Comienza la real discusión de la ley de datos en Chile

El martes 3 de julio, luego de casi tres meses de postergaciones, venció el plazo para la presentación de indicaciones por parte del ejecutivo y parlamentarios a los proyectos de que modifican la ley de protección de datos personales.

La materia que más se esperaba resolver correspondía a las definiciones sobre la futura agencia de protección de datos, punto central que ha retrasado las reformas necesarias a la protección de datos, pendientes al menos desde hace una década.

Una agencia independiente, con facultades de fiscalización y sanción, y competencias técnicas adecuadas, hace la diferencia respecto al nivel efectivo de protección de los datos de todos nosotros, más aún cuando se trata de un organismo que defenderá derechos fundamentales, dada también la reciente reforma a la Constitución en que se reconoce a la protección de los datos de carácter personal como tal. Y el ejecutivo ha decidido, finalmente, proponer que las competencias de esta autoridad sean entregadas al Consejo para la Transparencia, que pasaría a denominarse “Consejo para la Transparencia y Protección de Datos Personales”.

El consejo, si bien tiene en la actualidad competencia respecto a la protección de datos en el sector público, su enfoque y competencias técnicas están orientadas al derecho de acceso a la información pública y la transparencia. Aplicar sanciones, fiscalizar, dictar instrucciones y circulares, interpretar la ley, entre otras atribuciones, implica necesariamente una cirugía mayor –en incompatibilidades y especialmente inhabilidades- a un organismo que en materias de su ámbito público ha permitido dar un salto cualitativo fortaleciendo a la ciudadanía en el derecho al acceso y la transparencia de los estados democráticos, en lo que debe seguir focalizándose.

Pero más allá de la agencia de datos, las indicaciones del ejecutivo contienen una serie de modificaciones, algunas muy acertadas y otras que a primera vista pueden parecer inocuas, pero podrían afectar la efectiva protección de los datos. Por ejemplo, se deja al criterio de la autoridad la determinación de las fuentes de acceso público, en lugar de definirlas de manera taxativa por ley, o a lo menos indicar que lo serán aquellos registros públicos que disponga la ley, recordemos que la multiplicación de sitios web con información del número de RUT y nombre completo de los chilenos se ha debido a este concepto amplio que supone que cualquier información publicada en internet es considerada fuente accesible a público y no requiere el consentimiento del titular para ser tratada, conforme a la ley.

Se reduce además el nivel de protección de los datos con el derecho de oponerse al marketing directo -comunicaciones comerciales mediante correos masivos, llamadas telefónicas o mensajes de texto- desechando un modelo en que se exige consentimiento previo para ello, optando por el modelo de opt out, en que las personas deberán preocuparse de oponerse al envío de las comunicaciones no deseadas que les lleguen. Punto aparte, la detallada regulación de las bases de datos estatales y su cesión entre organismos públicos que, en la medida que se cumpla la ley, permitirá un big data gubernamental casi imposible de imaginar, especialmente si la comunicación entre ellos no exigirá siquiera la firma de un convenio; o que se haga una distinción entre la comunicación y la cesión de los datos, en circunstancias que se trata de un sola forma de tratamiento “transmisión de datos”, que no hemos conocido en otras legislaciones.

Dicho lo anterior, y sin desconocer la coyuntura tecnológica, social y cultural actual, se trata de un buen proyecto de ley y de unas interesantes indicaciones por parte de parlamentarios y gobierno, que devuelven al titular el control de su información y facilitan el acceso y ejercicio de un derecho que por años han desconocido. Se valoran propuestas como la obligación de cifrado de la información sensible; el aumento de las multas en caso de infracción; la creación de un registro nacional de cumplimiento y sanciones, en que se consignarán a los responsables de datos sancionados –una especie de DICOM-; la consagración de los modelos de prevención de infracciones, en que se propone la existencia de un delegado de protección de datos personales o la implementación de un programa de cumplimiento –muy a tono con el GDPR Reglamento Europeo de Datos-; y el noventero registro nacional de bases de datos, en franco retiro de las normativas de datos del mundo, que surge en nuestro país como una válida alternativa para contar con una panorámica nacional de las infinitas bases de datos existentes.

Todas las propuestas se encuentran en el parlamento y es una excelente señal. Ahora, si la autoridad será o no el consejo, si aquella dependerá del Ministerio de Hacienda o de Justicia, si se redefinen o no ciertas normas o modelos, lo sabremos durante la tramitación en los próximos años.

¡Que comience la discusión!