En mayo de este año la Cámara de Diputadas y Diputados despachó a tercer trámite al Senado el proyecto de ley que actualiza el marco jurídico de la Ley 19.628, referido a la protección de datos personales.
Respecto a esta iniciativa legislativa reflexiona Ximena Sepúlveda, académica de la Universidad de Concepción, especializada en derecho de nuevas tecnologías, y Socia de Schubert y Sepúlveda Abogados, quien destaca, entre otras cosas la creación de la Agencia de Protección de Datos Personales.
Y aunque asegura que este proyecto no es un estándar óptimo considerando el vertiginoso avance de las tecnologías, si lo califica como “indispensable”, ante la “desprotección” que existe en esta materia.
¿Cómo evalúa la ley vigente sobre la protección de datos personales?
Primero, hay que mencionar que esta ley tiene 24. Y si pensamos en cómo las tecnologías han variado en ese tiempo exponencialmente y consideramos lo que el legislador tuvo a la vista en ese escenario de 24 años atrás, claramente está muy atrás.
La ley 19.628 no regulaba en detalle los derechos que tenían los titulares, ni tampoco establecía principios adecuados para regular, por parte de los responsables del tratamiento de los datos, la verificación de ese uso de información personal. Además, tenía el defecto de no incluir una autoridad encargada que pudiera velar por el resguardo de los datos de carácter personal. Y a eso hay que sumar el hecho de que era el propio titular de datos quien debía accionar frente a un acto de infracción en el ámbito jurisdiccional, lo cual evidentemente hace ineficaz el ejercicio de los derechos.
En ese sentido, algunos de los elementos que menciona vienen a corregirse en este nuevo proyecto de ley que se está tramitando en el Congreso, ¿qué elementos de este proyecto se pueden destacar?
Los principales cambios que la ley establece, y que a mí me parecen que son muy favorables y que nos llevan a un estándar no óptimo, pero sí más adecuado, es que establece principios que regulan e informan el uso de los datos personales. Estos principios son aplicables a los responsables del tratamiento de datos y están alineados con lo que exige la OCDE. Además, en cuanto a los derechos de los titulares, se mejoran en contenido y se amplían.
Hoy en día teníamos los derechos ARCO, que son el derecho al acceso, rectificación, de cancelación u oposición a que se traten los datos. Y a eso, con este proyecto, se suma el derecho de portabilidad, vale decir, el titular de los datos puede requerir sus datos; algo así como lo que pasa con las compañías telefónicas. Si, por ejemplo, alguien quiere migrar de Yahoo a Gmail, el titular podría solicitar que se transfiera a la nueva compañía su información personal para el efecto de no perder esa información. Adicionalmente, el proyecto incluye el derecho de inferencia, que a mí me parece muy relevante. Este derecho consiste en que los titulares de los datos personales pueden requerir los patrones o estándares a entidades públicas o privadas que estén tomando decisiones automatizadas.
Todo esto que describo viene acompañado de un aspecto muy relevante; la estructura. Se propone genera una entidad pública encargada de velar por el resguardo de los derechos de los interesados y que también tenga la tarea de fiscalizar que los responsables del tratamiento estén cumpliendo los principios que se exigen para los efectos de poder usar la información de carácter personal.
Este proyecto también tiene un aspecto sobre los llamados datos sensibles ¿cómo opera ahí esta nueva legislación que se propone?
Claro, eso también es un avance de esta ley. Los datos personales sensibles son información vinculada a una persona natural identificada o identificable y dice relación con aspectos vinculados a la privacidad de las personas como los datos de salud, por ejemplo.
En ese caso, si bien hoy en día la actual ley dice esa información no se puede utilizar salvo cuando hay consentimiento de los pacientes o en los casos en los cuales expresamente la ley lo permite, la protección de los datos personales sensibles se encuentra con la necesidad de poder brindar a los servicios de salud. Y la nueva ley mejora esto, en el sentido de que actualiza la definición de los datos sensibles. Incluye, por ejemplo, conceptos como el de perfil biológico humano o el de información referida a la vida sexual de una persona, lo que, tecnológicamente, son conceptos más neutros.
¿Son suficientes los avances que propone este proyecto?
Claramente tener una actualización de ley de datos es una cuestión indispensable. Y también, es de una urgencia que podríamos calificar como máxima. Como hablábamos, la actual ley tiene 24 años. Es por eso que lo que lo que salga del proyecto ya va a ser un avance significativo.
En materia de datos existe un referente internacional que es el Reglamento General de Protección de Datos de la Unión Europea. En ese reglamento general se establecen más principios y más derechos en relación al tratamiento de los interesados. Si nosotros comparamos ese estándar con el proyecto que está en el Congreso, nuestra ley igual quedaría un poco al debe. Pero intentando hacer el ejercicio optimista de ver el vaso medio lleno, creo que sería una contribución tener esta actualización de la ley de datos.
¿Quedan aspectos pendientes?
Evidentemente, pero hoy día, considerando el avance de la tecnología, esto al menos ayuda a poder morigerar todo el sistema de derechos y tecnología. Cuando hablamos del tema de datos, estamos hablando de una materia que es como el cimiento de una estructura legal que está vinculada al derecho y tecnología. Y con esta nueva ley tenemos, al menos, la base.
Hasta el momento lo que se ha hecho en nuestro país es ir arreglando, actualizando o incluyendo elementos que son accesorios en esta ley. Pero no se ha trabajado en el cimiento, que es el régimen de protección de datos y un trabajo sistemático tiene que partir desde la base. Entonces, esta nueva ley permite tener una mejor base, aunque no es el máximo estándar considerando la tecnología disponible.
Como usted mencionaba, uno de los aspectos principales de este proyecto es la creación de una agencia pública de protección de datos ¿qué tan importante es esta institución para el avance de la protección de datos?
Es indispensable. Lo que hay que mirar es la asimetría que existe entre las personas naturales titulares de los datos y las empresas que tratan información personal. Y esa asimetría es imposible eliminarla si no se establece en el marco de una de institucionalidad. En otras palabras, un organismo público que se sitúe con facultades de supervigilancia, con la capacidad de aplicar sanciones, en la defensa de los derechos de los interesados. Y eso es tremendamente importante considerando que hoy en día tenemos desprotección en materia de datos.
En cuanto al panorama internacional, ¿a qué lugares podemos mirar para tomar referencia en esta materia?
En el contexto europeo existe la agencia de la Unión Europea y además cada país tiene una agencia nacional. Esto hace que las sanciones, por ejemplo, sean un incentivo para que se cumplan las obligaciones. Hace poco la agencia de la UE aplicó una multa de1.200 millones de euros a Meta por incumplir las normas de protección de datos.
Eso produce el efecto disuasivo en las compañías que tratan datos de no volver a incumplir las obligaciones. Y algo así nunca una persona natural lo va a poder hacer.