Pasar al contenido principal

ES / EN

Chile: nuestra (pobre) cultura de privacidad de datos personales
Mié, 03/10/2018 - 10:41

Óscar Molina D.

Chile: nuestra (pobre) cultura de privacidad de datos personales
Óscar Molina D.

Óscar Molina D. es abogado en Albagli Zaliasnik y Certified Information Privacy Manager (CIPM), por la International Association of Privacy Professionals (IAPP). 

No creo equivocarme si afirmo que el lector promedio de esta columna desconoce que en Chile actualmente usted podría dirigirse por escrito a su Isapre, multitienda o supermercado de compra habitual, y exigirle información sobre los datos que estos posean relativos a su persona, su procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos son transmitidos regularmente. Si el lector llegase a notar que esos datos resultan inexactos podría exigir modificarlos o derechamente eliminarlos cuando su almacenamiento ya cumplió su propósito original. 

Incluso, si el lector así lo solicitara, se le debería proporcionar una copia del registro alterado en la parte pertinente. Seguramente, el lector promedio se sorprendería al saber que la empresa requerida tiene sólo dos días hábiles para pronunciarse sobre esta petición.  A algunos le causará incluso mayor sorpresa saber que estos derechos tienen plena vigencia en Chile desde hace casi dos décadas.

La realidad actual es que estos derechos se ejercen poco en nuestro país. Al respecto se considera en que esto no se debe sólo a la ausencia de sanciones efectivas en nuestra ley por incumplimiento, o por mecanismos judiciales poco ágiles para ejercerlos, sino que existe poca cultura y consciencia sobre el correcto uso y tratamiento de nuestros datos personales, lo que se refleja en la ignorancia de los derechos que tenemos consagrados.

Hoy, la atención y agenda pública con justa razón se encuentra concentrada en los temas de ciberseguridad, el manejo de riesgos y amenazas en el contexto digital. Sin embargo, aún resulta ser insuficiente nuestro nivel de discusión pública en torno al correcto tratamiento de nuestros datos personales y privacidad, dentro de cuyo contexto la seguridad y las medidas técnicas de protección de la información son muy importantes, pero son sólo un aspecto de las múltiples consideraciones e implicancias que tiene un adecuado régimen de tratamiento de datos personales.

No basta con tener certeza que nuestros datos personales están seguros del acceso no autorizado de terceros, sino que una cultura de privacidad de datos personales implica saber que éstos serán tratados adecuadamente, con la finalidad y propósito para los cuales fueron recogidos y con conocimiento sobre las implicancias que significa el acceso consentido a los datos.

Al respecto basta recordar que uno de los mayores escándalos en relación al uso de datos personales, el caso Cambridge Analytica, nada tuvo que ver con la intromisión de hackers, ni el quebramiento de medidas de seguridad, sino con el manejo inadecuado de datos personales. Adicionalmente, se debe recordar que un número importante de fuga de información no se produce por un ataque malicioso, sino por simple negligencia de quienes tenían a cargo su resguardo. En definitiva, una cultura de privacidad de datos personales no se agota sólo en aspectos técnicos de seguridad.

Actualmente, en el Congreso Chileno se discute un proyecto de reforma a nuestro régimen de protección y tratamiento de datos personales.

Chile fue pionero en Latinoamérica al promulgar la Ley Sobre Protección a la Vida Privada el año 99, donde se consagran los derechos antes descritos. Sin embargo, existe consenso que dicha norma es inadecuada para tratar las nuevas formas y necesidades de tratamiento de datos personales que han surgido desde entonces. Muchos atribuyen falta de inversiones de empresas de tecnología justamente en el bajo estándar de nuestro régimen.

La aprobación del actual proyecto, más algunas de sus principales indicaciones, completamente transformará el modo en que actualmente se tratan los datos personales en Chile. El espacio necesario para analizar en detalle cada aspecto técnico del proyecto excede el propósito de esta columna, pero para efectos ilustrativos podemos destacar los siguientes: 

*Se le otorgará facultades fiscalizadoras y de sanción al Consejo por la Trasparencia que podrá imponer multas desde 1UTM hasta 4% del volumen de negocio anual (de acuerdo a últimas indicaciones del ejecutivo).

*Se podrán adoptar modelos de prevención de infracciones, que servirán de atenuantes de responsabilidad en caso de sanciones. Estos modelos incluyen la designación de un “encargado de prevención” y un programa de cumplimiento que incluya la identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra. Así como también el establecimiento de protocolos, reglas y procedimientos internos y mecanismos de reporte hacia las autoridades para el caso de contravenir la ley, entre otros elementos.

*Se consagrará el derecho a la portabilidad, que implica poder exigir una copia de los datos personales que le conciernen a uno, de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas. Dicho de otro modo, uno podrá reutilizar sus datos para que sean tratados por otro proveedor o plataforma, de modo tal de no quedar cautivo de la entidad a quien uno originalmente entregó información.

*Se creará nuevas categorías de datos, con reglas de tratamiento especial, como el caso de datos de niños y adolescentes o datos de geolocalización. A su vez, se especifican algunos datos sensibles, como los datos biométricos (huella digital, el iris, rasgos faciales etc.) regulándose en detalle.

La lista anterior no es exhaustiva de las modificaciones legales a venir, pero basta para ilustrar el cambio de paradigma. Hechos que son cotidianos hoy, como el uso de base de datos con fines distintos a los informados originalmente, serán fuertemente sancionados.

Por otro lado, empresas privadas y entidades públicas no podrán ignorar la necesidad de tener mecanismos eficientes para conocer con certeza los datos personales que manejan a diario y respetar las finalidades de su tratamiento. Para que estos cambios sean efectivos, se hace necesario una cultura de información y educación en esta materia, siendo este uno de los mandatos de la entidad que velará por el cumplimiento de esta ley (a la fecha, el Consejo por la Trasparencia). El desarrollo de una “cultura de ciberseguridad” es un objetivo loable y necesario, pero que debe entrar en diálogo con un concepto complementario, como lo es una cultura de privacidad de datos personales.

Países