Para la académica, la ley de delitos informáticos lo que hace es tipificar ciertas conductas que pueden afectar información personal que se encuentran en sistemas informáticos, por ello es relevante conocer las obligaciones de los responsables de su tratamiento.
Sobre este tema en particular, en Actualidad Jurídica conversamos con Ximena Sepúlveda, académica de la Facultad de Ciencias Jurídicas y Sociales de la Universidad de Concepción, quien abordó además de la relación con la ley de delitos informáticos, los principios que rigen el tratamiento de los datos de manera genérica en el proyecto de ley sobre datos personales.
Respecto al proyecto de ley de datos, ¿qué contenidos se actualizan en materia de datos personales sensibles?
En primer término, se actualiza el concepto de datos personales sensibles, y en relación a ellos; en segundo término, el proyecto exige que el consentimiento del interesado cumpla con un nuevo estándar, en términos de ser expreso, inequívoco y específico, adicionalmente, él debe ser dado por el titular de los datos o su representante legal o mandatario, según sea el caso. También en relación al consentimiento, se exige que sea dado por medio escrito o tecnológico considerado idóneo, siempre que de manera fidedigna conste su otorgamiento y, en segundo lugar, se autorice su tratamiento fuera de las causales del consentimiento cuando expresamente la ley lo autorice, al igual lo que señalaba la ley anterior.
¿Cuáles son los principios que rigen el tratamiento de los datos de manera genérica en el proyecto de ley y en qué consisten?
El proyecto de ley establece y amplía los principios que rigen el tratamiento de datos personales, al responsable del tratamiento, partiendo por formular el principio de legitimidad, vale decir, que los datos solamente se puedan utilizar cuando el titular otorgue su consentimiento o esté en algún caso de autorización legal. El segundo término incluye y fortalece el principio de finalidad; que exige que el tratamiento se limite al cumplimiento de las finalidades legítimas, determinadas e informadas al interesado al momento de requerir su consentimiento. En tercer lugar, se establece el principio de proporcionalidad, que exige que el tratamiento se limite a aquellos fines que sean necesarios, pertinentes y que no resulten excesivos en relación a los fines para los cuales hayan sido obtenidos en relación al consentimiento. El principio de calidad, que exige que los datos personales que sean objetos de tratamiento sean precisos, actualizados y completos para las finalidades para las cuales han sido recolectados. El principio de responsabilidad, que pone de cargo del responsable de los datos la adopción de medidas necesarias para cumplir con los principios, requisitos y obligaciones que impone la ley. Para los efectos del tratamiento, el principio de seguridad; que dice relación con la obligación que tiene el responsable de los datos de garantizar niveles adecuados de seguridad, entendiendo por ello, la debida protección contra un tratamiento no autorizado, y frente a casos de pérdida, alteración, destrucción o daño accidental o no, esto dice relación con la implementación de medidas de ciberseguridad cuando el tratamiento se lleva a cabo a través de sistemas informáticos. Finalmente, el principio de información; que impone al responsable de datos la obligación de mantener sus políticas sobre recolección y tratamiento de datos que está tratando en carácter de públicas.
En ese sentido, ¿cómo se relaciona el proyecto de ley con la ley de delitos informáticos?
Ambas leyes tienen una relación directa, en orden a que ambas protegen información, y un dato personal en la base es información, pero relacionada a una persona natural identificada o identificable. Luego, la ley de delitos informáticos lo que hace es tipificar ciertas conductas que afectan la integridad, confidencialidad o disponibilidad de información (que como hemos dicho puede ser un dato personal) que se haya en sistemas informáticos. En consecuencia, ciertos delitos informáticos pueden tener como, bien jurídico protegido información, como datos personales sensibles que se tratan en sistemas informáticos.
Adicionalmente, la ley de datos personales obliga al responsable del tratamiento al deber de seguridad de la información, lo que involucra la responsabilidad de protección frente a delitos previstos en la ley 21.459.
Siguiendo esa línea, ¿cuáles son los delitos que pueden vincularse a un dato personal sensible?Los nuevos delitos que introduce la nueva ley de delitos informáticos (21459) son Ataque a la integridad de un sistema informático, Acceso ilícito, Interceptación ilícita, Ataque a la integridad de los datos informáticos, Falsificación informática, Receptación de datos informáticos, Fraude informático y Abuso de los dispositivos. Cualquiera de ellos (salvo el de abuso de los dispositivos) puede afectar a un dato personal o dato personal sensible, en la medida de que la conducta encuadre en cada tipo y la información personal se encuentre en un sistema informático.
Por último, ¿que debe contener un modelo de cumplimiento en materia de datos personales?
El artículo 55 del proyecto de ley establece la necesidad del responsable del tratamiento de datos establecer modelos de prevención de infracciones, establecido que esta obligación le es exigible aun cuando se trate de una persona natural o jurídica del sector público o privado, de establecer un modelo de prevención de infracciones que tiene que tener ciertos ítems indispensables que dicen relación con primero, la identificación del tipo de información que está tratando, luego la identificación de las actividades o proceso que, en virtud de las cuales generar riesgos de algunas de las infracciones que establece el proyecto de ley, (por ejemplo de filtración de datos), después el establecimiento de ciertos protocolos o reglas de procedimiento que eviten precisamente el acaecimiento y minimicen el riesgo. También establece la exigencia de establecer mecanismos de reportes en caso de contravenir los principios que establece el proyecto. Además, exige en relación a este programa de cumplimiento la existencia de sanciones administrativas internas, como de procedimientos de denuncia y persecución de responsabilidades a personas que incumplan las obligaciones y normas que están establecidas dentro del programa de cumplimiento.
La importancia de la existencia de programas de cumplimiento en materia de datos, dice relación con la existencia de una atenuante especial por la prevención de infracciones que beneficia a aquel responsable de datos que, eventualmente, incurre en la infracciones que prevé el proyecto, en términos de atenuar su responsabilidad siempre que hayan podido acreditar que han cumplido diligentemente con su nivel de dirección y supervisión, y ello se ha acredita con la existencia e implementación de un modelo de prevención en materia de datos, por lo cual debe estar certificado por la agencia nacional.