afectarse importantes derechos tanto de los consumidores como de los otros actores de la industria. El problema es que en un mercado de alto nivel de competencia, que funciona bien, dicha intervención tiene costos, y si no se está al corriente de ellos, las consecuencias serán nefastas. Perfeccionamientos del actual sistema

En tal sentido, parece más razonable avanzar en perfeccionamientos adicionales sobre las bases del modelo existente, incorporando los siguientes ejes. 1. En materia de protección de datos, transponer la legislación general a las regulaciones específicas, atendiendo a las evidentes diferencias existentes en la naturaleza de las distintas capas de información, así como entre los distintos actores. 2. Evaluar la necesidad de crear una agencia de protección de datos que permita fiscalizar eficientemente y acompañar de mejor forma el dinamismo de este mercado. Es lo que existe en muchas economías desarrolladas. Aun más, esto es importante por la necesaria homologación con la legislación de los países de la OCDE. 3. En materia de perfeccionamiento del actual modelo del sistema de información, algunas ideas: • Oportunidad de la información del Boletín Comercial. Se plantea acelerar los plazos de publicación de la información contenida en este boletín. El actual marco legal que lo norma lo obliga a publicar las aclaraciones recibidas entre lunes y viernes, el martes de la semana inmediatamente siguiente. El Boletín Comercial está técnica y operacionalmente preparado para publicar las aclaraciones de manera diaria, incluso en tiempo real. Del mismo modo, los protestos y cuotas morosas son publicados luego de, a lo menos, una semana después de ser recibidos desde los emisores, producto de limitaciones en la normativa y los procesos de validación de la información que ejecuta el Boletín. • Estandarizar aun más la información negativa, en términos de aspectos

33

como los criterios utilizados para informar los datos al sistema, el plazo de mora, etcétera. • Tratamiento uniforme de la información de personas jurídicas. • Reponer el historial de pago de las deudas morosas y protestos. • Crear un sistema donde las personas puedan hacer descargos al Boletín Comercial, con el objetivo de no afectar el historial de pago como consecuencia de problemas laborales o de salud. • Actualmente el tratamiento de la información de personas jurídicas no está regulado. La ley 19.628 de protección de la vida privada sólo regula el tratamiento de la información de personas naturales. La problemática del financiamiento de las empresas, y específicamente de las PYME, obviamente es distinto al de las personas naturales, razón por la cual se debe establecer un marco legal ad hoc a este mercado. Resulta fundamental en este punto la regulación del tratamiento de las facturas impagas y deudas tributarias, como principales indicadores de incumplimientos comerciales de las personas jurídicas. • Acceso a información de organismos públicos: el fraude por suplantación de identidad afecta el riesgo del mercado crediticio y consecuentemente eleva el costo del crédito. En este caso, la información referida a la identificación de las personas (RUT, nombre) y la huella dactilar (identificación biométrica) en poder del Servicio de Registro Civil e Identificación no llega con la necesaria fluidez a los agentes crediticios, obligando a muchos de ellos a desarrollar sus propias bases de datos. Entendemos que a través del intercambio electrónico de esta información se podrían atenuar riesgos y, consecuentemente, disminuir el costo del crédito. 4. Educación al consumidor. El conocimiento del funcionamiento del mercado crediticio y del sistema de información comercial por parte de los consumidores ayudaría a desarrollar aun más el mercado del crédito en el país, bajo la premisa del uso responsable. La experiencia ha demostrado que muchas veces los incumplimientos comerciales de las personas, los fraudes al sistema y el acceso al mercado informal del crédito se explican por desconocimiento o negligencia en la conducta de aquéllas. En efecto, solamente a través de iniciativas privadas se ha tratado de educar a los consumidores en temas como los siguientes. • Equilibrio de ingresos y gastos. • Responsabilidad por ser aval. • Custodia de documentos personales (cédula de identidad, tarjetas de crédito y cheques, liquidaciones de sueldo, entre otros). • Repactación de deudas. Para impulsar una real y efectiva estrategia en este sentido, se debiera incorporar en los programas de enseñanza media la educación al consumidor y,

34

dentro de este capítulo, enseñar cómo relacionarse con el sistema crediticio. Este tipo de mejoras contribuiría a perfeccionar un modelo sólido, que ha contribuido a mantener tasas de cumplimiento comercial en el sistema crediticio que se encuentran entre las bajas a nivel mundial, conservando un justo equilibrio entre el derecho a la privacidad de las personas y el bien común.

35

El tratamiento de datos personales en la determinación del riesgo Mikel Uriarte

1. El contrato de seguro y el riesgo en la sociedad

Cada día es más evidente la presencia de los seguros en nuestra vida diaria y su aporte a la sociedad. Es una actividad que parece compleja, pero, en términos simples, el seguro es un contrato por medio del cual una persona jurídica autorizada toma sobre sí ciertos riesgos de otra, obligándose a indemnizar hasta cierto monto las pérdidas que sufra, como consecuencia de un siniestro, en el bien protegido o cubierto por el acuerdo. De esta forma, la persona que toma ese riesgo, la compañía de seguros, le presta un servicio a una persona natural o jurídica, el asegurado. Este compromiso permite que el asegurado elimine o acote las pérdidas que puede sufrir como consecuencia de sucesos tan diversos como incendios, accidentes, catástrofes naturales o enfermedades. Desde el punto de vista del individuo protegido, la protección resulta enormemente beneficiosa, porque le permite concentrarse en sus propias actividades y eliminar una contingencia. Desde el punto de vista de la compañía de seguros, ésta obtiene una remuneración por tomar el riesgo y diseminarlo entre muchas personas que también lo enfrentan, lográndose así una administración más eficiente de las exposiciones a riesgos y de los recursos que deben destinarse a enfrentarlos. Luego, los seguros asumen las fluctuaciones de ingresos, tipos de interés, sobrevida, exposiciones catastróficas, entre otros elementos, produciendo en el asegurado un efecto positivo en su riqueza. Las compañías de seguro pueden tomar dichas exposiciones, puesto que las distribuyen entre todos sus asegurados y reasegurados, mitigando el impacto de cada siniestro en particular. Conviene aquí hacer presente un aspecto importante en el análisis sobre el seguro que no siempre es tomado en consideración: para la sociedad, la existencia del contrato de seguro constituye un incentivo al comportamiento “virtuoso” de las personas, toda vez que producen una disminución de las pérdidas ocasionadas por los siniestros. El incentivo se deriva del hecho de que, cuando existen seguros disponibles a precios razonables, las personas se desprenden de los riesgos a los que

37

están expuestos, pero, al mismo tiempo, toman conciencia de su costo, por lo que se generan estímulos para a adoptar medidas tendientes a reducir los peligros a los que se está afecto. Por ejemplo, cuando un individuo conoce el costo que tiene asegurarse contra un desastre natural en particular en su vivienda, es muy probable que, a la hora de optar entre distintas alternativas de calidad de construcción, opte por la más segura, al haber asumido el mayor valor que podría significar proteger íntegramente una de menor calidad. Como resultado, la sociedad termina tomando seguros por casas más seguras y a menor costo. Sin embargo, los beneficios del seguro no están garantizados a todo evento. Para obtenerlos, se deben reunir ciertas condiciones básicas en la contratación: 1. Información sobre el riesgo. En otras palabras, el futuro asegurado debe entregar todos los antecedentes que permitan a la compañía evaluar el riesgo que asume; entre ellos, identificación del bien asegurado, objetivo del seguro, entorno que afecta al bien. 2. Existencia del interés asegurable. En términos simples, es una relación, susceptible de valoración económica, que debe existir entre el asegurado y la materia asegurada, que se traduce en evitar la ocurrencia del riesgo y sus consecuencias. 3. Consentimiento entre las partes respecto de las coberturas definidas y el pago de la prima. Para ello es fundamental que ambas partes cuenten con la información al tiempo de prestar su consentimiento. 4. El contrato se perfecciona con el pago de la prima del seguro. Este valor se determinará de acuerdo a la información disponible para el asegurador. Nos detendremos en el primer requisito. 2. La información del riesgo en el contrato de seguros

Para que el contrato de seguros se pueda celebrar en condiciones adecuadas para el asegurado y la compañía, es indispensable que ésta cuente con toda la información necesaria para poder conocer y cuantificar el riesgo que asumirá. Estos datos deben ser suficientes, veraces y oportunos. Deben ser suficientes, es decir, contener todos los antecedentes que permitan conocer el riesgo y cuantificarlo, lo que incluye la información tanto respecto de lo asegurado (por ejemplo, las características y estado del automóvil) como del comportamiento que ha tenido la persona en relación a este riesgo. La información también debe ser veraz, en cuanto se requiere que sea verdadera y susceptible de comprobación. En este sentido, la compañía de seguros deberá tener acceso a los informes que permitan verificar esa veracidad. Y también la información debe ser oportuna, toda vez que la compañía debe conocerla al tiempo en que toma la decisión de cubrir el riesgo y de fijar el valor a la prima del seguro.

38

La necesidad de esta información para la contratación del seguro fue recogida por la legislación chilena con la dictación del Código de Comercio, en 1865. En efecto, el articulo 516 del Código exige que toda póliza debe contener, entre otros antecedentes, “la enunciación de todas las circunstancias que puedan suministrar al asegurador un conocimiento exacto y completo de los riesgos, y la de todas las demás estipulaciones que hicieren las partes”.1 En la misma línea, el artículo 556 señala que el asegurado está obligado “a declarar sinceramente todas las circunstancias necesarias para identificar la cosa asegurada y apreciar la extensión de los riesgos”.2 Esta norma es de gran importancia, porque confirma que, para la legislación chilena, recae sobre el asegurado la obligación de informar, no bastando la mera obligación pasiva de no mentir. Por último, confirma lo anterior lo dispuesto en el artículo 557, que permite rescindir el contrato de seguro, es decir, dejarlo sin efecto, “por las declaraciones falsas o erróneas o por las reticencias del asegurado acerca de aquellas circunstancias que, conocidas por el asegurador, pudieran retraerle de la celebración del contrato o producir alguna modificación sustancial en sus condiciones”.3 3. Problemas asociados a la falta de información en materia económica

Las normas que hemos citado demuestran la importancia que le da la ley a la existencia de esa información veraz, suficiente y oportuna de parte del que pretende asegurarse, declarada al asegurador, para que pueda celebrarse en condiciones adecuadas el contrato de seguro. Este aspecto tiene un trasfondo económico y actuarial, porque permite evitar ciertas distorsiones que pueden afectar el buen funcionamiento de los mercados. En efecto, la literatura económica identifica entre las denominadas fallas de mercado, los bienes públicos, los monopolios y prácticas restrictivas de la competencia, las externalidades, la falta de definición de los derechos de propiedad y los problemas de asimetrías de información (riesgo moral, selección adversa, señalización, principal y agente).4 Son estos problemas de asimetrías de información, especialmente riesgo moral, selección adversa y señalización,5 los que se pretenden evitar con las

1 Artículo 516 del Código de Comercio de Chile. 2 Artículo 556 del Código de Comercio de Chile. 3 Artículo 557 del Código de Comercio de Chile. 4 Ver, por ejemplo, Larroulet y Mochón, Economía, McGraw-Hill, 2004. 5 En el caso del riesgo moral, lo que ocurre es que el comportamiento del asegurado no es observable para la compañía aseguradora, o que, aun siendo observable, no es verificable. La señalización se refiere a las acciones observables tomadas por un agente económico, en este caso el asegurado, para convencer a la parte opuesta del valor o alcance de su riesgo. La selección adversa se da en el esquema en el momento de firmar un contrato, ya que el asegurado tiene menos información que la compañía sobre alguna de las características pertinentes de la relación.

39

normas que en esta materia contiene nuestro Código de Comercio para el contrato de seguro. Precisamente, uno de los medios que se utilizan en cuanto a regulación económica para reducir estas fallas de mercado en materia de asimetría de información, es proveer al que contrata de la posibilidad de acceder a la información que le permita conocer de mejor forma el comportamiento de la contraparte y tomar sus decisiones de manera más conveniente. Tal es el caso del seguro, donde el legislador ha otorgado a la obligación del asegurado de entregar información al asegurador una importancia mucho más allá que la usual en la contratación civil o comercial. No basta con que no entregue información falsa, sino que debe entregarle toda la información necesaria para que pueda conocer el riesgo que está asumiendo. Se busca de esta forma evitar que el mercado funcione distorsionadamente, porque si no existe esa información para el asegurado surgen dos costos indeseados: 1. Primas más altas para todos. Como el asegurador no tiene la posibilidad de conocer con exactitud el riesgo de las personas, termina asignando a todos una expectativa de riesgo mayor y asociándoles una tarifa más alta por el seguro. Por ejemplo, si yo no puedo saber con exactitud si una persona ha chocado diez veces el año anterior, versus la que no chocó ninguna vez, no es posible reflejar en el precio la diferencia que el riesgo de cada cual representa. 2. Incentivos perversos. Si el asegurador no puede conocer la información del comportamiento de las personas frente al riesgo asegurado, la persona que desarrolla hábitos menos cuidadosos, y que incluso asume mayores riesgos al sentirse asegurada, perjudica a la que es diligente y desarrolla un comportamiento contrario. Es decir, se verifica el problema del riesgo moral. 4. Utilización de información y bases de datos para el seguro

La necesidad de contar con información de parte del asegurado y el logro de los beneficios que hemos señalado chocan en la actualidad con las dificultades propias de la complejidad que han alcanzado los mercados de servicios financieros, principalmente por la contratación masiva y por el uso de canales asociados a la tecnología. En el caso de la contratación masiva, lo que ocurre es que las compañías venden seguros bajo condiciones estandarizadas con la finalidad de lograr economías de escala que permitan una reducción de los costos y la consecuente baja en los precios, permitiendo el acceso a los seguros a gran parte de la población que de otra manera no accedería. El problema es que esa contratación masiva deja atrás el marco en que se celebraban los seguros anti-

40

guamente, esto es, con la negociación cara a cara de las partes, con el tiempo y la oportunidad para requerir y procesar la información. Luego, para realizar esta contratación masiva y mantener los beneficios de una adecuada cuantificación de los riesgos, se requiere acceder a la información que se encuentra en las bases de datos disponibles. Para ello es fundamental que estas bases de datos sean confiables y que permitan extraer rápidamente la información. Por otra parte, además de la contratación masiva está el nuevo fenómeno de los canales masivos de distribución, que aprovechan la tecnología para comercializar los seguros a gran escala, incluso sin la presencia física de las partes. Hoy ya es usual que se coticen y contraten seguros de accidentes para automóviles a través de los sitios web de casas comerciales o de bancos. Cuando se trata de canales masivos y que utilizan estos medios, la necesidad de acceder a bases de datos en tiempo real se hace aun más relevante, en términos de que, de no existir esta posibilidad, no va a ser posible prestar el servicio o se determinará a una tarifa “plana” y “ciega”, que ocasionará los perjuicios ya identificados. 5. Datos personales y bases de datos: regulación de la ley 19.628

La necesidad de que existan antecedentes confiables y de rápido acceso para facilitar la contratación del seguro debe ser satisfecha en consonancia con los principios y normas bajo los cuales esos datos pueden ser mantenidos. Conviene tener presente que, para los efectos de su uso, en materia de seguros, la información que exista en las bases de datos deberá cumplir con ciertas exigencias: a) La información debe ser confiable, en cuanto su contenido debe ser veraz y no susceptible de ser interferido por terceros. b) La información debe ser actualizada. c) El acceso a la información debe darse a través de mecanismos rápidos y eficientes. d) El acceso a la información y la entrega de información debe resguardar la reserva a la que están obligadas las compañías con sus clientes. Este tema no es nuevo para las compañías de seguros, porque siempre se ha entendido que la relación que ellas tienen con sus clientes está amparada por el secreto comercial y la reserva, protección indispensable para que los clientes entreguen su información. Sin embargo, las facilidades otorgadas por la tecnología para reunir y acceder fácilmente a los datos personales han generado en el último tiempo nuevos desafíos para la protección que se debe otorgar a la vida privada de las personas. En esa línea, la dictación de la ley 19.628 vino a establecer un

41

marco normativo para el manejo de los datos personales y las bases de datos, estableciendo en qué casos y bajo qué condiciones esa información fue utilizada. De ese marco normativo cabe destacar las siguientes disposiciones: 1. El tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares se sujetará a las disposiciones de esa ley.6 2. Se denomina registro o banco de datos al conjunto organizado de datos de carácter personal, sea automatizado o no y cualquiera sea la forma o modalidad de su creación u organización, que permita relacionar los datos entre sí, así como realizar todo tipo de tratamiento de datos.7 3. El tratamiento de los datos personales sólo puede efectuarse cuando esa ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. La persona que autoriza debe ser debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible comunicación al público.8 4. No requiere autorización el tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial; se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento; o sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.9 5. Tampoco requerirá de esta autorización el tratamiento de datos personales que realicen personas jurídicas privadas para el uso exclusivo suyo, de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquéllos.10 De las normas citadas se desprende claramente que el tratamiento de los datos de las personas sólo puede realizarse previa autorización del titular. Esta norma tiene en términos generales sólo dos excepciones, en que no se requiere dicha autorización: la recolección de datos provenientes de fuentes accesibles al público y “el tratamiento de datos personales que realicen personas jurídicas privadas para el uso exclusivo suyo, de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquéllos”. Esta última excepción es de gran importancia, porque su justificación radica precisamente en las razones que

6 7 8 9 10

42

Artículo Artículo Artículo Artículo Artículo

1, ley 19.628, sobre protección de la vida privada. 2, ley 19.628, sobre protección de la vida privada. 4, ley 19.628, sobre protección de la vida privada. 4, ley 19.628, sobre protección de la vida privada. 5, ley 19.628, sobre protección de la vida privada.

hemos señalado como argumento para el uso de información por parte de los aseguradores, proveniente de bases de datos y que contenga antecedentes personales no disponibles para el público en general. Tal como lo señala el artículo 4 de la ley 19.628, no se requiere la autorización cuando el tratamiento de los datos lo hace una persona jurídica privada para su uso o el de sus asociados, siempre y cuando los fines de ese uso sean los estadísticos, de tarificación y otros de beneficio general de ellos. En otras palabras, la ley reconoce en este caso que las normas de protección de los datos personales deben contemplar el marco para que quienes deben tarificar servicios puedan acceder a ella, cumpliendo las condiciones que se establezcan. Lo que ocurre es que, de no establecerse esta excepción, se estaría generando un espacio para un funcionamiento poco eficiente de algunos mercados, por ejemplo de los seguros, al no existir la posibilidad de tarificar con información precisa sobre las condiciones para contratar los servicios. El hecho de que el legislador haya contemplado una excepción a la necesidad de requerir autorización del titular no significa que dejen de establecerse procedimientos y condiciones para proteger la vida privada de las personas. Más aun, al existir la excepción, con mayor razón se hacen necesarias esas protecciones. Así lo entendió el legislador, que exigió de parte de quienes están autorizados a utilizar la información, el cumplimiento de los siguientes requisitos: 1. El responsable del registro o banco de datos personales puede establecer un procedimiento automatizado de transmisión, siempre que se cautelen los derechos de los titulares y la transmisión guarde relación con las tareas y finalidades de los organismos participantes. 2. Frente a un requerimiento de datos personales mediante una red electrónica, deberá dejarse constancia de: a) La individualización del requirente. b) El motivo y el propósito del requerimiento. c) El tipo de datos que se transmiten. 3. La admisibilidad del requerimiento será evaluada por el responsable del banco de datos que lo recibe, pero la responsabilidad por dicha petición será de quien la haga. 4. El receptor sólo puede utilizar los datos personales para los fines que motivaron la transmisión.

6. Sisgen y uso de bases de datos: la importancia de la autorregulación

El Sistema de Información de Siniestros de Seguros Generales (Sisgen) fue creado en la década de los 80 en la Asociación de Aseguradores de Chile A. G. (AACH), con el propósito de que las compañías asociadas pudieran

43

compartir la información sobre los siniestros de sus asegurados en seguros generales. De esta forma, se logra una mejor tarificación y se puede prevenir la ocurrencia de fraudes. La base abarca todos los ramos de seguros generales, pero es especialmente utilizada en vehículos motorizados. En ella se registra la fecha de la información, el número de siniestros, los participantes (indicando si es contratante, asegurado, conductor o tercero afectado), las pólizas y coberturas afectadas, y los montos pagados, provisionados y recuperados. Cabe hacer presente que en el año 2000 se implementa el acceso al Sisgen a través de internet. En la medida en que contiene datos no disponibles necesariamente para el público, el Sisgen puede ser considerado como una base de datos para los efectos de lo dispuesto en la ley 19.628. Asimismo, se ha entendido que la consulta por parte de las compañías para los efectos de la tarificación de las pólizas de seguros cae precisamente dentro de las excepciones contenidas en el artículo 4° de la ley citada, y por lo tanto no se requiere en cada caso la autorización de los titulares para extraer su información. Si bien la AACH adoptó todos los procedimientos y resguardos para que el Sisgen cumpliera con las exigencias de la ley, con el tiempo se advirtió en el seno de esta entidad la necesidad de aumentar la exigencia de los controles aun más allá de los mínimos establecidos por la ley, de manera de brindar una mayor protección a los antecedentes de los clientes. Para cumplir con esta finalidad, la ACCH efectuó una presentación ante el Consejo de Autorregulación de las Compañías de Seguros,11 para pedirle que analizara los lineamientos que era necesario impartir a las compañías y para que estableciera estándares corporativos más exigentes que los señalados en la ley. Cabe hacer presente aquí la ventaja que representó el hecho que la ley 19.628 fuera un marco general, con normas exigentes, pero no rígidas. Ello permitió que la autorregulación estableciera exigencias y procedimientos para el Sisgen, recogiendo su carácter específico pero sin descuidar la garantía de la vida privada de las personas. Las instrucciones impartidas por el Consejo de Autorregulación12 el año 2006 a las compañías pueden resumirse en: a) Las compañías de seguros deben velar por el debido resguardo de los datos que extraigan del Sistema de Siniestros de Seguros Generales, conforme a lo exigido en la ley 19.628 y en el artículo 4.5 del Compendio de Buenas Prácticas.

11 Para mayor información sobre el Consejo de Autorregulación, se puede consultar el Código de Autorregulación y el Compendio de Buenas Prácticas Corporativas de las Compañías de Seguros en el sitio web http://www.aach.cl/seccion.asp?UR=y577II3fD2 12 El texto completo de la resolución puede hallarse en http://www.aach.cl/website/content/bin/344/ Resolución%201-2006_Sisgen.pdf

44

b) Las compañías deberán permitir el acceso a la información del sistema sólo a quienes de su personal estén específicamente autorizados para ello, adoptando todos los resguardos para que estas personas no entreguen esta información a terceros. c) El Sisgen deberá cumplir con las siguientes normas: 1. El sistema sólo permitirá la consulta específica de información y en ningún caso contemplará la entrega de bases de datos en medios materiales o informáticos. 2. Las consultas al sistema vía electrónica sólo podrán efectuarse mediante el acceso directo a la base de datos a través de sistemas de cotización o a través de consultas individuales. 3. Cuando el acceso al Sisgen se haga mediante sistemas de cotización, éstos deberán contemplar mecanismos que impidan la transferencia de datos más allá de la consulta específica y que sólo entreguen a esos sistemas los datos necesarios para su funcionamiento en consultas sobre una persona específica. 4. Las compañías podrán efectuar directamente la consulta de los antecedentes de una o más personas, siempre que ello se haga a través de un computador que opere bajo el sistema general de la compañía y que exija la identificación y una clave a la persona que consulta. Las compañías deberán informar a la Asociación de Aseguradores de Chile A. G. la identificación de las personas autorizadas para ingresar al sistema y mantener esta información debidamente actualizada. 5. El Sisgen deberá incluir sistemas que registren con exactitud las consultas efectuadas al sistema, la persona que las efectúa y los datos que extrae. 7. Conclusiones

La existencia de información suficiente es fundamental para el funcionamiento de los mercados, especialmente en aquéllos en que pueden producirse distorsiones que afecten su buen funcionamiento. Éste es el caso del mercado asegurador, donde la información es fundamental para que exista una tarificación eficiente y que incentive los buenos comportamientos en los agentes económicos. • El uso creciente de los canales masivos y de la tecnología para la contratación de los seguros hace necesario que existan bases de datos que permitan a las compañías obtener la información necesaria para la tarificación. No obstante, esa información debe estar resguardada y protegida de su uso indebido, lo que forma parte de las obligaciones comerciales propias del contrato de seguro. • La ley 19.628 estableció un marco adecuado para la formación y uso de las bases de datos personales, generando un marco estricto y que al mismo tiempo reconoce la necesidad de especificarlo en diferentes ámbitos de la actividad económica. •

45

• En materia de seguros, un caso exitoso de autorregulación son las normas dictadas por el Consejo de Autorregulación de las Compañías de Seguros, destinadas a fijar las buenas prácticas que las compañías deben seguir en el uso y manejo de las bases de datos sobre siniestros. De esta manera, y dentro del marco de la ley 19.628, ha sido posible conjugar la protección de los datos personales de los agentes económicos y su necesario uso para la contratación comercial.

46

Consideraciones y recomendaciones en materia de tratamiento de datos personales por organismos públicos Rodrigo Gutiérrez Castro

Introducción

El desarrollo de la sociedad de la información y el conocimiento ha conllevado el tratamiento de datos personales para múltiples usos y diversas finalidades. El desarrollo del mercado y las necesidades de las empresas de ser más competitivas han motivado a éstas a conocer mejor a sus clientes, y para ello han destinado importantes recursos a la conformación de registros con los datos de millones de personas. Así, en los diversos sectores de la economía, y en particular en la industria de servicios, el uso de registros y bases de datos es cada vez más frecuente. El sector público no ha estado ajeno a este fenómeno y ha elaborado diversos registros con datos personales para cumplir más eficientemente con la implementación de políticas públicas y la entrega de determinados beneficios sociales. Sin embargo, es necesario reconocer que el tratamiento de datos personales es un tema complejo y con múltiples aristas, por cuanto su uso indebido puede significar perjuicios en contra de los titulares de dichos datos. Es por ello que en buena parte de los países este tema se encuentra regulado. Chile no es la excepción, en virtud de la ley 19.628, sobre tratamiento de datos personales y protección de la vida privada. Los gobiernos requieren para la implementación eficaz y eficiente de sus políticas públicas conocer con precisión a los destinatarios de las mismas. La entrega focalizada de determinados beneficios sociales se hará de mejor manera si es posible conocer con mayor exactitud a los grupos de la población que pretende alcanzar el objetivo de la política pública. Es por ello que los organismos públicos, inspirados en criterios de eficacia y eficiencia, y con apoyo de los medios tecnológicos disponibles, han conformado registros o bases de datos personales de diversos grupos de la población, en función de necesidades que emanan, a su vez, de distintos objetivos de política pública. Habiendo situado el tratamiento de datos personales1 como una actividad 1 En Chile, la letra f) del artículo 2 de la ley 19.628 señala que los datos personales son aquellos “relativos a cualquier información concerniente a personas naturales, identificadas o identificables”. Asimismo, la letra o) del mismo artículo señala que se entenderá por tratamiento a “cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”.

47

de naturaleza instrumental al servicio de la mejor implementación de las políticas públicas, este artículo pretende aportar con una sistematización de las principales problemáticas concretas a las que se puede ver expuesto un directivo público en el ejercicio de sus funciones, a la luz de la legislación actualmente vigente en Chile sobre datos personales. En tal sentido, y sin afán de ser exhaustivo, en este artículo se realiza una breve presentación y análisis de algunos de los principales problemas a los cuales pudiera verse enfrentado un directivo público, efectuando diversas consideraciones y proponiendo recomendaciones que podrían ser de utilidad. En consecuencia, este documento se inscribe en el ámbito de la gestión pública, y como tal está pensado para directivos públicos y funcionarios responsables de diseñar, implementar y gestionar políticas públicas. Finalmente, cabe precisar que no se pretende realizar una crítica de la legislación vigente2, lo cual podría ser tema de otro estudio, sino más bien tratar de abordar las diversas problemáticas o “restricciones” que la norma actual impone a la gestión de los directivos públicos. En tal sentido, este trabajo se inspira en criterios de realidad y oportunidad, identificando y discutiendo esas problemáticas desde la perspectiva de un directivo público. El impacto en la gestión pública de futuros cambios normativos en la materia podrá ser motivo de nuevos estudios. El problema de la competencia legal

El directivo público debe tener presente que el tratamiento de datos personales por parte de organismos públicos no es una actividad que pueda llevarse a cabo en forma descontextualizada de las restricciones que impone la ley. En efecto, los organismos públicos, en la medida en que conformen bases de datos personales, siempre deben velar por que se cautelen los derechos de los titulares de los datos y por que la transmisión de los mismos se ajuste a las normas legales. En dicho espíritu, independientemente de las condiciones según las cuales se genere el tratamiento y sin importar cuál sea la naturaleza de éste, es necesario que el organismo público enmarque su accionar dentro de su competencia y de las normas existentes en materia de protección de datos personales. El artículo 20 de la ley 19.628 señala que “el tratamiento de datos personales por parte de un organismo público sólo podrá efectuarse respecto de las materias de su competencia y con sujeción a las reglas precedentes. En esas condiciones, no necesitará el consentimiento del titular”. Éste es el precepto fundamental y el pilar sobre el cual se sustenta toda la discusión en materia de tratamiento de datos personales por parte de organismos públicos. 2 Las críticas a la legislación vigente son bastante conocidas. Éstas dicen relación con mecanismos de reclamación poco eficientes, sanciones de difícil aplicación y ausencia de una autoridad central de control.

48

En función de lo establecido en ese artículo, cualquier organismo público podrá efectuar todo tratamiento de datos personales sin autorización del titular dentro de la órbita de su competencia, para lo cual no se requiere que exista texto expreso que autorice el tratamiento de datos personales; sólo se necesita que éste se inserte dentro de la esfera de las atribuciones y competencias que tiene asignada por ley. Precisamente, lo anterior no significa que un directivo público deba suponer que un organismo público está autorizado a realizar cualquier tipo de tratamiento. Por el contrario, requiere tener clara conciencia de que existen principios que inspiran el estatuto de protección de datos personales y preocuparse de que se respeten debidamente. Éstos son: a) principio de legalidad, en la medida en que el tratamiento se enmarca dentro de la órbita de competencia de la institución; b) principio de finalidad, tomando en consideración que se debe velar por que el tratamiento efectuado se circunscriba al fin por el cual fue capturado el dato; y c) principio de responsabilidad, el cual supone que se debe asumir el rol que le corresponde como responsable del registro o banco de datos personales. Teniendo presentes las consideraciones señaladas, el directivo público estará preparado para enfrentar diversos cuestionamientos, tales como “la institución no tiene las facultades para efectuar el tratamiento de dichos datos”, o bien, “¿es necesario tener texto expreso en nuestra ley orgánica (del organismo respectivo) que autorice el tratamiento de los datos?”, o, alternativamente, “es posible efectuar el tratamiento de estos datos personales en virtud de los principios generales aplicables a los organismos públicos (velar por el bien común)”. La recomendación para el directivo público, entonces, es que verifique si el tratamiento de determinados datos personales se ajusta o no al ámbito de las competencias del organismo respectivo, lo cual podrá requerir, eventualmente, que deba interpretarse el rango de acción de sus atribuciones y funciones. Respecto de esta tarea, el directivo público debe tener presente que la asesoría jurídica que reciba puede tener sesgos. En un extremo estarán quienes hagan una interpretación extensiva de la norma, sugiriendo que las facultades que emanan del estatuto jurídico del organismo son lo suficientemente amplias como para permitir el tratamiento de los datos. En el otro extremo, en cambio, estarán los que tengan posiciones garantistas y visualicen diversos impedimentos para que el organismo pueda efectuar el tratamiento de datos sin el consentimiento del titular. Así, el directivo deberá encontrar el adecuado equilibrio entre estos intereses en juego. Se trata de lograr que el tratamiento de los datos cumpla con su rol instrumental al servicio de la política pública, pero con pleno respeto de los derechos de los titulares de los datos.

49

Como fuere, desde una perspectiva jurídica, la actuación del organismo público deberá darse con apego a la legalidad, por lo que la tarea de buscar una correcta interpretación de la ley que justifique la conformación de la base de datos personales es, sin lugar a dudas, un paso fundamental para avanzar con pilares sólidos en la implementación material de la política pública para la cual dicha base de datos personales servirá instrumentalmente. Por último, es recomendable que el estudio de factibilidad jurídica que se lleve a cabo sea debidamente documentado para efectos de tener plena certeza de la legalidad de la actuación del organismo público, ya sea por razones de transparencia o para responder requerimientos de terceros o de los organismos de control. El problema de la decisión de la estrategia tecnológica de implementación

Llegado el momento de implementar la base de datos personales, el directivo público probablemente se verá enfrentado a la decisión respecto de la estrategia tecnológica a seguir para su puesta en operación. En efecto, a menudo en los organismos públicos, así como en cualquier organización, se deberá resolver si la modalidad que se adoptará será in-housing u outsourcing. En el primer caso, se deberá adquirir los componentes de hardware y software necesarios para la operación, los que deberán ser complementados con las correspondientes capacidades de administración y soporte internos. En el segundo caso, el énfasis estará puesto en los requisitos de niveles de servicio y seguridad que deberán exigirse a los potenciales proveedores. Desde una perspectiva jurídica, cualquiera sea la opción a tomar, el directivo debe tener siempre presente que el organismo público será el responsable a todo evento de los registros que almacenen datos personales, por lo que deberá adoptar todas las precauciones y resguardos que sean necesarios, con independencia de las responsabilidades que emanen o surjan por medios contractuales. En este tipo de situaciones, más allá del análisis estratégico que realice el directivo público y las diversas consideraciones técnicas que pudieran tenerse en cuenta, ellas no lo eximirán de enfrentar cuestionamientos tales como “no existen en la institución los recursos humanos y técnicos para gestionar eficientemente y en forma segura los datos”, o, alternativamente, “no es recomendable que la administración de los datos quede encargada a terceros ajenos a la institución”, o “no debemos permitir por ningún motivo que los datos salgan físicamente de la institución”. No existe una “receta” aplicable para enfrentar esta decisión. La recomendación es que se utilicen criterios técnicos y objetivos, debidamente ponderados con criterios estratégicos aplicables al manejo de información sensible. Corres-

50

ponderá evaluar cada situación en función del análisis que se haga tanto de variables internas de la institución como de variables de su entorno. Enfrentado al análisis, la opción del outsourcing es la que, según las preferencias de muchos directivos y asesores, revestiría un mayor riesgo, al menos en apariencia. Sin embargo, es probable que muchas veces dicha preferencia responda más bien a criterios subjetivos que objetivos, por cuanto el hecho de que los datos se guarden in-housing no significa necesariamente que se encuentren más seguros. En ambos casos debiera respetarse la política de seguridad informática que posea la entidad,3 con independencia de la modalidad de implementación. Lo que se pretende es que el almacenamiento de los datos sea seguro, la recuperación sea eficiente y la disponibilidad sea permanente. Si finalmente el directivo público optara por el outsourcing, y dado que ello no implicará en ningún caso que el organismo público traslade o delegue la responsabilidad al proveedor tecnológico adjudicatario del contrato, es recomendable que el organismo público utilice todas las herramientas contractuales disponibles para reducir el riesgo de vulneración de los datos personales. Lo anterior supone el establecimiento de cláusulas robustas que, por una parte, procuren que el proveedor reduzca el riesgo de vulneración de las medidas de seguridad que hayan sido adoptadas para proteger los datos, ello mediante el uso de los incentivos adecuados (como multas o premios que sean de fácil determinación mediante criterios objetivos), y, por otra, permitan perseguir de forma eficaz y eficiente las responsabilidades por incumplimiento de las obligaciones por parte del proveedor (que sea posible hacer efectivo el cobro de indemnizaciones). Se trata, en definitiva, de evitar situaciones en que terceros no autorizados accedan a los datos, así como el eventual uso indebido de los mismos que este hecho implicaría. El problema de la captura u obtención de los datos

Una vez resuelto el problema de disponer de los medios tecnológicos para el almacenamiento y tratamiento de los datos, surge la dificultad elemental de cómo obtenerlos. Evidentemente, las posibilidades son diversas y dependerá de las condiciones particulares de cada caso. En efecto, una opción es que los datos se obtengan directamente de los titulares, lo cual eventualmente podría ser muy costoso. Peor aun, pudiese ser que esta opción no sea viable, por cuanto sea necesario primero tener los datos para poder ubicar a los titulares de los mismos. 3 Para todos los efectos, esta política debiera ceñirse a las recomendaciones u obligaciones establecidas en el decreto 83, norma técnica para los órganos de la administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos.

51

Otras alternativas son acceder a fuentes de acceso público, asumiendo los consiguientes riesgos asociados a problemas de calidad de los datos; o bien hacer uso de bases de datos comerciales, considerando los costos respectivos. Ligado al problema de obtener los datos está el de verificar la calidad de los mismos y, junto con ello, la necesidad de generar instancias automatizadas de validación para cumplir con este objetivo. Al respecto, es de conocimiento generalizado en el sector público que el Servicio de Registro Civil e Identificación ofrece servicios que permiten efectuar consultas y validaciones de datos personales, previo establecimiento de un convenio que especifica las condiciones de la transferencia de los datos y los costos del servicio en que deberá incurrir el organismo público. Sin embargo, diversas razones, entre otras el costo del servicio, han llevado a muchos organismos a explorar instancias alternativas para validar datos, entre ellas, otros organismos públicos. La necesidad de los organismos públicos de contar con datos y validarlos con fuentes confiables y autorizadas ha sido el fundamento para constituir la Plataforma de Servicios Integrada del Estado, instancia que serviría para satisfacer estas necesidades, reduciendo buena parte de los costos de transacción originados en los requerimientos de coordinación entre organismos públicos para efectos de implementar materialmente los medios tecnológicos para la transferencia de datos. Sin embargo, como en el caso anterior, por diversas razones, esta iniciativa se presenta con cierto retraso en relación con las necesidades que surgen desde los distintos servicios públicos, en la medida en que éstos avanzan en la implementación de sus respectivos proyectos. De este modo, se configura un escenario en que el directivo público, en ausencia de instancias centrales de coordinación y cooperación, deberá decidir por recurrir a otras alternativas, como convenios de colaboración con otras entidades, contribuyendo así al fortalecimiento de las mismas y, consecuentemente, debilitando a aquellas que debiesen ser las más idóneas para cumplir con esos fines. En estos casos, el directivo público se enfrenta a interrogantes tales como “¿validaré mis datos contra el Registro Civil o contra el (determinado organismo) que también los posee y es igualmente confiable?”, o “¿dispondremos como institución de los recursos para pagar los servicios del Registro Civil?”, y, si estuvieran los recursos, “¿estamos dispuestos a desembolsarlos?”. Por otro lado, es probable que el directivo deba enfrentar requerimientos para establecer convenios de colaboración que permitan el intercambio recíproco de datos con otros organismos. En estos casos, las interrogantes podrían ser: “¿será beneficioso para nuestra institución suscribir estos convenios?” o “¿es legal el intercambio de datos que se nos propone (el problema de la competencia legal)?”.

52

Por cierto, siempre está presente la posibilidad de prescindir de la implementación de mecanismos de validación de los datos, con el consiguiente riesgo de problemas de calidad de los mismos. Finalmente, la recomendación que cabe realizar al directivo público en este ámbito es que decida con criterios técnicos y estratégicos, ponderando los costos y beneficios de las distintas alternativas, teniendo presente que lo que se pretende es contar con datos válidos y confiables a costos razonables. El problema del “apetito” posterior por los datos

Una vez implementada la base de datos personales y estando en condición de servir a la política pública que la originó, surge en ocasiones otra problemática que el directivo público debe resolver. Ésta dice relación con nuevos usos que se pretende dar a los datos, ya sea por parte de la propia entidad o por un tercero, que puede ser otro organismo público o bien un privado. Ya se ha señalado que frente a estas situaciones se debe tener presente que el organismo público es responsable de los datos, y que cualquier acción en el sentido de dar curso a las pretensiones antes referidas debe hacerse de igual modo con apego a la legalidad y al fin por el cual el dato fue capturado. Al respecto, el directivo público debe saber que, para el caso de los organismos públicos, la ley 19.628 ha permitido el tratamiento de datos personales sin el consentimiento previo e informado por parte de los titulares de los mismos, lo cual conlleva el deber ético de ser especialmente cauteloso en su resguardo.4 En este escenario, es posible que el directivo se enfrente a cuestionamientos como éste: “¿es posible que compartamos nuestras bases de datos con centros académicos para que ellos puedan realizar estudios?”, o bien a afirmaciones como la siguiente: “debemos implementar un mecanismo de transferencia de nuestros datos o un mecanismo de consulta para que otras instituciones puedan acceder a ellos para (sus respectivos fines)”. Es necesario determinar el alcance que tendría la facultad legal del organismo, en tanto pueda dar otros usos a dichos datos o bien transferirlos a terceros. En tales situaciones, las alternativas que se le pueden presentar al directivo son variadas. Una posibilidad es negarse a transferir los datos, si la finalidad para la cual éstos se solicitan no es compatible con aquella que originó su captura. Otra opción es proporcionarlos tomando los resguardos correspondientes, tales como, por ejemplo, velar por que el tercero que los recibe enmarque su tratamiento dentro de sus competencias, en caso de que también fuera un 4 Es fundamental que los organismos públicos no hagan mal uso de la facultad concedida en el artículo 20 de la ley 19.628, aun cuando los fines que se persigan sean visualizados como positivos. Sin embargo, algunos organismos públicos, sustentándose en criterios generales de bien común, terminan vendiendo la información perteneciente a sus bases de datos personales, desviándola de la finalidad por la cual fue capturada.

53

organismo público, o bien que éste manifieste expresamente el uso que le dará a los mismos en caso de que se tratara de un privado. También puede darse como alternativa que la transferencia de los datos sea parcial, evitando la entrega de aquellos que permitan la identificación de los titulares, permitiendo, en consecuencia, sólo el tratamiento estadístico de la información. Cualquiera sea el caso, es recomendable que el directivo cuide que la transferencia de datos se realice en el contexto de un acuerdo debidamente documentado, o protocolo, que señale las obligaciones que las partes adquieren en función del mismo, y en el cual se incluyan cláusulas cuyo sentido sea velar por que nunca se vulneren los derechos de los titulares de los datos. El problema indeseable: el acceso indebido a los datos por parte de terceros

No obstante se hayan tomado las medidas necesarias para resguardar los datos, y con independencia de la estrategia tecnológica de implementación que se haya decidido seguir, las bases de datos no están exentas de la acción de terceros, quienes con distintas motivaciones (de buena o mala fe) pueden vulnerar los mecanismos de seguridad que se hayan dispuesto para proteger los datos. En efecto, si se hace de público conocimiento una situación de acceso no autorizado a los datos, se haya realizado o no uso indebido de los mismos, este hecho configurará de forma casi inevitable un material atractivo para las pautas informativas de los medios de comunicación, lo cual conllevará una evaluación negativa por parte de la opinión pública. La pérdida de confianza de los ciudadanos traerá consigo el descrédito de la función pública y, eventualmente, afectará la percepción de valor público pretendida por la política pública a la cual los datos, ahora vulnerados, servían instrumentalmente. En este caso, el directivo público se enfrentará a cuestionamientos tales como “¿por qué no se tomaron las precauciones necesarias para resguardar los datos de las personas?”, o “¿cuáles son los riesgos que deberán enfrentar las personas titulares de los datos como consecuencia de este evento?”, o bien a respuestas con carácter reivindicativo por parte de los afectados, como, por ejemplo, “se tomarán todas las acciones legales que estén a nuestro alcance en contra del organismo público responsable”. Con el propósito de que el directivo pueda estar mejor preparado frente a una situación como la descrita, es recomendable que tenga claridad de la importancia de adoptar medidas tanto preventivas como correctivas. Desde un punto de vista preventivo, el directivo público deberá adoptar decisiones orientadas a minimizar el riesgo, tanto mediante control técnico (seguridad informática) como mediante control jurídico (cláusulas robustas en los contratos).

54

Desde una perspectiva correctiva, en cambio, será fundamental que el directivo lleve a cabo acciones tendientes a mitigar los eventuales perjuicios. En efecto, deberá hacer exigibles las responsabilidades –administrativas, civiles e incluso penales–, ya sea de funcionarios públicos o de terceros que hubieren participado, reclamando las indemnizaciones de los daños morales o patrimoniales que se hubiesen ocasionado. Asimismo, deberá también hacer efectivas aquellas cláusulas de los contratos que, habiendo previsto situaciones de este tipo, hubieran determinado multas de beneficio fiscal. Finalmente, el directivo deberá en lo posible revertir la pérdida de confianza por parte de los usuarios, reposicionando la imagen de la función pública mediante las acciones comunicacionales que sean recomendables según sea el caso. Conclusiones

Dadas la ascendente demanda por una mayor eficacia y eficiencia en la aplicación de las políticas públicas y la necesidad de focalización de las mismas sobre determinados grupos objetivos de la población, el tratamiento de datos personales por parte de los organismos públicos es una necesidad creciente y una realidad cada vez más habitual. En ese contexto, es importante que en los organismos públicos exista claridad de la relevancia que conlleva esta actividad, por cuanto existe regulación especializada que los obliga a actuar en consistencia con los principios de legalidad, finalidad y responsabilidad. Es rol de los directivos públicos asegurar que esta claridad sea transversal a los distintos estamentos de los organismos que dirigen. No es suficiente que la evaluación y verificación del cumplimiento de los principios antes señalados sea patrimonio de las áreas jurídicas o fiscalías de las instituciones. Debe necesariamente alcanzar a las áreas encargadas de la implementación de las políticas y de aquéllas responsables de proporcionar y administrar los medios tecnológicos que permitan la implementación y uso de las bases de datos personales. Es fundamental que los directivos públicos actúen con rigurosidad cuando se vean enfrentados a decisiones que involucren el tratamiento de datos personales, por cuanto se trata de resguardar un bien tan preciado como la intimidad de las personas. Finalmente, el desafío para los directivos públicos consiste en conciliar equilibradamente la necesidad de tratar datos personales con la obligación de proteger los derechos de sus titulares, utilizando criterios de eficiencia y legalidad.

Este texto fue presentado en el seminario técnico “Protección de datos personales”, organizado por Expansiva y la Facultad de Derecho de la Universidad de Chile, realizado el 1 de agosto de 2008.

55

El tratamiento de datos personales en el sector de la educación Lorena Donoso

Introducción

Los datos personales son y han sido a lo largo de la historia uno de los principales activos de una institución. El caso de las entidades de educación no dista mucho de esta realidad. Desde que la persona ingresa al sistema educacional, las instituciones en las cuales cursa sus estudios acopian una cantidad no desdeñable de datos referidos a ella, los que son usados para diversas finalidades, como veremos en las páginas siguientes. Debemos considerar que, de acuerdo al concepto legal, un dato personal es toda información relativa a una persona, independientemente de que se trate de texto, imagen, sonido o incluso muestras físicas de la misma persona. Por su parte, según el artículo 2 de la ley 19.628, aquellos datos personales “se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”. Una primera precisión que se desprende de lo anterior es que para que un dato sea susceptible de ser calificado como “personal” es necesario que sea atribuible a una persona determinada o determinable y, por lo tanto, no podrán ser considerados como tal aquellas informaciones que han sido objeto de una operación específica del tratamiento de datos, cual es la disociación, entendida como el proceso irreversible a través del cual se genera un dato no atribuible a una persona determinada o determinable. Nos referimos a informaciones estadísticas, entendidas como “el dato que, en su origen, o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable”. Hacemos referencia a ello porque en materia educacional reviste especial importancia, sobre todo de cara a la elaboración e implementación de políticas públicas. El dato personal en los sistemas de tratamiento de datos del sistema educacional

Si echamos una simple mirada a la información que se genera en el seno de las entidades educacionales, como asistencia y puntualidad, notas, libros solicitados en biblioteca y comportamiento frente a las obligaciones de con-

57

servación y/o devolución, y las llamadas “anotaciones conductuales” negativas y positivas, por mencionar algunas, y las sumamos a aquellos datos que son objeto de tratamiento por parte de estas entidades pero que son generados por terceros –por ejemplo, las licencias médicas del estudiante y los informes sociales, entre otros–, podemos advertir que estas instituciones manejan muchos datos personales; es más, mucha de la información que consta en sus sistemas de tratamiento tiene un alto grado de sensibilidad. Cabe destacar que los datos personales que son objeto de tratamiento no se refieren sólo al educando, sino que en una parte importante sus titulares son personas de su entorno. Además de lo anterior, debemos tener presente, a la hora de abordar la tarea, que, de acuerdo al concepto legal, constituyen operaciones de tratamiento de datos personales, conforme a la letra o) del mismo artículo 2, “cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”. Siendo así, no será necesario que se ingrese la información en una base de datos para que haya un tratamiento de datos propiamente tal, sino que bastará con que ellos consten en sistemas manuales de organización de la información, como libros de clases, pruebas rendidas por el estudiante o instrumentos semejantes. La pregunta natural que nos surge frente a esta evidencia es la siguiente: ¿cuál es el estándar de protección de datos que debe cumplirse por parte de las entidades ligadas al sistema educacional? Ello, considerando que el objetivo de la legislación sobre protección de datos es que el tratamiento de éstos se realice de acuerdo a parámetros de lealtad y licitud, de manera que no afecte indebidamente derechos del titular de los datos personales que son objeto de tratamiento. A este objetivo primario debemos agregar, en el caso que nos ocupa, la necesidad de proteger los intereses superiores de los niños que integran el sistema educacional. Si bien la normativa nacional entiende que el sistema educacional es la forma en la cual se organiza la educación formal y sus diferentes niveles,1 de nuestro lado consideraremos que integran parte de nuestro análisis aquellas instituciones que se ocupan de la educación desde la infancia, como salas cunas y jardines infantiles, hasta aquellas que juegan un rol importante en la formación 1 “El sistema educativo se organiza en un nivel preescolar, que atiende niños menores de seis años, mediante una diversidad de instituciones y redes públicas y privadas; un nivel básico obligatorio, de ocho grados, cumplido en escuelas municipales o privadas; un nivel medio, de cuatro grados, que se ofrece en liceos con dos modalidades (la científico-humanista, de tipo general, y la técnico-profesional, que combina estudios generales y formación para el trabajo); y un nivel superior, impartido en universidades e institutos profesionales o centros de formación técnica (postsecundarios de dos años de duración)”. http://subvenciones.mineduc.cl/destacados/Enero/N2002013018192518379.html (consulta: 29.01.08).

58

continua de la persona. Será la finalidad educativa, pues, aquella que nos guíe a la hora de analizar la pertenencia o no de una organización de esta categoría. Al respecto, otra prevención importante es que, atendiendo a que en nuestro país el sistema educacional se ha organizado sobre la base de una estructura mixta, integrada por entidades públicas y privadas, a la hora de definir un estándar deberemos analizar el régimen jurídico del tratamiento de datos tanto de los organismos públicos como del que atañe a las personas privadas. El presente documento no busca agotar el tema, sino más bien llamar la atención sobre los puntos problemáticos de esta actividad y cómo se aplican a la misma los principios del tratamiento de datos personales, haciendo presentes las necesidades de desarrollo normativo e institucional a nivel nacional, a base de la experiencia internacional. En cuanto al alcance de la problemática, de acuerdo a las cifras de 2006 se contabilizaron 3.645.6542 personas matriculadas en el sistema educacional chileno (formal), lo cual representa aproximadamente un 20 por ciento de la población nacional. Si a ello sumamos las personas matriculadas en organismos de educación que no pertenecen al sistema educacional formal, más el grupo familiar de los educandos, de los cuales los establecimientos educacionales mantienen datos personales (al menos padre y/o madre del menor o ambos), veremos que el impacto del tratamiento de datos en esta área alcanza sobre el 50 por ciento de la población nacional. De ahí la relevancia de analizar la problemática. Afectación de derechos personales por el tratamiento de datos en el sistema educacional

En materia de educación, el tratamiento de datos personales afecta tanto bienes jurídicos-sociales como individuales. En efecto, si bien nadie cuestiona, por su evidencia, las necesidades de información de calidad para la adecuada y oportuna toma de decisiones, ya sea de parte de la respectiva institución educacional como de los organismos encargados de las políticas públicas en materia de educación, no es menos evidente la necesidad de resguardar los derechos de la persona a la que conciernen los datos que sean objeto de tratamiento. Desde la óptica institucional, es fundamental que, por ejemplo, al conceder una beca, se tengan antecedentes suficientes y fidedignos sobre la excelencia académica de los postulantes y, de ser el caso, de las condiciones económicas que justificarían su asignación. Lo mismo sucede a la hora de evaluar las postulaciones de una persona a un establecimiento educacional o cuando debe decidirse sobre su permanencia como estudiante del mismo. 2 Ministerio de Educación, Departamento de Estadísticas. Estudios y estadísticas del sistema educacional chileno. http://w3app.mineduc.cl/DedPublico/anuarios_estadisticos (consulta: 22.01.2008).

59

Desde la perspectiva de la persona –titular de los datos–, el tratamiento que se realice de su información puede conducir a un “mejor servicio”. Bajo la óptica de educación personalizada, sin embargo, el manejo de los datos puede llevar también a que se tomen decisiones que signifiquen una vulneración ilegítima de algún derecho de esa persona. Asimismo, pueden realizarse tratamientos de datos que aparentemente no representen una transgresión de derechos, pero que en definitiva atenten contra los principios que deben inspirar una actividad de esta naturaleza. Es el caso de la entrega de información a terceros para efectos laborales o para la prestación de servicios de diversa índole. Efectivamente, en estos casos, si bien en una primera aproximación se podría sostener que el único derecho que afecta este tratamiento de datos es la vida privada, a nuestro entender la problemática es más compleja, y pueden verse vulnerados otros derechos. Es más, un tratamiento inadecuado puede potencialmente afectar todo el sistema de derechos de las personas, entre ellos, el derecho a la educación, la libertad de expresión, la honra, la protección de la vida privada y la libertad de emprendimiento. Con ello queremos evidenciar que si en el seno de las instituciones ligadas al sistema de educación se realiza un tratamiento de datos inadecuado, es todo el entramado de derechos de la persona el que puede verse afectado, con la particularidad de que el sistema educacional acompaña a la persona desde los albores y, prácticamente, durante toda su vida. De este somero análisis podemos entender por qué hoy se habla de la necesidad de reconocer un nuevo derecho fundamental: el derecho a la protección de datos, entendido como un derecho humano instrumental, cuya satisfacción conlleva el aseguramiento de todo el entramado de derechos de la persona. Así se ha recogido en diferentes constituciones y ordenamientos jurídicos del mundo, como, por ejemplo, en Alemania, Argentina, España, Portugal y Suecia. Asimismo, la obligación de respeto se ha establecido en diversos instrumentos internacionales, como directivas, tratados y convenios internacionales. Cabe destacar que este derecho no busca el ocultamiento de la información, sino que los datos que se traten respecto de una persona respondan en todo momento y con veracidad a su situación real, así como que la información sea tratada de manera leal y lícita y que el titular de los datos pueda siempre controlar estas circunstancias. Siendo así, el estatuto jurídico de la protección de datos fija las condiciones con las que una sociedad democrática reconoce la libre circulación de éstos. Entendido de ese modo, una correcta aplicación de las leyes de protección de datos personales posibilita tanto el cumplimiento de los fines y obligaciones del Estado y los particulares como la seguridad económica de las transacciones financieras y comerciales, res-

60

guardando los derechos de acceso, rectificación, cancelación y bloqueo de los datos personales que son objeto de tratamiento, y el respeto a los derechos de los titulares de dichos datos. Precisamos, en todo caso, que nuestro análisis se centra en el educando, no en el personal que labora en las instituciones de educación, las que estimamos quedan sujetas a la normativa general sobre tratamiento de datos en el ámbito laboral. Orden público tecnológico y tratamiento de datos por las institucionales del sistema educacional

La sociedad actual presenta características que han llevado a sostener que es necesario reconocer la existencia de un conjunto de normas y principios que integrarían lo que se ha dado en llamar “orden público tecnológico”. Al efecto, entendemos por orden público “el conjunto de condiciones fundamentales de vida social instituidas en una comunidad jurídica, las cuales por afectar centralmente a la organización de ésta, no pueden ser alteradas por la voluntad de los individuos ni, en su caso, por la aplicación de normas vigentes”.3 Aplicado a materias tecnológicas, esto supone el conjunto de normas y principios que definen la recta ordenación del desarrollo y el uso de las tecnologías, a través de las aplicaciones prácticas de la mismas en la vida social, las cuales debieran tener vigencia aun más allá del derecho positivo o, incluso, en ciertos casos, imponer a los operadores jurídicos el declarar la ilegitimidad de una determinada norma jurídica, aunque formalmente haya satisfecho los requisitos para instituirse como tal. Los especiales caracteres de la nueva sociedad que imponen este desarrollo teórico tienen directa relación con las potencialidades que han alcanzado los sistemas de tratamiento de la información, particularmente cuando se interconectan entre sí e interpelan de manera casi invisible a las personas “de a pie”, traspasando no sólo redes e infraestructuras tecnológicas locales, sino además fronteras territoriales y, por ende, jurisdiccionales. Sostenemos que las normas de tratamiento de datos personales, por tener una directa relación con los derechos fundamentales de las personas, integran este orden público tecnológico y, por tanto, nos obligan a realizar el esfuerzo de darles una aplicación concreta en cada una de las esferas de la sociedad, siendo una de ellas la de la educación. En efecto, las capacidades de procesamiento de los sistemas de tratamiento de datos los han convertido en poderosos repositorios de información. Si a ello sumamos las posibilidades de integración de la información a través de la interconexión de las bases de datos, necesariamente deberemos concluir que hoy es factible conocer prác-

3 Smith, J. C., “Orden público”, Enciclopedia Jurídica Omeba, tomo XXI, Driskill, Buenos Aires, 1954, p. 56.

61

ticamente todo acerca de una persona. Es más, actualmente la convergencia tecnológica hace más urgente que se hagan cumplir los estándares de protección de datos, puesto que el acercamiento de los sectores de la informática (audiovisual y telecomunicaciones) hace posible el registro, tratamiento y difusión, por ejemplo, de videos en los que participan menores.4 Es por eso que se ha alertado sobre la necesidad de acentuar los niveles de resguardo al cumplimiento efectivo de los estatutos legales en esta materia. Sin embargo, este ámbito escapa al objeto de nuestro análisis. Uno de los primeros aspectos sobre los que se ha llamado la atención es la necesidad de que los sistemas de tratamiento de la información estén debidamente resguardados frente a agresiones ilegítimas que puedan afectar a la confidencialidad y/o calidad de la información, ya sea en la fase de recogida de datos, en su procesamiento y/o en la etapa de elaboración de informes. Desde esta perspectiva, entonces, las condiciones de seguridad y calidad de la información contenida en los sistemas de tratamiento forman parte del orden público, integran las normas de “orden público tecnológico” y deben ser cumplidas por las entidades ligadas a la educación. El estatuto jurídico del sistema educacional desde la óptica de la protección de datos

En Chile, la educación ha sido regulada, en sus bases, en la Constitución Política de la República. Concretamente en el artículo 19, números 105 y 11. De estas normas aparece que el objetivo central de este derecho es contribuir al pleno desarrollo de la persona en las distintas etapas de su vida. Ahora bien, la Constitución entrega a una ley la regulación específica de la actividad educativa. Al margen de los problemas que se han detectado respecto de la redacción de estas garantías fundamentales y las posibilidades concretas que tiene nuestro país de avanzar, a base de ellas, hacia una sociedad más equitativa y más 4 Véase, por ejemplo, http://www.mouse.cl/detail.asp?story=2006/11/20/15/37/50 (consulta: 28.08.08) 5 La Constitución garantiza a todas las personas (art. 19, Nº 10): “El derecho a la educación. La educación tiene por objeto el pleno desarrollo de la persona en las distintas etapas de su vida. Los padres tienen el derecho preferente y el deber de educar a sus hijos. Corresponderá al Estado otorgar especial protección al ejercicio de este derecho. El Estado promoverá la educación parvularia. La educación básica y la educación media son obligatorias, debiendo el Estado financiar un sistema gratuito con tal objeto, destinado a asegurar el acceso a ellas de toda la población. En el caso de la educación media este sistema, en conformidad a la ley, se extenderá hasta cumplir los 21 años de edad. Corresponderá al Estado, asimismo, fomentar el desarrollo de la educación en todos sus niveles; estimular la investigación científica y tecnológica, la creación artística y la protección e incremento del patrimonio cultural de la Nación. Es deber de la comunidad contribuir al desarrollo y perfeccionamiento de la educación”. Art.19, N° 11, señala que la libertad de enseñanza incluye el derecho de abrir, organizar y mantener establecimientos educacionales. La libertad de enseñanza no tiene otras limitaciones que las impuestas por la moral, las buenas costumbres, el orden público y la seguridad nacional. La enseñanza reconocida oficialmente no podrá orientarse a propagar tendencia político-partidista alguna. Los padres tienen el derecho de escoger el establecimiento de enseñanza para sus hijos. Una ley orgánica constitucional establecerá los requisitos mínimos que deberán exigirse en cada uno de los niveles de la enseñanza básica y media y señalará las normas objetivas, de general aplicación, que permitan al Estado velar por su cumplimiento. Dicha ley, del mismo modo, establecerá los requisitos para el reconocimiento oficial de los establecimientos educacionales de todo nivel.

62

competitiva, queremos hacer hincapié en aquellas normas que entregan luces respecto de la aplicación del estatuto de tratamiento de datos personales en este importante sector de la sociedad. La ley 18.962, ley orgánica constitucional de enseñanza, dispone en su artículo 2 que “la educación es el proceso permanente que abarca las distintas etapas de la vida de las personas y que tiene como finalidad alcanzar su desarrollo moral, intelectual, artístico, espiritual y físico mediante la transmisión y el cultivo de valores, conocimientos y destrezas, enmarcados en nuestra identidad nacional, capacitándolas para convivir y participar en forma responsable y activa en la comunidad”. Nuevamente, no nos haremos cargo de las críticas que se hacen a esta ley ni al proceso de reforma en el cual se encuentra envuelta, sino que nos centraremos en que este artículo marca la pauta sobre la finalidad del proceso educativo y, por ende, demarca el ámbito en el cual debe desarrollarse el tratamiento de datos personales en este sector. Dicho en otros términos, a la hora de analizar los principios y normas de tratamiento de datos, éste será el marco en base al cual habrá de analizarse la legislación referida al tratamiento de datos personales. Si analizamos el entramado normativo en materia de educación, advertiremos que existen tratamientos de datos relacionados con el ámbito de la educación pero que salen de la esfera estricta de las entidades educacionales; tal es el caso, por ejemplo, del DFL 2 de 1998, del Ministerio de Educación, que fija el texto refundido, coordinado y sistematizado del DFL 2 de 1996, sobre subvención del Estado a establecimientos educacionales, cuya última modificación data de enero de 2008. Esta norma, en su artículo 6, establece los requisitos para que un establecimiento educacional opte al financiamiento a través de subvenciones, señalando: “Tendrán derecho a optar a subvenciones aquellos colegios en que al menos un 15 por ciento de los estudiantes se encuentre en situación de vulnerabilidad socioeconómica, salvo que no se hayan presentado postulaciones suficientes para cubrir dicho porcentaje [...]. El reglamento determinará la forma de medir y ponderar la vulnerabilidad, debiendo considerar el nivel socioeconómico de la familia, el nivel de escolaridad de los padres o apoderados del alumno y el entorno del establecimiento”. Como podrá advertirse, la información representativa de la medición de vulnerabilidad a que se refiere la norma es, a todas luces, información sensible desde la óptica del tratamiento de datos personales. Además, la norma exige que el establecimiento educacional tenga un reglamento e instancias de cumplimiento de sus normas, sistemas de registro de sanciones por las infracciones al mismo y otros mecanismos de registro de actividades relativas a terceros distintos de los estudiantes, especialmente padres y apoderados.

63

De estas normas surgen al menos tres registros o bancos de datos: a) Datos sobre vulnerabilidad de los estudiantes, registro en el cual se consignará no sólo información del estudiante, sino además datos relevantes de su entorno. b) Datos sobre infracciones cursadas y resueltas. c) Datos sobre padres y apoderados de los estudiantes. De nuevo debemos hacer presente que estos bancos de datos involucran información de terceras personas, como los profesionales que participan en el proceso de calificación de la vulnerabilidad o, incluso, aquellos que deben intervenir en la resolución de los procesos infraccionales a los que se refiere la norma, sin perjuicio de que no nos detendremos en ello por estimar que se escapa al foco de nuestro presente análisis. Como señalamos antes, esta información debe ser considerada “dato sensible” y, por tanto, quedar sujeta a las normas y principios atingentes a este tipo de datos personales. Además, tratándose de educandos “niños” debe considerarse que en nuestro derecho rige la Convención de Derechos del Niño, promulgada a través de decreto 830 de 1990 del Ministerio de Relaciones Exteriores, conforme a la cual los niños, por su vulnerabilidad, deben ser objeto de una protección especial. En particular, deberemos tener presente que, conforme a esta convención, en toda la legislación y las políticas públicas que rijan en la materia debe primar como criterio fundamental el llamado “interés superior del niño”. También resulta relevante lo dispuesto en su artículo 16: “Ningún niño será objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia, ni de ataques ilegales a su honra y a su reputación”. Más adelante, en el artículo 28, en lo que respecta a la regulación del derecho de los niños a la educación, se señala que debe procurarse que “todos los niños dispongan de información y orientación en cuestiones educacionales y profesionales y tengan acceso a ellas” (letra d). También en este artículo se dispone que se adoptarán las medidas que sean necesarias para “fomentar la asistencia regular a las escuelas y reducir las tasas de deserción escolar” y que “los Estados partes adoptarán cuantas medidas sean adecuadas para velar por que la disciplina escolar se administre de modo compatible con la dignidad humana del niño y de conformidad con la presente Convención”. En lo demás, este acuerdo prevé que se garantiza al niño la libertad de expresión, el derecho a formarse en ideologías y creencias, el derecho de asociación de acuerdo a su desarrollo y los restantes derechos políticos que lo preparen para la vida en sociedad. Mucha de esta información será recabada por las entidades de educación en tanto segundo entorno –después del familiar– en el que el menor se desarrollará en su camino de preparación para la vida en sociedad.

64

Conforme a estas normas, estimamos que los datos personales del menor, en todo caso, deben ser tratados en consonancia con el interés superior del niño, guardando así el más estricto nivel de seguridad, tal y como corresponde a los datos sensibles. De esta manera, debiera considerarse que la información del menor no podrá ser tratada si no es en conformidad con las reglas y principios del tratamiento de datos en su aplicación a los calificados como sensibles, entendidos como aquellos datos personales que se refieren a las características físicas o morales de las personas, o a hechos o circunstancias de su vida privada o intimidad, como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. Esta conclusión es compatible, además, con lo dispuesto en la legislación sobre enseñanza, considerando que los objetivos educativos se centran en la formación de la persona, siendo la formación de hábitos precisamente uno de los elementos centrales de este proceso. El marco jurídico nacional en materia de tratamiento de datos personales aplicado al área de educación

La ley 19.628, de protección a la vida privada, tiene ciertas debilidades que le impiden cumplir cabalmente con los estándares estimados adecuados en esta materia en derecho comparado, básicamente en lo que dice relación con los principios del tratamiento de datos, calidad, seguridad, procedimientos de registro y control, etcétera. De hecho, el texto de la ley permite e incentiva estrategias que transgreden su espíritu, no considera incentivos ni sanciones para que los organismos públicos o privados se interesen en el cumplimiento de las obligaciones que contempla, y la acción judicial prevista para la protección del derecho no cumple los estándares de aseguramiento del principio del debido proceso, que debe regir a los procedimientos judiciales. Sin embargo, como ya señalamos, adherimos a aquella parte de la doctrina que considera que en esta materia podemos invocar el orden público tecnológico y definir, en consecuencia, un estándar de tratamiento de datos personales en este sector. Ello es más claro si estimamos que, dada la sensibilidad de la información que es objeto de tratamiento y su impacto en la población nacional, deberemos ser especialmente rigurosos en la satisfacción de los principios rectores del tratamiento de datos. Sobre esta base, en primer lugar, hay que atender al principio de calidad en torno al cual los datos deben ser tratados, en consonancia con la finalidad para la que fueron recogidos, debiendo ser proporcionales a dicha finalidad y responder en todo momento a la situación real de su titular. En el primer aspecto (la finalidad), entendemos que los datos personales

65

que constan en los registros automáticos o manuales de las entidades del sistema educativo deben ser los necesarios para cumplir con los objetivos propios de las entidades de educación. Por otra parte, deberán ser pertinentes, adecuados y no excesivos, y mantenidos en las bases de datos el tiempo que sea estrictamente necesario para estos fines. Las instituciones deberán procurar su actualización en todo momento, modificándolos cada vez que cambien las circunstancias específicas que consignan. En derecho comparado podemos encontrar un ejemplo normativo que ilustra la aplicación práctica de este principio. Nos referimos a la ley orgánica de enseñanza (LOE) de España, que dispone: “Los centros docentes podrán recabar los datos personales de su alumnado que sean necesarios para el ejercicio de su función educativa. Dichos datos podrán hacer referencia al origen y ambiente familiar y social, a características o condiciones personales, al desarrollo y resultados de su escolarización, así como a aquellas otras circunstancias cuyo conocimiento sea necesario para la educación y orientación de los alumnos”.6 Como podemos apreciar, la norma centra la autorización de tratamiento de datos en la necesidad de dar satisfacción a los objetivos del proceso educativo, para lo cual no sólo se requieren datos del educando sino que en general de su entorno. Luego, la norma reconoce la necesidad de que los organismos cuenten con información fidedigna, entregando una responsabilidad especial al titular de los datos y a su medio más próximo. Siendo así, dispone que “los padres o tutores y los propios alumnos deberán colaborar en la obtención de la información a la que hace referencia este artículo. La incorporación de un alumno a un centro docente supondrá el consentimiento para el tratamiento de sus datos y, en su caso, la cesión de datos procedentes del centro en el que hubiera estado escolarizado con anterioridad, en los términos establecidos en la legislación sobre protección de datos”. Asimismo, enfatiza que “la información a la que se refiere este apartado será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso”. Consagra de esta manera la proporcionalidad de la información con la finalidad del tratamiento de datos. Es más, la norma señala expresamente que los datos personales deberán ser tratados conforme a reglas estrictas de seguridad y confidencialidad, restringiendo las cesiones a terceros sólo las que hayan sido expresamente autorizadas por los titulares de los datos o sus representantes.

6 Ley orgánica de enseñanza, ley 2/2006, de 3 de mayo, disposición adicional vigésimo tercera, numeral 1, lo cual es reproducido por las respectivas normas en cada comunidad autónoma de España. A modo de ejemplo, en materia de protección de datos personales de los alumnos, esta norma es reproducida de manera textual en la circular 5/2006, de la Secretaría General Técnica de la Consejería de Educación, Cultura y Deportes del Gobierno de Canarias.

66

En el caso chileno, la ley consagra en términos generales los principios del tratamiento de datos personales: la calidad, la finalidad y la seguridad. Así, a las entidades del sistema les corresponde mantener información veraz (en todo momento) y atingente al objetivo educativo. Asimismo, deben establecerse parámetros de segmentación de la información, de manera tal que sea la función la que determine la cantidad de datos personales a la cual puede acceder un funcionario específico. De su parte, conforme a la ley, los funcionarios que entren en contacto con los datos personales estarán sujetos al deber de secreto, tanto de los datos como de los antecedentes de la base de datos. Dicho en otros términos, las políticas de seguridad de tratamiento de datos en las entidades de educación necesariamente pasan por la definición de perfiles de usuarios, a base de las funciones que éstos deben desempeñar; definiendo los atributos de acceso de cada uno de ellos a los datos personales de los estudiantes, siempre que sean estrictamente necesarios para el desarrollo de sus funciones. Adicionalmente, creemos que, para dar satisfacción a este principio, cada institución debiera elaborar unas políticas de protección de los datos personales que sean consignadas en el reglamento interno. Éstas tendrían que establecer las condiciones específicas que guiarán el tratamiento de datos por parte de la institución. Esas normas deben ser comunicadas adecuadamente a los padres o apoderados al momento de la matrícula del alumno, acto en el que ellos debieran dar su consentimiento expreso respecto del tratamiento de dichos datos, en lo que les concierne como titulares y representantes de los datos de los hijos menores. Asimismo, este reglamento debiera ser informado a los estudiantes a efectos de solicitarles su consentimiento cuando sea el caso. Además, es preciso hacer presente que mantener información de calidad supone a veces procesos de transferencia o cesión de datos –por ejemplo, en el caso de que un estudiante cambie de establecimiento educacional–, de manera permanente y/o transitoria. Estimamos que esta cesión de datos debe ser autorizada expresamente por los estudiantes o sus representantes legales. Para estos efectos, creemos que rige lo dispuesto en el artículo 5 de la ley, en tanto que podrán establecerse sistemas automatizados de transferencia de datos personales entre los distintos establecimientos del sistema educacional y entre éstos y organismos extra sistema que tengan relación con dichas entidades, siempre que se resguarden los derechos del titular de los datos respectivos y se deje constancia de: a) la individualización del requirente, b) el motivo y el propósito del requerimiento, y c) el tipo de datos que se transmiten. Ello, sin perjuicio de que, además, la entidad receptora de datos personales sólo podrá utilizarlos para la finalidad que motivó la transferencia. Ahora bien, creemos que en nuestro entorno es perfectamente aplicable el principio de proporcionalidad, sobre la base del cual los datos que pueden ser

67

objeto de tratamiento deben ser aquellos que sean estrictamente necesarios para la satisfacción de la finalidad educativa, debiendo en esta materia, en todo caso, perfeccionarse nuestro sistema normativo. A modo de ejemplo, la ley española dispone al respecto que, “en todo caso, la información a la que se refiere este apartado será la estrictamente necesaria para la función docente y orientadora, no pudiendo tratarse con fines diferentes del educativo sin consentimiento expreso”.7 En Chile, si bien esta materia se ha regulado sólo en términos generales, pues la normativa de educación no se ha hecho cargo de la aplicación específica del deber de mantener datos personales de calidad en los sistemas de bases de datos a los que nos referimos, creemos que esto no es óbice para que se dé estricto cumplimiento a la misma. Otra condición del tratamiento de datos personales que resulta especialmente relevante se relaciona con su seguridad y confidencialidad. En efecto, de acuerdo a la LOE de España a que hemos aludido, “en el tratamiento de los datos del alumnado se aplicarán normas técnicas y organizativas que garanticen su seguridad y confidencialidad. El profesorado y el resto del personal que, en el ejercicio de sus funciones, acceda a datos personales y familiares o que afecten al honor e intimidad de los menores o sus familias quedarán sujetos al deber de sigilo”.8 En cuanto al deber de sigilo o secreto, como dijimos antes, creemos que la normativa general es suficiente, en tanto dispone en su artículo 7 que “las personas que trabajan en el tratamiento de datos personales, tanto en organismos públicos como privados, están obligadas a guardar secreto sobre los mismos, cuando provengan o hayan sido recolectados de fuentes no accesibles al público, como asimismo sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo”. Estimamos que claramente los datos personales generados en el sistema educativo no provienen de fuentes accesibles al público, por lo que quedarán sujetas al deber de secreto que este artículo regula. Del mismo modo, y atendido a que estos datos deben ser considerados como sensibles, creemos que al respecto no rige lo dispuesto en el artículo 4, inciso final, de la ley 19.628, que dispone que “tampoco requerirá de esta autorización el tratamiento de datos personales que realicen personas jurídicas privadas para el uso exclusivo suyo, de sus asociados y de las entidades a que están afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquéllos”. Ahora bien, otra condición importante que derivamos de los principios del tratamiento de datos personales es la temporalidad, en el sentido de que 7 Ibíd, numeral 2. 8 Ibíd, numeral 3.

68

éstos deben ser mantenidos en las bases de datos y sistemas manuales sólo por el tiempo que sea necesario para dar satisfacción a la finalidad para la cual fueron recogidos. Sobre esa base, sostenemos que los datos personales deben permanecer en la entidad de educación sólo por el tiempo que sea necesario para la satisfacción de la finalidad educativa. Esto nos impone cuestionarnos acerca de la factibilidad de mantener datos personales más allá de la salida del educando del establecimiento respectivo. Estimamos que en esta hipótesis sólo será factible mantener aquellos datos que sean estrictamente necesarios para las certificaciones académicas posteriores que deba otorgar el respectivo establecimiento, mas no aquellos datos relativos, por ejemplo, a sus condiciones socioeconómicas o las de su entorno, las prestaciones asistenciales de que hubiese sido objeto mientras estudiaba u otra información que se haya tratado con ocasión de la finalidad educativa, información que debe regirse por las normas generales sobre temporalidad en el tratamiento de datos personales. Debemos tener en cuenta que las falencias del sistema jurídico nacional conllevan deficiencias desde la óptica de la información ciudadana respecto del tratamiento de datos, particularmente por la inexistencia de un registro público de bancos de datos y la carencia de una autoridad de control. Ello repercute en que, si bien la población en su vida diaria se ve afectada por el tratamiento de datos abusivo realizado por organismos públicos y privados, no tiene conocimiento sobre la real dimensión de sus derechos ni cómo ejercerlos. Todo lo anterior, sin considerar la verdadera barrera de acceso a la protección de sus derechos, representada por el costo de la tramitación judicial. Esta limitación jurídica no debe ser impedimento para la satisfacción de las normas de orden público tecnológico, como dijimos antes. Siendo así, y considerando que la ley reconoce el principio de la publicidad del tratamiento de datos personales, manifestado en ciertos casos a través de la necesidad de obtener el consentimiento expreso de la persona para realizar operaciones de tratamiento de los datos que le conciernen y, en todo caso, reconociendo el deber de informar del tratamiento de datos personales, reiteramos la necesidad de que las políticas de tratamiento de datos de las instituciones del sistema educacional informen adecuadamente a los estudiantes y sus representantes sobre los bancos de datos manuales o automatizados que administran y las políticas técnicas y administrativas que les rigen. Finalmente, en lo que respecta a las condiciones mínimas de un adecuado tratamiento de datos personales por parte de las entidades de educación, se considera que debieran establecerse mecanismos de acceso a los datos por parte de los estudiantes y sus padres y/o apoderados que les permitan en todo momento controlar que el tratamiento de éstos obedece a los principios antes enunciados.

69

El tratamiento de datos personales de personas con necesidades educativas especiales

Respecto de las personas que sufren algún grado de discapacidad, se ha previsto en nuestro derecho un estatuto jurídico especial en orden a garantizar su derecho a la educación. Las bases de esta normativa están en la Convención de Derechos del Niño y han sido desarrolladas en términos genéricos en la ley 19.284, que “establece normas para la plena integración social de personas con discapacidad”. Esta ley, en su capítulo I, relativo al acceso a la cultura, a la información, a las comunicaciones y al espacio físico, dispone en primer lugar que en los mecanismos previstos por los establecimientos para la selección de postulantes deben procurarse medios correctivos a fin de garantizar una participación en condiciones igualitarias a las personas con discapacidad. Asimismo, dispone que las bibliotecas deben contar con sistemas que permitan el acceso al material bibliográfico para los no videntes. Luego, su capítulo II se dedica específicamente al acceso a la educación. Es importante destacar que las necesidades educativas especiales no sólo son previstas para las personas con discapacidades, sino además para cualquier persona que requiera algún grado de diferenciación con el método educativo general. Ello queda en evidencia si visualizamos el caso de las personas calificadas como “superdotadas”. Para nuestros efectos, nos importa destacar que en este ámbito, tanto en la calificación de la discapacidad como en aquella que se refiere al requerimiento de alguna modalidad de educación especial, permanente o temporal, pueden intervenir terceros ajenos al sistema educativo, como los “equipos multiprofesionales del Ministerio de Educación”, como dice la ley, y las Comisiones de Medicina Preventiva e Invalidez (art. 28, ley 19.284). De otra parte, de acuerdo a la ley, las escuelas especiales prestarán servicios de asesoría especializada, entre otros, al sistema educativo general (desde jardines y salas cunas hasta los establecimientos de educación superior), en la medida en que dichos establecimientos desarrollen programas de integración de personas con discapacidades (art. 29). Finalmente, la ley prevé que a los menores pertenecientes al ciclo básico de educación que deban permanecer internos en alguna institución especializada para su rehabilitación médico funcional, el ministerio les proporcionará la correspondiente atención escolar (art. 31). Este caso resulta especialmente relevante a nuestros efectos, por cuanto estos niños desarrollarán prácticamente toda su vida personal en los establecimientos educacionales en que se encuentren internos. Con ello queremos evidenciar que el tratamiento de datos personales educacionales de las personas con necesidades especiales en muchos casos escapa al establecimiento en que ellas se encuentren matriculadas, debiendo adop-

70

tarse los resguardos pertinentes para garantizar que los datos sean tratados adecuadamente. Asimismo, del análisis de las distintas normas vigentes en la materia queda claro que los datos que son objeto de tratamiento en este caso, son más amplios y más cercanos aun a la clasificación general de datos sensibles, sobre todo cuando involucran un tratamiento de información relativa a salud, como discapacidades físicas o sensoriales. Siendo así, ¿cómo se aplican los principios del tratamiento de datos personales en esta materia? Recordemos que el artículo 10 de la ley 19.628 dispone que “no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares”. Ciertamente son sensibles aquellos que se refieren a los estados de salud físicos o psíquicos de las personas. En cuanto a la finalidad legítima, coincidimos en que en este caso está dada por la necesidad “de evitar la discriminación de los niños en función de sus limitaciones, bien por padecer discapacidades físicas, psíquicas, sensoriales o por manifestar graves trastornos de personalidad o conducta, y conseguir su integración en el sistema educativo, garantizándoles el cumplimiento de los objetivos generales, teniendo la competencia legal para su desarrollo los equipos de orientación educativa y psicopedagógica”.9 El sistema de tratamiento de datos comprenderá, pues, información del alumno, como sus condiciones físicas y psíquicas, su grado de discapacidad o sobrecapacidad, antecedentes de su “ficha escolar” o su historia educativa y estilo de aprendizaje; pero también datos acerca de su entorno escolar, como métodos educativos que se han empleado con él y su grupo, y las formas de reacción e indicadores de resultados del desarrollo social y afectivo de los integrantes del grupo curso o del colegio, entre otros. De igual manera, respecto del entorno familiar contendrá información acerca de las características de la familia y la posición que en ella ocupa el educando, situación socioeconómica del grupo, nivel de formación de los padres y disponibilidad de ellos para apoyar el proceso educativo, por mencionar algunos aspectos. Esta información debe ser tratada según los lineamientos que emanan del principio de calidad, conforme a los cuales sólo podrán ser tratados los datos adecuados, pertinentes y no excesivos, y únicamente podrán acceder a ellos los profesionales que participan en el proceso educativo del estudiante con necesidades especiales, quedando en todo caso sujeta al deber de reserva. En cuanto a la temporalidad del almacenamiento, debiera considerarse que los 9 Marín Pérez, Antonio, “Ideas básicas para la protección de datos personales de menores en el ámbito de actividad de los equipos de orientación educativa y psicopedagógica”. Publicación online en http:// www.madrid.org/comun/datospersonales/0,3126,457237_458340_460419_12085100_12074666_1,00. html (consulta: 02.02.08).

71

datos serán necesarios durante todo el tiempo que dure la escolarización del educando. Una vez finalizado el proceso educativo debieran eliminarse o al menos bloquearse todos los datos que no sean estrictamente necesarios para la entrega de informes sobre la pertenencia del estudiante a dicho establecimiento, período en el cual perteneció a la institución, diagnóstico y avances en su escolarización. En todo caso la información deberá considerar criterios de segmentación aun cuando el estudiante haya dejado de pertenecer a la institución. Respecto del principio de información/consentimiento, en este caso pueden verse involucrados dos factores, uno la menor edad y otro la incapacidad (cuando hay discapacidad sensorial), quedando claro que quienes deberán prestar su consentimiento respecto del tratamiento de datos del educando son sus representantes legales, ya sean ellos sus padres o quienes se desempeñen como sus tutores o curadores. Si éstos no quisieran dar su consentimiento, regirá la norma que haga primar el interés superior del niño, a base del cual habrá de buscarse esta autorización por la vía judicial. Derechos de los titulares de datos personales que son tratados por las entidades de educación

La legislación de tratamiento de datos personales dispone que los titulares de éstos tienen derecho de acceso, modificación, cancelación y bloqueo de datos. En virtud del primero de estos derechos, las instituciones de educación deben proporcionar información a los titulares de datos o sus representantes. La garantía de acceso comprende el derecho de la persona a ser informada sobre los datos relativos a su persona, su procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos son transmitidos regularmente. Ello supone que a la persona se le entregue copia legible e inteligible de los registros de datos de su persona, con indicación de quiénes acceden a esos datos, motivo por el cual acceden y periodicidad con la cual se entrega o consulta esta información. Éste es el primer derecho y a la vez representa la puerta de entrada al ejercicio de las otras garantías previstas en la ley. En efecto, sólo una vez que la persona tome conocimiento de los datos podrá verificar si éstos son de calidad, si son adecuados, pertinentes y no excesivos, y si están siendo utilizados conforme al principio de finalidad. En este punto haremos alusión a los demás derechos previstos en la ley, el primero de los cuales es el que dice relación con que los datos que sean erróneos, inexactos, equívocos o incompletos –previa acreditación– sean modificados; que sean bloqueados aquéllos respecto de los cuales no pueda comprobarse su veracidad o bien el fundamento legal de su tratamiento sea dudoso, y se tendrá derecho a exigir

72

que derechamente se cancelen los datos en los casos en que estén caducos o carezcan de fundamento legal. En esta materia nos llama la atención que la legislación dispone que el derecho a obtener copia gratuita de los registros o datos personales que consten en una base de datos sólo podrá ejercerse personalmente. En efecto, tratándose de infantes, a los cuales el derecho los considera incapaces absolutos, pareciera a primera vista que no pudieran ejercer este derecho. Sin embargo, creemos que una interpretación sistemática de la norma con aquellas que se refieren a la representación de personas naturales exige sostener que, tratándose de menores e incapaces, el derecho deberá ser ejercido a través de sus representantes legales. Lo contrario significaría negar el derecho a estas personas por el único hecho de no poder actuar personalmente, lo que aparece a todas luces inadecuado desde la óptica de la protección de derechos de las personas. Asimismo, estas normas deberán ser analizadas en concordancia con aquellas que dicen que no podrán ser objeto de los derechos de modificación, cancelación o bloqueo de datos personales almacenados por mandato legal, fuera de los casos contemplados en la ley respectiva. Éste es el caso, por ejemplo, de los datos tratados en cumplimiento de las normas contenidas en nuestra ley de educación (LOCE), en lo referido al registro de asistencia y los registros de notas. Un tema especialmente preocupante dice relación con la posibilidad de que padres o apoderados accedan a datos personales del educando sin su consentimiento, como asignaturas cursadas, notas obtenidas y anotaciones conductuales, entre otros. Para los efectos de dar la debida publicidad al tratamiento de datos en el sistema educacional, de más está señalar que los registros o bancos de datos de las entidades de educación pública, así como de la Comisión de Medicina Preventiva e Invalidez (Compin) y del Ministerio de Educación, debieran estar inscritos en el Registro de Bancos de Datos de la Administración Pública, que establece el artículo 22 de la ley 19.628 y que mantiene el Servicio de Registro Civil e Identificación, obligación que tiene un escaso cumplimiento en nuestro entorno. Asimismo, a los titulares de datos personales tratados por el sistema educacional, ya sea personal o debidamente representados, les asiste el derecho a impetrar la acción de habeas data en caso de que sus derechos se vean afectados. Sin embargo, si no hay publicidad de los registros o bancos de datos existentes, difícilmente podrá ejercerse adecuadamente este derecho. La comunicación de datos del educando

La ley 19.628 define como “comunicación o transmisión de datos dar a conocer de cualquier forma los datos de carácter personal a personas distintas

73

del titular, sean determinadas o indeterminadas” (art. 2, letra c). De cara al derecho debemos entender que quien realiza actos de cesión es el responsable del registro o banco de datos, esto es, la persona natural o jurídica privada, o el respectivo organismo público, a quien competen las decisiones relacionadas con el tratamiento de los datos de carácter personal (art. 2, letra n). En materia educativa, este tema reviste especial relevancia porque existen diversos terceros que podrán tener interés en los datos personales, generando requerimientos permanentes de información a la institución del sistema educacional. La ley 19.628 dispone que respecto de los datos de personas que no provienen de fuentes accesibles al público, si bien existen situaciones en que no es requerida la autorización del titular de datos para su tratamiento, no se exime al titular del banco de datos del deber de informar al afectado que se está tratando información que le concierne. Siendo la comunicación de datos una operación de tratamiento de los mismos, naturalmente debiera en estos casos al menos informarse al interesado que se están realizando dichas operaciones, indicando la persona a la cual se transmiten, el fundamento legal de la transmisión y la finalidad para la cual son requeridos. Recordemos, además, que si bien se prevé la posibilidad de establecer sistemas automatizados de transferencia de datos, ello debe realizarse con apego a lo dispuesto en el artículo 5, al que ya nos referimos. De su parte, respecto de los datos sensibles, la ley prevé que en general “no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares” (art. 10). Asimismo, debemos tener presente que la ley dispone que “el responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Entendemos que la problemática es compleja, por cuanto caso a caso habrá de analizarse si existe fundamento legal para su comunicación. En efecto, tratándose de las solicitudes de información del Ministerio de Educación, para la fiscalización del funcionamiento de los establecimientos educacionales, por ejemplo, o para la entrega de recursos por concepto de subvenciones, estimamos que rige lo dispuesto en el artículo 15 de la ley, en el sentido de que no podrán entorpecerse las necesidades de información de dicho organismo so pretexto de requerirse información y/o autorización del titular de los datos, por verse el derecho de información, modificación, cancelación y bloqueo limitado en este caso. Las hipótesis más comunes –y a nuestro juicio conflictivas– dicen relación con las comunicaciones de datos a terceros, ajenos al sistema educacional y

74

no sólo a la entidad a la que el alumno pertenece. Es el caso, por ejemplo, de la comunicación de datos personales de estudiantes secundarios o de educación superior al sistema financiero, bancario y comercial a efectos de que éstos ofrezcan productos y servicios a los estudiantes, los que a la sazón tienen ya una capacidad relativa y un patrimonio propio. Esta cuestión se estima que está reñida con el principio de calidad del tratamiento de datos, pues dicha comunicación excede la finalidad que legitima el tratamiento. De igual modo, se considera que esta actitud conlleva riesgos desde el punto de vista económicosocial, por cuanto se asigna a estos estudiantes una capacidad crediticia que no se condice con sus niveles de ingreso ni con su madurez a la hora de administrarla, con lo cual, finalmente, deben responder sus padres apoderados, muchas veces con sacrificios para el resto de la familia. Es por esto que se ha planteado la necesidad de prohibir la comunicación que informa sobre deudas de menores. Sin embargo, estimamos que el problema está más atrás, en la cesión ilegítima de los datos por parte de la entidad de educación respectiva. Otra hipótesis común es la solicitud de información de notas de un estudiante por parte de sus padres y/o apoderados. El conflicto en este caso se produce cuando el estudiante es una persona plenamente capaz, la que ya no debe actuar a través de representantes legales. Se estima que los padres o apoderados no podrán acceder a dicha información sin la debida autorización del estudiante, debiendo en todo caso normarse esta situación en los respectivos reglamentos internos. Así también se ha planteado la problemática de comunicar información del educando al padre que no tiene la tuición, en caso de separación, cuando el otro progenitor ha manifestado expresamente que no desea que la información sea entregada a la otra persona. Estimamos que nuevamente el criterio rector a la hora de decidir sobre la legitimidad de la comunicación de los datos es el interés superior del niño. Finalmente, se ha detectado que las entidades de educación superior comunican datos acerca de sus estudiantes a empresas o instituciones que buscan renovar sus plantas de personal, para sus labores de “captación de recursos humanos”. Consideramos que, aunque ella aparezca como una actitud loable, en el sentido de que procura la pronta incorporación de los estudiantes al mercado laboral, no podrán comunicarse los datos sin el consentimiento previo del estudiante.

El tratamiento de datos personales en los organismos públicos que integran el sistema educacional

La ley 19.628 dispone que los organismos públicos podrán realizar operaciones de tratamiento de datos dentro de la órbita de su competencia y de acuerdo a las condiciones que establece la ley. Siendo así, rigen las normas

75

y principios que señalamos antes. La única particularidad que establece la norma es que se podrán realizar estas operaciones sin necesidad del previo consentimiento del afectado o titular de los datos personales. Esta precisión resulta relevante dado nuestro interés, por cuanto sobre su base se legitiman entidades como el Ministerio de Educación, el Servicio Nacional de Capacitación y Empleo, la Junta Nacional de Auxilio Escolar y Becas, y las corporaciones de educación municipal, por mencionar algunas, para realizar operaciones de tratamiento de información respecto de datos personales generados en o con ocasión de las finalidades educativas. Es importante destacar que si bien la norma exime del deber de obtener el consentimiento previo del afectado, en ningún momento autoriza a no informar a los interesados sobre el tratamiento de datos que se está realizando. De igual modo, impone a los organismos los deberes de respeto a los principios de calidad, finalidad, seguridad, responsabilidad, etcétera. Asimismo, cuando estas entidades no respeten los derechos de acceso, modificación, cancelación o bloqueo, en los términos que establece la ley, estarán sujetas al régimen infraccional establecido en ella, conforme al cual si se acoge por el tribunal una reclamación interpuesta de acuerdo al procedimiento de habeas data y luego el organismo público no da cumplimiento a lo dispuesto en la misma, “el tribunal podrá sancionar al jefe del servicio con la suspensión de su cargo, por un lapso de cinco a quince días” (art. 16, inciso final). De esta manera, conforme al artículo 23 de la ley 19.628, el organismo público responsable del banco de datos personales deberá indemnizar el daño patrimonial y moral que causare por el tratamiento indebido de los datos, sin perjuicio de proceder a eliminar, modificar o bloquearlos de acuerdo a lo requerido por el titular o, en su caso, lo ordenado por el tribunal. Cabe precisar que, tratándose de entidades públicas de educación, esta materia deberá analizarse en concordancia con lo dispuesto en el artículo 8 de la Constitución Política de la República, en cuanto establece la transparencia de la información pública conforme a la cual toda la información que conste en poder de la administración es pública, tanto aquélla en la que se fundan los actos decisorios como las resoluciones que se hayan adoptado por los organismos públicos. Nuestra reflexión, y sin ánimo de entrar en un análisis pormenorizado de la ley que vino a desarrollar este deber, es que en materia de tratamiento de datos en el sistema de educación pública se debe tener especialmente presente que el artículo 8 de la Constitución, y la ley que lo desarrolla, dispone que la obligación de publicidad debe ser satisfecha en términos tales que se procure el respeto de los derechos fundamentales de las personas. Siendo así, en aquellos casos que por finalidades de transparencia sea necesario publici-

76

tar información que es objeto de tratamiento con ocasión de las finalidades educativas, debe guardarse especial cuidado en cuanto a los principios del tratamiento de datos antes señalados. Un caso ilustrativo está constituido por las necesidades de publicitar a las personas que han sido beneficiadas con becas de perfeccionamiento o de posgrado. Estimamos que si bien es importante se publiciten tanto los adjudicatarios como los fundamentos de la adjudicación, es relevante para la protección de los derechos de los afectados que la información que se publique sea completa y veraz. Por tanto, no bastará con publicitar los antecedentes antes señalados, sino, además, cuánto tiempo la persona gozó del beneficio, si ella obtuvo los títulos o grados a que conducían los estudios financiados a través de dichos recursos y si los beneficiados cumplieron las obligaciones que estaban consideradas en la beca respectiva, como trabajar cierto tiempo en la administración pública u otras. Sólo así en una parte la ciudadanía se tomará cabal conocimiento de la información relevante y en otra se resguardarán los derechos de los afectados. Conclusiones

El escaso desarrollo y las imperfecciones del sistema de protección de datos personales en Chile se hace evidente cuando tratamos de aplicar la ley 19.628 –concebida como una ley marco o general– a las materias específicas a las cuales debiera adaptarse para lograr los principios y fines que se tuvieron en vistas durante su dictación. Sin embargo, en el ejercicio de tratar de adaptar la normativa a un ámbito específico se hace evidente que las falencias de nuestro sistema jurídico subsisten, y en algunas situaciones se agudizan. En el caso que nos ocupa, la inexistencia de un registro de bancos de datos en el que las personas privadas que realizan tratamiento de información inscriban y, por ende, comuniquen dicho tratamiento a los afectados, dificulta el ejercicio del habeas data, lo cual es especialmente grave por tratarse en muchos casos de datos personales de menores y en algunas ocasiones de menores con necesidades educacionales especiales. Otro tanto sucede en relación con entidades de educación pública, las cuales, si bien están sujetas al deber de registro de sus bancos de datos, en la práctica no lo hacen. Asimismo, la normativa queda trunca en materia de acceso gratuito a la copia de los datos que son objeto de tratamiento, por cuanto la ley dispone que la persona deberá solicitar este acceso personalmente, por lo que a primera vista llamaría a sostener que en el caso de que se trate de un infante, que no puede ejercer sus derechos personalmente, pues el derecho no le reconoce la capacidad, no se le reconoce este derecho. De nuestra parte sostenemos

77

que una interpretación sistémica debiera dar lugar al derecho de acceso a los datos por parte de los representantes legales del menor. No obstante lo anterior, estimamos que debiera modificarse la norma legal a los efectos de aclarar esta situación. Estimamos que se salvan las problemáticas derivadas del régimen jurídico de los datos que emanan de fuentes accesibles al público en el momento en que consideramos que los datos personales de los menores que son tratados en el sistema educacional no podrán ser considerados como datos provenientes de este tipo de fuentes. De igual forma, creemos que se rescatan otros problemas de la ley cuando se considera que dichos datos, por referirse a características físicas y/o psíquicas de la persona, deben ser considerados como sensibles. Queda claro que, además de perfeccionar la normativa nacional en materia de regulación del tratamiento de datos personales, habrá que realizar una revisión de la normativa sectorial tendiente a incorporar las normas específicas que permitan el pleno respeto de los derechos de los titulares de datos personales que están siendo tratados en el sistema educacional, entendido en el amplio sentido que le hemos dado en estas páginas.

Referencias normativas nacionales Ley 19.628 sobre protección de la vida privada. Ley orgánica constitucional de enseñanza, ley 18.962, del Ministerio de Edu cación. Publicada en el Diario Oficial el 10 de marzo de 1990. Mensaje de la presidenta de la república con el que inicia un proyecto de ley que establece la ley general de educación. Santiago, 9 de abril de 2007. Recurso de protección interpuesto por el Observatorio de Derechos de los Pueblos Indígenas, relativo a interrogatorios realizados por carabineros en un establecimiento educacional. http://www.observatorio.cl/conteni dos/datos/docs/20070706152401 (consulta: 01.02.08). Decreto 830 del Ministerio de Relaciones Exteriores, que promulga la Con vención sobre los Derechos del Niño. Publicado en el Diario Oficial, 29 de septiembre de 1990. Referencias normativas internacionales Ley orgánica 2/2006, 3 de mayo, de Educación, España. Convención sobre los Derechos del Niño. Adoptada y abierta a la firma y ratificación por la Asamblea General de las Naciones Unidas en su reso lución 44/25, 20 de noviembre de 1989. Ley 15/1999, ley orgánica de protección de datos personales, de España. Directiva 46/1995, del Parlamento y del Consejo de la Unión Europea. Referencias doctrinarias Herrán Ortiz, Ana Isabel, “Los derechos del niño en la legislación internacio nal. El menor y su derecho al ocio”, http://www.ocio.deusto.es/ (consulta: 01.02.08). Marín Pérez, Antonio, “Ideas básicas para la protección de datos personales de menores en el ámbito de actividad de los equipos de orientación edu cativa y psicopedagógica”.

78

Referencias jurisprudenciales Informe sobre naturaleza jurídica de los datos sobre opción por la asig natura de religión. 2002, Agencia Española de Protección de Datos: http://212.170.242.196/portalweb/canaldocumentacion/informes_juridi cos/datos_esp_protegidos/common/pdfs/2002-0000_Naturaleza del-dato-de-opci-oo-n-por-la-asignatura-de-religi-oo-n.pdf (consulta: 28.08.08). Informe sobre juridicidad de sistema Seneca. Sistema integrado de informa ción para las instituciones de educación pública y concertada de la co munidad autónoma de Andalucía, España. Agencia Española de Protec ción de datos personales. http://212.170.242.196/portalweb/canaldocu mentacion/informes_juridicos/cesion_datos/common/pdfs/2008 0063_Inclusi-oo-n-de-datos-en-sistema-S-ee-neca.pdf (consulta: 28.08.08).

79

Videovigilancia e intervención administrativa: las cuestiones de legitimidad Luis Cordero

Abreviaturas utilizadas en este texto Art.: Artículo. C.: Considerando. CGR: Contraloría General de la República. CPR: Constitución Política de la República. DFL: Decreto con fuerza de ley. DL: Decreto ley. DO: Diario Oficial. DS: Decreto supremo. LBPA: Ley de bases de los procedimientos administrativos que rigen los actos de los órganos de la administración del Estado, Nº 19.880. LOAFE: Ley orgánica de administración financiera del Estado. LOCBGAE: Ley orgánica constitucional de bases generales de la administración del Estado, Nº 18.575, cuyo texto refundido, coordinado y sistematizado corresponde al DFL Nº 1/19. 653. LOCC: Ley orgánica constitucional de Carabineros de Chile, Nº 18.961. LOCM: Ley orgánica constitucional de municipalidades, Nº 18.695, cuyo texto refundido, coordinado y sistematizado corresponde al DFL Nº 1/19. 704. LOCCGR: Ley orgánica constitucional de la Contraloría General de la República. LOCCN: Ley orgánica constitucional del Congreso Nacional. LOCGAR: Ley orgánica constitucional de gobierno y administración regional. STC: Sentencia del Tribunal Constitucional. SSTC: Sentencias del Tribunal Constitucional.

Introducción

De un tiempo a esta parte, los ejes de la política pública se han centrado en los aspectos vinculados a la seguridad, fenómeno que no ha sido exclusivamente nacional. La gestión de riesgos y la exigencia de mejores niveles de seguridad pública se han traducido en una demanda creciente por mayores intervenciones públicas en esos ámbitos. En función de esa demanda, desde la perspectiva técnico-instrumental, se han ido estableciendo cada vez más cláusulas generales de apoderamiento o conceptos jurídicos indeterminados, lo que ha significado una ejecutivización de potestades estatales que –paradójicamente– han puesto en peligro las libertades públicas.1 Hemos aceptado flexibilizar nuestros estándares de control a la autoridad a la hora de amagar derechos o libertades; creemos que es posible que las policías puedan intervenir en ciertas situaciones sin autorización judicial, y muchos están profundamente convencidos de que la existencia de las herramientas electrónicas disponibles nos permitirá administrar y anticipar mejor esos riesgos.

1

Cordero Vega, L., El control de la administración del Estado, Lexis/Nexis, Santiago, 2007, p. 6

81

En ese contexto, una de las prácticas más difundidas en la última década es la de las cámaras de videovigilancia, utilizadas por las fuerzas de orden y seguridad pública para “prevenir” los eventuales delitos o conductas sociales desviadas que ocurren en determinados espacios públicos. En efecto, desde 1993 se comenzó a implementar en Chile –por una vía que luego explicaremos– un sistema de colaboración entre Carabineros y los municipios con el fin de instalar estas cámaras. Desde aproximadamente la misma época, la mayoría de los países ha implementado sistemas con esas características con la exclusiva finalidad de garantizar la seguridad ciudadana. Se afirma que con la videovigilancia se persigue la protección de las personas, la propiedad y el interés público; la detección, la prevención y el control de los delitos, y la disponibilidad de pruebas así como otros intereses legítimos.2 Sin embargo, la sola aceptación de estos sistemas como instrumentos para las intervenciones públicas de la policía debiese dar pie interrogantes como éstas: ¿la utilización de sistemas cada vez más intrusivos en nuestra intimidad resuelve o no el problema de la seguridad?, ¿de qué forma los derechos pueden ser o están siendo afectados por el uso de estos mecanismos?, ¿se puede garantizar el ejercicio genuino de los mismos? En definitiva, la utilización de videovigilancia nos impone la obligación de resolver varias preguntas. El objetivo del presente trabajo es analizar cuáles son los estándares exigibles a la utilización –con fines preventivos– de las cámaras de videovigilancia empleadas por las fuerzas de orden y seguridad pública, en tanto corresponden al ejercicio de potestades administrativas. Creemos que las cuestiones básicas que se deben despejar son las siguientes: a) cuáles son las reglas que regulan esta actividad; b) si éstas se ajustan a los estándares exigidos por la Constitución; c) si comprometen el derecho a la privacidad, y d) si implican infracción a la ley de datos personales. Los dilemas de seguridad tras la videovigilancia

En la novela 1984, de George Orwell, los ciudadanos de Oceana no disponen de ningún espacio libre para su intimidad que se escape a la vigilancia y a la intromisión del Gran Hermano. El Estado posee una base de datos masiva y centralizada en la que acumula todo lo que puede saberse de cada sujeto. Por otro lado, en el Panóptico, de Jeremy Bentham, la vigilancia absoluta y la consiguiente amenaza de castigar cualquier transgresión a las reglas conlleva a todos los sujetos a la docilidad y a que interioricen y asuman el cumplimiento de las normas, sustituyendo de ese modo el ejercicio real de las sanciones.

2 Íd.

82

En la actualidad, el Estado tiene una capacidad tecnológica para ejercer vigilancia, y para vincular y recuperar información muy superior a la que Orwell pudo imaginar.3 El panóptico actual añade nuevas dimensiones a la vieja idea de Bentham; la pone al día y la mejora. El problema de los panópticos de Orwell y Bentham residía en el engaño que se infiltraba respecto de la coacción y el consenso: todos reivindicaban que la coacción era sustituida por un consenso activo, pero todos fundamentaban tal consenso en la coacción que seguía en el trasfondo porque era el trasfondo. El panóptico contemporáneo es sorprendentemente distinto. Se trata de uno de intereses basado en ventajas y beneficios efectivos cuya peor sanción es la exclusión. Los prisioneros de Bentham soñaban con escapar; los disidentes de Orwell deseaban ardientemente huir hacia un lugar mejor, pero no podían pues simplemente no existía tal lugar. Nuestro panóptico, por el contrario, es aceptado y, sobre todo, demandado.4 No cabe duda de que la videovigilancia genera un conjunto de beneficios o ventajas para los ciudadanos. Por lo pronto, la utilización de cámaras está fundada principalmente en razones de seguridad pública, con el objeto de disuadir comportamientos criminales (bajo el supuesto de que en espacios con vigilancia permanente es menos probable este tipo de conductas) y sucesos como el tráfico de drogas o la prostitución, los que tenderían a desaparecer con una activa vigilancia. Lo mismo sucede con las mayores probabilidades de encontrar personas desaparecidas, como ha informado la prensa. De este modo, para muchos es una importante técnica criminológica en el marco de la prevención situacional del delito –conminación general negativa–, en la medida en que disuade a los potenciales delincuentes de cometer ilícitos al hacer sus acciones literalmente visibles. Sin embargo, junto a estos beneficios, la utilización de tecnologías conlleva un conjunto de riesgos. Ya lo ha constatado Esteve Pardo al decir que lo normal –y lo propio de la llamada sociedad de riesgo– es que la superación de ciertos peligros o riesgos traiga consigo la aparición de otros de una entidad diferente. Esta circunstancia dual supone objetivamente una forma de comprensión distinta, si se quiere más compleja, de la manera cómo entendemos y ejercemos nuestros derechos y libertades en una sociedad democrática. Conceptos como “orden público” y “seguridad” se desarrollan como límites ya no a las potestades públicas, sino a la propia manera de ejercer los derechos en los espacios públicos, y de ellos la privacidad pareciera ser el primer candidato 3 Whitaker, R., El fin de la privacidad, Paidós, Barcelona, 1999, p. 173. 4 Ibíd., p. 172.

83

a esa reinterpretación.5 El orden y la seguridad se han transformado en los principales argumentos para que las libertades cedan espacio frente a supuestas amenazas, iniciando un proceso difícil de retrotraer. El escenario actual es el de un conjunto de iniciativas a nivel mundial para acordar este tema conjugado con dos aspectos claves: el terrorismo y las políticas de migración6. La vigilancia mediante sistemas de cámaras puede alcanzar un amplio espectro al posibilitar la grabación y reproducción de las actividades de cualquier persona que se encuentre en el lugar observado. Esto necesariamente implica que se vea afectado un número elevado de individuos, incluyéndose entre ellos mayoritariamente a quienes no tienen ninguna intención de cometer un delito.7 Lo anterior, dado que a lo menos existen tres tipos de videovigilancia disponible: 1. Las cámaras de filmación continua, en la medida en que permiten obtener observaciones panorámicas, grabándose las imágenes de todas las actividades que tienen lugar en un determinado espacio. 2. Las cámaras con posibilidades de enfoques personalizados, mediante las cuales sobre una persona determinada se puede seguir y grabar sus movimientos, lo que también posibilita la obtención de más detalles con el correspondiente zoom. 3. El registro de sonido, en el que la grabación puede incluir la escucha y el registro de las conversaciones de las personas en los espacios públicos.8 De este modo, es posible que quienes administren las cámaras instaladas en los espacios públicos puedan no sólo realizar actividades de prevención situacional, sino que además sea tecnológicamente posible seguir a personas (supuestos sospechosos) e incluso interferir sus comunicaciones. A nuestro juicio, las preguntas razonables frente a tan potente capacidad se traducen en determinar lo siguiente: ¿cuáles son los estándares señalados por la ley para intervenir en determinadas circunstancias?, ¿quién puede instalar las cámaras de videovigilancia?, ¿quién las administra?, ¿qué y cuánto

5 Esto importa porque, como lo ha señalado De Bartolomé Cenzano, J. C., en El orden público como límite al ejercicio de los derechos y libertades (Centro de Estudios Políticos y Constitucionales, Madrid, 2002, p. 21), el concepto orden público se ha configurado como un límite absolutamente impreciso de los derechos y de la utilización desmedida en los más diversos sectores. En Chile la expresión “orden público” ha sido utilizada históricamente como “orden social”, interpretación dada de antiguo por Claro Solar, seguida por nuestro Tribunal Constitucional (rol 546). Este concepto, propio del modelo constitucional de 1833 y seguido originalmente por el diseño constitucional de 1980, otorga la competencia de “orden público en el interior” en el presidente de la república (art. 24). Como indica Pantoja Bauzá (Derecho administrativo. Concepto, características, sistematización, prospección, Editorial Jurídica de Chile, 1996, p. 66), implicaba que “el altar y el trono habían sido reemplazados, así en la república, por la libertad y la soberanía nacional, pero dentro de los límites que garantizaran a los gobernantes [...] el orden y la seguridad”. Este modelo aspiraba a “asegurar siempre el orden y la tranquilidad pública”. 6 En este sentido, ver la decisión 574/2007/CE para el desarrollo del programa “solidaridad y gestión de flujos migratorios”, en el cual se decide apoyar la acciones de los países miembros relativos a equipamiento operativo, consistente en la instalación y uso de sensores, equipos de videovigilancia”. 7 Von Hirsch, A., “Cuestiones éticas en torno a la vigilancia en espacios públicos mediante cámaras de televisión”, Indret, Barcelona, 4/2007, p. 4. 8 Palacios Huerta, P., “Análisis crítico del régimen jurídico de videovigilancia de las fuerzas de orden y seguridad pública”, tesis para optar al grado de magíster en derecho, Universidad de Chile, 2007.

84

graban?, ¿quién es el responsable de los archivos?, ¿por cuánto tiempo pueden ser guardados?, ¿pueden terceros acceder a ellos? En resumen, la pregunta central que debemos plantearnos es en qué supuestos la videovigilancia puede considerarse legítima y en cuáles no. Nuestra intención de responder a esta interrogante nos asiste ante la imperiosa necesidad de determinar en forma jurídica los límites razonablemente tolerables de la intromisión pública con finalidades preventivas. En otras palabras, ¿puede el Estado, y en particular su administración policial, instalar cámaras en el lugar que él decida y en los momentos que considere adecuados, unilateralmente, sin un estándar de escrutinio al cual someterse? Y, enseguida, ¿hasta qué punto existen –o pueden existir– legítimas expectativas de privacidad o de anonimato en los espacios públicos? A continuación trataremos de abordar de diversos modos esas interrogantes. Requisitos de legitimidad de la intervención pública: los estándares definidos por el Tribunal Constitucional

Como sabemos, la actuación administrativa está sometida al poderoso principio de legalidad, el que supone a su vez el sometimiento completo a la ley y al derecho.9 Así, aquélla es una actividad “típica”, en el sentido que ha de realizarse dentro de los límites que las normas establecen.10 Puede sostenerse que la administración está sometida a cinco modalidades de tipicidad.11 En primer lugar, la organizacional, pues corresponde a la ley definir qué organismos administrativos se crean12 y cuáles son sus estructuras orgánicas.13 En segundo lugar, la competencial, ya que la competencia se otorga por la ley a un órgano determinado que es el único que la puede ejercer, salvo en los casos de alteración de la misma, previstos también por la ley.14 En tercer lugar, la procedimental, que se expresa mediante las normas de procedimiento que la administración ha de respetar en su actuación.15 En cuarto lugar, la tipicidad teleológica, ya que las potestades solamente pueden ser ejercidas para los fines previstos por las normas que las otorgan, de manera que de no hacerlo

9 A esta visión también se le denomina “constitucionalización de la legalidad”, Cfr. Muñoz Machado, S., Tratado de derecho administrativo y derecho público en general, T. I., Civitas, Madrid, 2004, pp. 394 y ss. 10 Sobre este criterio hay consenso en las más discrepantes visiones doctrinarias en la literatura nacional: Soto Kloss, E. Derecho administrativo. Bases fundamentales, T. II., Editorial Jurídica de Chile, Santiago, 1996, pp. 24 y sig; Pantoja Bauzá, R., Derecho administrativo, clasicismo y modernidad, Editorial Jurídica de Chile, Santiago, 1994, pp. 205 y 208. Para un criterio más estandarizado ver Oelckers Camus, O. “El contenido y alcance del principio de legalidad de las actuaciones de la Administración del Estado”, en La administración del Estado de Chile. Decenio 1990-2000 (coord., R. Pantoja), Editorial Jurídica Conosur Ltda., Santiago, 2000, p. 455 y sig. 11 Ver Núñez Gómez, T., Abuso en la exigencia documental y garantías formales de los administrados, Atelier, Barcelona, 2005, pp. 91 y 92. 12 STC, rol 131, C. 10. 13 SSTC, roles 379 y 444. El mismo criterio en la jurisprudencia administrativa (dictamen 4.275, del 25 de enero de 2006). 14 Ver artículo 103 CPR en relación a los artículos 67 y 101 de la LOCGAR; en la misma orientación, artículos 37 y 38 LOCBGAE. 15 En este sentido artículo 63n n° 18 CPR; artículo 8° LOCBGAE y LBPA.

85

se dictarían actos arbitrarios16 o con abuso17 que pueden ser constitutivos de desviación de poder. Por último, la tipicidad presupuestaria, que supone la necesidad de autorización de la administración (por parte de la ley) para proceder al gasto público, la limitación de la cantidad a gastar y la fijación del destino de los créditos aprobados.18 Con estos criterios, se distinguen entre las facultades que corresponden a funciones objetivos y funciones competencias.19 Entendemos por funciones objetivos aquellos mandatos contenidos en normas legales que disponen el establecimiento de resultados (deseables) a obtener como cuestión prioritaria del servicio, pero que carecen de contenidos específicos y concretos para llevarlas a cabo directamente por las instituciones, de manera que es difícil identificar la potestad concreta de que se trata. Lo anterior no significa que dichas funciones carezcan de contenido, sino que requieren de la identificación precisa de otras normas para poder individualizar claramente el contenido de la potestad; ello sin perjuicio de que éstas también puedan servir como criterios de interpretación teleológica de otras normas. Por su parte, las funciones competencias corresponden a aquéllas en que la función tiene asociada claramente el contenido de una potestad, de manera que resulta fácil identificar qué hacer, cómo hacerlo y cuáles son los resultados de la intervención u omisión. Esta distinción resulta adecuada al momento de definir a quiénes corresponden las funciones y atribuciones asignadas por la ley a cada órgano del servicio, pues no basta la mención general de un objetivo para atribuirse la titularidad de una competencia específica. En efecto, existe acuerdo en que cuando las intervenciones públicas enfrentan o se conflictúan con derechos fundamentales su escrutinio es más exigente, lo que explica en parte el debate tras los tipos de reserva legal en el sistema constitucional chileno. Nuestro Tribunal Constitucional20 ha establecido un 16 Artículo 20 CPR. 17 Artículo 2° LOCBGAE. 18 Ver en este sentido los artículos 32 n° 20, 63 n° 7, 67 y 100 CPR; DL 1263 de 1975, LOAFE. Para este análisis debe considerarse también la STC rol 254 de 1997. 19 La distinción entre funciones competencias y funciones objetivos la hemos analizado en nuestro trabajo “La supletoriedad de la ley de bases de procedimiento administrativo”, en Acto y procedimiento administrativo. Segundas Jornadas de Derecho Administrativo, Ediciones Universitarias de Valparaíso, Valparaíso, 2006, pp. 53 y 54. 20 STC, rol 325. En el mismo sentido, roles 370, 373 y 388. Profundizando en un criterio semejante, aunque esta vez referido a la relación entre la potestad reglamentaria y la reserva de ley, este mismo tribunal señala que “[n]o puede la ley, por ende, reputarse tal en su forma y sustancia si el legislador ha creído haber realizado su función con meros enunciados globales, plasmados en cláusulas abiertas, o a través de fórmulas que se remiten, en blanco, a la potestad reglamentaria, sea aduciendo o no que se trata de asuntos mutables, complejos o circunstanciales. Obrar así implica, en realidad, ampliar el margen limitado que cabe reconocer a la discrecionalidad administrativa, con detrimento ostensible de la seguridad jurídica” (STC, rol 370, C. 19). Lo anterior, como consecuencia de lo sostenido por este mismo tribunal en su sentencia rol 325, en la cual impone como condición del ejercicio de las potestades administrativas su “especificidad”, es decir, que las medidas concretas a adoptar sean establecidas concretamente por medio de la ley. (C. 40). Estos criterios han sido reconocidos posteriormente por la STC rol 388. Por lo tanto, enunciados generales y abstractos, sin definición concreta de la potestad que se utiliza, carecen de eficacia. Lo anterior es aun más diáfano, si se considera que el Tribunal Constitucional repudia competencias conferidas a servicios públicos por la vía reglamentaria (STC, rol 444, C. 15 a 18). Idéntica conclusión

86

estándar para legitimar las intervenciones administrativas sobre derechos fundamentales, asumiendo, por supuesto, que el mandato inicial de esa intervención es privativa del legislador, como consecuencia del contenido y redacción del artículo 19, Nº 26, de la CPR. Concretamente ha señalado: “Que, en este sentido, es necesario reiterar el criterio que ha sostenido este tribunal en cuanto a que las disposiciones legales que regulen el ejercicio de estos derechos, deben reunir los requisitos de ‘determinación’ y ‘especificidad’. El primero exige que los derechos que puedan ser afectados se señalen, en forma concreta, en la norma legal; y el segundo requiere que la misma indique, de manera precisa, las medidas especiales que se puedan adoptar con tal finalidad. Por último, los derechos no podrán ser afectados en su esencia, ni imponerles condiciones, tributos o requisitos que impidan su libre ejercicio”. Cumplidas dichas exigencias, es posible y lícito que el poder ejecutivo haga uso de su potestad reglamentaria de ejecución, pormenorizando y particularizando la norma en los aspectos instrumentales, para hacer así posible el mandato legal. Por otro lado, el propio Tribunal Constitucional ha establecido estándares para las medidas intrusivas de la actividad administrativa.21 En primer lugar, no basta la remisión constitucional a “la ley” para configurar cualquier potestad de intervención frente a un derecho fundamental. Sostiene el Tribunal que al garantizar la Constitución “el respeto y protección a la vida privada y pública y a la honra de la persona y de su familia” (art. 19, Nº 4), y considerando que “la inviolabilidad del hogar y de toda forma de comunicaciones y documentos privados”, y que éstos sólo pueden “interceptarse, abrirse o registrarse en los casos y formas determinados por la ley” (art. 19, Nº 5), supone que no le está permitido “al legislador dictar normas que impliquen afectar el núcleo esencial del derecho asegurado o despojarlo de la protección que le corresponde”. En segundo lugar, sólo son compatibles con la Constitución competencias que tienen pautas objetivas, y no remisiones amplias exentas de control. En este contexto, las normas que habiliten a actuar “sin trazar en la ley las pautas objetivas y sujetas a control que aseguren que dicho órgano estatal se ha sometido a ellas” afectan la constitucionalidad de las mismas.

es posible de extraer de la sentencia rol 379. Un criterio semejante había señalado este tribunal cuando debía ejercer el control de constitucionalidad, si bien sobre LOC, en la medida en que la indeterminación de las referencias a otras normas “vigentes” impedía ejercer un adecuado control, porque “al remitirse a normas legales anteriores, sin distinción alguna y sin otra limitación que la de no oponerse a esta ley, impide que el tribunal ejerza, a cabalidad y razonablemente, el control de su constitucionalidad, habida consideración de la abundante y compleja legislación que existe sobre el particular” (STC, rol 78, C. 28). Igual criterio siguió cuando declaró inconstitucionales normas que asignaban competencias con expresiones como “entre otras”, “primordialmente” y “principalmente”, pues dichas formulas generan indeterminación que no se aviene con la carta fundamental, por ausencia de especificidad (STC, rol 284, C. 9 y 10). 21 Ver rol 433.

87

Por último, si se otorga por la ley a una autoridad administrativa una potestad discrecional indeterminada es inconstitucional. El tribunal afirma que al permitir una norma legal el ejercicio de una competencia discrecional, que además es indeterminada, puede afectar derechos indeterminadamente.22 Considerando los criterios señalados por el Tribunal Constitucional relativos a autoridades administrativas, es posible afirmar que en la actualidad existen estándares constitucionales que es necesario cumplir para legitimar las intervenciones de autoridades estatales que tengan efectos ablatorios sobre derechos. Estos serían: a) no es cobertura suficiente que la garantía pueda regularse por ley por expresa remisión constitucional, pues la medida no puede afectar el derecho en su esencia (reserva material); b) para la intervención es necesario que la ley disponga de pautas objetivas (criterios precisos) que habiliten la intervención, siendo insuficientes criterios institucionales e incluso remisiones reglamentarias que definan el momento y la oportunidad;23 c) la intervención siempre debe estar sujeta a control; d) este control debe ser heterónomo, es decir, corresponde al juez y no es suficiente el autocontrol administrativo; y e) debe ser posible y real el derecho a reaccionar oportunamente (derecho a la defensa) para evitar la afectación de la garantía.24 De este modo, otorgar competencias genéricas a una autoridad administrativa para afectar garantías constitucionales resulta inadmisible si no se cumplen los mencionados estándares, toda vez que ello generaría una “competencia discrecional” que no es compatible con procedimientos racionales y justos,25 sobre todo por la ausencia de control para los cuales los registros materiales de las actividades de la autoridad en cuestión resultan esenciales. Esta forma de enfrentar los problemas por parte del Tribunal Constitucional da cuenta de que, en su opinión, resulta fundamental para la cobertura adecuada del principio de legalidad la precisión y determinación de las competencias asignadas por la ley a las autoridades administrativas, no sólo para su ejercicio, sino también para su adecuado control. Dentro de ese contexto analizaremos a continuación el marco normativo de la videovigilancia en Chile.

22 Ya había sostenido el TC que “la potestad discrecional no puede tener validez alguna cuando sobrepasa o desborda la Constitución Política, y ello ocurre cuando la disposición legal que la concede coloca al funcionario o servicio que puede ejercerla sin sujeción a control judicial alguno, en posición de que con su actuación afecte o desconozca las libertades y derechos que la Constitución asegura a todas las personas”. STC, rol 198, C. 10º. 23 Este criterio aplicable a garantías constitucionales exige, según el TC, especificidad del derecho afectado y determinación de la medida a adoptar en cobertura legal completa. SSTC roles 325, 370, 373 y 388. 24 Cordero Vega, L., “Derecho administrativo y Tribunal Constitucional”, Apuntes, Facultad de Derecho de la Universidad de Chile, Santiago, 2007, p. 16. 25 SSTC, roles 349, 376 y 437.

88

Marco regulatorio de la videovigilancia en Chile26

1. La regulación administrativa básica: la directiva de Carabineros de Chile Lo primero que debemos señalar es que la videovigilancia carece de una regulación legal explícita que autorice su utilización y, en nuestra opinión, que cumpla con los estándares establecidos por nuestro Tribunal Constitucional para legitimar la intervención. La regulación de las cámaras de videovigilancia descansa en la orden general (reservada) 996, de abril de 1994, de la Dirección General de Carabineros, que aprobó la “Directiva para los servicios del sistema de vigilancia policial por cámaras de televisión”.27 Ésta se dictó con el propósito de poner en funcionamiento el convenio que suscribieron la Municipalidad de Santiago y Carabineros de Chile en junio de 1993.28 La directiva, en estricto rigor, constituye una instrucción interna dictada por el director general de Carabineros en el marco de su potestad jerárquica, tal como consta en la exposición de motivos de la misma.29 Según ella, el objetivo es incorporar “tecnologías” con el fin de “contribuir al cumplimiento de la vigilancia preventiva que compete a Carabineros de Chile, cuando permite ampliar la cobertura de los servicios de vigilancia a través del empleo de sistemas de transmisión de imagen y sonido”. La directiva se compone de cinco títulos. El primero regula la misión, organización y funciones; el segundo, la dependencia y el tratamiento de la información; el tercero, el personal y su instrucción; el cuarto, los cargos, funciones, atribuciones y roles del servicio, y el quinto, disposiciones vinculadas a los costos del sistema. La razón habilitante esgrimida para fundar esta competencia es la denominación “servicios policiales”, a la cual hace mención el art. 3 de la LOCC, en tanto señala que “Carabineros de Chile podrá establecer los servicios policiales que estime necesarios para el cumplimiento de sus finalidades específicas, siempre que no interfieran con otras instituciones dependientes del Ministerio de la Defensa Nacional”. Precisa a continuación que “es misión esencial de la institución desarrollar actividades tendientes a fortalecer su rol de policía preventiva”. Para muchos, esta norma sirve para fundar algo que es obvio. La utilización de las cámaras de videovigilancia permite la optimización del recurso 26 Ver Palacios Huerta, P., op. cit. 27 Esta directiva se mantuvo como reservada hasta el año 2006, cuando se consideró de contenido público luego de la reforma constitucional de 2005. 28 El marco regulatorio de la videovigilancia se ha basado en las competencias que entrega la LOCM al señalar que corresponderá a los municipios competencias compartidas en materia de “seguridad ciudadana” (art. 4, j). Hasta la fecha se han suscrito treinta convenios, de los cuales 26 han sido cámaras financiadas por municipios, 2 por gobiernos regionales y 2 por privados directamente (Palacios Huerta, P., op. cit., anexo). 29 Como se sabe, las instrucciones son órdenes de buen servicio que sólo tienen validez al interior del servicio y que no pueden ser oponibles a terceros. Silva Cimma, E., Derecho administrativo chileno y comparado, introducción y fuentes, Editorial Jurídica de Chile, Santiago, 1996, p. 263.

89

humano policial para llevar a cabo sus actividades, de manera que implica el establecimiento de un servicio eficaz en sus objetivos y eficiente en la administración de los recursos. El problema está en que la videovigilancia no es un “servicio policial” cualquiera, pues supone una concreta y determinada intervención administrativa de control público, mediante el ejercicio de potestades públicas exorbitantes que afectan derechos de las personas. Al respecto, la propia directiva citada señala en su exposición de motivos que “la explotación de este sistema opera sobre el irrestricto respeto al ejercicio de los derechos individuales de las personas y no tiene otra finalidad de extender el manto protector de Carabineros de Chile, sobre la comunidad a la que está llamada a servir”. Por otra parte, el Tribunal Constitucional limitó la mención “servicios policiales” –en el marco del control preventivo obligatorio de la LOCC–30 al señalar que éstos deben ser entendidos dentro de las atribuciones que les han sido entregadas, toda vez que la creación de nuevos servicios públicos, así como la determinación de sus funciones y atribuciones, es materia de ley de iniciativa exclusiva del presidente de la república. 2. El Código de Procedimiento Penal La regulación nacional da origen a una curiosa situación: mientras la utilización de cámaras y la grabación de imágenes está completamente desregulada, la utilización de medios de registro de imágenes por parte de la policía en la investigación de delitos, como órganos de colaboración del Ministerio Público, está regulada.31 El art. 181 del Código de Procedimiento Penal señala, en el marco de las actividades de la investigación dirigida por el Ministerio Público sujeta a la responsabilidad de un fiscal, que se podrá disponer de la “toma de fotografías, filmación o grabación, y en general, la reproducción de imágenes, voces o sonidos por los medios técnicos que resultaren más adecuados”. Por otro lado, el art. 226 señala a propósito de otros medios técnicos de investigación, que “cuando el procedimiento tuviere por objeto la investigación de un hecho punible que mereciere pena de crimen, el juez de garantía podrá ordenar, a petición del Ministerio Público, la fotografía, filmación u otros medios de reproducción de imágenes conducentes al esclarecimiento de los hechos”. En el mismo sentido, y esta vez sobre la regulación de otros medios de prueba, el art. 323 señala que “podrán admitirse como pruebas películas cinematográficas, fotografías, fonografías, videograbaciones y otros sistemas de reproducción de la imagen o sonido”, únicamente pudiendo el tribunal determinar “la 30 STC, rol 103. 31 La Constitución señala que el Ministerio Público “podrá impartir órdenes directas a las fuerzas de orden y seguridad durante la investigación” (art. 83, inciso 3°), para ejercer su competencia constitucional única, privativa y excluyente, que es la “investigación de los hechos constitutivos de delito” (art. 83, inciso 1°).

90

forma de su incorporación al procedimiento, adecuándola, en lo posible, al medio de prueba más análogo”. Como se puede apreciar, la utilización de grabaciones de los imputados se halla regulada estrictamente, de manera que la actividad policial no sólo encuentra un marco regulatorio en la ley, sino que también está sujeta a escrutinio por parte del fiscal y el juez. Resulta curioso constatar que, a final de cuentas, tenemos más garantías frente a las policías en calidad de imputados que en la de simples ciudadanos, lo que no deja de tener cierta inconsistencia. 3. Tránsito El uso de cámaras en materia de tránsito nos permite contextualizar también adecuadamente el uso de imágenes. Es conocido por todos que la utilización por parte de los municipios de los denominados fotorradares dio origen a un complejo debate. En efecto, la ley 19.676 autorizó la utilización de equipos automáticos de detección de infracciones y el uso de imágenes reproducidas o la información recogida como medios legales de prueba. Como consecuencia del uso indebido de ellos, principalmente derivado de la finalidad recaudadora de los municipios, se dictó la ley 19.791, que estableció una amnistía y señaló que sólo se podían cursar infracciones con radares portátiles operados por Carabineros. Finalmente, se dictó la ley 19.816, de 2002, que reguló el uso del sistema de videovigilancia para el control del tránsito, señalando que éste se sujetaría a un reglamento del Ministerio de Transportes y que sólo puede ser operado por Carabineros e inspectores fiscales, y obligando al reglamento a indicar su utilización. La norma del art. 4.5 de la ley del tránsito terminó estableciendo los estándares sobre los cuales debía construirse este sistema al señalar que debía disponerse especialmente “la existencia de señales de tránsito que adviertan con claridad y en forma oportuna a los conductores los sectores en que se usan estos equipos; y adoptará medidas tendientes a asegurar el respeto y protección de la vida privada, tal como la prohibición de que las imágenes permitan individualizar a los ocupantes del vehículo”.32 4. Seguridad privada El DL 3.607 de 1981 regula el funcionamiento de los vigilantes privados, señalando que éstos tienen por objetivo exclusivo la “protección y seguridad interior de los edificios destinados a la habitación, a oficinas o a otra finalidad; de conjuntos habitacionales; de recintos, locales, plantas u otros establecimientos de empresas cualquiera sea su naturaleza, tales como industrias, comercio, establecimientos mineros y, en general, la protección y seguridad de los bienes y personas que halla en dichos lugares” (art. 1). 32 La cursiva es nuestra.

91

De conformidad al art. 6 de ese decreto ley, Carabineros tiene competencias fiscalizadoras sobre quienes desarrollen asesorías o prestación de servicios en la materia, así como las oficinas de seguridad y los vigilantes privados. El decreto establece que determinadas instituciones deben disponer de sistemas de seguridad privada de carácter obligatorio –incluidos vigilantes privados y oficinas de seguridad, como instituciones bancarias o financieras, empresas de transporte de valores, empresas estratégicas y servicios de utilidad pública–. Respecto de ellas, el DS 1.122 de 1998 señala que estas entidades deben disponer de “sistemas de filmación de alta resolución que permitan la grabación e imágenes nítidas”. Por su parte, la ley 19.303, que estableció medidas de seguridad especiales para entidades que reciban o paguen valores o dinero, las obliga a la adopción de un sinnúmero de medidas. El DS 1.722 de 1994, que reglamenta esa ley, señala que las medidas de seguridad que deben llevar a cabo involucran “la implementación de recursos humanos, elementos físicos y tecnológicos y los procedimientos a seguir, con el fin de evitar la comisión de hechos delictuales y proteger la seguridad de las personas”. De este modo, en materia de seguridad privada existe una referencia general a la utilización de los medios tecnológicos en los cuales cae la videovigilancia, quedando en manos de Carabineros aprobar las medidas de seguridad y la operación de las mismas. 5. Seguridad privada y establecimiento de comercio Como se aprecia al margen de las regulaciones de seguridad privada, los establecimientos privados pueden disponer de cualquier sistema de seguridad mediante cámaras de videovigilancia, sin que exista la obligación de comunicar a la autoridad administrativa su instalación, operación y tratamiento de la información. Sin embargo, la ley del consumidor establece un estándar de protección al indicar que “los sistemas de seguridad y vigilancia que, en conformidad a las leyes que los regulan, mantengan los establecimientos comerciales están especialmente obligados a respetar la dignidad y derechos de las personas” (art. 15). Problemas de legitimidad de la videovigilancia

Parece no caber duda de que la videovigilancia puede afectar los derechos de las personas. Por eso, la posibilidad de que el Estado recurra a un mecanismo electrónico con el que puede observar a sus ciudadanos sin que éstos lo sepan, y que además las imágenes obtenidas en el proceso puedan ser almacenadas, clasificadas o tratadas sin conocimiento ni consentimiento de los ciudadanos-protagonistas, es, cuando menos, una condición de riesgo que debiese ser regulada.

92

La utilización de las cámaras de videovigilancia supone una limitación, o a lo menos una amenaza, para un conjunto de derechos, como la libertad, la intimidad e imagen personales, la inviolabilidad del domicilio, el secreto de las comunicaciones, la protección frente al tratamiento automatizado de datos de carácter personal, la libertad de circulación, el derecho de reunión, el derecho de la tutela judicial efectiva y el derecho de huelga. En este sentido, se afirma que, aunque los derechos fundamentales puedan ceder ante bienes o intereses relevantes, deben primero revisarse las restricciones que se imponen con el uso de la videovigilancia, con el objetivo de verificar si el descenso en las barreras de protección que otorgan a las personas afectadas se justifica en atención a la propia y previa conducta del sujeto vigilado en las circunstancias en que se encuentra inmerso.33 Si el Estado tiene la posibilidad y utiliza medios de captación de imagen y sonido, no es ilógico pensar que ello tendrá un impacto en el comportamiento del individuo en espacios abiertos al público. Como nos recuerda el Tribunal Constitucional alemán en la conocida sentencia sobre la ley del censo, “quien se siente inseguro de si en todo momento se registran sus comportamientos divergentes y se catalogan, utilizan [...] transmiten permanentemente a título de información, procurará no llamar la atención con esa clase de comportamientos. Quien sepa de antemano que su participación, por ejemplo, en una manifestación cívica va a ser registrada por las autoridades y que podrán derivarse riesgos para él por este motivo, renunciará presumiblemente a lo que se supone un ejercicio de los correspondientes derechos fundamentales”. Un efecto de este tipo –en que se demoniza el foro público, para ponerlo en términos de Sunstein– ciertamente no colabora al carácter deliberativo de la democracia. Por esta razón, compartimos con quienes sostienen que no cabe la menor duda de que la videovigilancia afecta el ejercicio directo de derechos de los ciudadanos que se ejercen en lugares públicos. El hecho de saberse permanentemente observado y registrado reprime y coarta su ejercicio pleno. Sin embargo, entendemos que la utilización de estas cámaras en lugares públicos es tolerada por la Constitución siempre que su establecimiento se ajuste a los estrictos estándares señalados por ella.34 El conflicto no se centrará en la ponderación con otros derechos fundamentales, porque el conflicto no es con ellos, ya que el Estado no ejerce ninguno. El problema estará en averiguar si el estándar de intrusión –legalidad, idoneidad y proporcionalidad– exigido por la Constitución se ajusta en su establecimiento. 33 Arzoz Santisben, “Videovigilancia y derechos fundamentales: análisis de la constitucionalidad de la ley orgánica 4/1997”, Revista Española de Derecho Constitucional, 64/2002, Civitas, Madrid, p. 140; Von Hirsch, A., op. cit., p. 7. Recientemente ha señalado el informe de la oficina del comisario de comunicaciones del Reino Unido, el país con más videovigilancia per cápita del mundo, que se “reconoce que la videovigilancia es altamente intrusiva y que sus consecuencias negativas pueden hacer que ésta pierda el apoyo desde instancias públicas del que podría llegar a gozar en otro contexto”. 34 Rebollo Delgado, L., El derecho fundamental a la intimidad, Dykinson, Madrid, 2000, p. 167.

93

En el sistema chileno existen tres órdenes de legitimidad de los cuales es necesario hacerse cargo: la de origen, la de intimidad y la de impactos sobre los datos personales. A continuación nos referiremos a cada una de ellas. 1. La legitimidad de origen: la ausencia de regulación legal suficiente La lógica del sistema constitucional y de las intervenciones administrativas no sólo supone la asignación legal de potestades públicas, sino que, además, cuando éstas se vinculan con derechos fundamentales, exigen el sometimiento a un estricto escrutinio de legitimidad constitucional, también conocido como reserva legal. Si bien sobre este tema existe una serie de discusiones –en particular en el sistema chileno, y del cual ha dado cuenta la doctrina y la jurisprudencia constitucional en los últimos años–35, nadie duda de que la intervención, limitación o restricción de derechos requiere de ley. Podemos discutir respecto de la naturaleza de la reserva legal –absoluta o relativa–, pero sin reserva la discusión adolece de legitimidad. Hemos visto ya que la instalación y utilización de cámaras de videovigilancia carece de una cobertura regulatoria explícita que no sólo determine qué competencias tiene la administración, sino además bajo qué estándar se decide la instalación de dichas cámaras, como manifestación de la idoneidad y proporcionalidad de las intervenciones administrativas sobre derechos (que se manifiesta en la prohibición de arbitrariedad), el control de las mismas y la responsabilidad por su utilización. Esas cámaras carecen entre nosotros de la tipicidad teleológica exigida a las intervenciones públicas y de la reserva material para la intervención de derechos. Por lo tanto, aquéllas utilizadas por las fuerzas de orden y seguridad pública destinadas al control situacional, al margen de la investigación de ilícitos penales concretos, adolecen de cobertura legal y, en consecuencia, son ilegales. 2. La legitimidad de los derechos afectados: la insuficiente comprensión de la intimidad Un segundo aspecto que debemos abordar en las cuestiones vinculadas a la legitimidad en la utilización de estos instrumentos es si la grabación, por parte del Estado, en una vía pública viola o no el derecho a la intimidad. La doctrina nacional ha planteado tradicionalmente un enfoque básico sobre el modo de entender este derecho, en la manera señalada en el art. 19,

35 Son relevantes en esta materia el temprano trabajo de Carmona Santander, C., “Tendencias del Tribunal Constitucional en la relación ley-reglamento”, Revista de Derecho Público, Santiago, 61, 1998-1999, pp. 180 y ss.; y una actualización de García, G., La reserva legal de derechos constitucionales: ¿poder legislativo contra la administración?, Universidad Alberto Hurtado, Santiago, 2004, 5, pp. 215-240. También es interesante el análisis de esta jurisprudencia constitucional de Cazor Aliste, K., La sumisión a derecho de los actos y disposiciones del presidente de la república, t. I., Universidad Central de Chile, Santiago, 2002, pp. 110-136.

94

Nº 4, de la CPR. En efecto, ha señalado que la vida privada es el conjunto de asuntos, conductas, documentos, comunicaciones, imágenes o recintos que el titular de un bien jurídico constitucionalmente protegido no desea que sea conocido por terceros sin su consentimiento previo, vinculando este derecho de manera relativamente sistemática en el tiempo al de la inviolabilidad del hogar y las comunicaciones36. Esta forma de enfrentar el problema llevó a una ausencia de definición concreta entre las voces privacidad, intimidad y vida privada –que generaron en la doctrina comparada debates y posiciones diferentes–, por lo que entre nosotros las tres denominaciones se han utilizado con cierta equivalencia.37 Por otro lado, buena parte de nuestro debate en torno a este derecho se ha concentrado en su relación y conflictividad con la libertad de expresión, lo que explica de alguna manera la reforma constitucional de 2005 en el art. 19, Nº 4, mediante la eliminación del concepto vida pública y el delito de difamación.38 Sin embargo, el problema en relación a la videovigilancia es aun más concreto: ¿pueden considerarse las actividades de una persona común y corriente, y que sean desarrolladas en público, observadas por las cámaras de videovigilancia, como parte de la vida privada? Para algunos la respuesta es negativa, para otros –entre los que me incluyo– es positiva. Los primeros consideran que el hecho de que los comportamientos desarrollados en lugares públicos queden reservados o cubiertos frente a terceros es absurdo, pues es difícil comprender cómo es privado lo que se realiza en público: quien desee intimidad debe refugiarse en un espacio privado, se afirma39. Por otro lado, dado que la vigilancia en espacios públicos implica la observación de personas corrientes yendo y viniendo de un lugar a otro en un sitio abierto y accesible para todos, en tales espacios las personas corrientes tienen la expectativa de mantener su anonimato, es decir, el poder ir y venir sin ser identificados y sin que sus actividades estén sujetas a una especial o prolongada observación. No obstante, manteniendo un criterio estricto de intimidad, la utilización de cámaras de videovigilancia en espacios públicos puede afectar este derecho de diferentes formas: primero, al permitir la grabación de conversaciones privadas en espacios públicos, y, segundo, al hacer factible

36 En este sentido, Cea Egaña, J. L., Derecho constitucional Chileno, t. II, Ediciones Universidad Católica de Chile, Santiago, 2004, p. 178; Evans de la Cuadra, E., Derechos constitucionales, t. III, Editorial Jurídica de Chile, Santiago, 2004, p. 242; Silva Bascuñán, A., Tratado de derecho constitucional, t. XI, Editorial Jurídica de Chile, Santiago, 2006, pp. 180 y ss.; Corral Talciani, H., “El respeto y protección de la vida privada en la Constitución de 1980”, 20 años de la Constitución chilena, 1981-2001, Editorial Jurídica ConoSur, Santiago, 2001, pp. 199 y ss. En este sentido, ver SSTC, roles 198, 389, 417, 433, 460 y 521. 37 En este sentido, ver Rebollo Delgado, L., op. cit. 38 Pfeffer, E., y Evans, E., “Reforma constitucional 2005. Derechos y garantías constitucionales”, Reforma constitucional, Francisco Zúñiga (ed.), Lexis/Nexis, Santiago, 2005, p. 331. Para una evolución de la jurisprudencia sobre este tema y su relación con la libertad de expresión, ver Anguita Ramírez, P., El derecho a la información en Chile, Lexis/Nexis, Santiago, 2005, pp. 85 y ss. 39 Diez-Picazo, L. M.., Sistema de derechos fundamentales, Civitas, Madrid, 2003, p. 257.

95

–mediante el empleo de zoom– la consecución de imágenes detalladas de los rasgos físicos de ciertas personas.40 Cabe destacar que forma parte también del ejercicio de este derecho la capacidad que una persona tiene de determinar cómo presentarse al mundo. En este sentido, las convenciones en torno a la privacidad son una forma importante de mantener, bajo un mínimo de control, las expectativas que toda persona debe atender y la curiosidad que él o ella necesite satisfacer. En síntesis, una vida tolerable es aquélla en la que no todas las actividades de uno, incluso las de naturaleza bastante rutinaria, son ocupaciones de cualquiera.41 Como ha señalado el Tribunal Europeo de Derechos Humanos en el conocido caso Peck, “la vida privada es un concepto amplio no susceptible de una definición exhaustiva, pero dentro de ella se encuentra el derecho a la identidad y al desarrollo personal, y el derecho a establecer y desarrollar relaciones con otros seres humanos y el mundo exterior, y puede incluir actividades de naturaleza profesional o de negocios. Existe, pues, una zona de interacción de una persona con otras aun en un contexto público, que puede caer en el ámbito de la vida privada”.42 Por otro lado señaló, en el caso P. G. y P. H., que “una persona que camina por la calle será, inevitablemente, visible a cualquier persona del público que también esté presente. El monitoreo por medios tecnológicos de la misma escena pública (por ejemplo, un guardia de seguridad observando a través de circuitos de televisión cerrados) es de similar carácter. Sin embargo, pueden surgir consideraciones desde el punto de vista de la vida privada una vez que toma existencia de cualquier registro sistemático o permanente de tal material desde el dominio público”.43 3. La legitimidad del ejercicio de la potestad: el tratamiento de los datos personales Un último aspecto que es necesario abordar es si la captura de imágenes por cámaras de videovigilancia en espacios públicos implica o no un tratamiento de datos personales.

40 Éste es el supuesto sobre el cual descansa la grabación de imágenes en las exiguas regulaciones nacionales: precisamente que la utilización de cámaras de videovigilancia puede afectar la vida privada de las personas, supuesto sobre el cual está construido el art. 4.5 de la ley del tránsito, antes aludido. 41 Von Hirsch, A., op. cit., p. 9. 42 Peck con Reino Unido, 28 de enero de 2003, parr. 57. Para un análisis sobre este caso, ver Navalpotro Ballesteros, T., “Los derechos individuales frente a la videovigilancia pública. Una necesaria mirada retrospectiva a la sentencia Peck del Tribunal Europeo de Derecho Humanos”, Revista Española de Derecho Administrativa, 135/2007, Civitas, Madrid, p. 613 y ss. En el caso X con Reino Unido, 12 de octubre de 2003, la Comisión Europea de Derechos Humanos consideró que la obtención de fotografías en una marcha contra el apartheid, pese a realizarse en un lugar público, forma parte de la vida privada de una persona. 43 P. G. y P. H. con Reino Unido, 5 de septiembre de 2001. La grabación es un aspecto relevante. En efecto, en el caso Herbecq y otro con Bélgica, el 14 de enero de 1998, el tribunal consideró que el monitoreo de un individuo en un lugar público mediante el equipamiento fotográfico que no graba información visual no constituye, como tal, una interferencia en la vida privada de un individuo. Las sentencias se pueden encontrar en el sitio oficial del Tribunal Europeo de Derecho Humanos: www.echr.coe.int

96

De conformidad a la ley 19.628, son datos personales “los relativos a cualquier información concerniente a personas naturales, identificadas o identificables” (art. 2, letra f ), y tienen la calidad de sensibles “aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual” (art. 2, letra g). Existe consenso en que las imágenes obtenidas desde cámaras de videovigilancia constituyen datos de personas identificadas o identificables, que se refieren en la mayoría de los casos a cuestiones de la vida privada o anonimato que una persona desea mantener.44 En este sentido, el art. 29 de la directiva europea 95/46/CE sobre protección de datos y derecho a la intimidad ha señalado, en el dictamen 4/2004, que a las imágenes y los sonidos relativos a las personas identificadas o identificables les son aplicables las garantías y derechos de las leyes de protección de datos personales. Afirma que “la proliferación excesiva de sistemas de captación de imagen en zonas públicas y privadas no deberá traducirse en la imposición de restricciones injustificadas a los derechos y libertades fundamentales de los ciudadanos; de lo contrario, los ciudadanos podrían verse obligados a someterse a procedimientos desproporcionados de recogida de datos que permitirían su identificación masiva en diversos lugares públicos y privados”. En nuestro caso, de las normas transcritas parece suficiente señalar que las imágenes y sonidos captados por la policía en la utilización de cámaras de videovigilancia constituyen datos personales de carácter sensible y, en consecuencia, les son aplicables todas las restricciones establecidas en la ley y los derechos y garantías de los ciudadanos.45 En lo que a esta materia respecta, nos interesa destacar que los organismos públicos se encuentran sujetos a esta ley y deben hacerlo según los estándares establecidos por ella. En efecto, ésta es clara al exigir competencia explícita para el “tratamiento de datos personales” (art. 4), a menos que el titular consienta en ello o bien que esos datos provengan de fuentes accesibles al público, lo que en la especie no sucede con la videovigilancia al ser operadas y registradas sólo por Carabineros. Por otro lado, la ley establece en el art. 2 que el tratamiento de datos personales “sólo puede efectuarse respecto de las materias de su competencia” y con sujeción al sistema de garantías de la ley. Muchos podrían ver en esta regla la norma que faculta a la policía al tratamiento de datos provenientes 44 En este sentido, Navlapoltro Ballesteros, T., op. cit., p. 625; Von Hirsch, A., op. cit., p. 11; Diez-Picazo, L. M., op. cit., p. 257. 45 Sobre su contenido y regulación, ver Anguita Ramírez, P., La protección de datos personales y el derecho a la vida privada, Editorial Jurídica de Chile, Santiago, 2007.

97

de las cámaras de videovigilancia, pero no basta con las competencias genéricas, tal como lo ha dicho el Tribunal Constitucional, sino que es necesaria la competencia precisa y determinada, lo que es aun más diáfano si se considera que la videovigilancia aporta datos de carácter sensible que, por expreso mandato de la ley (art. 10), requiere remisión explícita para su tratamiento, lo que en la especie no sucede. Lo anterior es más complejo todavía dado que la ley ordena a los organismos públicos llevar un registro de los bancos de datos personales a cargo de organismos públicos (art. 22), cuyo responsable es el Registro Civil. Carabineros registra sólo dos: el de sistema de información administrativa de personal y el de credenciales de seguridad,46 y nada sobre videovigilancia. Conclusiones y recomendaciones

La utilización de videovigilancia se ha ampliado ostensiblemente en los últimos años. Las tasas de crecimiento son abismantes en el mundo, acompañadas, principalmente, de la mayor demanda por seguridad. Si bien la utilización de estas cámaras puede traer consecuencias positivas para las comunidades en lo relativo a la prevención situacional, la prevención general, el control de la criminalidad e incluso el encuentro de personas extraviadas impone, a la vez, importantes desafíos y límites al ejercicio de nuestros derechos. La videovigilancia implica ejercer una potestad de control por parte del Estado y, por lo mismo, debe estar sujeta a estrictos escrutinios que viabilicen su actividad. Mientras el estándar constitucional para los derechos es pro libertatis, para el Estado la asignación de competencias vía legalidad típica es una garantía para las personas. La ausencia de regulación sustantiva que establezca quién opera estas cámaras, cómo y dónde se instalan, quién las administra y los derechos de los ciudadanos respecto de los datos almacenados por las mismas, obliga a cumplir con un estándar básico y elemental exigido por la Constitución, la existencia de ley. La manera en que han funcionado hasta ahora no sólo resulta inaceptable por sus consecuencias, sino que, fundamentalmente, por los riesgos que trae aparejado para los ciudadanos. Por otro lado, la utilización de videovigilancia nos obliga a preguntarnos sobre los límites de nuestros derechos, principalmente el de la vida privada. No es posible aceptar que la mera ubicación en un espacio público autorice a afirmar que nuestro derecho no se encuentra sujeto a protección, porque la condición del ejercicio del mismo depende del contenido de las actividades y, además, de la pretensión del sujeto que ejerce su derecho.

46 http://rbdp.srcei.cl/rbdp/html/Consultas/consultas.html (última consulta: 18.01.09).

98

Es necesario abordar en otros trabajos preguntas más precisas, como los estándares para el establecimiento de estas cámaras (debe existir suficiente justificación para emplearlas en determinados lugares), los criterios de información, el establecimiento de procedimientos que fijen la cadena de responsabilidad en la administración de las imágenes y el acceso a las mismas.47 En el mismo sentido, otras investigaciones debiesen preguntarse sobre la videovigilancia administrada por privados, que no se encuentra sujeta a estándar alguno, sometida a una supuesta autodeterminación que se ve agravada por las deficiencias de nuestra ley de datos personales, como ya advirtió la doctrina especializada.48

Se agradecen los comentarios que a una versión preliminar de este documento realizaron Ximena Insunza, los ayudantes Álex Valladares y Rodrigo Vallejo, y el profesor Lucas Sierra. Igualmente, se agradecen los comentarios del profesor Claudio Nash, formulados en el seminario sobre protección de datos realizado en julio de 2008 y organizado por Expansiva y la Facultad de Derecho de la Universidad de Chile.

47 Es necesario considerar que con la dictación de la ley 20.285 (DO 20.08.08), sobre acceso a la información pública, corresponderá al Consejo para la Transparencia “velar por el adecuado cumplimiento de la ley 19.628, de protección de datos de carácter personal, por parte de los órganos de la administración del Estado”. 48 Una excelente sistematización de argumentos, en Anguita Ramírez, P., La protección de datos personales y el derecho a la vida privada, op. cit., pp. 292 y ss.

99