Un poco de contexto
Hay quienes dicen que la protección de los datos personales no ha sido regulada en el sistema jurídico chileno, pero la realidad es que existe una falta de actualización normativa, acompañada de un conjunto de normas esparcidas en distintos entes, nomenclaturas y especialidades. Y esto no permite tener una legislación totalmente armónica.
Esto se ha dado principalmente por dos razones: la voluntad política y, la más interesante, el desarrollo tecnológico. Las tecnologías de la información han avanzado de forma tan rápida y dinámica que muchos países se han visto en la necesidad de adecuar sus normativas para hacer frente a la nueva realidad.
En este mundo hiperconectado, las grandes organizaciones se han visto reguladas principalmente por normativas de países del primer mundo y estándares internacionales que permiten hacer negocios con ellas. Por ejemplo, una empresa con capitales extranjeros que posea o transfiera datos de personas de la Unión Europea, necesariamente deberá cumplir con la GDPR (Reglamento General de Protección de Datos de Europa, por sus siglas en inglés), sin importar el lugar geográfico en el que se encuentre o la regulación local.
Chile fue un pionero en la materia: en 1999 se publicó la Ley N° 19.628 Sobre la protección de la vida privada y los datos de carácter personal. Considerando que la primera conexión a internet –lejos del alcance que tiene hoy– fue en el año 1993, esta ley fue una innovación para época.
El nombre de la ley, “Sobre la protección de la vida privada y los datos”, revela un detalle interesante sobre la regulación y sus objetivos. Antes de los datos, el legislador veía con preocupación la eventual afectación de un derecho (catalogado como humano). La “vida privada”.
Históricamente se han dado muchas definiciones de lo que se entiende por “Privacidad”. Es importante hacer una separación entre el mundo anglosajón (Estados Unidos/CA, principalmente) y la Unión Europea.
Estados Unidos: el concepto nace de una concepción relativa al “Derecho de las personas para que las dejen tranquilas”
Unión Europea: la definición se separa en dos derechos:
- El primero, asociado directamente a la dignidad de las personas como Derecho Humano, por lo que la protección será contra cualquier violación a la dignidad humana.
- El segundo, descrito en el artículo 7° de la Carta de Derechos Fundamentales, que protege la privacidad y la vida en familia y establece que “todos tienen derecho a su privacidad, la de su familia, su hogar y sus comunicaciones”.
Entonces, ¿cómo definir privacidad sin que recurrir a una definición legal? Con los años, la definición que más sentido me ha hecho es la dada por Neil Richards en su libro Why Privacy Matters. Es tan sencilla como “Privacy is the degree to which human information is neither known nor used”, que podríamos traducir como “La privacidad es el grado en que la información humana no es conocida ni utilizada”.
Una ley con sustento Constitucional
La primera parte de la ley, con las disposiciones Generales, establece algo esencial: esta ley tiene un sustento en la protección de datos personales que se establece a nivel Constitucional**.** La ley hace referencia a la Constitución de la República de Chile, específicamente al artículo 19° N°12, que se refiere a la libertad de emitir opinión y la de informar. Esta es la primera instancia en que se hace referencia a la Constitución y, para entender bien cómo funciona la ley, es necesario entender la importancia de la Constitución.
A nivel nacional tenemos una pirámide, que funciona más o menos así:
En la punta de la pirámide está la Constitución.
La Constitución es la Ley suprema, la carta Magna o la Ley de leyes. Sobre ella no existe otra norma y todas las demás normas deben someterse a ella. En Chile, el texto actual consagra varios derechos, algunos bajo fundamentales que se encuentran en el artículo 19° bajo el título de “La Constitución asegura a todas las personas”, y desde ahí se establecen 26 numerales con derechos específicos.
Varios de estos artículos y numerales han sido modificados después de la entrada en vigencia de la ley de protección de datos.
Por ejemplo, el artículo 19 N°1, referido al derecho a la vida y la integridad física y psíquica de las personas, en su inciso 5° señala que “[...] el desarrollo científico y tecnológico estará al servicio de las personas y se llevará a cabo con respeto a la vida y la integridad física y psíquica. La ley regulará los requisitos, condiciones y restricciones para su utilización en las personas, debiendo resguardar especialmente la actividad cerebral, así como la información proveniente de ella”.
Luego, el mismo artículo señala que “El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley”. Esto da sustento Constitucional a la protección de los datos, algo que sólo fue modificado en el año 2018.
Derechos, su ejercicio y su poco conocimiento
El principal impacto en los ciudadanos de esta ley, amparado por una sentencia del Tribunal Constitucional, es la “Autodeterminación informativa” que resume la forma en que se protegen las personas de la circulación de su información personal en bases de datos u otro formato.
Acá aparecen cuatro conceptos fundamentales:
Tratamiento de datos, registro o banco de datos, sujeto(s) del tratamiento (responsable del tratamiento y el prestador del servicio de datos) y datos personales.
La distinción se puede resumir en este cuadro:
¿Y qué son los datos personales? Según la ley, “los relativos a cualquier información concerniente a personas naturales, identificadas o identificables”. Y con “cualquier información”, nos referimos a todo tipo de dato que refieran o se linkeen con una persona.
Categorías de datos personales
Una de las distinciones que toda la doctrina señala es la diferencia entre aquellos datos personales comunes y los sensibles, aquellos que por su importancia requieren una mayor protección. Datos sensibles son todos los referidos a orígenes raciales, opiniones políticas, religiosos, físicas, como los relativos a la salud y a la sexualidad (que puede incluir otras categorías dependiendo de las circunstancias).
La sensibilidad de estos datos se da porque, de ser utilizados, pueden generar discriminaciones arbitrarias, sesgos o riesgos graves a la seguridad o integridad de una persona. Por lo msmo, la legislación es más estricta en cuanto a lo que se puede hacer con estos datos, el tipo de consentimiento (autorización que requerimos) y la diligencia para su tratamiento.
Por otro lado, la ley generó un capítulo especial para el tratamiento de la información relativa a las finanzas, sus instituciones y sus registros.
Hay quienes argumentan que esto fue debido a la sensibilidad de la información, pero otros –con justa razón– lo señalan como una forma de tener más control sobre las organizaciones que poseen datos financieros.
Derechos y principios rectores
Antes de enfocarnos en lo que deben (o no pueden) hacer las organizaciones con los datos, es necesario revisar los principios base para la legitimación del uso de los datos y las exigencias a organizaciones. Estos son:
- Principio de legitimación: el tratamiento de datos sólo puede efectuarse cuando la ley o el titular consienta expresamente en ello. Acá se puede distinguir dependiendo de la materia –banca, salud, etc.– y las veremos en otro post.
- Principio de licitud y lealtad: el tratamiento debe ser de buena fe y guardar adecuado deber de custodia respecto de los datos de los que se es responsable.
- Principio de transparencia: exige que se adopten las medidas necesarias que garanticen el conocimiento general para el tratamiento, su finalidad y/ propósito, el responsable y toda otra información que permita establecer garantías para los titulares de los datos.
- Principio de finalidad: no pueden utilizarse para otros fines que no sean por los cuales se realizó la recolección.
- Principio de calidad: se entiende como las condiciones en las que se debe tratar el dato. Lo veremos más en detalle cuando hablemos de GDPR.
- Principio de control: auditar, comprobar lo que se está haciendo, la razón y los motivos. Es un control al ejercicio realizado por el responsable del registro.
Si quieres saber los deberes de las organizaciones, sigue leyendo en el post sobre “la organización, el responsable del registro y el futuro legislativo”.
