Si bien puede parecer un tema distante y abstracto, los datos están muy presentes en la vida diaria de las personas en la actualidad. Hacia 2023, la humanidad produjo cerca de 59 exabytes de datos, registrando un aumento del 23% respecto a 2022 y, expertos en estadísticas como Statista, no dudan en afirmar que lo que ocurre es un evento sin precedentes: un big bang de big data.
Por fortuna, la protección de datos es un derecho en Chile y, si bien esto no evita que ocurran ciertos actos delictivos como el robo de la información o la falta de confidencialidad en el uso de información personal, al menos se cuenta con un marco regulatorio y legislativo para que los ciudadanos sepan qué hacer, cómo actuar en consecuencia y cuáles son sus derechos como individuos.
Introducción a la protección de datos
La brega por la protección de datos existe desde hace tiempo con la Declaración Universal de los Derechos Humanos, aprobada por la ONU en 1948. Allí se esbozan los primeros dictámenes sobre algo radicalmente distinto a lo que hoy interpretamos como dato personal. Si bien menciona el derecho de las personas de preservar su identidad, el artículo 12 dispone que:
“Nadie será objeto de injerencias arbitrarias en su vida privada, familiar, domicilio o su correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a la protección de la ley contra tales injerencias o ataques”.
Si bien la mayoría de las leyes promulgadas principalmente en Europa estaban enclavadas en un mismo norte: proteger la privacidad del individuo. Una de las más interesantes en relación con la tecnología es aquella que se aprobó en 1981, Estrasburgo, por el Consejo de Europa; la cual menciona la protección de datos personales en tratamientos automatizados. Conocido como Convenio 108, su principal objetivo es:
“Garantizar, en el territorio de cada Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona”.
Aunque esta ley fue elaborada por el Consejo de Europa, una vez entrada en vigencia cualquier Estado no miembro del Consejo puede adherir a partir de una invitación. Sin embargo, la Biblioteca Nacional de Chile indica que, en América Latina, sólo México y Uruguay ratificaron su membresía al Convenio 108.
¿Qué es la protección de datos?
Con ayuda del Convenio 108, podemos afirmar que los datos personales son cualquier información relativa a una persona física identificada o identificable. Cuando hablamos acerca del tratamiento de los datos personales, la UNESCO lo define como cualquier operación o conjunto de operaciones, automatizadas o no, que se realicen sobre cualquier dato personal o dato sensible no personal; como la recopilación, el almacenamiento, el uso, la transferencia y la supresión de datos personales.
En relación con la protección de datos personales, se trata del derecho de las personas a saber qué datos personales están siendo retenidos y usados por terceros, además de la posibilidad de corregir inexactitudes. Según la CEPAL, son considerados datos personales números de teléfono, edad, direcciones personales o laborales, colegios o establecimientos educacionales a los que asistió una persona, entre otros aspectos.
Definición y conceptos clave
La protección de datos personales se ha vuelto un elemento vital en las operaciones y estrategias comerciales de las empresas en el mundo. Esto se debe a un mayor entendimiento sobre la privacidad y la seguridad de la información entre los consumidores y a la percepción empresarial de que la confianza del cliente está directamente ligada a la gestión y protección de su información más sensible.
No considerar la globalización de Internet y la masiva digitalización de las últimas décadas sería ignorar un aspecto esencial de la cuestión. Hoy en día, muchos datos -que antes eran imposibles de conseguir- están disponibles en la web y son los propios usuarios quienes los ponen en común a través de sus redes sociales, por ejemplo, publicando información privada.
Importancia de la protección de datos en la era digital
Gran parte de las actividades en redes sociales (como Meta o X) y páginas web generan datos del usuario que a menudo se utilizan sin su consentimiento. Comprender esto es crucial para proteger nuestra privacidad. Hacia el año 2018, Mark Zuckerberg fue intimado por la Comisión Federal de Comercio de los Estados Unidos (FTC por sus siglas en inglés) a pagar US $5000 millones de dólares por malas prácticas de la protección de datos personales de sus usuarios en Facebook.
Según la BBC de Londres, estaba acusado de compartir información privada de más de 87 millones de usuarios de la red social a la agencia de consultoría política Cambridge Analytica, donde se cree que los datos pudieron haber sido utilizados para influenciar resultados decisivos en Norteamérica y el extranjero.
Es por este motivo que organizaciones como la UNESCO instan a los gobiernos a abordar el tráfico de información personal y a promulgar normativas nacionales, promulgando buenas prácticas a seguir por los gobiernos nacionales, además de bregar por el cumplimiento de tratados internacionales como el pacto de San José de Costa Rica, el cual Chile ha ratificado en 1991 a través de su firma.
Legislación Chilena sobre Protección de Datos
Ley 19.628 sobre Protección de la Vida Privada
Chile cuenta desde 1999 con la Ley N° 19.628, que dispone la protección “de la vida privada o protección de datos de carácter personal”. La norma define qué clase de datos se buscan proteger y cuál es el marco jurídico que otorga a cada uno de ellos. La ley define como dato sensible aquellos que se refieren “a las características físicas o morales de las personas, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.
Después de implementar la Ley N° 19.628 en Chile, países como Argentina ratificaron la decisión de crear leyes sobre la protección de datos en la región y en el año 2000 creó la Ley N° 25.326. Le siguió Colombia, con la adopción de la Ley 1.581 en 2012 y Brasil introdujo la Ley General de Protección de Datos (LGPD) en 2020.
Estas normativas comparten el objetivo común de regular la forma y las condiciones bajo las cuales se realiza el tratamiento y la protección de los datos personales dentro de sus respectivos territorios nacionales.
Actualización de la Ley 19.628 al contexto actual
Los fenómenos sociales y tecnológicos avanzan velozmente y una ley que brega por la privacidad no puede sostenerse en el tiempo sin contemplar los cambios culturales que tuvieron lugar con en la internet desde 1998 hasta hoy día. Es por esto que el Congreso chileno aprobó entre 2022 y 2023 una serie de cambios para adaptar la ley al contexto digital de la actualidad, tal como hizo la Unión Europea ante el boom del tráfico de datos personales en todo aspecto de la vida social.
Una de las medidas más importantes de la modificación de la ley fue la facultad de consagrar de manera legal el derecho al olvido. Esto ocurrió, en parte, por un fallo emitido por la Corte Suprema en 2016 sobre el reclamo de un carabinero que exigía la supresión de su nombre a una causa prescripta. Tras ser asociado a ese delito por los buscadores de internet, la persona no podía rehacer su vida social.
Entre otras medidas, la actualización de la ley estableció por primera vez una autoridad de control nacional conocida como Agencia de Protección de Datos Personales. Es un organismo público y autónomo que, desde su creación, en 2023, vela por el cumplimiento de cada uno de los más de 20 artículos dispuestos en la Ley N°19.628.
Comparativa con leyes internacionales
En América Latina, Chile fue el primer país en aprobar una ley que pone en práctica eso que en Europa había comenzado a regularse en la década de 1980 mediante la creación del GDPR (Reglamento Europeo de Protección de Datos Personales, por sus siglas en inglés).
El GDPR es una ley comunitaria relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos en todo el territorio de la Unión Europea. Esta clase de dictámenes funcionan como ejemplo para el resto del mundo, tomarlos como inspiración y formular sus propias leyes nacionales.
Entre sus cuestiones claves, el reglamento europeo aborda casos extraordinarios como es el derecho al olvido, norma que regula principalmente las obligaciones de supresión. Según ella, los datos personales deben suprimirse inmediatamente cuando ya no sean necesarios para el fin del tratamiento original, o el interesado haya retirado su consentimiento.
Por otro lado, Costa Rica dispone de la Ley N° 8968, conocida como “Protección de la Persona frente al Tratamiento de sus Datos Personales”. Esta disposición promulgada en 2011 contiene similitudes con la ley chilena, incluso recupera la noción de datos personales automatizados del Convenio 108 en Europa. Según la ley, los habitantes gozarán de los siguientes derechos:
- Acceso a la información: La información deberá ser almacenada en forma tal que se garantice plenamente el derecho de acceso por la persona interesada
- Derecho de rectificación: Se garantiza el derecho de obtener la rectificación de los datos personales y su actualización o la eliminación de estos cuando se hayan tratado con infracción a las disposiciones de la presente Ley (estén incompletas, sean inexactas o hayan sido recopiladas sin autorización)
Quienes almacenan datos tienen principios, derechos y obligaciones que cumplir ante la ley y muchos de ellos coinciden tanto en la ley costarriqueña como la chilena. Además del derecho al acceso, la rectificación y el olvido; las personas disponen de otras pautas para hacer respetar la justicia. Descúbrelas a continuación.
Principios fundamentales de la protección de datos
Durante la década de 1980, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) desarrolló los Principios de prácticas justas de información (FIPP), un conjunto de 8 principios relativos al uso, recopilación y privacidad de los datos. Aunque no forman parte de ninguna legislación oficial, muchos de ellos influyeron en la promulgación de leyes nacionales o sirvieron de inspiración para organizaciones como el RGPD.
Los 8 principios FIPP son los siguientes:
Principio de limitación de recolección
Un estudio del Centro de Investigaciones Pew dice que, en los Estados Unidos, alrededor del 77% de los adultos reconoce que las empresas utilizan sus datos para estudiar sus perfiles y generar publicidad dirigida. La recolección de datos personales debe estar limitada y obtenerse de manera legal y justa, siempre con el conocimiento o consentimiento del individuo que brindará la información.
Principio de calidad de los datos
La persona que otorga información confidencial tiene el derecho de actualizar sus datos según sea necesario: Los datos contenidos en una base de datos deben ser exactos, actualizados y responder con veracidad a la situación real de su titular.
Principio de especificación del propósito
El Observatorio de Sociedad Digital de la Facultad de Economía y Negocios (FEN) de la Universidad de Chile, junto con la consultora Custom Trigger, desarrollaron en 2022 un sondeo llamado El Ciudadano y su Privacidad. Entre sus principales hallazgos, los investigadores afirman que el 93% de los chilenos se sienten muy preocupados de que las organizaciones usen sus datos para otros fines diferentes para los cuales fueron solicitados.
El propósito de la recolección de datos personales debe especificarse al momento de su obtención, y su uso posterior debe restringirse a los fines únicamente declarados o a otros compatibles, detallando cualquier cambio en su finalidad.
Principio de limitación de uso
Los datos personales no deben ser divulgados, disponibles o usados para propósitos distintos a los especificados en su origen, a menos que se cuente con el consentimiento de la persona o que la ley lo permita.
Principio de seguridad
Los datos personales deben estar protegidos con medidas de seguridad robustas, capaces de evitar riesgos comunes en la manipulación de datos. Entre ellos, se destacan la pérdida de información, accesos no autorizados, destrucción de datos privados, usos indebidos, modificación e incluso divulgación.
Principio de transparencia
Debe existir una política clara y abierta sobre las prácticas y políticas relacionadas con los datos personales. Esto incluye la accesibilidad a la información sobre la existencia, naturaleza y propósito principal del uso de los datos, así como la identidad y localización del responsable de los datos.
Principio de participación individual
Las personas deben tener el derecho a:
- Confirmar si un controlador de datos posee información que les pertenece.
- Acceder a sus datos personales en un tiempo razonable, a un costo justo y en un formato comprensible.
- Recibir una explicación en caso de negación de una solicitud y la posibilidad de impugnar dicha negación.
- Desafiar los datos que les incumbe y, si es procedente, lograr que se borren, rectifiquen, completen o modifiquen.
Principio de responsabilidad
El controlador de datos debe ser responsable de cumplir con las medidas que implementen estos principios para proteger la información personal. Sin embargo, la Universidad de Chile descubrió que solo un 22% de los chilenos sabe de la existencia de una Ley que regula la protección de sus datos personales.
Derechos de los Titulares de Datos
En base al artículo 12 de la Ley N°19.628, los titulares de datos personales pueden exigir que se cumplan ante los organismos públicos que tengan la calidad de responsables los siguientes cinco derechos:
- Derecho de acceso: Toda persona tiene el derecho a exigir al responsable de un banco de datos información sobre sus datos personales, incluyendo su procedencia, destinatario, propósito del almacenamiento y las entidades a las cuales sus datos son transmitidos regularmente.
- Derecho de rectificación y supresión: Si los datos personales son erróneos, inexactos, equívocos o incompletos, la persona puede exigir su modificación. Además, puede solicitar la eliminación de sus datos si no tienen fundamento legal o están caducos. Esta rectificación o eliminación es gratuita y el titular tiene derecho a obtener una copia actualizada del registro sin costo.
- Derecho a la oposición y portabilidad: En caso de que los datos personales sean proporcionados voluntariamente o se usen para comunicaciones comerciales, la persona puede exigir su eliminación o bloqueo si no desea continuar en el registro, ya sea de manera temporal o definitiva.
- Derecho al bloqueo de datos: Cuando los datos personales se usan para comunicaciones comerciales y la persona no desea seguir figurando en el registro, puede solicitar el bloqueo de sus datos. Este derecho garantiza que los datos no se sigan utilizando sin el consentimiento del titular.
Obligaciones de los responsables de Datos
Tan solo resta conocer las obligaciones que las organizaciones que manejan datos personales tienen para con su protección. El Consejo de la Transparencia explica que, eventualmente, quienes trabajen con información confidencial necesitan el consentimiento del individuo por escrito, el cual podrá ser revocado en cualquier momento tanto por su propio titular como por un representante legal.
Los órganos públicos y privados que actúen como responsables deben sujetarse a las siguientes reglas:
- Informar al titular de los datos: Se debe comunicar al titular de los datos el propósito del almacenamiento, incluyendo la finalidad del tratamiento, la posible comunicación a terceros y la identificación del órgano o servicio responsable del tratamiento, conforme a los artículos 4 y 20 de la ley vigente.
- Cumplir con el principio de finalidad: El tratamiento de datos personales debe realizarse en cumplimiento con el principio de finalidad especificado en el artículo 9 de la ley chilena, garantizando que los datos se utilicen únicamente para los fines para los cuales fueron recolectados.
- Eliminar y modificar datos de oficio: Sin requerimiento del titular, se deben eliminar los datos caducos, bloquear aquellos cuya exactitud o vigencia sean dudosas y modificar los datos inexactos, equívocos o incompletos, conforme al artículo 6 de la ley.
- Cuidado y responsabilidad de los datos: Se debe tratar los datos personales con la debida diligencia y hacerse responsable de los daños que puedan ocasionar, según el artículo 11 de la ley en Chile.
- Obligación de secreto o confidencialidad: Conforme al artículo 7 de la ley chilena, es obligatorio mantener la confidencialidad de los datos personales recolectados de fuentes no accesibles al público.
Procedimientos y sanciones
Procedimientos de denuncia
La nueva actualización de la ley de protección de datos chilena contiene una solicitud llamada Derechos ARCO. Este procedimiento permite al Consejo de la Transparencia ejercer los derechos sobre la protección de la vida privada sobre el Acceso, Rectificación, Cancelación y Oposición (ARCO) de los datos personales que se encuentran en poder de un organismo público o privado.
El derecho ARCO está dirigido a todos los ciudadanos chilenos y, para ejercerlo, se necesita de la Clave Única (identidad digital que te permitirá obtener en línea diversos servicios y beneficios que ofrece el Estado) o pasaporte. Para completar el trámite, puedes llenar el formulario del derecho ARCO, con ayuda de una guía de consignas que ofrece el CPLT. El trámite no tiene costo y es de acceso público para todos los chilenos.
Sanciones por incumplimiento
En relación con las sanciones por incumplimiento, cada uno de los artículos dispuestos en la ley 19.628 pueden ser utilizados para denunciar en caso de que una agencia pública o privada vulnere la privacidad de las personas o vele en contra de la protección de sus datos personales.
Sin embargo, las imposiciones o sanciones económicas por vulnerar la protección de datos serán contempladas por la autoridad de control chilena correspondiente según el grado de intencionalidad o los perjuicios causados a las personas afectadas.
En julio de 2024, la Comisión Mixta de la Honorable Cámara de Diputados de Chile aprobó el texto final que modifica la ley actual de protección de datos. Entre sus artículos, se estipula que las infracciones cometidas por la entidad que incumpla la ley pueden ir de leve, hasta grave o gravísimas.
Conoce 5 de estas infracciones que el artículo 34 contempla, según Bitlaw, separadas por su nivel de gravedad:
Infracciones leves
- Carecer de la individualización del domicilio postal, correo electrónico o medio electrónico equivalente que permita comunicarse con el responsable de datos o su representante legal.
- Omitir la respuesta, responder en forma incompleta o fuera de plazo, las solicitudes formuladas por el titular de datos.
- Omitir el envío a la Agencia de las comunicaciones previstas obligatoriamente en esta ley o sus reglamentos.
- Incumplimiento de las instrucciones generales impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima.
- Cometer cualquier otra infracción a los derechos y obligaciones establecidas en esta ley, que no sea calificada como una infracción grave o gravísima.
Infracciones graves
- Tratar los datos personales sin contar con el consentimiento del titular de datos o sin un antecedente o fundamento legal que otorgue licitud al tratamiento.
- Comunicar o ceder datos personales, sin el consentimiento del titular, en los casos en que dicho consentimiento sea necesario.
- Efectuar tratamiento de datos personales innecesarios en relación con los fines del tratamiento.
- Tratar datos personales inexactos, incompletos o desactualizados en relación con los fines del tratamiento.
- Impedir u obstaculizar el ejercicio legítimo de los derechos de acceso, rectificación, cancelación, supresión, oposición o portabilidad del titular.
Infracciones gravísimas
- Efectuar tratamiento de datos personales en forma fraudulenta.
- Comunicar o ceder, a sabiendas, información no veraz, incompleta, inexacta o desactualizada sobre el titular de datos.
- Efectuar tratamiento masivo de datos personales contenidos en registros electrónicos de infracciones penales, civiles, administrativas y disciplinarias, que llevan los organismos públicos, sin contar con autorización legal para ello.
- Entregar, a sabiendas, información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del modelo de prevención de infracciones
- Vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles y datos personales relativos a la comisión y sanción de infracciones penales, civiles, administrativas y disciplinarias.
La actualización de la ley establece además sanciones basadas en la gravedad de las infracciones:
- Las infracciones leves recibirán una amonestación escrita o una multa que oscila entre 1 y 100 unidades tributarias mensuales.
- Las infracciones graves se sancionarán con multas de 101 a 5000 unidades tributarias mensuales, o en el caso de las empresas, con multas de hasta el 2% de las ventas globales anuales del infractor en el año anterior, eligiendo la mayor cuantía.
- Las infracciones gravísimas conllevan multas de 5001 a 10000 unidades tributarias mensuales, o para empresas, hasta el 4% de las ventas globales anuales del infractor en el año anterior, optando siempre por la mayor cuantía.
Luego de esta etapa de aprobación, la cual tuvo lugar el 24 de julio de 2024, tan solo resta aguardar que el Senado y los Diputados aprueben la modificación de la ley para así ser aprobada por el Ejecutivo Nacional. De ser así, la nueva ley tendrá marcos normativos alineados a los estándares internacionales actuales, inspirados en la GDRP, capaces de enfrentar los desafíos de la digitalización en nuestra vida diaria.
