Cuando la Subsecretaria de Economía Katia Trusich se reunió con las principales entidades de consumidores para darles a conocer, en agosto pasado, el proyecto de ley de Gobierno sobre protección de datos, se comenzó a dar los primeros pasos hacia una regulación más efectiva sobre los derechos y deberes de los ciudadanos en materia de protección de sus datos personales.
Si bien este proyecto de ley aún no es votado, sienta las bases para abordar la protección de los datos personales desde la óptica de las personas y no desde la regulación del mercado. Si las modificaciones anteriores buscaron determinar responsabilidades sobre las empresas generadoras de bases de datos y sobre personas individualizadas; el espíritu de este nuevo proyecto de ley busca beneficiar a las personas.
El fin de este proyecto es proteger a las personas como sujeto de datos, que tengan la facultad de conocer cuál es la información que tiene de ellas una entidad, empresa o casa comercial y, de esa forma, poder rectificarla, corregirla o cancelarla, afirmó la Subsecretaria. A esta propuesta se sumaría la creación de una agencia que hará más eficiente el costo de protección de estos datos, evitando así recurrir a los tribunales cada vez que haya un dato utilizado de mala manera.
Claudio Magliona, ESTUDIO JURIDICO GARCIA MAGLIONA Y CIA. Andrés Pumarino, ABOGADO. Macarena López, ESTUDIO JURIDICO OTERO. Rodrigo Rojas, ACTI.
El mal entendido se presenta en el uso que se le da al dato. Para el Abogado Claudio Magliona del Estudio Jurídico García Magliona y Cía, no se trata de la propiedad de los datos, “sino que del control de los datos relativos a mi persona”, asegura. Desde el punto de vista legal, el uso de datos en el contexto informático está reglamentado por la Ley sobre Protección de la Vida Privada Ley N°19.628 del año 1999. Andrés Pumarino, Abogado y asesor en temas de tecnología, explica que en virtud de esta ley los datos personales pertenecen a su titular, quien consiente expresamente en otorgarlos a terceros, los que en virtud de la libertad de tratamiento, los administran y gestionan, mejorando y depurando la información.
“En tanto a nivel internacional -afirma Andrés Pumarino-, nos encontramos con un marco regulatorio que protege el dato para que este no pueda ser tratado o elaborado, y convertido en información, y por lo tanto que exista el principio de finalidad, es decir, que sea destinado para aquellos fines y por aquellas personas autorizadas para ello. El derecho comparado le reconoce un gran valor que incluso lo consagra constitucionalmente señalando que la Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Al respecto, Macarena López, Abogado del Estudio Jurídico Otero, declara que los datos personales denominados sensibles se encuentran especialmente protegidos, y por tanto impedidos de tratamiento. Se consideran sensibles aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. Sin perjuicio de lo anterior, la Ley de Propiedad Intelectual chilena (derecho de autor) reconoce a las bases de datos como “obras” protegidas por el derecho de autor, siempre y cuando las bases de datos respectivas por razones de la selección o disposición de sus contenidos, constituyen creaciones de carácter intelectual (originales). “Al tener la protección de la ley de derecho de autor, la base de datos como tal tiene los derechos que la misma ley otorga, sin perjuicio, de limitarse por los derechos de los titulares de los datos personales que componen la base de datos, los cuales deben ser respetados y que están contenidos en la Ley 19.628 y que será modificada por el Anteproyecto de Ley que presentará el gobierno dentro de las próximas semanas”, sostiene Macarena López.
Hacia la protección
Es un hecho que hoy por medio de técnicas intrusivas se extraigan desde los sistemas informáticos empresariales datos personales, no concedidos por sus dueños, con fines de lucro. Esto ha generado repercusiones sobre las empresas quienes han replanteado sus políticas de seguridad para proteger el uso o acceso no autorizado a los datos almacenados en sus plataformas. Sin ir más lejos, de ser aprobado el Anteproyecto de gobierno “será obligatorio para las empresas implementar las medidas de seguridad respectiva y necesaria para garantizar la debida protección de los datos personales a sus titulares”, asegura la Abogado.
Para Rodrigo Rojas, Abogado y Asesor Legal de ACTI, en este nuevo escenario “toda empresa que procese datos de terceros deberá implementar técnicas de resguardo o seguridad siguiendo los estándares internacionales a objeto de impedir el acceso no autorizado”. Para ello, acota Andrés Pumarino, es importante “elaborar políticas de seguridad de la información, revisar los contratos de trabajo y definir los niveles o perfiles de personas que tienen acceso a esos datos, definir en el Reglamento de Orden, Higiene y Seguridad de la empresa acciones destinadas a la protección de la información, bien sea en computadores y en equipos móviles, y generar planes de capacitación tendientes a explicar a los colaboradores la importancia de la protección de la información”.
Por su parte, Macarena López acota que la actual Ley 19.628 (Ley sobre Protección de la Vida Privada) contempla sanciones que en el Anteproyecto se verán aumentadas, poniendo mayor énfasis en los deberes y derechos de las personas. “La actual normativa establece, por ejemplo, que sin perjuicio de la venta o cesión de la base de datos sea válida, la venta o cesión de aquellos datos personales que no han podido venderse o cederse sin el consentimiento previo del titular de los datos podrá, de acuerdo a la Ley, dar lugar a indemnizaciones del daño patrimonial y moral que causare por el tratamiento indebido de los datos, sin perjuicio de proceder además de eliminar, modificar o bloquear los datos de acuerdo a lo requerido por el titular”, indica.
Por otra parte, la Ley 19.223 consagra cuatro tipos de delitos informáticos: el sabotaje informático contra un sistema de tratamiento de la información, sus partes o componentes y contra el funcionamiento del mismo; el espionaje informático/acceso informático; la alteración de datos y la revelación o difusión de datos; y sanciona precisamente la vulneración de los datos o de los sistemas de tratamientos de datos. Se trata de figuras pluriofensivas, que junto con proteger el bien jurídico mencionado en la historia de la Ley, esto es, “la calidad, pureza e idoneidad de la información en cuanto tal, contenida en un sistema automatizado de tratamiento de la misma y de los productos que de su operación se obtengan”, protegen otros bienes jurídicos como la propiedad, la privacidad y la confianza en el correcto funcionamiento de los sistemas y redes computacionales.
Protección certificada en la nube
Considerando el cloud y su modelo de servidores deslocalizados, la duda que se levanta entre los especialistas y usuarios es hasta dónde es posible legislar sobre el tratamiento de los datos personales. Los abogados consultados para este reportaje coinciden en señalar que esta problemática se aborda en el Anteproyecto de Ley del Gobierno haciéndose cargo del vacío de la Ley sobre Protección de la Vida Privada 19.628.
Para Claudio Magliona, la problemática de contratar servicios con un proveedor de cloud externo a Chile está en la imposibilidad de aplicar nuestra legislación en esos países. “En tal sentido, la persona queda sujeta a los términos del contrato con ese proveedor. Eso puede no ser tan negativo, por el alto estándar de calidad de servicio que prestan los grandes proveedores mundiales de la nube, que de seguro superan la protección legal, pero hay que entender que las normas que protegen esa relación son contractuales”, sostiene.
Según Rodrigo Rojas, “en este proyecto se hace mención al tratamiento de datos mediante su trafico transfronterizo a través del cual se asignará responsabilidades a las empresas que hagan tratamiento de datos, sea que estén calificadas como puerto seguro o no. Lo importante será que el titular tendrá varios derechos y la capacidad de denunciar las eventuales infracciones ante una nueva autoridad que se creará y que en el proyecto se denominará Consejo para la Protección de Datos”, comenta.
De hecho, en la consulta pública realizada por el Ministerio de Economía respecto a la transferencia internacional de datos se señaló que el Consejo de Protección de Datos, organismo que se crearía a propósito de la puesta en vigencia de la nueva Ley, debiera ofrecer las garantías de respeto a la protección de los derechos y libertades fundamentales de los titulares derivadas del tratamiento de los datos personales y que cuenta con mecanismos expeditos para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. El gran desafío de esta nueva regulación, además de otorgar a las personas el control sobre sus datos personales, es transparentar las acciones tendientes a controlar la transferencia internacional de datos.