El día 19 de mayo de 2017 me correspondió intervenir en una sesión especial del Senado convocada para conocer opiniones sobre los proyectos de Ley Sobre Protección de Datos que se está discutiendo. Les dejo el texto de mi intervención, advirtiéndoles que tiene una extensión de 7 páginas, pero que tiene acápites claramente señalados, por si les interesara el animal por piezas y no entero.

La intervención la hice en nombre del Instituto Chileno de Derecho y Tecnologías, en una sesión especial de larga duración de la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado de la República convocada para conocer opiniones sobre los proyectos de ley sobre protección de datos que se están tramitando conjuntamente a través de los boletines 11.144-07 y 11.092-07.

«Señor Presidente,

En nombre del Instituto Chileno de Derecho y Tecnologías agradecemos la oportunidad que se nos brinda de exponer sobre un tema de lo más apasionante y que, de aprobarse, será uno de los avances más sustantivos en materia de derechos fundamentales desde el retorno de la democracia, pues pondría fin a una debilidad estructural de nuestro sistema de derechos que se arrastra ya por demasiados años.

El nudo de la cuestión radica en que en el siglo XXI, ¿de qué nos sirve preconizar que en la Constitución existe el derecho al trabajo, a la educación o la vivienda si alguien (que no sabrás quién), cree saber algo de ti (que no sabrás qué) y que en definitiva tomará una decisión arbitraria a tu respecto, dejándote en la indefensión?.

Esta es la realidad de los chilenos hoy en día y no es culpa de los tiempos o del avance tecnológico, sino que es el resultado de una legislación deficiente creada no para proteger a la gente contra los abusos que se cometen a través del tratamiento automatizado de la información, sino para regular el mercado de datos: no por nada la Ley Nº 19.628 se conoció por muchos años como la “Ley DICOM”.

Entendemos que el objetivo de estos proyectos de ley son claros: que nuestro país alcance los estándares vigentes en la materia y que por ello sea reconocido internacionalmente, es decir que en definitiva, la OCDE, la Unión Europea y otros entidades de carácter internacional reconozcan que Chile es un país con un nivel adecuado de protección de datos, lo que redundará tanto que en los chilenos dispondrán de un amparo legal efectivo ante tanto abuso como que el país también pueda ser receptor de datos personales de ciudadanos de otras latitudes, en operaciones de comercio o prestación de servicios transfronterizos, sin dilaciones ni trabas excesivas.

También esperamos que este sea el inicio de una floreciente y reconocida industria de servicios especializados en materia de datos personales, como son las certificadoras de datos personales, las aseguradoras y auditoras de datos y la industria de la seguridad de la información en general, sin perjuicio de la actividad que desarrollen también los proveedores de infraestructura tecnológica.

El problema radica en que con el contenido de los proyectos de ley refundidos y en actual trámite no cumplen con los requisitos que permitan cumplir el objetivo recién esbozado, es decir que después de un largo y costoso esfuerzo de los colegisladores y todos los involucrados, podríamos perfectamente llegar a la misma situación en que empezamos, pues el proyecto del Ejecutivo tiene un defecto crítico para estas pretensiones, que nos excluye desde la partida como acreedores del reconocimiento “país con un nivel adecuado de protección de datos”: no desarrolla de forma adecuada la debida independencia de la autoridad de control, sino que solo construye un sucedáneo o zombi del Ministerio de Hacienda que no resistirá el análisis de, entre otros, los comités de protección de datos de las entidades internacionales.

Quisiéramos hacer presente también que el derecho a la protección de datos no es la otra cara del derecho al acceso a la información pública: la transparencia y el acceso a la información pública son líneas de acción que se han desarrollado en base a la necesidad creciente de los Estados de contar con herramientas para luchar contra la corrupción; en cambio, el derecho fundamental a la protección de datos es un metaderecho que tiene por objeto proteger a todos y cada uno de los derechos fundamentales y legales de las personas; no hay ninguna proporción entre la importancia y rol de uno con el del otro: no son equiparables y no es un asunto a empatar como suelen presentarlo quien hacen este tipo de falsas analogías en que incluso reprochan supuestos privilegios de quienes se ocuparían de la protección de datos contrastándolo con las atribuciones, no menores, del Consejo para la Transparencia.

Respecto de los proyectos de ley refundidos, centraremos nuestra exposición solo en cinco ideas, sin perjuicio de las notas y observaciones más específicas que desearíamos incorporar a medida que la discusión legislativa avance.

1. INCORRECTA APELACIÓN AL DERECHO A LA VIDA PRIVADA.
Tanto el mensaje como el artículo 1 del proyecto del Gobierno apelan al derecho a la vida privada, pero los datos de la vida privada (o “privacidad” que llaman otros) no tiene relación con el contenido de estas iniciativas legales.

Si no te contratan en un trabajo porque supieron que demandaste a tu empleador anterior, lo que se vulnera es tu derecho al trabajo, no tu vida privada.

Si una ISAPRE se niega a darte prestaciones de salud alegando prexistencias no declaradas en base a lo que has comprado en la farmacia (“¿Su RUT acumula puntos?”), lo vulnerado es el derecho a la salud, no la vida privada.

Si usan los datos de afiliación sindical para hacerte descuentos respecto de huelgas en las que nos has participado, entonces lo afectado es la libertad sindical, no la vida privada.

Estimamos que a estas alturas deben desterrarse ideas y concepciones jurídicas de los años 80´, pues desde hace mucho es claro que la vida privada solo es uno de los tantos derechos que pueden verse afectados, ni siquiera el más relevante de ellos.

En el estado actual lo importante de relevar, ya sea expresa o tácitamente, es la autodeterminación informativa, esto es la libertad de cada persona de hacer con sus datos lo que estime conveniente dentro del marco legal, y dicha autodeterminación se expresa en el derecho a la protección de datos personales que debería consagrar adecuadamente nuestro país.

2. OBLIGACIONES INTERNACIONALES DE CHILE EN MATERIA DE DATOS PERSONALES.
No es efectivo lo sostenido por el Ministerio de Hacienda en una sesión pasada en el sentido de que Chile solo tiene que responder internacionalmente, en materia de protección de datos, frente a los requerimientos de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) o que esta ley debe aprobarse como “un buen comienzo”.

Chile pertenece tanto al sistema de la Organización de las Naciones Unidas y también a la Organización de Estados Americanos, y la primera de ellas ya ha emitido Directrices para la regulación de los archivos de datos personales informatizados en 1990 [Resolución 45/95  de  la  Asamblea  General,  de  14  de  diciembre  de 1990] y luego una Resolución A/C.3/68/L.45/Rev.1 sobre el Derecho a la Privacidad en la Era Digital, en 2013.

A su vez, la Organización de Estados Americanos ha normado la materia tanto a través de la AG/RES. 2842 (XLIV-O/14) sobre acceso a la información pública y protección de datos personales [Aprobada en la segunda sesión plenaria celebrada el 4 de junio de 2014] como también estableciendo los Principios de la OEA sobre la Privacidad y la Protección de Datos Personales.

Pero si ello no fuera suficiente o por si las referencias parecieran vagas, un tratado vigente, elACUERDO por el que se establece una Asociación entre la Comunidad Europea y sus Estados miembros, por una parte, y la República de Chile, por otra, publicado en el Decreto 28 de 2003, del Ministerio de Relaciones Exteriores, dice textualmente en su artículo 202 «Las Partes acuerdan otorgar un elevado nivel de protección al procesamiento de datos personales y de otra índole, compatible con las más altas normas internacionales».

¿Cuál es la más alta norma internacional en la materia?. El Reglamento General de Protección de Datos que entra a regir el próximo año, aplicable a la Europa, Argentina, Canadá, Israel, Nueva Zelandia, Uruguay a todo país que aspire al reconocimiento que ya hemos mencionado.

En esta materia es claro que nuestro país no ha honrado el ACUERDO con Europa y el Ministerio de Hacienda debería saberlo, particularmente considerando que dicho tratado internacional contempla que incluso los Estados pueden excepcionarse de su cumplimiento en materia de comercio o de servicios financieros si con ello protege de mejor manera la intimidad y los datos personales (art. 135).

En síntesis, no solo debe responderse ante los requerimientos de la OCDE, sino también con los tratados internacionales suscritos por nuestro país, sin perjuicio de las directrices de organizaciones internacionales sobre la materia.

3. LIBERTAD DE INFORMACIÓN Y OPINIÓN versus PROTECCIÓN DE DATOS
El artículo 1 tanto del proyecto de ley del Gobierno como en la Moción parlamentaria se mantiene un anacronismo de la actual ley, como es establecer una primacía de la libertad de información y de opinión por sobre el derecho a la protección de datos.

Artículo 1º.- El tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares se sujetará a las disposiciones de esta ley, con excepción del que se efectúe en ejercicio de las libertades de emitir opinión y de informar, el que se regulará por la ley a que se refiere el artículo 19, N° 12, de la Constitución Política.

En el fondo, normativamente se le está dando un carácter de derecho absoluto a la libertad de opinión y de expresión, cerrándole a los jueces las vías para solucionar asuntos complejos en que los derechos deben conciliarse o compatibilizarse.

Hacemos presente que el nuevo Reglamento General de Protección de Datos de Europa [Nos referimos al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE] establece claramente un deber de conciliación entre derechos y no relaciones de subordinación. Así lo dice el Considerando 153, que plantea que los Estados deben “conciliar las normas que rigen la libertad de expresión e información, incluida la expresión periodística, académica, artística o literaria, con el derecho a la protección de los datos personales”.

Esto tiene efectos prácticos muy importantes. Por ejemplo, un diario o periódico no puede estar en una situación de privilegio legal que le permita poner a disposición de público una noticia durante 20 años, cuando dicha noticia es agraviante para una persona o grupo de personas particulares, con la excusa de que tiene un estatuto jurídico especial por sobre la protección de datos de las personas, aun cuando los hechos relatados ya no sean noticia.

Finalmente es del caso señalar que es muy relevante que se distinga entre la libertad de información y de opinión de diarios o periódicos y las bases de datos que se construyan con dicha información, las que en todo caso deben quedar sujetas a la ley de protección de datos personales.

4. DIFERENCIA ARBITRARIA EN EL TRATO DEPENDIENDO DE SI QUIEN VULNERA EL DERECHO A LA PROTECCIÓN DE DATOS ES UN ENTE PÚBLICO O PRIVADO.
El artículo 23 del proyecto del Gobierno contiene una disposición inexplicable y odiosa que implica que si quien te deniega el ejercicio de los derechos reconocidos por la ley de protección de datos es un ente privado, puedes acudir a la Autoridad de Protección de Datos en búsqueda de amparo, pero si quien vulnera los derechos de las personas es un organismo público, entonces tienes que tener el dinero suficiente para pagar a un abogado especializado y someter el asunto a las ritualidades y costos propios de un juicio, deduciendo un reclamo de ilegalidad ante las Cortes de Apelaciones del país.

¿Razones para ello?. La verdad es que nada justifica esta asimetría y, en la práctica, es poner a los ciudadanos de clase media y a los más pobres una barrera de acceso a la protección efectiva de sus derechos: la generalidad de la gente tiene dinero para vivir, pero no el suficiente como para sobrellevar los costos de un juicio (“pobreza legal”), por lo que tienden a aceptar lo que no deberían y, en los hechos, se les deja en la indefensión.

La única razón que podría explicar el artículo 23 tiene que ver con un erróneo diseño institucional en el cual se deja a una Autoridad de Protección de Datos Personales, que carece de autonomía legal, bajo la supervisión del Presidente y la tutela directa de un Ministerio (cualquiera que sea este), subsumido dentro de la administración regular del Estado.

Y si la Autoridad de Protección de Datos Personales no tiene capacidad de sancionar a quienes más datos personales (y posibilidades de abuso) mantienen en sus bases de datos, pues se aleja todavía más del cumplimiento de los estándares que le son exigibles.

5. FALTA DE AUTONOMÍA E INDEPENDENCIA DE LA AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES.
Hay dos factores críticos de nuestra ley actual que la han separado durante todos estos años del reconocimiento internacional de país con un nivel adecuado de protección de datos: uno de ellos es la ausencia de un régimen de sanciones, cuestión que los proyectos solucionan bastante bien, y el otro es la ausencia de una autoridad de control independiente que se ocupe de la protección de datos.

Los proyectos de ley refundidos versan sobre protección de derechos fundamentales; en consecuencia es una iniciativa que, en principio, debería estar a cargo del Ministerio de Justicia o del Ministerio Secretaría General de Gobierno, pero no del Ministerio de Hacienda, que tiene otros roles y fines, y menos aún que dicho Ministerio se reserve el rol de vaso comunicante con el Presidente de la República amparándose en que se tratan de una entidad técnica cuando se trata de un Ministerio eminentemente político, como todos los demás.

Contrariamente a lo que ha sostenido el Ejecutivo en otras sesiones, no es efectivo que múltiples países establezcan en su legislación que la autoridad de protección de datos esté radicada o se comunique con el ejecutivo a través del Ministerio de Hacienda.

Solo hay un caso y es Nicaragua, quien no ha obtenido el reconocimiento de país con nivel adecuado de protección de datos, ni lo tendrá nunca las actuales circunstancias, pues su falta de independencia se deriva de la grave falencia en materia de autonomía e independencia institucional.

Tanto las Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos personales como el nuevo Reglamento General de Protección de Datos de Europa son enfáticos en señalar que la Autoridad de Protección de Datos Personales o autoridad de control deben proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales, pero que para cumplir su rol deben ser ajenos, en el desempeño de sus funciones y en el ejercicio de sus poderes, a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán ninguna instrucción.

Y que cada Estado debe garantizar que la autoridad de control disponga en todo momento de los recursos humanos, técnicos y financieros, así como de los locales y las infraestructuras necesarios para el cumplimiento efectivo de sus funciones y el ejercicio de sus poderes.

La OCDE, en especial, exige que la Autoridad de Protección de Datos personales debe contar con los recursos y la experiencia necesaria para el ejercicio de su función y la capacidad de demostrar que al tomar decisiones es objetivo e imparcial y tiene facultades para establecer las sanciones adecuadas.

Todo lo anterior es incompatible con el diseño que el Ministerio de Hacienda propugna y en cuya defensa ha llegado a sostener que el Sistema de Alta Dirección Pública tiene importantes avances, omitiendo señalar que todavía están sujetos a remoción por el Presidente de la República cuando este asuma el cargo y que incluso la autoridad de control podrá ser despedida en cualquier momento, sin perjuicio de las explicaciones que deban darse a la Dirección Nacional de Servicio Civil.

CONCLUSIÓN
Los tiempos legislativos se agotan y si bien las particularidades del proyecto de protección de datos personales podrían discutirse al detalle, si queremos que vea la luz como ley de la República, bien podría sacrificarse alguna parte de esas discusiones a cambio de establecer que, además de los principios ya establecidos, la futura ley tendrá sanciones efectivas y una autoridad de control auténticamente independiente.

Y solo con eso ya tendríamos pavimentado el camino del reconocimiento nacional e internacional de Chile como un país con un nivel adecuado de protección de datos.

Si además a la autoridad de control se le dota de mecanismos directos o indirectos que posibiliten tener iniciativa en materia de ley dentro de su ámbito, la solución legislativa estaría completa y además, sería rápida y eficiente.

Gracias por su atención, Señor Presidente».