Avanza tramitación de proyecto de ley de datos personales
A comienzos de 2017 comenzó la tramitación en el Congreso de dos proyectos de ley –uno presentado por el Gobierno y otro por un grupo de senadores- sobre protección de datos personales, proyectos que fueron fusionados por el Senado y que buscan reemplazar la actual Ley 19.628 sobre Protección de la Vida Privada y Protección de Datos de Carácter Personal, que data de 1999. En julio de este año, el Gobierno y algunos senadores presentaron una serie de indicaciones al proyecto, entre las que destacan aquellas destinadas a radicar en el Consejo de la Transparencia la competencia de la Agencia de Protección de Datos Personales (que pasaría a denominarse Consejo de Transparencia y Protección de Datos Personales), la regulación de instituciones clave como lo son las fuentes accesibles al público y el interés legítimo; y la eliminación del concepto desequilibrio ostensible en relación al consentimiento del titular de datos personales, entre otras materias. “A diferencia de lo que se especulaba, ninguna de las indicaciones propuso incorporar al proyecto regulación sobre procesamiento de información comercial positiva, es decir, deuda no morosa”, dice Rodrigo Lavados, socio del estudio Cariola Diez Pérez-Cotapos y Sargent & Krahn. El abogado explica los alcances de las indicaciones, las que deben ser revisadas por la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado, para luego discutir en particular el articulado que resulte de dicha revisión. Posteriormente, el proyecto será discutido por la Cámara de Diputados.
Ámbito de aplicación de la ley
El abogado explica que, de acuerdo al proyecto en trámite, el régimen de tratamiento y protección de datos no se aplicará cuando los datos se traten en el ejercicio de las libertades de emitir opinión y de informar, situación de la que se excluirá a los medios de comunicación social en lo relativo al tratamiento de datos que efectúen con una finalidad distinta a la de opinar e informar. Tampoco las disposiciones de este proyecto aplicarán al procesamiento de las personas en relación con sus actividades domésticas (tales como la correspondencia particular, un repertorio telefónico o de direcciones y su actuar en línea y redes sociales). Una indicación del Gobierno busca además excluir la aplicación del proyecto al procesamiento de datos efectuado por organismos públicos con fines investigación o persecución de infracciones penales, casos en que esté comprometida directamente la seguridad nacional, situaciones de catástrofe, entre otras circunstancias. El proyecto autoriza la “anonimización” o “disociación” de los datos, concluyendo que en este caso pierden la calidad de “dato personal”.
Autorización tácita
“La posibilidad de autorizar el tratamiento de datos personales por medios diferentes a la escrituración, como por ejemplo de forma tácita, es una de las principales novedades del proyecto –apunta el abogado, y agrega: La inclusión en el proyecto del consentimiento tácito o verbal podría facilitar la obtención de este tipo de autorizaciones”. Tal autorización tácita excluye los datos sensibles. Otra indicación del Gobierno propone eliminar una norma del proyecto que disponía que el consentimiento no se considerara una base jurídica suficiente para la validez del tratamiento de datos, cuando exista un desequilibrio ostensible entre la posición del titular y el responsable. El proyecto no definía ni contemplaba parámetros para determinar cuándo se configuraba el desequilibro en cuestión. La indicación propone reemplazar este concepto por el de necesidad del consentimiento del titular de datos, estableciendo que si el consentimiento es solicitado como condición para la celebración de un contrato o la prestación de un servicio sin que sea necesario para la ejecución del contrato o servicio, se presumirá que el consentimiento no ha sido libremente otorgado.
Fuentes para el tratamiento de datos
A las fuentes de tratamiento de datos que contempla la actual Ley 19.628 –consentimiento del titular, fuentes accesibles al público y la ley-, el proyecto legislativo en trámite agrega otras: • Cuando el tratamiento de datos sea necesario para la celebración o ejecución de un contrato en que es parte el titular y el responsable; • Cuando sea necesario para la formulación, ejercicio o defensa de un derecho ante los tribunales de justicia; • Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades fundamentales del titular. Un ejemplo de este interés legítimo podría ser el tratamiento de datos personales para fines de seguridad informática. Asimismo, el proyecto señala expresamente que el marketing directo constituirá un interés legítimo del avisador o proveedor de bienes o servicios.
Portabilidad, un nuevo derecho
Hasta ahora, la ley reconoce una serie de derechos a los titulares de datos personales, conocidos internacionalmente con la sigla ARCO (acceso, rectificación, cancelación y oposición). El proyecto en trámite agrega un quinto derecho, el de portabilidad, que consiste en la facultad que tiene el titular de datos de solicitar al responsable del tratamiento de esos datos una copia de sus datos personales en un formato electrónico estructurado, genérico y de uso habitual, así como el derecho a que los transmita a otro responsable designado por el propio titular de los datos en cuestión. Rodrigo Lavados advierte que la legislación impone a los responsables de datos deberes adicionales a los actuales, entre los cuales destaca: – Políticas de tratamiento de datos personales: todo responsable de datos deberá mantener en su sitio web, de forma permanente y a disposición del público, sus políticas sobre tratamiento de datos personales. – Deber de mantener medidas de seguridad y comunicar vulneraciones: el responsable de datos debe adoptar las medidas de seguridad necesarias para el resguardo de su tratamiento. Adicionalmente, el proyecto dispone que la vulneración de las medidas de seguridad debe ser comunicada al Consejo de Transparencia y Protección de Datos Personales.