En entrevista con Actualidad Jurídica: El Blog de DOE, la jefa de la División de Información Social del Ministerio de Desarrollo Social y Familia, Verónica Achá, se refirió al rol que cumple la división en cuanto a la gestión de datos personales, tras la aprobación de la ley de protección de datos personales por parte del Congreso.
En ese sentido, la experta anticipa que, con la implementación de la normativa, tendremos un enfoque más riguroso hacia la protección de la privacidad, incluyendo la capacitación de personal y el establecimiento de buenas prácticas en el manejo de información. Además, asegura que esto permitirá no solo un tratamiento más ético y responsable de los datos, sino también una colaboración más efectiva con otras instituciones para garantizar la seguridad en el intercambio de información.
Verónica, ¿puedes contarnos sobre el rol específico de la División de Información Social dentro del Ministerio de Desarrollo Social y Familia, y cómo se vincula con la nueva ley de datos personales?
Nosotros estamos encargados de la administración de las plataformas tecnológicas del ministerio: bases de datos, infraestructura tecnológica general y, en particular, de la gestión de los datos del ministerio.
En específico, por ejemplo, nosotros tenemos la responsabilidad de administrar el Registro de Información Social, que es el banco de datos personales y sensibles que fue creado por ley hace varios años para mejorar las políticas sociales tanto de este ministerio como del resto de la institucionalidad pública.
Entonces, nosotros somos responsables de una cantidad importante de datos que nuestro ministerio trae hacia sí para poder mejorar y realizar sus funciones, así como colaborar con el resto de la protección social en el país.
¿Qué cambios anticipas en la gestión de datos sociales con la implementación de la nueva ley de datos personales?
Bueno, empezamos a visualizar con mucha anticipación los tipos de requerimientos que podrían surgir en la misma. Estábamos mirando la GDPR de la Comunidad Europea, de hecho, implementamos desde hace varios años actividades como la implementación de Privacy Impact Assessments. Entonces, nosotros evaluamos el riesgo a la privacidad que pueden tener los proyectos ministeriales en cuanto al tratamiento de datos personales.
Obviamente, la ley nos va a obligar a que no solamente nosotros y equipos pequeños más asociados a la administración de los datos tengan nociones, comportamientos y prácticas correctas respecto del tratamiento de los datos, sino que va a ser tal vez incluso más fácil nuestro trabajo de sensibilización y convencimiento respecto del resto de la organización. Esto, porque ellas también van a ser parte responsable de que se haga un trato justo y un trato legítimo a los datos que administra el ministerio.
¿Cómo aborda su división la protección de datos sensibles, especialmente en el contexto de la información social de ciudadanos vulnerables?
En cuanto a los datos sensibles, nuestro ministerio tiene facultad -desde su creación- para requerirlos desde otras instituciones o para recogerlos con la finalidad de determinar la elegibilidad de las personas para prestaciones sociales del Estado.
Tal vez el matiz es que cada vez se va haciendo mucho más tangible para la sociedad el de qué estamos hablando cuando hablamos de este tipo de datos. Por ejemplo, cuando se pone un énfasis respecto de la información de salud, no solamente en la normativa de datos sino también en la normativa correspondiente al sector o en la materia nuestra de protección social con la ley de garantías de la niñez y la adolescencia, donde también queda expreso el cuidado y respeto que debemos tener por los datos de esa población. Entonces, yo creo que se va enfatizando el rol de cuidado que nosotros debemos tener.
De esa misma forma, nosotros hemos capacitado y hemos entrenado a los equipos que más directamente trabajan con los datos para generar la distinción respecto del especial cuidado que requieren ciertos datos por sobre otros.
Entonces, para nosotros significa que -en términos administrativos- tal vez tengamos que tomar algunas decisiones mucho más restrictivas respecto del uso de ciertos datos, pero es algo que veníamos haciendo de alguna manera por las características de los datos que nosotros ya administrábamos.
¿Qué tipo de colaboración existe con otras instituciones para garantizar la correcta gestión y protección de la información social?
En cuanto a la colaboración con otras instituciones, la Administración del Registro de Información Social, que es el banco de datos personales y sensibles que administramos, nos obliga a tener convenios de intercambio e interoperabilidad, donde se establecen las normas de protección y las formas de intercambio de acceso a los datos.
Entonces, cuando nosotros tenemos que entregar datos, por ejemplo, establecemos por cuáles canales se puede hacer y se habilitan interfaces de interoperabilidad que lo hacen más instantáneo y donde se pueden poner diversos mecanismos de seguridad de la información.
También, cuando recibimos datos de las instituciones, habilitamos distintas opciones que van desde la entrega o la recepción de los datos por parte nuestra en casillas seguras o también vía webservice y todo ese detalle de cómo vamos a operar está indicado en los convenios.
Por otro lado, ¿de qué manera la división utiliza los datos disponibles para mejorar los servicios que ofrece a la ciudadanía?
Los datos personales que dispone este ministerio se utilizan para los fines de este. Esto quiere decir que los usamos en el ámbito de la determinación de elegibilidad de las personas para beneficios del Estado por la atribución que tenemos de gestionar, de crear instrumentos de focalización tanto para nuestros beneficios como para los que ofrecen otras instituciones públicas.
También, hacemos uso en el ámbito de los análisis de la realidad social. En esos casos, obviamente los datos se administran internamente de manera seudonimizada, ya que los equipos que realizan ese trabajo no necesitan tener los datos identificados.
Otro uso que me parece muy relevante va en la línea de hacer más fácil la vida de las personas en la relación con el Estado, por ejemplo, no pidiéndole nuevamente los datos que el Estado ya tiene.
Entonces, nosotros hacemos uso de los datos disponibles y también los ponemos a disposición de otras instituciones públicas que pueden acceder al RIS, para que eviten preguntarles a las personas la información que ya tenemos.
¿Cómo se asegura la transparencia en el uso de datos y qué mecanismos están disponibles para que los ciudadanos accedan a su información?
Lo primero que te puedo comentar es que hace unos años actualizamos la política de privacidad institucional para hacerla más robusta y explicar y cubrir de mejor manera cuáles eran los ámbitos en los cuales nosotros usamos los datos personales que administramos y también le contamos a las personas que acceden a ella cuáles son las normas que nos habilitan para ello y cuáles son los bancos de datos que administramos.
En esa línea, también describimos un poco los roles internos que hacen acceso o que administran los datos de las personas y también como los elementos de seguridad de la información se combinan con los elementos de protección de datos para poder satisfacer lo que la norma nos exige y, además, lo que ciertas consideraciones internas de trato ético nos obligan para dar una buena administración a los datos que pertenecen a titulares a los cuales nosotros tenemos acceso.
Además de eso, las personas pueden conocer qué datos específicos tenemos de ellas, a través de los canales institucionales que se ha dado el Estado en términos de la transparencia. Por lo tanto, si las personas quieren conocer en detalle qué tenemos de ellas y por qué, pueden hacer consultas a través de ese medio.
Además, podría comentar otras herramientas, como la red de protección social, que tiene un canal digital, pero es un equipo de coordinación de la oferta social ministerial que da acceso a las personas -con su clave única- a información que nosotros tenemos de ella y que puede orientar el acceso o uso de la oferta social que tiene el Estado. En este instante, ese es el canal más relacionado con el acceso a datos que las personas por sí mismas pueden notar respecto de nosotros.
¿Cuáles consideras que son los principales desafíos y oportunidades que enfrenta tu división en el contexto actual de digitalización y protección de datos?
La verdad es que nuestra división sirve a los objetivos estratégicos ministeriales y a los desafíos que el mismo gobierno nos ha requerido para entregar una mejor atención a las personas, para acercarnos de otra forma. Entonces, lo que nosotros hacemos es poner los datos a disposición con los mecanismos de protección, seguridad, de proporcionalidad, de finalidad, sobre los cuales somos exigidos. Pero, habilitamos -en ese contexto y con esas consideraciones- el que los datos puedan ser utilizados por las instituciones que entregan servicios a las personas para que los procesos de transformación digital y la ley de transformación digital en específico pueda cumplirse en los plazos que nos hemos dado.
En ese sentido, nos desafiamos desarrollando APIs de interoperabilidad, capacitando a personas e instituciones, desarrollando nuestras propias plataformas de acceso centralizado y más comprensivo a la información tanto para las personas como para los funcionarios en los distintos niveles del Estado.
Entonces, nosotros vemos desafíos que nos imponen distintas normativas y, además, objetivos estratégicos que nos hemos impuesto nosotros mismos, a los cuales nos debemos en los próximos años y que nos han exigido también una gran coordinación con el resto de la institucionalidad pública, porque una buena oferta hacia las personas y la buena coordinación de los datos depende de que la institucionalidad pública trabaje en conjunto con los mejores estándares que tengamos disponibles.
Mirando hacia el futuro, ¿cómo imaginas la evolución de la gestión de la información social en Chile en los próximos años?
Yo esperaría que en Chile la gestión de los datos se profesionalizara con base en la experiencia que han adquirido diversas instituciones tanto públicas como privadas en lo que requiere su administración. Empresas o servicios que no tienen experiencia en tratamiento de datos personales tal vez no entiendan la complejidad que esto conlleva.
Yo esperaría que fuéramos capaces de responder de manera muy eficiente cuando las personas nos preguntan qué datos tenemos de ellas, de dónde llegaron, con qué atribuciones llegaron esos datos a nosotros, a quiénes se los hemos entregado, con qué atribuciones los hemos entregado, qué medidas de protección hemos tomado, etc.
Son respuestas básicas que debiéramos dar de manera muy eficiente y yo creo que el llegar a ese punto va a requerir que todo un ecosistema de instituciones públicas o privadas den un salto en términos de la madurez en cómo hacen gestión de su información y de los datos que administran. Tenemos un largo camino por delante y espero que estemos a la altura de los desafíos que vienen para nosotros.