“La información es poder”. Este antiguo adagio cobra fuerza en nuestra época. Las decisiones políticas requieren de información, al igual que las de consumo y otras de carácter más cotidianas. El hecho de querer arrendar una propiedad requiere de información para saber si una persona es riesgosa en términos de pago o esa misma calificación es realizada por un banco al momento de prestar dinero por medio de un crédito de consumo u otro. De esta manera, la información se ha transformado en un valiosísimo intangible, que ha puesto a las empresas como objetivo a querer obtenerla de manera de conocer más y mejor a sus clientes para ofrecer un mejoramiento en sus experiencias de consumo; y por otro lado a la autoridad a resguardarla de la mayor manera posible, sancionando malos usos y prácticas. Este “gallito” ha dado fruto a legislaciones a nivel mundial, unas más gravosas que otras, a establecer los parámetros necesarios para el correcto equilibrio entre la privacidad de los ciudadanos y el libre flujo de la información como piedra angular para el desarrollo de la economía.
Contar con una buena legislación en materia de datos personales (en lo que refiere a la información de las personas) ha sido una barrera y un problema de larga discusión en Chile. Así las cosas, desde 1999 que contamos con una ley (la N°19.628) que no se ha actualizado a los grandes, complejas y nuevas formas de tratamiento de datos personales, justificado principalmente por el hecho de que en esos años, conceptos como el Big Data, redes sociales y otros no estaban presentes en la sociedad con la misma cotidianidad de hoy. Por otro lado, desde el 2009, Chile se encuentra en incumplimiento en sus compromisos internacionales, ya que al ser miembro OCDE, debe modificar la legislación en la materia, garantizando una elevación en los estándares de protección y, por otro lado, tener una autoridad administrativa que asegure, por medio de facultades sancionatorias, la observancia de las normas sustantivas.
Es en este último punto en el que me quiero detener. Por cuanto desde una amplia pasividad desde 1999, pasando por 2009 como años referenciales según lo indicamos, caímos en un ruedo de desesperación por querer tener todo en el menor tiempo posible. De esta forma, en 2018, el segundo gobierno de la presidente Bachelet, presentó un proyecto de ley en la materia que, siguiendo el modelo europeo, eleva los estándares de protección, establece un robusto régimen de responsabilidad tanto al sector público como privado y, principalmente, crea una agencia de protección de datos, la cual es autónoma y especializada con facultades de interpretación y sanción de la ley. El proyecto avanza y es un texto equilibrado, que pondría a Chile en la órbita de países de primer mundo en la materia, posibilitando la seguridad del intercambio de información lo que consecuencialmente la haría crecer la inversión.
No obstante lo anterior, la falta de voluntad política muchas veces jugó una mala pasada en el avance del proyecto de ley, lo que permitió el avance de otras iniciativas que regularan la materia de manera más ineficiente, confusa y muchas veces más allá de lo permitido en la ley. Con lo anterior, nos referimos a la entrada en vigencia de la ley N°21.398 que modificó la ley del consumidor, otorgando al Servicio Nacional del Consumidor (SERNAC) a hacer velar las normas de la materia cuando exista un interés colectivo comprometido, salvo cuando sea competencia legal de otro órgano. La norma llama enormemente la atención por cuanto, desde su inicio, pone en evidencia los conflictos de competencia que se darán entre el SERNAC y la agencia autónoma que sería creada por ley. Será interesante las inhibitorias de competencia que se darán entre los entes, vaticinando que SERNAC justificará que toda fuente de infracción proviene de una relación de consumo. El SERNAC ya dio el primer paso para comenzar su consolidación y su actuar dista mucho de querer entregar el espacio en materia de datos personales. Hace unas semanas puso en consulta pública la circular interpretativa de las cláusulas en contratos de adhesión que se relacionan con datos personales. Esta circular (si bien está en consulta y por ende es perfectible) adolece de significativos errores en materia de datos personales, como por ejemplo: (i) asumir que la única fuente de legalidad para el tratamiento es el consentimiento del titular; (ii) establecer normas de cuidado más altos que los de la ley en la materia a proveedores; (iii) imposibilidad de limitaciones de responsabilidad, en circunstancias que la ley del consumidor únicamente excluye la posibilidad de las eximentes totales.
Entonces cabe preguntarse ¿es un camino correcto entregar la regulación de protección de la información a distintos reguladores, o en cambio, debiéramos optar por un solo ente? ¿Debiéramos regular en base a la naturaleza del infractor, o en cambio, debiéramos optar por la persecución de la infracción de acuerdo a la naturaleza de la información comprometida?
La respuesta es variada, pero a mi juicio a lo que se debe apuntar es hacia la unidad en la fiscalización. De acuerdo a lo anterior, debe haber un solo ente de persecución, ateniendo la naturaleza de la información. Para ejemplificar, pensemos en la Agencia del proyecto de ley como órgano fiscalizador de los infractores en el tratamiento de datos personales, no importando que éstos sean bancos, “telcos”, organismos públicos, esto tiene como principal ventaja, la facilitación del conocimiento por parte del ciudadano, en cuanto a que éste tiene absoluta claridad a quien debe recurrir, por cuanto piensa en su derecho infringido y no en la naturaleza del infractor, depositando la confianza en ese ente en particular. Por el contrario, una proliferación de entes, diluye el derecho infringido, por cuanto el fiscalizador se ve limitado en sus competencias, creando la frustración en la denuncia o pudiendo llevar a resultados contradictorios, en caso que una vía tenga más éxito que la otra (ejemplo el recurrir a la Superintendencia de Salud en vez de la Corte de Apelaciones por un alza en el plan base del cotizante de Isapre). Adicionalmente, la existencia de varios fiscalizadores, traerá como natural consecuencia la infracción del principio non bis in ídem, conforme al cual se procura impedir que un hecho que ha sido sancionado o que ha servido de base para la agravación de una pena, sea utilizado nuevamente, es decir, el objeto es evitar que se realice una persecución abusiva por parte del Estado en contra de los sujetos que hubiesen cometido una infracción.
Por lo anterior, se requiere una ley que garantice el resguardo de nuestra información, por medio de una institucionalidad única, materializado a través de un proceso administrativo, accesible, económico y eficiente. Al mismo tiempo, se debe nutrir a una jurisprudencia administrativa, de manera de sentar bases claras de resolución que protejan debidamente a los ciudadanos. Las normativas de SERNAC no solo entraron a la casa de los datos personales, sino que lo hicieron hasta la cocina y es muy difícil que se pueda ir.