OBSERVACIONES A LOS PROYECTOS DE LEY DE PROTECCIÓN DE DATOS PERSONALES Boletines N° 11.144-07 y N° 11.092-07
Francisco Aravena Riveros
y2k.cl ~1~
TABLA DE CONTENIDOS I. Objeto de la ley – página 3 II. Ámbito de aplicación material: exclusiones – página 3 III. Ámbito de aplicación territorial – página 5 IV. Definiciones – página 7 V. Cesión de datos personales – página 17 VI. Procedimiento de reclamación del boletín N° 11.092 – página 17 VII. De la transferencia internacional de datos personales (artículo 27 y siguientes boletín 11.144) – página 18 VIII. Ausencia de enfoques de “privacy by design” y “privacy by default” – página 23 IX. Regulación de cláusulas “take-it-or-leave-it” – página 25 X. Del modelo de prevención de infracciones (art. 52 a 56 del boletín 11.144). Mención indirecta al delegado de protección de datos personales – página 26 XI. Incorrecta implementación del procedimiento de evaluación de impacto relativo a la protección de datos personales (artículo 33, boletín 11.092) – página 27 XII. Seguridad del tratamiento (artículo 31, boletín 11.092) – página 28 XIII. Derecho de información del artículo 12 del boletín 11.092 – página 30 XIV. Norma general sobre los derechos del titular de datos (artículo 4, boletín 11.144): (A) derecho al olvido; (B) limitabilidad de los derechos; (C) datos de las personas fallecidas y ejercicio de derechos por herederos – página 31 XV. Ausencia de una norma que permita la concesión de medidas o procedimientos de urgencia o “medidas provisionales” tendientes a proteger o salvaguardar el derecho a la protección de datos personales (artículo 66 RGDP y 69 Anteproyecto de la Ley de Protección de Datos Personales española) – página 36
~2~
I.
OBJETO DE LA LEY
Se recomienda: a) No solamente que la ley proteja “en particular” el “derecho a la vida privada”, ya que esa es una dimensión del derecho de la protección de la privacidad y los datos personales; la ley debe proteger, además, el derecho a la autodeterminación informativa y la protección de datos personales “per se”. b) También que se incorpore el derecho a los titulares de datos a “controlar” sus datos personales (lo que está reconocido en el boletín 11.092). c) Que se incorpore, como contrapartida al derecho a la protección de datos personales, la libre circulación de datos, estableciendo una norma similar a la del RGPD, en su artículo 1°: ““La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales”. d) Lo anterior sin perjuicio de que, como se ha indicado, por lo menos a nivel comparado, el derecho fundamental a la protección de datos personales (que en nuestro país todavía no cuenta con ese carácter), prevalece por sobre el interés económico representado por la libre circulación de datos personales (epígrafes 97 y 99 de la Sentencia recaída en el caso Google Spain v. Agencia Española de Protección de Datos, asunto C-131/12). e) Del mismo modo, la libre circulación de los datos personales de modo alguno puede llevar al legislador a transgredir ni reducir la protección de los datos personales. f) En fin, se propone el siguiente artículo: “Artículo 1.- Objeto y ámbito de aplicación. La presente ley tiene por objeto regular el tratamiento de los datos personales que realicen las personas naturales o jurídicas, públicas o privadas, con el propósito de asegurar el respeto y protección de los derechos y libertades de quienes son titulares de estos datos, en particular, el derecho a la vida privada y el derecho a la protección de los datos personales, como también la regulación de la libre circulación de tales datos. La presente ley también tiene por objeto asegurar a los titulares de datos el control sobre los mismos”. II.
ÁMBITO DE APLICACIÓN MATERIAL: EXCLUSIONES
Mantener y enmendar Se recomienda mantener el sistema de exclusiones del artículo 1° inciso segundo del boletín 11.092, esto es, que la exclusión de aplicación de la ley a “datos personales almacenados en bases de datos domésticas y para actividades relacionadas con su vida privada y familiar. En caso que pierdan tal carácter quedarán sujetas a esta ley”. La única observación en este sentido, es que lo que debería excluirse no son los datos en sí, sino que “al tratamiento de datos personales”, por lo que debería enmendarse la redacción del artículo en comento (ver, por ejemplo, artículo 2(2) del GDPR). ~3~
A este respecto, cabe hacer una pequeña precisión, consistente en que si bien la normativa de protección de datos no se aplica respecto al tratamiento de datos personales relacionado con la vida privada y familiar, ésta sí se aplica respecto de los responsables, encargados, destinatarios, terceros y otros intermediarios, tal y como ha sido establecido en el RGDP, norma que sirvió de base para la redacción de los proyectos de ley chilenos. A tal efecto, el considerando 18 del RGDP, que por lo demás es vinculante, establece: “No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas”. En otras palabras, se hace necesario establecer dicha contra excepción en el proyecto de ley chileno, de lo contrario no se podrían hacer efectivos derechos tales como el derecho al olvido en contra de terceros intermediarios. Eliminar Tanto el boletín 11.092 como el 11.144 excluyen la aplicación de la Ley de Protección de Datos Personales (LDPD) al tratamiento de datos realizados por medios de comunicación en el ejercicio de las libertades de emitir opinión y de informar (regulados por las leyes a que hace referencia el artículo 19 N° 12 de la Constitución Política de la República). Ello constituye, a mi parecer, un error, toda vez que la actividad periodística no está exenta de hacer un tratamiento legítimo de datos personales. De hecho, tanto es así, que las empresas que ejercen las libertades de emitir opinión e informar han sido continuamente blanco del denominado derecho al olvido. Si se excluye a este tipo de sujetos de la normativa en comento, se estaría limitando a cualquier persona natural para hacer efectivo dicho derecho al olvido en contra de tales. Lo anterior se ve corroborado por la idea de que tanto la Directiva de Protección de Datos Europea y el nuevo RGDP no incorporan esta exclusión. Debemos recordar que dichas normativas fijan los estándares mínimos de protección de datos a nivel europeo, estándares que no consideran una exclusión de aplicabilidad de la norma de protección de datos de la empresa periodística, sino que meramente establecen la idea general de que los Estados Contratantes tienen la libertad de establecer exenciones o excepciones relativas a los principios de la ley, derechos de los titulares, obligaciones de los responsables, transferencia transfronteriza de datos, autoridades de control, cooperación y coherencia y situaciones específicas de tratamiento de datos. En parte alguna el RGDP establece la posibilidad de establecer una exclusión de carácter general de aplicabilidad de la ley respecto al ejercicio de las libertades de emitir opinión y de informar. Si se permitiese una completa exclusión de aplicabilidad en tales términos, la actividad periodística quedaría exclusivamente regulada por disposiciones especiales, no siendo aplicables instituciones básicas de la LPDP.
~4~
Sin perjuicio de ello, estimo que si se elimina esta exclusión, debiesen armonizarse las normas a que el artículo 19 N° 12 de la CPOL hace referencia, con la LPDP, ya que los estándares de protección de datos personales de los proyectos de LPDP son bastante altos. De eliminarse esta exclusión, deberían eliminarse todas las menciones a aquella hipótesis, como ocurre en el caso del artículo 7, inciso segundo, letra a) del boletín 11.144. III. ÁMBITO DE APLICACIÓN TERRITORIAL Recomendación N° 1: Se recomienda mantener el artículo 2° del boletín 11.092, toda vez que el boletín 11.144 no contiene esa importante norma que por décadas fue echada de menos en innumerables legislaciones de protección de datos personales, que permite contar con una norma de alcance extraterritorial, lo cual es una tendencia legislativa que se ha replicado a nivel global. Como sea, el artículo 2° contiene un pequeño error, ya que al momento de transcribir el artículo del cual se inspiró (artículo 3°, inciso primero, RGPD), se hicieron unas pequeñas modificaciones en el inciso primero: se omitió –desconocemos si de manera deliberada o no– un importante término que ha sido ampliamente estudiado en el derecho mercantil, esto es, el de “establecimiento”, omisión que tiene grandes consecuencias jurídicas, ya que un establecimiento debe tomarse como una “instalación” con la que cuenta una empresa en un país. En este sentido, recomendamos mantener intacta la redacción del RGDP, no eliminando el término “establecimiento”. En otras palabras, el artículo 2° del boletín 11.092, debería quedar del siguiente modo: Artículo 2° Ámbito de aplicación territorial La presente ley se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en el territorio nacional, independientemente de que el tratamiento tenga lugar en Chile o no. Asimismo, se aplica al tratamiento de datos personales cuyos titulares residan en Chile por parte de un responsable o encargado no establecido en Chile, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos titulares en Chile, independientemente de si a éstos se les requiere su pago, o
~5~
b) el control o seguimiento de su comportamiento, en la medida en que éste tenga lugar en Chile. Recomendación N° 2: Determinar en el mismo artículo de qué forma, además de la designación de un representante en Chile (artículo 28 boletín 11.092), un mecanismo para hacer efectiva la extraterritorialidad de la ley, puesto es altamente probable que la empresa extranjera en muchos casos no cumpla con el deber de fijar un representante, lo que transformaría a este precepto en ley muerta o un saludo a la bandera. Por ejemplo, se pueden establecer varios mecanismos, como posibles acuerdos de cooperación entre agencias de protección de datos de distintos países para hacer cumplir la ley del otro país (como ocurre con SERNAC e INDECOPI, por ejemplo); otros mecanismos podrían ser exhortos internacionales; exequátur; o incluso órdenes de bloqueo de tratamiento de datos a ISPs, multas, etc. Recomendación N° 3: Se recomienda la revisión del artículo 28 del boletín 11.092 (sobre la designación de representante por parte de los responsables del tratamiento no residentes en Chile), que si bien es un precepto necesario, está redactado en términos que no se adecúan a los estándares de los cuáles se inspira (artículo 27, apartado 1 del RGDP): i) Primero, el artículo 28 no establece la obligación de que dicha designación sea por escrito (como lo hace el artículo 27, apartado 1 del RGDP), lo cual es un requisito de gran importancia en su homólogo europeo, en donde incluso en el recital 80 se indica que “El representante debe ser designado expresamente por mandato escrito del responsable o del encargado para que actúe en su nombre con respecto a las obligaciones que les incumben en virtud del presente Reglamento. La designación de dicho representante no afecta a la responsabilidad del responsable o del encargado en virtud del presente Reglamento. Dicho representante debe desempeñar sus funciones conforme al mandato recibido del responsable o del encargado, incluida la cooperación con las autoridades de control competentes en relación con cualquier medida que se tome para garantizar el cumplimiento del presente Reglamento. El representante designado debe estar sujeto a medidas coercitivas en caso de incumplimiento por parte del responsable o del encargado”. ii) El proyecto del boletín N° 11.092-07 solamente hace referencia al responsable del tratamiento, más no al encargado. El RGDP hace referencia tanto al responsable como al encargado (artículo 27). El artículo 29 del boletín N° 11.092-07, relativo a los “Deberes del encargado del tratamiento”, nada dice sobre aquello. iii) Finalmente, el artículo 28 del boletín N° 11.092-07, no establece un sistema de excepciones a la obligación establecida en dicho artículo, como sí lo hace la norma que le inspiró (artículo 27, apartado 2, letras a y b) ~6~
IV. DEFINICIONES Letra b), “BLOQUEO DE DATOS” (Ley N° 19.628 actual) Observaciones: Se recomienda optar por la redacción del boletín 11.092, específicamente, mantener el artículo 18 de dicho boletín, ya que regula de manera más concisa que el boletín 11.144 (que simplemente mantiene la escueta redacción de la LPD actual) las hipótesis bajo las cuales puede ejercerse, especialmente en relación a la tercera causal, que en nuestra opinión busca empoderar al titular de datos y consagrar cierto tipo de control sobre los mismos, para efectos de hacerse de ellos y utilizarlos para fines legales que sean de su interés o conveniencia. Como sea, el artículo 18 del boletín 11.098 no establece verdaderamente un concepto, sino que derechamente establece el contenido mismo del derecho de bloqueo de datos, al establecer que “el titular tendrá derecho a obtener del responsable del tratamiento el bloqueo del tratamiento de los datos cuando se cumpla alguna de las condiciones siguientes…”. Lo anterior deja abierta la posibilidad a dudas interpretativas, en relación a qué debe entenderse por “bloqueo de datos”, lo cual claramente generará disputas entre el responsable (o el encargado) y el titular. Como solución a ello, se propone establecer una definición de manera directa y expresa en el artículo de las “definiciones”, tal como lo hace por ejemplo el RGDP europeo, al definir al bloqueo de datos (bajo el nombre de “limitación del tratamiento”), como: “el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro”. Letra d), “DATO CADUCO” (Ley N° 19.628 actual) Se recomienda mantener la redacción del boletín 11.144, ya que el proyecto del boletín N° 11.092-07 no establece una definición de ese tipo de datos, ni tampoco una directa mención a ellos dentro de su articulado. El boletín N° 11.144-07, en cambio, además de mantener la definición del término del artículo 2°, letra d), también hace expresa y directa referencia al contenido del mismo en su artículo 7 (“derecho de cancelación”) y tácita e indirecta en el artículo 6 (“derecho de rectificación”), al indicar que el titular tiene derecho a solicitar la rectificación de sus datos cuando sean inexactos, desactualizados e incompletos. Lo mismo hace en su artículo 19, dentro del título de “la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial”.
~7~
Letra e), “DATO ESTADÍSTICO” (Ley N° 19.628 actual) Recomendación: Modificar y enmendar la definición de dato estadístico, que es legalmente errónea. Esta definición parte de una base errónea, confundiendo el concepto de “datos estadísticos” con el de datos “seudonimizados” o, incluso, con el de datos “anonimizados”. Un dato estadístico no es más que un dato o conjunto de datos cuyo fin tiene servir de base para un estudio estadístico. Que el dato sirva para un análisis estadístico no significa necesariamente que dicho dato no pueda ser asociado a un titular identificado o identificable, ya que, como es sabido, una “muestra” puede contener tanto datos directos como indirectos de las personas cuyos datos se analizan, por lo que en efecto es posible relacionar, cruzar o asociar dicho dato con una persona. En tal sentido, en mi opinión, esta definición no debería mantenerse en la LDPD, puesto que erróneamente hace sinónimos los conceptos de “datos estadísticos” con los de “datos seudonimizados” (seudonimizar es “reemplazar el nombre del titular de datos personales y otros aspectos identificatorios con otras identificadores, con el objeto de hacer imposible o extremadamente difícil identificarlo” [Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG)] y “datos anonimizados” (anonimizar o hacer anónimo significa "alterar los datos personales de tal forma que la información relativa a circunstancias personales o materiales no puedan atribuirse a un una persona natural identificada o identificable, o que dicha atribución requiere de una cantidad desproporcionada de tiempo, gastos y esfuerzos” [Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG)]). En efecto, un dato estadístico puede ser un dato que, al contrario de lo que indica la definición de la letra e), podría ser asociado. Ello es fácil, ya que hoy en día existen numerosos y sofisticados procedimientos de cruce de grandes bases de datos que pueden permitir la identificación de sujetos o grupos de sujetos. Aunque sea un tema que escape del término en análisis, cabe hacer presente que es completamente erróneo pensar que un dato seudonimizado es sinónimo de dato anónimo. Los datos anónimos escapan de la regulación de las normas de protección de datos, mientras que los datos seudónimos, no. Un ejemplo muy decidor del hecho que los datos estadísticos son datos que tienen la aptitud para permitir identificar a los titulares de datos, consiste en que el RGDP establece en su artículo 89 que cuando se pretenda hacer un tratamiento de datos personales con “fines estadísticos”, dicho tratamiento estará sujeto a “determinadas garantías”, entre ellas, por
~8~
ejemplo, la de seudonimización. Ello en otras palabras significa que los datos estadísticos de por sí podrían ser asociados a titulares de datos personales. Como conclusión, no cabe sino eliminar o a lo menos enmendar la definición en comento, toda vez que conceptualmente es errónea y puede aparejar consigo pequeñas pero peligrosas “puertas de escape” que sirvan como excepciones al tratamiento de datos personales. Letra c), “COMUNICACIÓN O TRANSMISIÓN DE DATOS” (Boletín 11.144) Existen observaciones, pero son meramente relacionadas a incongruencias conceptuales entre ambos boletines. Tales incongruencias han sido desarrolladas en el documento “Análisis Crítico De Los Proyectos De Ley De Protección De Datos Personales Parte I: Disposiciones Generales”, página 26, que puede descargarse desde el sitio web www.y2k.cl Letra f), “DATO PERSONAL” (Boletín 11.144) No existen mayores observaciones a este respecto, más sí es necesario implementar un sistema (mediante un reglamento o directrices) que permita interpretar el sentido y alcance de esta norma, como se hace por medio del recital 26 del RGDP, que tiene absoluta fuerza obligatoria. De contar con un sistema como aquél, se evitarían problemas de interpretación, como el que dejó en evidencia la Excma. Corte Suprema, mediante su informe del proyecto de Ley N° 52017, sobre el boletín 11.144, en el cual, en su página 18, se pregunta a qué se refiere el legislador con el término “medios razonablemente utilizados” y cuáles serían sus alcances. Problemas como tales, al menos en el RGDP europeo, se encuentran solucionados mediante la incorporación de recitales o considerandos vinculantes. A tal efecto, el considerando 26 del RGDP responde de manera bastante satisfactoria la pregunta que la Excma. Corte Suprema hizo en su informe:
~9~
Letra g), “DATOS PERSONALES SENSIBLES” (Boletín 11.144) Se recomienda seguir la tendencia comparada de mantener una definición dinámica y abierta, no taxativa. En este sentido, el uso del término “entre otros”, estimamos es correcto. Recomendación. Como sea, personalmente considero que el boletín N° 11.092-07, establece dos nociones que en mi concepto son erróneas: i) La primera radica en que establece que datos sensibles son todo dato personal cuyo tratamiento pueda dar origen a una discriminación arbitraria o ilegal o conlleve un grave riesgo para su titular. Esta primera idea en sí misma es cierta, pero tampoco puede dejarse de lado la idea de que no todo dato sensible es un dato cuyo tratamiento pueda dar origen a una discriminación arbitraria o ilegal o conlleve a un “grave riesgo” para su titular. En mi opinión, estimo que no es una condición sine qua non que el tratamiento de estos datos de origen a discriminaciones arbitrarias o ilegales o conlleve un riesgo grave para su titular. De hecho, puede ocurrir que cierta información no sea susceptible de causar dicho efecto, pero que de cualquier modo su titular prefiere mantener protegida dada su sensibilidad intrínseca. Pongamos el ejemplo de una persona que desea mantener en secreto su bisexualidad. Esta persona prefiere que sus datos personales relativos a su bisexualidad se mantengan protegidos con un mayor estándar, no por miedo a discriminaciones (puesto que –hipotéticamente– vive en una sociedad que sanciona estrictamente la discriminación), sino que porque individualmente ella le atribuye una calidad “más reservada” a dicha información. En este sentido, considero que lo que debería hacerse, es mantener la redacción del proyecto de ley N° 11.144-07, y agregar, a mayor abundamiento, una frase del tipo “Son también datos personales sensibles todo aquel cuyo tratamiento pueda dar origen a una discriminación arbitraria o ilegal o conlleve un grave riesgo para su titular”. ii) La segunda se encuentra en el hecho de que se incorporó como dato personal sensible los datos de niños y niñas. Lo anterior es, en mi concepto, erróneo, puesto que los datos de menores, como se ha entendido de manera general, no son intrínsecamente sensibles, sino que están sujetos a un régimen especial de consentimiento, el que debe ser dado por sus padres o quienes sean sus representantes legales. ~ 10 ~
Cuando un dato o datos personales de un niño o niña hace referencia a atributos tales como su origen racial, ideología, afiliación política, creencias o convicciones religiosas o filosóficas, estado de salud físico o psíquico, orientación sexual, identidad de género e identidad genética y biomédica, etc, entonces ahí el dato será “sensible”. Tanto es así, que la normativa en la que el boletín N° 11.092-07 se basa (RGDP), no incluye dentro de las categorías “especiales” (sensibles) de datos, los datos de los menores de edad. Lo mismo ocurre con el Anteproyecto de la Ley de Protección de Datos Personales español, que transpone las normas del RGDP a la legislación de España, y que en las categorías “especiales” (datos sensibles), establecidas en su artículo 10, no incluye a los datos de los menores de edad. De hecho, el RGDP solamente regula el consentimiento de los menores de edad con relación a los servicios de la sociedad de la información o, en otras palabras, procesamiento de datos online (artículo 8), estableciendo reglas de acuerdo a la edad de ellos. En cuanto al procesamiento de datos offline, el RGDP nada dice, lo que es dejado a los Estados Miembros del mismo. Letra i), “FUENTES DE ACCESO PÚBLICO” (Boletín 11.144; y art. 3 N° 7, boletín 11.092) Recomendaciones: a) Evitar la redacción del boletín 11.144, ya que es absolutamente peligrosa por ser amplia y dejar abierta la posibilidad de hacer un uso “legítimo” de “ilegítimamente obtenidos”, lo que claramente se constituiría en una puerta de entrada para el tratamiento de datos ilegítimo. b) Optar por la redacción del boletín 11.092, ya que es taxativa, lo que viene en enmendar la legislación de la actual ley 19.628, que tiene tres causales que permiten el tratamiento de datos personales sin autorización del titular, que son absolutamente irrisorias y que denotan el lobby existente a la época de redacción de dicha normativa. c) Modificar la redacción del boletín 11.092, en el sentido de eliminar de las fuentes de acceso público tanto al Censo, como la Encuesta Casen y las Listas de personas pertenecientes a grupos (artículo 3° N° 7, letras a), b) y d). El “Censo” y la “Encuesta Casen”, por estar protegido por el secreto estadístico (ley 17.374) y deberes de confidencialidad (ley 20.530) y las “Listas de personas” por no tener ningún asidero legal, sino que haber sido permitida como causal gracias el lobby. No existe ninguna razón aparente para mantener esta causal. Por el contrario, mantenerla significaría seguir permitiendo que la “excepción sea la regla general”.
~ 11 ~
Letra j) “ORGANISMOS PÚBLICOS, LAS AUTORIDADES, ÓRGANOS DEL ESTADO Y ORGANISMOS, DESCRITOS Y REGULADOS POR LA CONSTITUCIÓN POLÍTICA DE LA REPÚBLICA, Y LOS COMPRENDIDOS EN EL INCISO SEGUNDO DEL ARTÍCULO 1º DE LA LEY N° 18.575, ORGÁNICACONSTITUCIONAL DE BASES GENERALES DE LA ADMINISTRACIÓN DEL ESTADO” (letra k), Ley N° 19.628, que por el boletín 11.144 pasó a ser letra j)) Respecto de esta norma, la Excma. Corte Suprema (CS) ha efectuado una muy acertada crítica, al considerar que la definición no resuelve problemas de ambigüedad que se producen al momento de determinar en varios casos cuándo se está frente a un organismo de carácter privado o público (página 5, informe del proyecto de Ley N° 5-2017, sobre el boletín 11.144). Letra k), “PROCESO DE ANONIMIZACIÓN O DISOCIACIÓN” (Boletín 11.144; y art. 3 N° 5 boletín 11.092) Recomendación Si bien la redacción de este artículo es positiva en materias de protección de datos personales, estimo que debe hacerse una distinción entre el procedimiento de “anonimización o disociación” con el de “seudonimización”. El boletín 11.144 utiliza la terminología “anonimización o disociación”, por una parte, para referirse a ambos como sinónimos (artículo 2, letra k), y el boletín 11.092 usa el término “disociación” como sinónimo de seudonimización (artículo 3° N° 5, que si bien sigue la redacción del RGDP europeo en su artículo 4° N° 5, cambia la palabra “seudonimización” por disociación, lo que resulta incorrecto). La importancia de esto ha sido explicada de manera extensa en el documento “Análisis Crítico de los Proyectos de Ley de Protección de Datos Personales Parte I: Disposiciones Generales”, página 48, que puede descargarse desde el sitio web www.y2k.cl Letra l), “BASES DE DATOS PERSONALES” (Boletín 11.144; y art. 3 N° 6, Boletín 11.092) Recomendación Preferir la redacción del boletín 11.144. La definición dada por el boletín N° 11.144 es bastante amplia, cubriendo amplias hipótesis, ya sea basadas en la forma de creación, almacenamiento, organización y acceso. En nuestro parecer, es una definición más sólida que la dada por el boletín N° 11.092, que indica que “base de datos” es “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados”. Esta última definición podría dar lugar a diversas interpretaciones, toda vez que no especifica los criterios que sí establece el boletín N° 11.144. ~ 12 ~
Letra m), “RESPONSABLES DE DATOS O RESPONSABLES” (Boletín 11.144; y art. 3 N° 10 boletín 11.092) Se recomienda usar la redacción del boletín 11.144, por ser más completa que la del boletín 11.092. Recomendación. Como sea, se recomienda añadir elementos de la redacción del RGDP, en cuanto a la especificación persona jurídica, mediante una serie de ejemplos no taxativos (“autoridad pública, servicio u otro organismo), lo que ayuda a hacer a la norma un tanto más clara; También se recomienda hacer una indicación como la de la ley española (LOPD) en la que se señala que el responsable es aquel no solamente que decida respecto del “tratamiento” en sí, sino que también respecto de su “finalidad, contenido y uso del mismo”. Letra n), “TITULAR DE DATOS O TITULAR” (Boletín 11.144) Se recomienda seguir redacción del boletín 11.144, ya que define al titular de datos de manera separada al concepto de tratamiento de datos. Además, la definición del boletín 11.144 creo es más idónea que la dada por el boletín N° 11.092-07 (“la persona a la que se refieren los datos de carácter personal”), ya que esta última conceptualización podría generar dudas en torno a si esa definición aplica o no respecto de una persona “identificable” (que puede identificarse mediante la asociación con otros datos). Letra ñ), “TRATAMIENTO DE DATOS” (Boletín 11.144) Las definiciones de ambos boletines son correctas, ya que definen adecuadamente el término, estableciendo una lista no taxativa de lo que debe entenderse por tratamiento de datos (al usar el término “cualquier”, “cualquier forma” y “tales como”), lo que va en directo beneficio de los titulares de datos, principalmente en atención a las diversas formas de tratamientos que han surgido y surgirán gracias al advenimiento de nuevas tecnologías. Sin embargo, estimo que la definición del artículo 11.092-07 está redactada en términos más acabados, por cuanto establece más ejemplos prácticos de tratamientos que el boletín N° 11.144-07, lo que da luces al intérprete sobre otras nuevas formas de tratamiento. Letra o), “CONSENTIMIENTO” (Boletín 11.144) Ambas definiciones son correctas y comparten elementos, sin embargo, el boletín N° 11.092 pasó por alto (por lo menos en las definiciones), establecer, como lo hizo el boletín N° 11.144-07, que la manifestación de voluntad puede ser dada por un representante legal o mandatario del titular de datos, según corresponda. Si bien ello obedece a una idea de plasmar ~ 13 ~
las reglas generales de los actos jurídicos, resulta conveniente establecer dicha idea en la noción de consentimiento, para evitar confusiones o interpretaciones antojadizas. Otro punto a mejorar sería establecer un reglamento o directrices para determinar el sentido y alcance de esos conceptos. Por ejemplo, el RGDP establece en varios recitales una serie de criterios e hipótesis, principalmente en los recitales 32, 33, 38, 42 y 43, los que estimo se debiesen tener en cuenta, por lo menos al momento de establecer directrices por parte de una posible Agencia Nacional de Protección de Datos Personales. 1
1
Recital 32. (32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta. Recital 33. (33) Con frecuencia no es posible determinar totalmente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de su recogida. Por consiguiente, debe permitirse a los interesados dar su consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica. Los interesados deben tener la oportunidad de dar su consentimiento solamente para determinadas áreas de investigación o partes de proyectos de investigación, en la medida en que lo permita la finalidad perseguida. Recital 38. (38) Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño. El consentimiento del titular de la patria potestad o tutela no debe ser necesario en el contexto de los servicios preventivos o de asesoramiento ofrecidos directamente a los niños. Recital 42. (42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno. Recital 43. (43) Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable
~ 14 ~
Un interesante aspecto que se establece en los recitales 42 y 43 del RGDP, es el de las cláusulas abusivas, que hace directa relación con el requisito de “manifestación de voluntad libre”. 2 Sin un reglamento o directrices, términos tan complejos como el consentimiento podrían ser interpretados antojadizamente. Letra u), “REGISTRO NACIONAL DE CUMPLIMIENTO Y SANCIONES” (Boletín 11.144) Recomendaciones No solamente contar con un registro nacional de cumplimiento y sanciones, sino que también con un registro sobre ficheros, tratamientos y cualquier otra actividad relativa a los datos personales de las personas, similar al del artículo 30 RGDP, con el objeto de dar publicidad a dichas actividades. Por ejemplo, en España existe ese Registro, establecido en el artículo 39 LOPD, existiendo una serie de disposiciones en la ley que hacen referencia a deberes, prerrogativas y cuestiones orgánicas que hacen relación al mismo. Con la incorporación de este registro, también deben añadirse otros derechos, como el “derecho de consulta del registro mismo” (por ejemplo, presente en el artículo 14 de la Ley Orgánica de Protección de Datos de España) Además, debe incorporarse una sanción ante la falta de registro y, si se sigue el sistema de graduación de culpa del artículo 38 del boletín 11.144, determinar si la falta de registro constituye una infracción leve, grave o gravísima. “REPRESENTANTE” (Boletín 11.092) Si bien se han recogido casi la gran mayoría de las definiciones del RGDP, y se han dejado de lado términos cuya aplicabilidad no se ajustaría a nuestra realidad jurídica, existe un término que ha sido recogido por el artículo 28 del boletín N° 11.092-07, pero que no ha sido definido en el capítulo “definiciones”. Dicho término es el de “representante”, que como se dijo si bien aparece mencionado en el artículo 28, no se ha definido por el proyecto en referencia, lo que si fue hecho en el RGDP, al definir el concepto de “representante”, como “persona física o jurídica establecida en la sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento. 2 Ejemplo de cláusulas abusivas en materia de protección de datos son aquellas que atentan contra el principio de finalidad, o las que desnaturalizan o hacen complejo el ejercicio de derechos de protección de datos personales mediante cláusulas de fijación de jurisdicción extranjera.
~ 15 ~
Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud del presente Reglamento” Dicha definición podría tener plena aplicación respecto del proyecto del boletín N° 11.092, que mandata establecer un representante en Chile en los siguientes términos: “Artículo 28. Responsables no establecidos en Chile. Los responsables del tratamiento no residentes en Chile, deberán designar a un representante en Chile, que atienda, junto al responsable o al encargado, o en su lugar, a las consultas de los titulares, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en la presente ley. La designación de un representante, por el responsable o el encargado del tratamiento, se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado”. El concepto de “representante”, adecuándose al proyecto del boletín N° 11.092-07, debiese establecerse más o menos del siguiente modo, en su artículo 3°, de las definiciones: “Representante: persona física o jurídica establecida en Chile, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 28, represente al responsable o al encargado en lo que respecta a sus respectivas obligaciones en virtud de la presente ley”. Art. 3 N°4, “ELABORACIÓN DE PERFILES O PROFILING” (Boletín 11.092) Si bien considero que la definición de “elaboración de perfiles” del artículo 3 N° 4 del boletín 11.092 es correcta, es importante tener presente que la norma a que dicha definición hace referencia, esto es, el artículo 17 del mismo boletín, cuenta con un título erróneo: “Derecho ante el tratamiento automatizado de datos”. Dicho título es incorrecto porque el derecho establecido en el artículo 17 no se identifica realmente como un derecho “ante el tratamiento automatizado de datos”, sino que este tratamiento debe cristalizarse en una decisión o una elaboración de perfiles. En otras palabras, este derecho no se opone al tratamiento automatizado de datos (lo cual es inverosímil), sino que confiere la prerrogativa de “no ser objeto” de una decisión basada únicamente en el tratamiento automatizado o una elaboración de perfiles (entendiendo a esta última como la práctica del profiling, en los términos del artículo 3 N° 4).
~ 16 ~
Es por lo anterior que el título original de este artículo, que fue instaurado originalmente en la DPD europea y ahora en el RGDP europeo, es “Decisiones individuales automatizadas, incluida la elaboración de perfiles”, título que considerada ambas hipótesis. Finalmente, cabe consignar que el artículo 15 ter del boletín 11.144, que consagra el derecho del que hablamos, resulta menos efectivo, toda vez que en su inciso primero establece una idea que nada tiene que ver con el mismo y que además es redundante, ya que indica que el tratamiento de datos personales puede hacerse por medios automatizados, lo cual nadie duda ni está prohibido por ley (de hecho, la misma definición de tratamiento de datos personales de ambos boletines lo definen como un procedimiento que puede ser automatizado); por lo demás, el volumen de datos es irrelevante. El inciso segundo establece el derecho de no ser sometido a una decisión basada únicamente en el tratamiento automatizado o una elaboración de perfiles, pero está redactado en términos bastante más pobres que los del boletín 11.092, ya que, por ejemplo, no concede el derecho a “obtener información del responsable respecto a los criterios de valoración como sobre el programa utilizado en el tratamiento que sirvió para adoptar la decisión”. V.
CESIÓN DE DATOS PERSONALES (ARTÍCULO 7° BOLETÍN 11.092 y ARTÍCULO 15 BIS BOLETÍN 11.144)
Las referidas normas cuentan con una buena redacción en términos generales y regulan un tema muy importante, cual es la comunicación o cesión de los datos dentro del territorio nacional. Como comentario, se recomienda que se fusionen ambas normas, ya que ambas cuentas con características propias (de las cuales la otra carece) que las hacen efectivas. Sin perjuicio de lo anterior, también incorporaría un deber de notificación de la cesión propiamente tal (ya sea al cedente o al cesionario), como un deber de registro de tales datos en un Registro Nacional, ya que muchas veces ocurre que las cesiones o comunicaciones de datos a terceros ocurren tiempo después de haber sido recolectados, sin que el titular de datos pueda oponerse a dicha cesión o a revocar su consentimiento VI.
PROCEDIMIENTO DE RECLAMACIÓN DEL BOLETÍN 11.092
Procedimiento general del artículo 20 del boletín 11.092 Por considerar que necesitamos de un órgano especializado en la materia, que no debe ser otro más que la Agencia de Protección de Datos Personales, estimo que este procedimiento debe ser descartado, toda vez que propone a un ente que no cuenta con la especialidad y otras características necesarias para resolver reclamaciones relativas a la protección de datos personales. Sin embargo lo anterior, creo que existen aspectos procedimentales rescatables que pudiesen replicarse en la versión final del proyecto de ley, como por ejemplo: ~ 17 ~
a) la reserva de hechos y pruebas del expediente b) la posibilidad de permitir la notificación electrónica c) la posibilidad de sancionar al jefe del Servicio de un organismo público para el caso en que el infractor sea este organismo Del mismo modo, debería permitirse no solamente la reserva de hechos y pruebas, sino que también del nombre de las partes afectadas en cuanto a su privacidad o datos personales. Procedimiento especial cuando exista interés colectivo, del artículo 21 del boletín 11.092 Del mismo modo, consideramos que esta materia debería quedar en conocimiento de la Agencia de Protección de Datos Personales. La incorporación de la posibilidad de actuar de manera colectiva en materias de protección de datos personales resulta una idea rescatable y que se ha transformado en tendencia a nivel internacional. Recientemente en Alemania se aprobó el proyecto de una nueva ley de protección de datos que incluso le otorga la posibilidad a asociaciones de la más variada naturaleza para ejercer acciones colectivas relativas a la protección de datos personales. VII.
DE LA TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES (ARTÍCULO 27 Y SIGUIENTES BOLETÍN 11.144)
El título V del boletín 11.144 establece tres reglas aplicables al tratamiento transfronterizo de datos (TTD) personales: i) ii) iii)
La del artículo 27, que fija las reglas aplicables a países con niveles adecuados de protección de datos personales; La del artículo 28, que establece las reglas aplicables a países que no poseen niveles adecuados de protección de datos personales Y la del artículo 29, que determina una exclusión del concepto de transferencia internacional de datos y una obligación de fiscalización de ellas por parte de la Agencia de Protección de Datos Personales
El sistema de legitimación del TTD, de acuerdo al artículo 27 y 28 del proyecto, se traduce en un sistema de “legitimación por adecuación” (o de “decisiones de adecuaciones), en donde el tratamiento transfronterizo se permite siempre y cuando el país receptor cuente con niveles adecuados de protección (art. 27) o no cuente con ellos pero se esté dentro de una de las hipótesis que la ley indica (art. 28). Antes de referirnos a cada uno de esos artículos, estimamos necesario señalar que el RGDP europeo establece un sistema un tanto más completo, ya que además de establecer un sistema de “legitimación por adecuación”, añade como supuesto de legitimidad “el hecho de que el responsable o encargado ofrezcan garantías adecuadas” (art. 46 RGDP), garantías tales como, “instrumentos vinculantes (art. 46(2)(a)), la existencia de normas corporativas vinculantes ~ 18 ~
(art. 46(2)(b)), cláusulas tipo de protección de datos (46(2)(b), códigos de conducta (46(2)(c), entre otras. Dicho sistema de garantías se encuentra presente en el proyecto chileno, pero de una manera escuetísima, como se verá más adelante. Del mismo modo, el proyecto de ley chileno no establece una lista de excepciones a los sistemas de legitimidad de TTD, como sí lo permite el RGDP en su artículo 49. En cuanto al sistema de legitimación por adecuación del artículo 27 del proyecto El artículo 27 establece que se permitirá el TTD si el país receptor cuenta con niveles adecuados de protección de datos personales, para lo que se considerará, a lo menos: a) La existencia del establecimiento de principios para el tratamiento de datos personales; b) La existencia de normas que reconozcan y garanticen los derechos de los titulares de datos; c) La imposición de obligaciones de información y seguridad a los responsables del tratamiento de datos; d) La determinación de responsabilidades en caso de infracciones. A tales criterios, pueden añadírseles los siguientes, que se encuentran en la normativa europea: i)
ii)
La existencia y funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país (refiriéndose a Agencias u Oficinas de Protección de Datos Personales); Los compromisos internacionales asumidos por el tercer país u otras obligaciones derivadas de acuerdos o instrumentos jurídicamente vinculantes, así como de su participación en sistemas multilaterales o regionales, en particular con relación a la protección de datos personales.
Sin perjuicio de lo anterior, debiese establecerse un mecanismo a cargo de la Agencia de Protección de Datos Personales (APDP) para efectuar el procedimiento de determinación de si efectivamente o no un tercer país cuenta con un nivel adecuado de protección, mediante una “decisión de adecuación” por parte de la APDP. En el RGDP europeo dicho procedimiento está establecido en el artículo 45(3) al (9), en además se fijan obligaciones de fiscalización, revisión y comunicación para aplicar este proceso. En cuanto al sistema de “garantías adecuadas” Como ya vimos, el TTD puede basarse en un sistema de decisión de adecuación por parte de la autoridad competente, determinando el nivel de protección del país u organización extranjera. ~ 19 ~
Como sea, una regulación bastante novedosa fue establecida en el RGDP europea, consistente en la posibilidad de legitimar el TTD basado en “garantías adecuadas” ofrecidas por el responsable o el encargado del tratamiento (artículo 46 RGDP). Al efecto, los proyectos de ley chilenos hacen una escueta referencia a dicho mecanismo, al establecer en el artículo 28, inciso final, que. “cuando no se verifique ninguna de las circunstancias señaladas en las letras anteriores, la Agencia de Protección de Datos Personales podrá autorizar la transferencia o transmisión internacional de datos, siempre que el transmisor y el receptor de los datos otorguen las garantías adecuadas en relación con la protección de los derechos de las personas que son titulares de estos datos. La Agencia de Protección de Datos Personales podrá imponer condiciones previas para que se verifique la transferencia”. Como se puede apreciar, la norma chilena simplemente deja abierta la posibilidad de establecer dichas garantías, pero no las cristaliza de modo alguno en una regulación específica, lo que la hace poco eficaz. La regulación de este segundo mecanismo de legitimación del TTD, se encuentra establecida en el artículo 46 RGDP, del siguiente modo:
~ 20 ~
De lo anterior se puede concluir que existen al menos ocho (8) sub-mecanismos que se traducen en garantías suficientes para que un país u organización internacional pueda tratar datos personales sin seguir el procedimiento de decisiones de adecuación: i)
ii)
La existencia de instrumentos jurídicamente vinculantes y exigibles entre las autoridades y organismos públicos (lo que podría ser bastante efectivo, de existir una regulación de deber de cooperación entre APDP); La existencia de normas corporativas vinculantes, definidas en el artículo 4° N° 20 del RGDP, y cuya regulación sustantiva se encuentra en el artículo 47 RGDP; ~ 21 ~
iii) iv) v) vi)
Existencia de cláusulas tipo; Códigos de conducta (regulados en los artículo 40 y 41 RGDP); Mecanismos de certificación (regulados en los artículo 42 y 43 RGDP); Existencia de cláusulas contractuales entre las partes (46(3)(a) RGDP)
Sistema de excepciones “para situaciones específicas” Existe, si podemos calificarlo como tal, una tercera causal de legitimidad de TTD (junto con las “decisiones de adecuación” y las “garantías suficientes”), dentro de lo que se establece como un marco de excepciones para situaciones o hipótesis específicas. Dicho marco de excepciones está establecido en el artículo 49 del RGDP. Cabe tener presente también que el artículo 29 del proyecto de ley del boletín 11.144 también considera una excepción (en realidad, exclusión), pero resulta ser una regulación bastante escueta. El artículo 49 RGDP, establece que en ausencia de una “decisión de adecuación” (nivel de protección de datos en el país tercero) o de “garantías suficientes” (instrumentos jurídicos vinculantes, normas corporativas vinculantes, códigos de conducta, etc), una TTD se podrá realizar si es que se cumplen con determinadas condiciones:
Como se puede apreciar, tales condiciones resultan ser muy similares a las establecidas respecto a las “excepciones al consentimiento” del artículo 13 del boletín 11.144, y a la “licitud del tratamiento”, del inciso segundo del artículo 4° del boletín 11.092. En otras palabras, este marco regulatorio de excepciones permitiría el TTD siempre y cuando se está a situaciones muy específicas que la misma normativa califica como especiales para efectos de permitir dicho tratamiento. ~ 22 ~
En ninguno de los proyectos chilenos se incorpora este régimen de excepciones, el cual en mi opinión debiese existir, ya que de no ser así se estarían obstaculizando importantes operaciones jurídicas de carácter laboral, reclamaciones, de interés público, e incluso de interés exclusivo del titular. Necesidad de establecer una norma que permita la facilitación de la cooperación internacional en el ámbito de la protección de datos personales Cómo último tema respecto del tratamiento transfronterizo de datos personales, puede también recomendarse la idea de que debiese existir una norma que fije las bases de un sistema de cooperación internacional, entre la Agencia chilena de Protección de Datos Personales y las agencias extranjeras y otros organismos encargados de la protección de datos. Lo anterior se hace necesario por un sinnúmero de importantes razones, tales como para otorgarle eficacia a las normas relativas a los niveles de protección de los países (por ejemplo, facilitándose mutuamente estas entidades informes sobre el nivel de protección de sus países); cooperando entre ellas respecto a la aprobación y cumplimiento de los códigos de conducta, normativas corporativas vinculantes; y, en general, el cumplimiento de la ley misma y de las sentencias que cada ADPD dicte respecto de los responsables. A este respecto, el artículo 50 RGDP, que es la última norma que se ubica en el mismo título del tratamiento transfronterizo de datos personales, establece:
VIII. AUSENCIA DE ENFOQUES DE “PRIVACY BY DESIGN” Y “PRIVACY BY DEFAULT” Loa enfoques de privacy by design (privacidad desde el diseño) y privacy by default (privacidad por defecto), en términos simples, nacen de la creciente idea de que la misma tecnología, que se constituye como una fuente de tecnologías invasivas a la privacidad (PITs, ~ 23 ~
del inglés privacy-invading technologies), puede a su vez originar mecanismos que faciliten la protección de la privacidad y los datos personales. En pocas palabras, el enfoque de privacy by design se traduce en uno de carácter proactivo, tendiente a evitar la infracción a los derechos de protección de datos personales y violación de la privacidad. Este enfoque se relaciona con la tecnología, ya que su aplicación tiene inicio al momento en que esta se desarrolla, incorporando funcionalidades que predeterminadamente protejan los datos y la privacidad. La noción de lex informática y de code is law, como arquitectura creada mediante normas tecnológicas dictadas por código computacional, es un elemento que generalmente define al enfoque del privacy by design. Estos mecanismos también pueden definirse como una forma de self-regulation (autorregulación). Por su parte, el concepto de privacy by default, también basado en enfoques de autorregulación, podría decirse es consecuencia o principio subyacente del privacy by design, debiendo entendérsele como la noción de que la privacidad sea la configuración inicial o predeterminada o por defecto de una tecnología o proceso que involucre el tratamiento de datos personales o la amenaza a la privacidad. Pues bien, ninguno de los proyectos de ley chilenos ha considerado la inclusión de estos enfoques, siendo bastante curioso, toda vez que al menos el boletín 11.092 se inspiró en buena medida del RGDP, que hizo tal incorporación en su artículo 25. El inciso primero del artículo 25 hace referencia a la privacidad por diseño, mientras que en el inciso segundo se refiere a la privacidad por defecto; el inciso tercero permite que el procedimiento de acreditación (considerado en el artículo 53 del boletín 11.144) sea aplicable a estas prácticas.
~ 24 ~
Si bien los términos que usa el artículo 25 RGDP son amplios, es el considerando 78 del RGDP el que da luces acerca de las medidas que en la práctica podrían tomarse a partir de estos enfoques, las que incluyen: la reducción del tratamiento (“minimización de datos”), la seudonimización oportuna, transparentación de funciones y del tratamiento, brindar la oportunidad de supervisar el tratamiento, de crear y mejorar elementos de seguridad, etc:
Estimamos firmemente que este tipo de enfoques podría ser de gran aporte para nuestra realidad comercial chilena, toda vez que podría contribuir a la formación de una sociedad proactiva de cumplimiento, más que a una sociedad de sanciones. Evidencia clara de lo anterior viene dado por el creciente número de profesionales y departamentos de cumplimiento normativo (compliance) dentro de las empresas. IX.
REGULACIÓN DE CLÁUSULAS “TAKE-IT-OR-LEAVE-IT”
Existen muchos casos en los que un consumidor acepta términos y condiciones en Internet. La mayoría de las veces cuando prestamos nuestro consentimiento para acceder a un producto o servicio, debemos aceptar los términos y condiciones “en bloque”, entregando nuestro consentimiento para fines que van más allá de los de la operación principal (la venta o prestación de un servicio). Ello ocurriría por ejemplo cuando un consumidor compra un producto, aceptando el tratamiento de sus datos para “efectos de tal operación” y “otros posibles” tratamientos futuros que no son bien definidos por parte del responsable. En este sentido se ha hablado 3 de un principio de “separación” que debería regir al momento de la entrega del consentimiento. La aplicación de dicho principio obligaría al prestador del servicio de la sociedad de la información a requerir dos consentimientos específicos para cada uno de los tratamientos de datos u operaciones específicas que se pretendan realizar. Dicha noción se establece en el considerando 32 del RGDP: “[c]uando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del Irion, Kristina; Luchetta, Giacomo, “Online Personal Data Processing and EU Data Protection Reform, Report Of The Ceps Digital Forum April 2013”, p. 42.
3
~ 25 ~
interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta”, como en el artículo 7(2) del RGDP. El proyecto de ley del boletín 11.144 nada dice (a lo menos directamente) al respecto, debiéndose entender que dicho principio se entiende ser parte de los principios de finalidad y de especificidad del consentimiento. Por su parte, el artículo 5° N° 5 del boletín 11.092 efectivamente establece una norma que consagra dicho principio, por lo que estimo aconsejable que al momento de fusionar ambos boletines, se rescate dicha noción. X.
DEL MODELO DE PREVENCIÓN DE INFRACCIONES (ART. 52 A 56 DEL BOLETÍN 11.144). MENCIÓN INDIRECTA AL DELEGADO DE PROTECCIÓN DE DATOS PERSONALES.
El proyecto de ley chileno del boletín 11.144, establece un interesante marco normativo que permite a los responsables del tratamiento, cualquiera sea su naturaleza, adoptar modelos de prevención de infracciones de la ley, que, de contar con uno que cumpla con los requisitos establecidos en el artículo 52, puede ser utilizado como base para alegar una atenuante especial del artículo 54. El modelo de prevención del artículo 52, cuenta con requisitos o elementos mínimos, los cuales son: a)
b) c) d)
La designación de un encargado de prevención o un delegado de protección de datos (al parecer la norma los hace sinónimos, ya que en la letra b solamente menciona al encargado de prevención y, siendo un requisito “mínimo”, debiese cumplirse también para el caso del delegado) La definición de medios y facultades del encargado (y delegado, aunque la norma no lo menciona); El establecimiento de un programa de cumplimiento que debe cumplir con ciertas menciones; y Le supervisión y certificación del modelo de prevención de infracciones.
Creo que con este “modelo de prevención de infracciones”, el proyecto chileno está estableciendo un símil a lo que el RGDP define como los “códigos de conducta” (del artículo 40 RGDP), los cuales deben ser supervisados y certificados, mediante procedimientos específicos (artículo 41 y 42), el que en el proyecto chileno queda en manos de la APDP (artículo 43 del boletín 11.144) y que puede ser revocado (artículo 56) Si bien considero que este modelo de prevención de infracciones es bastante efectivo en cuanto a su regulación, estimo que algunos aspectos importantes quedaron fuera del tintero. Entre ellos: ~ 26 ~
i)
ii) iii)
La definición del delegado de protección de datos personales 4, tanto en el artículo de “definiciones” de la ley, como en un artículo específico, como ocurre en el artículo 37 a 39 del RGDP, que regulan su designación, posición dentro de la empresa y funciones; La incorporación de la individualización del delegado de protección de datos en el artículo 14 ter (boletín 11.144) o artículo 12 (boletín 11.092); Mayores menciones en el programa de cumplimiento, tales como: i) la información proporcionada a los niños o la forma de obtener el consentimiento de quienes ejercen su patria potestad; ii) temas de seudonimización de datos; iii) forma en que los titulares pueden ejercer derechos; entre otras menciones del artículo 40(2) del RGDP.
Cabe recordar también que los códigos de conducta (“modelos de prevención de infracciones” en el proyecto chileno), sirven de base para legitimar el tratamiento transfronterizo de datos como mecanismo de “garantía adecuada” (excepción a la regla general constituida por una “decisión de adecuación”). XI.
INCORRECTA IMPLEMENTACIÓN DEL PROCEDIMIENTO DE EVALUACIÓN DE IMPACTO RELATIVO A LA PROTECCIÓN DE DATOS PERSONALES (ARTÍCULO 33, BOLETÍN 11.092)
El sistema de evaluación de impacto relativo a la protección de datos personales (EIPDP) es aplicable cuando un tratamiento implique un alto riesgo para los derechos de los titulares. Este EIPDP deberá efectuarse por el responsable, antes del tratamiento. El proyecto de ley del boletín 11.092 establece un sistema de EIPDP (el boletín 11.144 no lo hace), determinando (i) cuándo es obligatoria, y (ii) qué debe incluir dicha EIPDP. Como sea, en la redacción del boletín 11.092 se cometió una gran falta, al omitir un tercer punto importantísimo, cual es (iii) el efecto legal de una EIPDP que arroje como resultado que un determinado tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo. En efecto, el RGDP, que como hemos dicho en innumerables oportunidades sirvió de fuente de inspiración del boletín 11.092, establece dicha regulación, en su artículo 36, intitulado “Consulta previa”. En dicho precepto, se indica que en el caso de que luego de realizado una EIPDP y en el evento en que el resultado de dicha EIPDP muestre que un determinado tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, el responsable
No debe confundirse la figura del “delegado de protección de datos” (conocido como “DPO” en la legislación europea), con el de encargado (artículo 3° N° 10 del boletín 11.092), ni mucho menos con el de “representante en Chile” (del artículo 28 del boletín 11.092).
4
~ 27 ~
deberá consultar antes a la autoridad de datos (la Agencia de Protección de Datos) para proceder al tratamiento. La misma norma luego establece que la autoridad (Agencia), de considerar que el tratamiento pudiese infringir la ley, deberá asesorar al responsable o al encargado y ejercer cualquier de sus poderes establecidos en el artículo 58 RGDP (solicitud de información, realizar investigaciones, revisar certificaciones, etc.). Lo anterior constituye la razón de ser y fin práctico del sistema de evaluación de impacto relativo a la protección de datos personales, por lo que la ausencia de tal norma en el boletín 11.092 hace que dicha regulación no tenga pies ni cabeza en términos de eficacia. De mantener el sistema tal y como está propuesto sería contar con un sistema de evaluación de impacto “porque sí”. Conforme a lo anterior, considero que debiese derechamente replicarse el artículo 36 (“Consulta previa”) del RGDP, ya que de no hacerse ello, el sistema de EIPDP no tendría ningún efecto práctico. Del mismo modo, debiese replicarse una norma similar a la del artículo 58 RGDP, con el objeto de hacer efectivo el procedimiento de consulta previa. XII.
SEGURIDAD DEL TRATAMIENTO (ARTÍCULO 31, BOLETÍN 11.092)
El artículo 31 del boletín 11.092 establece una importante marco normativo que fija ciertas reglas de seguridad de los datos personales, tendientes a evitar la ocurrencia de un riesgo relativo a ellos, mediante medidas técnicas y organizativas “apropiadas” para garantizar un nivel de seguridad adecuado en relación al riesgo específico. Este artículo establece a lo menos cuatro (4) medidas: i) ii) iii) iv)
La disociación o el cifrado de datos personales; La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Respecto de los puntos ii), iii) y iv), no existen mayores observaciones, toda vez que efectivamente son las medidas que han sido discutidas a lo largo del procedimiento de elaboración del artículo 32 del RGDP, de la cual se inspira el artículo 31 del boletín 11.092. Una primera crítica a este artículo, respecto del punto i) “la disociación o el cifrado de datos personales”, consiste en la existencia de un pequeño error conceptual al utilizar el término “disociación” en el boletín 11.092. Dicho error radica en que la disociación de datos es un término que en el derecho de la protección de datos personales se ha utilizado comúnmente para hacerlo sinónimo de la
~ 28 ~
palabra “anonimización”, concepto radicalmente distinto al de “seudonimización” que es el utilizado en el RGDP y que fue replicado por el proyecto de ley del boletín 11.092. Como bien se ha explicado con anterioridad, seudonimizar es “reemplazar el nombre del titular de datos personales y otros aspectos identificatorios con otras identificadores, con el objeto de hacer imposible o extremadamente difícil identificarlo” [Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG)] y anonimizar o hacer anónimo significa "alterar los datos personales de tal forma que la información relativa a circunstancias personales o materiales no puedan atribuirse a un una persona natural identificada o identificable, o que dicha atribución requiere de una cantidad desproporcionada de tiempo, gastos y esfuerzos” [Federal Data Protection Act (Bundesdatenschutzgesetz, BDSG)]). El término “disociación” utilizado en el boletín 11.092, se ha asociado comúnmente al proceso de anonimización. Tanto es así que el boletín 11.144 en su artículo 2° letra k), se refiere al “anonimización” o “disociación” como lo mismo. Lo que en pocas palabras propongo es que el boletín 11.092 debe enmendarse en cada artículo que utiliza la terminología “disociación” como sinónimo de “seudonimización”, como ocurre en el artículo 3° N° 5, “Procedimiento de disociación de datos”, que debería cambiarse por “Procedimiento de seudonimización de datos” (recordemos que este artículo es una réplica del artículo 4° N° 5 del RGDP, que se intitula “seudonimización”); el artículo 31, inciso primero, letra a), que define al “Procedimiento de disociación de datos”, cuando en realidad debería referirse a la “Seudonimización”. Una segunda crítica al artículo, radica en la ausencia de referencias a ciertos enfoques de autorregulación, tales como los códigos de conducta (“modelo de prevención de infracciones” en el artículo 52 del boletín 11.144) y certificación. En efecto, como bien dijimos, el artículo 31 del boletín 11.092 se “inspiró” en el artículo 32 a 34 del RGDP europeo, el cual, además de establecer las medidas técnicas y organizativas mínimas referidas líneas atrás, establece un inciso tercero que fue pasado por alto en el proyecto de ley chileno: “3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo”. La incorporación de una norma como la anterior resulta de provecho, toda vez que se permitiría que los responsables del tratamiento comiencen a tomar un rol activo en el correcto y legítimo tratamiento de los datos personales, adecuando su actuar a códigos de conducta o modelos de prevención de infracciones que cuentan menciones legales mínimas. De esta forma, se fomentaría la cultura del cumplimiento en materia de protección de datos personales.
~ 29 ~
Esta posible incorporación debiese hacer referencia al artículo 52 del boletín 11.144, que regula los modelos de prevención de infracciones y sus certificaciones, ambas materias inexistentes en el boletín 11.092. Una tercera crítica se puede hacer respecto del procedimiento de “Notificación ante incidentes de seguridad de datos personales” (artículo 32 boletín 11.092), el que ha sido redactado en términos muy escuetos, al prescribir que: “Los responsables deberán comunicar a los titulares por los medios más expeditos posibles, las violaciones de la seguridad de datos personales en un lenguaje claro y sencillo, señalando la naturaleza de dicha incidencia y las medidas de protección técnicas y organizativas adoptadas”. Dicha norma deja de lado ciertos aspectos que se regularon metódicamente en el artículo 33 del RGDP europeo, que establece un procedimiento de notificación de incidentes de seguridad a la autoridad de protección de datos (Agencia de Protección de Datos): i) ii)
iii)
iv)
¿Ante quién se realiza la notificación? Ante la Agencia de Protección de Datos; ¿En qué oportunidad? Sin dilación indebida y, a más tardar 72 horas después de que haya constancia de la violación de seguridad. Y si tal notificación excediere las 72 horas, acompañar una indicación con los motivos de dicha dilación; ¿Qué se notifica? Naturaleza de la violación de datos; categorías, número de afectados; categoría y número de registros afectados; comunicar nombre y datos de contacto del delegado de protección de datos (recordemos que el “modelo de prevención de infracciones del artículo 52 y siguientes del boletín 11.144 establece indirectamente la figura del delegado de protección de datos); describir posibles consecuencias de la violación de la seguridad de datos; describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos Deber de documentación por parte del responsable de la violación de seguridad
El proyecto chileno también si bien establece un procedimiento de notificación a los titulares de datos (artículo 32, inciso primero, boletín 11.092), dicho procedimiento se encuentra muy pobremente regulado, ya que solamente hace referencia a las menciones “naturaleza de la incidencia” y las “medidas de protección técnicas y organizativas adoptadas”, mientras que el artículo 34 del RGDP establece una serie de menciones mucho más acabada, incluyendo un deber de notificación “sin dilación indebida”, entre otros aspectos. XIII. DERECHO DE INFORMACIÓN DEL ARTÍCULO 12 DEL BOLETÍN 11.092 Respecto de este punto, existe una pequeña recomendación en cuanto al artículo 12, inciso segundo, letra h), que establece como menciones mínimas del derecho de información la información relativa a la “h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles”. ~ 30 ~
Se recomienda modificar dicha letra, agregando lo siguiente: “y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”. Dicha redacción se encuentra presente en el artículo 13(2)(f) del RGDP, relativo al derecho de información, norma que fue replicada por el proyecto de ley chileno, pero que por alguna razón pasó por alto dicha mención. Dicha parte de la norma del RGDP que fue omitida es de gran valor, toda vez que establece que respecto de las decisiones individuales automatizadas (DIA), incluida la elaboración de perfiles, debe otorgarse un mínimo de información, consistente en la lógica que se aplicó al momento de tomar dicha DIA y la importancia y consecuencias previstas de tal tratamiento. Recordemos que las DIAs suponen la aplicación o ejecución de la técnica del profiling, la que en muchas ocasiones prescinde de intervención humana, por lo cual en muchos casos las decisiones adoptadas por ese mecanismo podrían afectar a los destinatarios de las mismas. XIV. NORMA GENERAL SOBRE LOS DERECHOS DEL TITULAR DE DATOS (ARTÍCULO 4, BOLETÍN 11.144): (A) DERECHO AL OLVIDO; (B) LIMITABILIDAD DE LOS DERECHOS; (C) DATOS DE LAS PERSONAS FALLECIDAS Y EJERCICIO DE DERECHOS POR HEREDEROS (A) Primera recomendación: derecho al olvido El artículo 4° del boletín 11.144 dispone que el titular de datos tendrá los siguientes derechos: i) ii) iii) iv) v)
de acceso; de rectificación; de cancelación; de oposición; y de portabilidad.
En primer término, cabe señalar que tal norma no es precisa, toda vez que realmente no existen cinco (5) derechos de protección de datos personales, sino más bien de al menos nueve (9): i) ii) iii) iv) v) vi) vii) viii) ix)
de acceso; de rectificación; de cancelación; de oposición; de portabilidad; de información; relativos a las decisiones individuales automatizadas, incluyendo la elaboración de perfiles (profiling); de bloqueo; y el derecho al olvido. ~ 31 ~
Cabe hacer presente que el boletín 11.092, en su artículo 11 y siguientes, contiene un reconocimiento de tales nueve derechos, encontrándose “derecho al olvido” enmarcado dentro del derecho de cancelación. Si bien podría aducirse que el derecho de cancelación es sinónimo del derecho al olvido, lo que realmente debe entenderse es que el derecho al olvido es la manifestación del derecho de cancelación y oposición en el entorno digital. 5 Así las cosas, no resulta raro que el boletín 11.092 no haya hecho una mención expresa al “derecho al olvido” en la enunciación del artículo 11. Como sea, en nuestra opinión, dada la importancia que se le ha ido atribuyendo a este derecho en los últimos años y su tratamiento casi independiente del derecho de cancelación, estimo que debiese a lo menos indicarse en tal artículo 11, que la ley garantiza el derecho de cancelación, incluida su variante como derecho al olvido. De hecho, el RGDP, en su artículo 17, intitula al derecho de cancelación como el “derecho de supresión (“el derecho al olvido”)”, dejando en claro que el derecho de supresión (cancelación), tiene una manifestación especial, cual es el derecho al olvido, aplicable al entorno digital, tal y como lo dispone el considerando 66 del RGDP. En otras palabras, considero que el artículo 11 del boletín 11.092 debiese ser modificado del siguiente modo: “Esta ley garantiza a los titulares los derechos de información, acceso, rectificación, cancelación (incluida manifestación online, como “derecho al olvido”), oposición, bloqueo, impugnación de valoraciones personales y portabilidad de sus datos personales. Toda persona tiene derecho a exigir a quien sea responsable del tratamiento de datos, el ejercicio de sus derechos sobre los datos relativos a su persona. Si a los datos personales tienen acceso diversos organismos, el titular puede ejercer sus derechos ante cualquiera de ellos”. Del mismo modo, el artículo 15 del boletín 11.092, debiese modificarse en cuando a su título, pasando a ser “Derecho de cancelación y derecho al olvido”. Para otorgar mayor claridad a dicho artículo, podría añadirse un inciso que clarifique que “el derecho de cancelación es totalmente aplicable al entorno digital, donde se denominará derecho al olvido” o mediante una frase análoga. (B) Segunda recomendación: limitabilidad de los derechos El inciso segundo artículo 4° del boletín 11.144 establece que solamente los derechos ARCO (acceso, rectificación, cancelación [y derecho al olvido] y oposición, son personales, intransferibles e irrenunciables y no pueden limitarse por ningún acto o convención. Por su parte, el inciso segundo del artículo 11 del boletín 11.092, establece que NINGUNO de los 9 derechos podrá ser limitados, lo que se traduce en una protección más sólida de tales López García, Mabel, “Derecho a la información y derecho al olvido en Internet”, La Ley Unión Europea N° 17, p. 49.
5
~ 32 ~
derechos, ya que el boletín 11.144 permitiría la limitación del resto de los derechos distintos a los ARCO, lo que nos parece injustificado, dada la relevancia de los derechos de información, de bloqueo, de portabilidad y de no ser sometido a decisiones automatizadas individuales. Quizás cabría hacer una fusión entre tales incisos, manteniendo la parte del boletín 11.144 que establece que los derechos son personales, intransferibles e irrenunciables (aplicando esto a todos los derechos y no solo a los ARCO), y estableciendo que ninguno de los 9 derechos puede ser limitado por ningún acto o convención y que pueden ejercerse de manera gratuita. Del mismo modo, mantendría los incisos último y penúltimo del artículo 11 del boletín 11.092, que establecen excepciones al ejercicio de los derechos de protección de datos. (C) Tercera recomendación: transmisibilidad de los derechos Finalmente, el inciso tercero del artículo 4° del boletín 11.144 prescribe que “En caso de fallecimiento del titular de datos, los derechos que reconoce esta ley pueden ser ejercidos por sus herederos”. Al respecto, el RGDP, en su considerando 27, establece que “El presente Reglamento no se aplica a la protección de datos personales de personas fallecidas. Los Estados miembros son competentes para establecer normas relativas al tratamiento de los datos personales de estas”. Como se puede apreciar, el legislador comunitario permite que sean los Estados Miembros quienes decidan acerca de la aplicabilidad de la ley a las personas fallecidas. En España, por ejemplo, se ha optado por un sistema que no permite la aplicación de la ley a personas fallecidas (artículo 2(4) RLOPD; y artículo 2(2)(d) del Anteproyecto de la nueva Ley Orgánica de Protección de Datos). A este respecto, la Agencia Española de Protección de Datos ha resuelto en el que “es evidente que dicho derecho desaparece por la muerte de las personas, no sucede así con el derecho de determinadas personas para ejercitar acciones en nombre de las personas fallecidas, con el fin de garantizar otros derechos constitucionalmente reconocidos”. 6 Resulta interesante que, sin perjuicio de que el referido artículo 2(2)(d) del Anteproyecto español establece una exclusión de aplicabilidad de la ley a las personas fallecidas, ella precisa que ello es “sin perjuicio de lo establecido en el artículo 3”. El artículo 3 del Anteproyecto, establece que ciertas personas pueden ejercer derechos del fallecido, a saber, (i) los herederos; (ii) los albaceas testamentarios y personas o instituciones a la que el fallecido hubiese conferido un mandato expreso; y (iii) el Ministerio Fiscal. 6
Informe 365/2006, AEPD.
~ 33 ~
Artículo 3. Datos de las personas fallecidas. 1. Los herederos de una persona fallecida que acrediten debidamente tal condición podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella, y, en su caso, su rectificación o supresión. Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. 2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese conferido un mandato expreso para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión. Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos. 3. En caso de fallecimiento de menores o personas con discapacidad para las que se hubiesen establecido medidas de apoyo, estas facultades podrán ejercerse, en el marco de sus competencias, por el Ministerio Fiscal. En otras palabras, la ley española establece un marco regulatorio que, por un lado (i) excluye la aplicación de la ley de protección de datos personales a los datos de personas fallecidas, y, por el otro (ii) permite el ejercicio de determinadas acciones contra el responsable o encargado respecto de los datos de la persona fallecida. En determinadas charlas y discusiones legislativas se ha discutido acerca de la legitimidad de una norma como la del inciso tercero del artículo 4° del proyecto de ley del boletín 11.144 (“En caso de fallecimiento del titular de datos, los derechos que reconoce esta ley pueden ser ejercidos por sus herederos”). Se han sostenido ideas como que una vez fallecida una persona, resultaría inverosímil que otras ejerzan derechos en su beneficio, toda vez que el solo hecho de su muerte es razón suficiente para ser considerada como límite legal de las prerrogativas legales. En mi opinión, las ideas que se oponen a la transmisibilidad del ejercicio de los derechos de protección de datos personales son incorrectas; por el contrario, considero que la transmisibilidad y el ejercicio de acciones por otras personas (en los términos de los incisos segundo y tercero del artículo 3° del Anteproyecto español), son legítimos por varias razones prácticas, tales como: (i) que el responsable (o el encargado) nunca es ni será titular o dueño de los datos personales de las personas fallecidas; (ii) que la legitimación para tratar datos personales siempre es temporal y debe obedecer a fines específicos; (iii) que en muchos casos los datos del fallecido pueden hacer referencia a datos de sus familiares y herederos; (iv) que
~ 34 ~
siempre primará la última voluntad del fallecido, como consta de la excepción establecida en el inciso segundo del artículo 3(1) del Anteproyecto español. También resulta interesante la incorporación del artículo “disposición adicional séptima” en el Anteproyecto español, el cual constituye una extensión del precitado artículo 3° en el entorno digital (“servicios de la sociedad de la información”): Disposición adicional séptima. Acceso a contenidos de personas fallecidas. El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información a favor de personas fallecidas se regirá por las reglas previstas en el artículo 3, a saber: a) Los herederos de la persona fallecida podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión. Como excepción, los herederos no podrán acceder a los contenidos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. b) El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese conferido un mandato expreso para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones. c) En caso de fallecimiento de menores o personas con discapacidad para las que se hubiesen establecido medidas de apoyo, estas facultades podrán ejercerse, en todo momento, por el Ministerio Fiscal. Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de los citados mandatos e instrucciones y, en su caso, el registro de los mismos, que podrá coincidir con el previsto en el artículo 3. La norma transcrita, en mi opinión, permitiría solucionar un problema que resulta más común de lo que creemos: el acceso de los familiares (y otras personas facultadas para ello), a sitios web, redes sociales y, en general, todo servicio de la sociedad de la información de los que era parte/cliente/usuario la persona fallecida, con el objeto de realizar determinadas actividades, tales como “utilizarlos” o incluso suprimirlos.
~ 35 ~
XV.
AUSENCIA DE UNA NORMA QUE PERMITA LA CONCESIÓN DE MEDIDAS O PROCEDIMIENTOS DE URGENCIA O “MEDIDAS PROVISIONALES” TENDIENTES A PROTEGER O SALVAGUARDAR EL DERECHO A LA PROTECCIÓN DE DATOS PERSONALES (ARTÍCULO 66 RGDP Y 69 ANTEPROYECTO DE LA LEY DE PROTECCIÓN DE DATOS PERSONALES ESPAÑOLA)
El artículo 66 del RGDP europeo establece un mecanismo especial para salvaguardar los derechos de protección de datos personales de los titulares, cuando en determinadas circunstancias y de manera fundada se considere que deben aplicarse o concederse medidas para proteger tales derechos. Por llamarlas de algún modo, consisten en medidas cautelares que se conceden a los titulares al iniciar un proceso (o a lo largo de él), para que ellos puedan ver protegidos sus derechos. El artículo 69 del Anteproyecto español, establece: Artículo 69. Medidas provisionales. 1. Incoadas unas actuaciones previas de investigación o iniciado un procedimiento, la Agencia Española de Protección de Datos podrá acordar motivadamente las medidas provisionales necesarias y proporcionadas para salvaguardar el derecho fundamental a la protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento (UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender el derecho solicitado. 2. En los casos en que la Agencia Española de Protección de Datos considere que la continuación del tratamiento de los datos de carácter personal, su comunicación o transferencia internacional comportara un menoscabo grave del derecho a la protección de datos de carácter personal, podrá ordenar a los responsables o encargados de los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, caso de incumplirse por éstos dichos mandatos, proceder a su inmovilización. 3. La imposición de la obligación anticipada de atender el derecho solicitado por el afectado en su reclamación requerirá la previa audiencia del responsable del tratamiento. Una norma como aquella no se encuentra establecida legalmente en los proyectos de ley chilenos, por lo que la única forma en que podrían ser aplicables medidas cautelares de tal tipo sería mediante la aplicación de las reglas generales, las cuales se rigen por reglas y principios que no serían efectivas en relación a la urgencia que este tipo de derechos requeriría. En conclusión, se propone establecer una norma análoga o similar a la del Anteproyecto español.
~ 36 ~
