En el marco del proyecto de ley que reforma la Ley 19.628 (en su último trámite), Carlos Reusser analiza la necesidad, relevancia y roles que cumple una Autoridad de Protección de Datos Personales.

[Leer versión original acá: www.altlegal.cl]

Chile cuenta desde el año 1999 con una ley de protección de datos con principios y derechos similares a la normativa europea. Es más, la ley establece la posibilidad de que cualquier ciudadano que se sienta vulnerado en sus derechos por un tratamiento abusivo de sus datos pueda recurrir a la justicia ordinaria. No obstante, a nivel internacional nunca se ha reconocido a Chile como un país con un nivel adecuado de protección de datos, pues en un ordenamiento jurídico sin Autoridad de Protección de Datos Personales, en realidad no hay una protección de datos real ni efectiva para nadie.

El problema central de que los datos personales circulen libremente es que alguien (no sabemos quién) cree saber algo de una persona (no sabemos qué) y toma una decisión, usualmente arbitraria, a su respecto. Y así, el banco le niega a tal o cual persona un crédito que necesitaba, o no le arriendan un lugar para vivir, o los hijos de esa persona son rechazados en la postulación a un colegio y, en general, a esa persona le ocurren muchos sinsabores que afectan su proyecto de vida personal y familiar, sin tener herramientas con las cuales protegerse ni saber qué es lo que realmente está pasando.

Para evitar esta clase de situaciones, no basta con dictar leyes que contengan principios y derechos sobre la materia, sino que también se debe establecer una institucionalidad que se haga cargo de que dichos principios y derechos sean efectivamente respetados. Esa institución son las autoridades de protección de datos las que reciben distintos nombres, dependiendo del país en que se encuentren: Garante para la Protección de Datos Personales en Italia, Agencia Española de Protección de Datos o Unidad Reguladora y de Control de Datos Personales, en Uruguay.

Y aunque las denominaciones sean diferentes, tienen en común que son organismos públicos autónomos respecto de la autoridad política de turno, sobre todo considerando que en un país el mayor tenedor de datos personales casi siempre es el Estado.

Pero no es lo único que tienen en común, sino también sus roles o funciones: la primera de ellas, es la formación de los ciudadanos en materia de derechos. La gente tiene que saber que son titulares de sus propios datos y que tienen la facultad de, por ejemplo, negarse a entregar su número de RUT cuando hacen compras o exigir que les expliquen para qué van a ser usados sus datos. O que tienen derecho a que sus datos sean eliminados de registros públicos y privados cuando no existan fundamentos que justifiquen su existencia.

El segundo rol de una autoridad de protección de datos es difundir entre los actores del mercado, como son el comercio, la industria, las asociaciones y, en general, las empresas, las reglas que deben respetar para poder tratar datos personales. O, dicho de otra forma, en una sociedad como la nuestra es perfectamente posible y necesario tratar libremente datos personales de interés económico (o de otro tipo), pero como paso previo, se deben cumplir con ciertos estándares básicos para su tratamiento: por ejemplo, no se les puede mentir a las personas sobre el para qué van a usar sus datos, o de dónde los obtuvieron o a quién se los van a entregar.

De hecho, las autoridades de protección de datos son un asesor de la empresa privada, a la cual siempre les van indicando el camino para alcanzar sus objetivos, señalando maneras de regularizar el tratamiento de datos, informándoles sobre el rol de un buen oficial de protección de datos, generando modelos del tipo complete-la-línea-punteada para que no se aparten de la legalidad e, incluso, otorgando premios e incentivos que contribuyen al prestigio de aquellos que lo hacen bien.

Un tercer rol que cumplen las autoridades de protección de datos es el de investigar y fiscalizar el cumplimiento de la normativa, tanto por organismos públicos como empresas y entidades privadas; para ello cuentan con cuerpos profesionales y técnicos muy calificados a la hora de revisar que, efectivamente, el tratamiento de datos se está haciendo conforme a la ley.

Por último, una autoridad de protección de datos, después de haber formado a la ciudadanía respecto de sus derechos, orientado a las entidades públicas y empresas privadas en lo que son las mejores prácticas en la materia y haber investigado el efectivo cumplimiento de la normativa, también tiene la facultad de sancionar y, siendo los datos personales una materia tan sensible para los proyectos de vida de las personas, aplicar castigos duros que van desde elevadas multas hasta la prohibición de tratar datos, lo que en los hechos podría significar la muerte de la empresa en casos de reincidencia por abusos graves.

Todo lo dicho es común a las autoridades de protección de datos, y también lo es para la Agencia de Protección de Datos Personales de Chile contemplada en el proyecto de ley, en último trámite, que reforma totalmente la Ley 19.628, que dejará de llamarse “sobre protección de la vida privada”, para denominarse “sobre protección de los datos personales”.