La sociedad actual funciona a partir del trabajo que realizan las empresas, organizaciones civiles y el Estado, con nuestros datos personales. En ese escenario, las obligaciones legales de protección de datos suelen tener dos actores: por un lado, el titular de los datos que deben ser resguardados, es decir, todas las personas naturales, y, por el otro, el responsable del registro que contiene esos datos, quien toma las decisiones sobre el uso que hará con ellos y que asume la obligación de cuidarlos.
Legalmente, la regla básica que legitima la utilización de los datos del titular por parte del responsable del registro es la existencia de una autorización previa de aquél, o bien, de parte de alguna ley.
Dicha autorización surge de un consentimiento informado, previo al tratamiento, en donde se explique, a lo menos, para qué se utilizarán los datos. De hecho, esa finalidad se transforma en el límite que debe orientar y respetar el responsable del registro, no pudiendo modificarla sin contar antes con una nueva autorización. Sin embargo, en ocasiones puede aparecer un tercer actor, cada vez más frecuente, ya que los tratamientos de datos se vuelven más especializados, tanto como para que el responsable del registro necesite contratar servicios de otra empresa para usar los datos. Ese tercero se conoce en el derecho extranjero como encargado de tratamiento, y es quien recibe los datos personales directamente desde el responsable del registro y los utiliza exclusivamente por cuenta y riesgo de este, no para sí mismo. Dicho de otro modo, actúa como un mandatario del responsable del registro.
Para entenderlo mejor pensemos en una empresa que debe administrar los contratos de cientos de trabajadores. Es posible que no cuente con software adecuados o con capacidades de procesamiento suficientes, por lo que contrata los servicios de otra empresa para que almacene esos datos y le genere información procesada, por ejemplo, vía cloud. En este caso, al contratar esos servicios, el responsable del registro externaliza en ese encargado el tratamiento de datos.
Lo relevante de esta relación entre el responsable del registro y el encargado del tratamiento, ambos en calidad de mandante y mandatario, respectivamente, importa mucho desde el punto de vista de su legitimidad frente al titular de los datos. Si se fijan, en esta hipótesis, el mandatario recibe los datos del titular sin que este lo autorice y, muchas veces, sin que este lo sepa. Por lo tanto, aparentemente se infringiría esa regla básica de autorización que mencionamos al inicio. Por ello, resulta imprescindible legitimar la actuación del mandatario de algún modo y, para ello, el artículo 8 de la Ley N°19.628 obliga a suscribir un contrato de mandato específico entre el mandante y el mandatario.
Esta obligación, aparentemente simple, es uno de los puntos de Compliance que suele fallar en Chile, ya que existe muy poco desarrollo del rol del mandatario en esa Ley de Datos Personales, pese a ser frecuente la externalización de servicios de tratamiento de datos y, además, por el gran desconocimiento de que existe esta obligación legal.
¿Qué consecuencias trae el no elaborar estos contratos?
Utilizar datos personales de otros siempre tiene que contar con alguna forma de legitimación que, como vimos, la da el consentimiento del titular o la autorización legal.
Actualmente, cuando el responsable de un registro contrata servicios que incluyen tratamiento de datos personales es habitual encontrar como única garantía de seguridad, la existencia de una solitaria cláusula tipo de confidencialidad, en la que se obliga al prestador del servicio -el encargado de tratamiento- a usar reservadamente la información solo para cumplir el encargo y no revelarla a terceros.
Sin embargo, esas cláusulas de confidencialidad -importantes, por cierto-, no son en absoluto suficientes para cumplir con la obligación legal del mandato escrito. La actuación del encargado de tratamiento como mandatario requiere un detalle muy específico de sus obligaciones y límites.
Sin ello, tanto el responsable del registro como el encargado del tratamiento se exponen a ser demandados por el titular, ya que carecerían de legitimidad para el uso de los datos. El primero, porque habría comunicado los datos del titular a un tercero (el encargado), sin autorización para ello, faltando a sus obligaciones legales de cuidado. El segundo, obviamente porque estaría utilizando datos del titular, sin consentimiento de este ni autorización legal.
Por lo tanto, al elaborar correctamente el contrato de mandato que exige la ley, tanto el mandante como el mandatario pueden contar con un documento que legitima el tratamiento frente al titular y mitiga eventuales responsabilidades derivadas del uso que den a la información.
¿Qué debe contener el mandato para tratamiento de datos personales?
Nuestra ley es absolutamente críptica e insuficiente sobre el contenido de estos contratos, ya que simplemente exige que se otorgue por escrito, que deje constancia de las condiciones de la utilización de los datos y obliga al mandatario a respetar su encargo. Por ese motivo, hay que mirar los estándares legales extranjeros para identificar cuál es su real contenido, requiriendo, al menos, lo siguiente: vincular el mandato con el contrato principal del servicio externalizado; explicitar el objeto del mandato; la finalidad del tratamiento que se realizará; los tipos de datos que se utilizarán; las obligaciones específicas del mandante y sus instrucciones; las obligaciones específicas del mandatario y sus prohibiciones; las medidas de seguridad; la auditabilidad del mandato; y la responsabilidad en caso de extralimitarse el mandato, entre otros.
En definitiva, el Compliance sobre datos personales debe, necesariamente, poner énfasis en la correcta existencia de estos mandatos, grandes olvidados hasta ahora por los responsables de los registros, sean empresas particulares u órganos públicos, ya que se exponen a que el titular los demande por no cuidar sus datos.
Pero son aún más importantes para los mandatarios, ya que sin ellos aparecen frente al titular como terceros que están usando sus datos sin autorización. Es hora de regularizar la omisión de estos mandatos, incluyéndolos como anexos de los contratos principales, porque la ley no se cumple agregando solo una cláusula de confidencialidad.