Professional Documents
Culture Documents
Tendencias.
Derechos Digitales1
2016
1
Colaboraron en la elaboracin de este informe Valentina Hernndez y Pablo Viollier, ambos
investigador de Derechos Digitales, as como Rodrigo Vargas, Constanza Alarcn y Bastin Riveros,
pasantes del equipo de investigacin de Derechos Digitales.
ndice
Introduccin .......................................................................................................................... 3
1
3. Enforcement: Realidad Nacional ..................................................................................... 32
5. Conclusiones .................................................................................................................. 61
Bibliografa .......................................................................................................................... 63
2
Introduccin
El ao 2014 tuvo lugar en Chile una mesa pblico-privada con el fin de trazar los
lineamientos para hacer de este pas un hub digital dentro de la regin, documento
en el cual tambin se destaca la presencia de grandes empresas con presencia
multinacional que han invertido en centros de datos.4 No obstante, la legislacin
sobre proteccin de datos no ha mutado sustancialmente desde el informe del CpT,
por lo cual una estrategia gubernamental de este tipo debera tener como medida
crtica pensar en modificaciones tendientes a fortalecer la proteccin de datos.
3
una serie de casos de filtracin masiva o vulnerabilidades informticas que
permitieron extraer los datos de un nmero importante de afectados. 2013 fue la
pgina del Servicio Electoral (SERVEL), 2014 el Servicio de Registro Civil e
Identificacin, 2016 establecimientos de la red de salud pblica, todos ellos
conteniendo informacin sensible como los datos de identificacin y contacto del
sujeto, como tambin el detalle de sus tratamientos mdicos. A ello se suma que las
excepciones para poder tratar datos personales de un titular sin su consentimiento
fueron redactadas de modo tal que generan grandes espacios que permiten tratar
tal informacin sin la autorizacin (ni conocimiento) del titular.
4
1. Proteccin de Datos Personales en la Actualidad Nacional
5
- Las que consagran los derechos de acceso, rectificacin, confidencialidad,
correccin y actualizacin o eliminacin de la informacin personal. Adems
de consagrar el principio de finalidad y contemplar la accin de habeas data.
- Las que crean el derecho a la proteccin de datos personales, requieren de
consentimiento del titular para la recoleccin de datos, contemplan una
accin de oposicin, ordenan que el tratamiento de datos cumpla con una
serie de principios, perfeccionan el habeas data (extendiendo su alcance),
garantizaron el acceso y rectificacin de datos de forma gratuita y consagran
el derecho de oposicin. Estas son las disposiciones constitucionales sobre
proteccin de datos ms modernas en la regin.
7
http://www.uoc.edu/idp/5/dt/esp/lucas.pdf [Fecha de consulta: 10 de noviembre de 2016]
8
CERDA. Alberto. 2003. Autodeterminacin Informativa y Leyes Sobre Proteccin de Datos. Revista
Chilena de Derecho Informtico 3, p. 54.
9
BAZN, Vctor. 2005. El Habeas Data y el Derecho a la Autodeterminacin Informativa en
Perspectiva de Derecho Comparado. Estudios Constitucionales 3(2), p. 117.
10
MURILLO DE LA CUEVA, Lucas. 2007. op. cit., p. 30.
6
La Constitucin Poltica de la Repblica de Chile (CPR) no contempla en su
catlogo de derechos fundamentales la proteccin de datos personales en ninguna
de las formas que contempla la nomenclatura propuesta por Remolina. Lo ms
cercano es la garanta contenida en el artculo 19 No. 4 de la CPR que contempla el
derecho a la vida privada en los siguientes trminos:
11
CHILE. Ministerio de Secretara General de la Presidencia. 2005. Decreto 100 que Fija el Texto
Refundido, Coordinado y Sistematizado de la Constitucin Poltica de la Repblica de Chile.
12
https://www.technologyreview.com/s/519851/the-big-data-conundrum-how-to-define-it/ [Fecha de
consulta: 10 de noviembre de 2016]
13
https://www.ftc.gov/system/files/documents/reports/big-data-tool-inclusion-or-exclusion-
understanding-issues/160106big-data-rpt.pdf [Fecha de consulta: 25 de mayo de 2016]
7
- Riesgos de ser erradamente excluido de oportunidades a causa del
comportamiento de individuos con rasgos similares.
- Creacin o fortalecimiento de disparidades.
- Exposicin de datos sensibles (como lo sera mediante los me gusta de
Facebook).
- Colaboracin en la identificacin, y posterior destinacin, de consumidores
vulnerables a fraudes.
- Creacin de nuevas justificaciones para excluir a determinados sujetos.
- Riesgos de ofrecer productos extremadamente costosos para los miembros
de grupos con bajo poder adquisitivo.
- Debilitacin de la capacidad de optar del consumidor.
14
http://www.brandeis.edu/departments/economics/RePEc/brd/doc/Brandeis_WP58.pdf [Fecha de
consulta: 26 de mayo de 2016]
15
HELBING, D. 2015. Thinking Ahead - Essays on Big Data, Digital Revolution, and Participatory
Market Society. Zurich, Springer International Publishing, pp. 105-107.
8
fue la primera vez que se refiere expresamente a este derecho en la sentencia STC
1732-10-INA y 1800-10-INA (acumulados), de junio de 2011 (Quezada, 2012).
Si bien existe una mencin general a las situaciones que pueden suponer la
limitacin de este derecho (datos o aspectos que acarreen repercusiones para la
16
CHILE, Tribunal Constitucional. 2011. Sentencia Rol No. 1732-10-INA y Rol No. 1800-10-INA
(acumulados), 21 de junio de 2011, p, 28.
9
ordenacin de la vida social y afectacin de los derechos de terceros y/o intereses
de la comunidad), se expone que tal afectacin se puede realizar en tanto lo
autorice la ley o as lo consienta el titular de los datos. En otras palabras, la
afectacin legtima a este derecho debe ser mediante reserva legal o previo
consentimiento del titular. En el considerando sucesor, seala la especial proteccin
de los datos sensibles y su relacin con el derecho a la intimidad, pero que en
determinados casos se permite legalmente la intromisin por parte de terceros para
conocer, ya sea en parte o ntegramente, dicha informacin en casos en los cuales
est en juego la salud pblica o en procesos de investigacin y juzgamiento de
delitos (Tribunal Constitucional, 2011).
10
intimidad, va ms all identificando que alcanza a otros derechos
fundamentales.
- El reconocimiento realizado por el Tribunal Constitucional se puede enmarcar
en el tercer nivel de la clasificacin de las protecciones constitucionales
segn lo postulado por Remolina en 2012.
- No obstante, la jurisprudencia muta. Por ello es fundamental la consagracin
constitucional del derecho a la proteccin de datos.
11
- Adems, incluye una serie de disposiciones transitorias.
Dentro de los temas ms relevantes que esta ley cumple, podemos identificar los
siguientes:
12
de datos, todo tratamiento de datos personales de manera que la
informacin que se obtenga no pueda asociarse a persona determinada o
determinable; Registro o banco de datos, el conjunto organizado de datos
de carcter personal, sea automatizado o no y cualquiera sea la forma o
modalidad de su creacin u organizacin, que permita relacionar los datos
entre s, as como realizar todo tipo de tratamiento de datos; Responsable
del registro o banco de datos, la persona natural o jurdica privada, o el
respectivo organismo pblico, a quien compete las decisiones relacionadas
con el tratamiento de los datos de carcter personal; Titular de los datos, la
persona natural a la que se refieren los datos de carcter personal;
Tratamiento de datos, cualquier operacin o complejo de operaciones o
procedimientos tcnicos, de carcter automatizado o no, que permitan
recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer,
confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o
cancelar datos de carcter personal, o utilizarlos en cualquier otra forma.17
Como prevencin general, la ley 19.628 indica que se puede realizar tratamiento de
datos personales en tanto la ley no lo prohba expresamente. No obstante, de ser
posible su realizacin, es necesario contar con consentimiento informado del titular
de los mismos. Este consentimiento debe constar por escrito y puede revocarse,
pero sin efectos retroactivos.
17
https://www.leychile.cl/Navegar?idNorma=141599 [Fecha de consulta: 07 de julio de 2016] el
destacado es nuestro.
13
Posteriormente, se sealan en el art. 4 las hiptesis en las cuales se pueden tratar
los datos de un sujeto sin su consentimiento:
18
Ibd.
19
Ibd.
14
debe ser exacta, actualizada y responder con veracidad a la situacin real del titular
de los datos.)20
20
Ibd.
21
Es preciso tener en cuenta que la ley 19.628 tiene como fuente la Ley Orgnica de Proteccin de
Datos de Carcter Personal espaola, segn consta en CHILE, Congreso Nacional. 1999. Historia de
la Ley N 19.628, p. 17.
22
https://www.leychile.cl/Navegar?idNorma=141599 [Fecha de consulta: 07 de julio de 2016]
23
Ibd.
24
Ibd.
15
comerciales y no desee continuar figurando en el registro respectivo, sea de modo
definitivo o temporal.25
Estos derechos pueden ser ejercidos por el titular ya sea respecto del tratamiento
realizado por organismos pblicos o privados, con la sola excepcin de que la
funcin del rgano pblico pueda ver entorpecida sus funciones, labor fiscalizadora,
deberes de secreto, la seguridad o inters nacional o por mandato legal expreso.
En la generalidad de los casos, ser gratuito para el titular la puesta en marcha de la
medida solicitada (acceso, rectificacin, cancelacin o bloqueo), y la entidad
responsable del tratamiento se dirigir a terceros que tengan a su disposicin tal
informacin para hacer efectivo el derecho impetrado.
La ley expresa que estos derechos no pueden ser limitados por acto o convencin
(artculo 13).
Este ttulo contempla una accin jurisdiccional para hacer valer este catlogo de
derechos, la cual ser tratada en el apartado de cumplimiento en esta seccin y en
el captulo de enforcement del presente informe.
Por regla general, no requiere del consentimiento del titular. Los organismos
pblicos solo pueden tratar datos en tanto sea relacionado a las materias de su
competencia y con arreglo a la ley 19.628.
Este ttulo de la ley se refiere en particular a dos casos: los organismos que tratan
datos referidos a las sanciones administrativas, faltas disciplinarias y condenas
penales; y sobre el Servicio de Registro Civil e Identificacin.
Sobre el primer punto, se indica que las anteriores no podrn comunicarlos una vez
prescrita la accin penal o administrativa, o cumplida o prescrita la sancin o la
pena, con la excepcin de si tal informacin les es solicitada por los tribunales de
25
Ibd.
16
Justicia u otros organismos pblicos dentro del mbito de su competencia. Sobre el
segundo, este servicio llevar el registro de los bancos de datos personales a cargo
de los organismos pblicos.
Datos financieros:
Tanto la adicin de este ttulo a la ley de proteccin de datos como sus posteriores
modificaciones apuntan a un mismo sentido: el respeto al principio de finalidad en
relacin a los datos comerciales de los chilenos. As, solo se puede comunicar esta
informacin en relacin a una serie de ttulos de crdito que el artculo 17 de la ley
19.628 indica, adems en aquellas circunstancias que el Presidente de la Repblica
as lo indique mediante decreto supremo y que consten en uno de los ttulos de
crdito que la ley indica.
Como se indic al inicio de esta seccin, este ttulo busc solucionar aquellos casos
en que se solicitaba la informacin comercial de una persona sin tener en miras
evaluar el riesgo comercial del mismo, sino ms bien discriminar arbitrariamente en
otros mbitos, como lo sera el acceso a la salud, la postulacin a un cargo pblico,
17
procesos de seleccin laboral y de ingreso a un establecimiento de educacin
(CONADECUS, 2012) (SERNAC, 2012).26 27
26
http://www.conadecus.cl/conadecus/?p=3011 [Fecha de consulta: 07 de julio de 2016]
27
http://www.sernac.cl/271304/ [Fecha de consulta: 08 de julio de 2016]
28
https://www.leychile.cl/Navegar?idNorma=141599 [Fecha de consulta: 07 de julio de 2016]
29
Ibd.
18
correspondientes, solicitando amparo a los derechos consagrados en el artculo
precedente.30
El hecho que esta accin judicial puesta a disposicin de los titulares deba ser
interpuesta ante los tribunales ordinarios de justicia es un verdadero desincentivo a
exigir el respeto de los derechos que la ley 19.628 consagra a su favor. La
tramitacin ante los juzgados de letras es lenta y costosa, haciendo en la prctica
bastante dificultosa su real interposicin, resultando poco conveniente desde una
perspectiva costo-beneficio.
Respecto a la sancin en caso de ser condenado el encargado del banco, esta es:
La falta de entrega oportuna de la informacin o el retardo en efectuar la
modificacin, en la forma que decrete el Tribunal, sern castigados con multa de
dos a cincuenta unidades tributarias mensuales y, si el responsable del banco de
datos requerido fuere un organismo pblico, el tribunal podr sancionar al jefe del
Servicio con la suspensin de su cargo, por un lapso de cinco a quince das.31 En
atencin a los potenciales beneficios que pueden obtenerse del tratamiento masivo
de datos, la sancin parece bastante baja.
Luego, el ttulo sobre datos financieros hace referencia al artculo 16 respecto a las
sanciones en caso de infraccin de dichas disposiciones (artculo 19).
30
Ibd.
31
Ibd.
19
La accin consiguiente podr interponerse conjuntamente con la reclamacin
destinada a establecer la infraccin, sin perjuicio de lo establecido en el
artculo 173 del Cdigo de Procedimiento Civil. En todo caso, las infracciones
no contempladas en los artculos 16 y 19, incluida la indemnizacin de los
perjuicios, se sujetarn al procedimiento sumario. El juez tomar todas las
providencias que estime convenientes para hacer efectiva la proteccin de
los derechos que esta ley establece. La prueba se apreciar en conciencia
por el juez.
El monto de la indemnizacin ser establecido prudencialmente por el juez,
considerando las circunstancias del caso y la gravedad de los hechos.32
Adems de lo comentado sobre los desincentivos que existen para accionar ante los
tribunales ordinarios, el artculo 23 igualmente aade otros cuestionamientos. El
primer inciso considera que para perseguir la responsabilidad del responsable del
banco de datos en caso de un tratamiento indebido de los mismos, el actor debe
probar el dao patrimonial y moral que sufri como consecuencia de dicho
tratamiento. En la prctica, es difcil saber quin tiene los datos del titular y qu hace
con ellos, como ya vimos, el solo hecho de ejercer los derechos ARCO en el
contexto chileno ya es bastante complejo. Dada esta situacin, es poco probable
que un titular sepa realmente dnde estn sus datos y qu se est haciendo con
ellos, considerando adems la carencia de una autoridad de control que vele por el
cumplimiento de esta normativa. Por ello, es posible que solo pueda enterarse del
dao producido por un tratamiento indebido con una amplia diferencia temporal de
la autorizacin inicial.
32
Ibd.
20
1.3. Otros Cuerpos Normativos.
21
En el mismo mbito, entre los ao 2004 y 2005 se regularon con mayor detalle los
deberes de colaboracin de las empresas de telecomunicaciones, estableciendo
que los proveedores de servicios de internet (ISP) debern mantener un registro de
los rangos autorizados de direcciones IP33 y de los nmeros IP de las conexiones
que realicen sus abonados, por al menos un ao. Este registro es de carcter
reservado, y conforme al Reglamento de 2005 que implementa la medida, estar a
disposicin del Ministerio Pblico y de otras instituciones que se encuentren
autorizadas por ley.
33
http://www.delitosinformaticos.com/01/2008/proteccion-de-datos/la-ue-considera-las-direcciones-
ip-como-datos-de-caracter-personal#.UeAe3TuQW8A [Fecha de consulta: 10 de noviembre de 2016]
22
Finalmente, podemos mencionar la Ley 19.970 de 2004, que cre un registro de
ADN a cargo del Servicio de Registro Civil y de Identificacin. Este registro contiene
informacin gentica de condenados, de imputados en investigaciones criminales,
de evidencias encontradas en investigaciones criminales, de vctimas, y de
desaparecidos y sus familiares. La ley establece el carcter reservado de esta
informacin, la que es considerada como dato sensible, y slo puede ser consultada
por el Ministerio Pblico y los Tribunales, y por las policas y defensores, previa
autorizacin judicial.
Salud
Esta regulacin se complementa con lo dispuesto por el decreto 158 de 2005 del
Ministerio de Salud, sobre la notificacin de enfermedades transmisibles de
declaracin obligatoria. En este se establece el deber de notificar a la autoridad
sanitaria correspondiente ante los casos de sospecha o diagnstico de
determinadas enfermedades listadas en el decreto, a efectos de su control
epidemiolgico, para lo cual se deber enviar un formulario escrito que contiene
datos para identificar al paciente (nombre y apellidos, RUT, ficha clnica, domicilio,
telfono, edad y sexo del enfermo), datos sobre el diagnstico, e informacin sobre
el profesional mdico que notifica. En el caso de enfermedades de transmisin
sexual, dispone omitir el nombre y la direccin del paciente. En cuanto a las
23
exigencias de proteccin de estos datos, el decreto en su artculo 12 se remite
sealar que el tratamiento de datos se har conforme a la ley 19.628.
En 2011, en el decreto 114 del ministerio de Salud, que reglament la ley 20.120
sobre investigacin cientfica en seres humanos, se estableci el carcter reservado
de la informacin gentica de los seres humanos, establecindose su tratamiento
como dato sensible, y exigiendo encriptacin en el almacenamiento y transmisin de
datos que permitan identificar a una persona.
Luego, en la ley 20.584 sobre derechos y deberes de los pacientes del ao 2012, se
estableci que la ficha clnica tiene el carcter de dato sensible. Se establece que la
ficha clnica podr registrarse en forma electrnica, en papel u otro medio, y que
deber garantizarse que los registros sean completos, que su contenido y cambios
sean autnticos, y que se pueda acceder oportunamente a los datos, y su
conservacin y confidencialidad.
Laboral
24
Electoral
Otro mbito relevante es el de los datos electorales. En Chile, luego de una reforma
constitucional del ao 2009, se estableci la inscripcin automtica en los registros
electorales de toda la poblacin habilitada para votar, y la voluntariedad del voto.
Para efectos de implementar esta reforma, se public en 2012 la Ley 20.568. En
esta, se establece el carcter de pblico de los nombres y apellidos del elector, su
nmero de rol nico nacional, sexo, domicilio electoral con indicacin de la
circunscripcin electoral, comuna, provincia y regin a la que pertenezcan y el
numero de mesa receptora de sufragio en que le corresponde votar, prohibiendo y
sancionando su utilizacin con fines comerciales.
Transparencia
34
http://www.hipervinculos.cl/2016/04/19/reparos-la-operacion-del-sitio-web-chileno-24x7/ [Fecha
de consulta: 10 de noviembre de 2016]
25
En 2008, entr en vigencia la Ley 20.285 sobre acceso a la informacin pblica, que
implement esta reforma constitucional. La ley cre el Consejo para la
Transparencia, rgano autnomo que, en el marco de sus funciones, debe velar por
el cumplimiento de la Ley 19.628 en los rganos de la administracin del Estado 35.
Asimismo, la ley pone como lmite a la entrega de informacin, la afectacin a los
derechos de las personas.
Telecomunicaciones
35
En ese sentido, en el ao 2011 el Consejo para la Transparencia estableci una serie de
recomendaciones sobre proteccin de datos personales por parte de los rganos de la administracin
del Estado. Disponible en
https://www.leychile.cl/Navegar?idNorma=1029588&idParte=0&idVersion=2011-09-14
26
En esta seccin analizaremos los principales intentos modificatorios de la ley 19.628
como tambin proyectos de modificacin constitucional sobre el derecho a la
proteccin de datos en particular.
Por otro lado, el proyecto no modifica el hecho de que terceros, con la normativa
vigente, no precisan del consentimiento del titular en la recoleccin, procesamiento
e intercambio de datos personales cuando estos provienen de fuentes de acceso
pblico, ni define en trminos ms precisos lo que implica tal concepto, como
recomiendan algunos autores. Sin embargo, la mocin si se hace cargo del deber
de informacin que les compete a estos actores, mediante la inclusin de un nuevo
prrafo al artculo 4 de la Ley N 19.628, por cuanto quienes realicen tratamiento
de datos personales sin autorizacin del titular conforme a las disposiciones de este
artculo, debern informar del tratamiento al titular de datos, en los trminos del
Articulo 3 bis.
27
que este debe darse de manera explcita, libre y no ambigua. Mantiene todava la
excepcin al requisito de consentimiento explcito en el caso de datos obtenidos de
fuentes de acceso pblico, pero propone una definicin ms acotada de lo que se
incluye en dichas fuentes.
28
financiero o bancario una vez pasados cinco aos desde que la obligacin se hizo
exigible. De este modo, se estara incorporando una especie de derecho al olvido
en materia comercial.
No obstante, teniendo presente que el RUT y el RUN renen las caractersticas para
ser incluidos dentro de la categora de datos personales al permitir identificar o
hacer identificable a una persona, es dable sealar que la mocin parece ser ms
simblica que efectiva.
El proyecto, al igual que otras iniciativas, busca solucionar la excepcin de dato
obtenido en una fuente accesible al pblico, introduciendo una modificacin al
artculo 4 y sealando que [r]equiere autorizacion tambin el tratamiento de datos
personales que provengan o que se recolecten de fuentes accesibles al pblico,
cualquiera sea su naturaleza y soporte, inclusive los datos de carcter econmico,
financiero, bancario o comercial.
29
a la fecha de ingreso de una solicitud de ndole financiera, econmica, bancaria o
comercial.
No son menores las implicancias de tal mocin puesto que, de materializarse, los
titulares tendran a su disposicin la accin de proteccin frente a una vulneracin,
perturbacin o amenaza a su derecho fundamental a la proteccin de datos
personales; va que en la actualidad slo poda ser utilizada en la medida que se
30
demostrase que el tratamiento indebido de sus datos signific una conculcacin a la
vida privada u honra personal o la de su familia.
El proyecto, cuya iniciativa data de mediados 2014 por iniciativa parlamentaria, tiene
como ltimo antecedente en su avance el 4 de marzo de 2015.
Presentado a inicios del ao 2012 y con nulo avance desde dicha fecha, la mocin
busca prohibir expresamente la existencia y uso de registros histricos de deudores,
sancionando el uso y difusin de tales datos.
31
extremadamente amplias, tales como que el dato afecte el libre desarrollo de un
derecho fundamental. Esto impide una adecuada ponderacin de derechos, y que
de esta forma la desindexacin no implique una vulneracin de otros derechos como
la libertad de expresin, la memoria histrica o el periodismo de investigacin.
A partir de esta decisin, los particulares se han visto desprovistos de una autoridad
que fiscalice el cumplimiento de las disposiciones de la ley, y que los ampare ante el
tratamiento no autorizados de sus datos personales por parte de terceros. Como
contrapartida a esta falta de institucionalidad, la Ley 19.628 deja entregado a los
privados en recurrir a la justicia ordinaria en caso de verse afectados por un
tratamiento no autorizado de sus datos personales.
37Cerda, Alberto (2012). Legislacin sobre proteccin de las personas frente al tratamiento de datos
personales., Material de Estudio Centro de Estudios en Derecho Informtico, Facultad de Derecho
Universidad de Chile. Pgina 37.
32
Para lo anterior, el artculo 23 de dicho cuerpo establece un procedimiento de
carcter sumario, tambin conocido como Habeas Data, el cual le permite a los
titulares solicitar que se le indemnice el dao patrimonial y moral causado por el
tratamiento indebido de los datos, sin perjuicio de proceder a eliminar, modificar o
bloquear los datos de acuerdo a lo requerido por el titular o, en su caso, lo ordenado
por el tribunal.
Del mismo modo, la ley que Servicio de Registro Civil e Identificacin llevar un
registro de los bancos de datos personales a cargo de organismos pblicos. Este
registro tendr carcter pblico y en l constar, respecto de cada uno de esos
bancos de datos, el fundamento jurdico de su existencia, su finalidad, tipos de datos
almacenados y descripcin del universo de personas que comprende, todo lo cual
ser definido en un reglamento39. La obligacin de mantener este registro,
inexistente para las entidades privadas, permitira a las personas tener certezas de
los datos personales que son tratados por organismos pblicos.
33
Por ltimo, y nuevamente en contraste con el sector privado, respecto del sector
pblico s existe una entidad administrativa de control. En efecto, el artculo de la
Ley 20.285 sobre Acceso a la informacin pblica encarga al Consejo para la
Transparencia el Velar por el adecuado cumplimiento de la Ley 19.628, de
proteccin de datos de carcter personal, por parte de los rganos de la
Administracin del Estado40.
Sin embargo, el verbo rector velar utilizado por la legislacin ha dado paso a dudas
respecto de las herramientas jurdicas con las que cuenta el Consejo para la
Transparencia al momento de supervigilar y sancionar a otros organismos del
Estado por el tratamiento inadecuado de datos personales41.
34
comprometi a crear una institucionalidad eficiente para garantizar una adecuada
proteccin de los datos personales y pblicos43.
Para esto la metodologa utilizada fue la aplicacin de una entrevista a dos objetos
de estudio, con idnticas preguntas. Junto con eso se realiz un anlisis de los
trminos y condiciones disponibles pblicamente en la pgina web de las
datos-personales
45 Informe Evaluacin de la Ley N19.628 realizado por el Comit de Evaluacin de la Ley de la Cmara de
35
compaas, as como de las clusulas de los contratos de servicio que se
encontraban a tambin a disposicin.
46
http://www.telefonicachile.cl/inversionistas/telefonica-chile-s-a/la-compania/ [Fecha de consulta:
10 de noviembre de 2016]
47
http://vtr.com/empresa/somosvtr/index.php [Fecha de consulta: 10 de noviembre de 2016]
48 https://www.fayerwayer.com/2012/01/internet-en-chile-20-anos-despues/ [Fecha de consulta: 10 de
noviembre de 2016]
49 Derechos Digitales, Estado de Internet en Chile. 2014. Pg. 10
36
4.2.1 Conexiones y Penetracin del Internet
https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/akamai-state-of-the-
internet-connectivity-report-q2-2016.pdf
37
Fuente: Subsecretara de Telecomunicaciones, 2016.
38
Un mercado que se caracteriza por empresas que no son tomadoras de precios;
diferencias en las economas de alcance expresada en las variedades de servicios y
su eficiencia; y la existencia de barreras de entrada provocadas por la inversin que
conlleva la actividad.
Estos elementos permiten afirmar que el mercado tiene una estructura oligoplica
cuya competencia opera en funcin de la calidad del servicio y su estructura. Existe
un alto grado de concentracin de mercado expresado en un alto valor en el ndice
de Herfindhal-Hirschman 56. Asimismo, la ubicacin es una decisin estratgica que
impacta directamente en la diferenciacin de productos y en la tasa de ventas.57
Para entender de mejor manera la complejidad del sector, conviene observar las
siguientes tablas, que dan cuenta de los comportamientos estratgicos en la
distribucin de las empresas a travs del territorio nacional.
39
Fuente: Boletn de Estudios Sectoriales N5, USACH, 2014.
Empresas participantes
Las empresas presentes en el mercado chileno, a junio del 2014, segn informacin
proporcionada por la SUBTEL y sistematizada por investigadores de la Universidad
de Santiago, se caracterizan por ser ISP dedicados a dar conexin residencial (22) y
empresas de conexiones mviles (9). Adems, integran dicho grupo ISP especiales,
orientados al sector empresarial (15) y otros a dar conexin internacional (2).58
58 Ibd., pg. 9
40
Fuente: Boletn de Estudios Sectoriales N5, USACH, con informacin de la
SUBTEL
Participacin de Mercado
41
Fuente: Boletn de Estudios Sectoriales N5, USACH, con informacin de la
SUBTEL
42
Fuente: Subsecretara de Telecomunicaciones, 2016.
Del mismo modo, se encuentra disponible una seccin donde est publicada, de
forma sencilla y general, cada uno de los derechos que tienen los usuarios de
tecnologa y telecomunicaciones64. El reglamento de servicios de
telecomunicaciones est pblicamente disponible para descarga65, acompaado de
extracto general en un formato amistoso para el usuario.
63
http://vtr.com [Fecha de consulta: 10 de noviembre de 2016]
64
http://vtr.com/productos/derechosdeusuario/ [Fecha de consulta: 10 de noviembre de 2016]
65
http://vtr.com/reglamentotelco/ [Fecha de consulta: 10 de noviembre de 2016]
66
http://vtr.com/neutralidad/
67
http://vtr.com/neutralidad/a1.php [Fecha de consulta: 10 de noviembre de 2016]
68
http://vtr.com/neutralidad/b4.php [Fecha de consulta: 10 de noviembre de 2016]
43
informacin respecto de gestin de acceso a contenidos recurrentes, de
administracin de capacidades, y de bloqueo al acceso a sitios de abuso infantil.
Tambin se puede encontrar un apartado de contratos donde se puede descargar
los siguientes documentos69:
En contraste, Movistar cuenta con un sitio web llamativa en el sentido comercial, sin
embargo en cuanto a la informacin sobre derechos del consumidor y/o usuario de
telecomunicaciones muestra altos grados de dficit.
Si bien existe informacin disponible, esta est presentada en forma poco amigable
con el usuario. Mucha de la informacin se presenta en forma de documentos
disponibles para descarga en formato PDF o redireccionamiento a documentos
estatales de normativa, sin tener una pestaa general y amigable con el usuario que
de forma general y resumida presente los reglamentos y normas a las que en virtud
de normativa estatal queda limitada o sujeta la actividad de la compaa en la
entrega de servicios. Los derechos del usuario/consumidor tampoco est disponible
de forma accesible para los clientes.
69
http://vtr.com/productos/moviles/contratos [Fecha de consulta: 10 de noviembre de 2016]
70
http://www.movistar.cl/PortalMovistarWeb/centro-de-ayuda/condiciones-comerciales-y-
contractuales-de-telefonia-movil-y-banda-ancha-movil [Fecha de consulta: 10 de noviembre de 2016]
44
Deberes de los usuarios; reglamentos de reclamos de servicios de
telecomunicaciones aprobado por el Ministerio de Transportes y
Telecomunicaciones;
Derechos de los usuarios de telecomunicaciones;
Decreto de Reglamento de Servicios de Telecomunicaciones;
Acuerdo con la Fiscala Nacional Econmica;
15 documentos para descarga de los diferentes planes de contrato de telefona
mvil;
2 documentos de condiciones contractuales de planes de contrato de telefona
prepago; condiciones contractuales de servicio Movietalk;
Condiciones contractuales de servicio multiasistencia premium 505;
Documento para descarga de poltica de privacidad de movistar (de tan solo
una plana, y que se remite a repetir partes de la ley 19.628 por lo que no est
disponible en la pgina una poltica de privacidad de la compaa en la
pgina);
Finalmente otros dos documentos para descarga de solicitud de servicios y
otro de servicio smart kids.
El sitio tambin cuenta con una seccin referida a la neutralidad en la red71. En ella
se encuentran disponibles una serie de documentos para descarga, titulados:
Sobre caractersticas comerciales de los servicios (qu servicios incluye cada plan
y costo); Medidas de gestin de trfico y administracin de red, donde se puede
descargar un documento para servicio de banda ancha fija y satelital y otro para
servicio de Banda ancha mvil, planes multimedia, planes de datos y planes de
internet en tablet.
71
http://www.movistar.cl/web/movistar/neutralidad-en-la-red [Fecha de consulta: 10 de noviembre de
2016]
45
refiere a la gestin de equipamiento de terminal del lado usuario, administracin de
las direcciones IP, etc. Sin embargo, no se seala en trminos tcnicos ni con el
detalle debido cmo se intervienen o administran estos puertos ni se establece un
protocolo para ello, solo el fin de las acciones y qu pasara de no realizar estas
providencias.
Incluso, fuimos capaces de constatar que los mismos usuarios, que son clientes de
Movistar y tienen una cuenta en su Sucursal Virtual tampoco pueden acceder de
forma inmediata a una copa de su contrato vigente, ni sus condiciones. Del mismo
modo, para aquellos clientes que tienen una cuenta en la Sucursal Virtual, est
disponible un enlace llamado Condiciones Contractuales, el cual al momento de
realizarse esta investigacin diriga a la pgina principal de la compaa, impidiendo
a los clientes y usuarios de Movistar tener acceso a los trminos y condiciones de
su contrato de forma transparente y expedita.
72
http://www.movistar.cl/PortalMovistarWeb/centro-de-ayuda/condiciones-comerciales-y-
contractuales-de-servicios-hogar [Fecha de consulta 10 de noviembre de 2016]
73
http://vtr.com/CS/vtr_f3/contrato-de-suministro.pdf
46
El estudio de los distintos contratos de servicio de VTR muestra que, por ejemplo la
clusula quinta del contrato sobre servicios de telefona local no establece ningn
tipo de condicin o protocolo para el procesamiento de requerimientos judiciales de
interceptacin de la lnea. En el mismo sentido, la clusula sexta sobre acceso a
internet, en su punto 2 seala que VTR podr aplicar polticas de administracin de
la red y del trfico, sin establecer claramente las circunstancias ni formas en que
dicha administracin de la red y trfico operara. De esta forma, al no detallarse
debidamente estas circunstancias en el contrato, aun cuando la informacin se
encuentre disponible en la pgina, podra considerarse que se estn faltando a los
deberes de informacin en materia de derecho del consumidor. En efecto, el artculo
3 de la ley 19.496 de proteccin y derechos del consumidor establece como
obligacin del proveedor la entrega de informacin bsica comercial, deber que
podra considerarse incumplido por las condiciones antes descritas.
47
aplicables. En esta materia la clusula tambin una remisin abierta a las
condiciones establecidas en la pgina web de la compaa, pero sin establecer un
enlace especfico, ni una fecha cierta de dichas condiciones.
48
Finalmente, la clusula 13.3, y en virtud del artculo 4 de la ley 19.628 sobre
proteccin de datos personales, se establece que VTR se reserva la facultad de
poder tratar y remitir a terceros los datos personales del usuario con fin de
comunicar servicios o productos y que el suscriptor en la firma del contrato autoriza
a VTR para estas acciones, conservando el cliente la facultad de revocar esta
autorizacin. Es importante sealar que si bien esta clusula se encuentra en el
marco de lo legal, esta facultad ha sido altamente criticada por la doctrina chilena
cuya crtica y posicin se detalla en este estudio ms adelante.
74
http://www.movistar.cl/PortalMovistarWeb/ShowDoc/WLP+Repository/Portlets/P030_Gen
erico/Documentos/PlanesContrato_2
http://www.movistar.cl/PortalMovistarWeb/ShowDoc/WLP+Repository/Portlets/P030_Gener
ico/Documentos/BAM_1
49
caractersticas tcnicas y operativas se pueden encontrar en el documento de
Neutralidad de la Red, alojado en su sitio web. Como hemos mencionado
anteriormente, dicho documento carece de detalle tcnico y slo seala los fines y
riesgos de ejecutar las acciones de administracin. La misma clusula tambin
establece que la enumeracin de estas medidas de gestin de trfico y
administracin de red no es taxativa, pudiendo TMCH tomar o ejecutar medidas o
acciones adicionales que autorice la normativa sectorial y que no afectarn el
Servicio contratado por el Cliente.
4.5.1 VTR
La compaa Movistar accedi a dos entrevistas con dos profesionales. El primero
cumple funciones vinculadas con la proteccin de datos, en particular con los
requerimientos de informacin a travs de procesos judiciales y el segundo
vinculado al rea de administracin de la red y datos de servicios de telefona. La
empresa VTR accedi a la entrevista en un formato escrito el que se contest por
diferentes reas en cada materia, hasta ser reenviado a los investigadores. A ambas
empresas le fueron realizadas las mismas preguntas.
De acuerdo a las respuestas entregadas por VTR, es posible constatar que declaran
contar con una poltica de privacidad, la que se encuentra publicada en su pgina
web75. Del mismo modo, la empresa seala que no cuentan con un poltica de
actualizacin peridica de las mismas, sino que las modificaciones son realizadas
cuando resulta necesario.
50
relacionados con el tratamiento de datos personales ni entrega mayores luces sobre
el asunto.
Los requerimientos que han recibido son del Ministerio Pblico el que acta a travs
de la Polica o Carabineros, la peticin se les formaliza mediante un oficio emitido
por los tribunales el que se canaliza o por oficio de la compaa o a travs del
sistema informtico que poseen para dar respuesta a estos requerimientos. Sin
embargo, no existen estadsticas pblicas de la empresa en lo relacionado a la
cantidad de solicitudes y el porcentaje que son acogidas por la empresa.
51
Con el fin de responder a los requerimientos de la autoridad administrativa, la
compaa seala que verifica que el requerimiento se encuentre enmarcado en el
cumplimiento de funciones especficas de cada autoridad, y que en los casos que
sea posible entregar a la autoridad la informacin solicitada sin revelar informacin
personal de un cliente se procede excluyendo estos datos.
52
comerciales a quienes autorizan el tratamiento de los los clientes a nombre de VTR
bajo los fines estrictos de alguna actividad especfica encomendada, sin que tengan
autorizacin para usar esa informacin para otros fines u en otros mbitos.
La compaa seala contar con diversas medidas y polticas que tienen por fin
proteger la seguridad y confidencialidad de los datos de los clientes. En la poltica
de privacidad del consumidor se entrega una orientacin general sobre cmo
proceden. Las medidas que adopta VTR para que el consentimiento en el
tratamiento de datos personales sea libre, expreso e informado, es que se indica en
el contrato la finalidad que tiene el tratamiento de estos datos, y que el cliente se
reserva la posibilidad al momento de contratar de autorizar o no el uso de sus datos
para la remisin de ofertas comerciales, el cliente tiene derecho a que su
informacin personal incompleta o incorrecta sea corregida, para ese efecto tienen
habilitada la direccin privacidad@vtr.cl para recibir esas solicitudes. La empresa
seala que hasta el momento no han recibido por parte de sus clientes solicitudes
de registro de sus datos personales. Finalmente, teniendo en cuenta el uso de
cookies que utilizan muchos sitios webs, VTR seala que utiliza un criterio de
asignacin dinmica de nmeros IP.
4.5.2 Movistar
En el proceso de entrevistas, Movistar seal que como empresa formar parte del
Grupo Telefnica. Este tiene un comit global de privacidad, liderado en la matriz en
Espaa, donde se elaboran los lineamientos y principios generales para todo el
grupo Telefnica.
Sin embargo, todas las teleoperadoras tambin tienen una poltica de privacidad
local, que sigue la misma lnea de la legislacin actual vigente en Chile. Actualmente
Telefnica cuenta con una gua, de alrededor de una plana, de poltica de proteccin
de datos que da lineamientos muy generales. Sin embargo, expresaron su voluntad
de subsanar dicha situacin y entregar un material ms detallado.
Al igual que VTR, dicha poltica de proteccin de datos no es actualizada con una
regularidad establecida, sino que se modifica segn sea necesario. El material que
est disponible en la pgina web en condiciones contractuales y comerciales est
53
siempre en permanente revisin y pasa por un procedimiento de validacin interna
donde opinan diversas reas como regulacin, legal, tributaria, operaciones, etc.
Otro punto interesante que fue mencionado en las entrevistas es que la empresa
seal que ellos consideran dentro de comunicaciones privadas el almacenamiento
de metadata, y que en ese sentido el requerimiento por la autoridad de esa
informacin est sometida al mismo resguardo.
54
Existe adems un caso que se da en la prctica pero que no est detallado en la
ley, que es el de autoridades administrativas que solicitan informacin personal de
clientes, que debe suministrarse por tratarse del ejercicio de facultades implcitas
que han sido conferidas por la ley. Un ejemplo entregador fue el de la Subsecretara
de Telecomunicaciones (SUBTEL), no tiene expresamente conferida la facultad
legal para solicitar informacin o datos personales de los clientes, pero que ellos
consideran como una facultad implcita, ya que de lo contrario sera impracticable
que pudiera fiscalizar el cumplimiento de la normativa de telecomunicaciones. Por
ejemplo, cuando la misma ha solicitado a travs de un oficio informacin respecto
de una falla masiva de un servicio, es habitual que pida informacin sobre el nmero
de usuarios que se vieron afectados, cules son esos usuario, qu lneas son, etc.
55
Respecto a si la compaa tiene o no bases de datos inscriptas en algn registro
nacional o provincial o departamental, ninguno de los dos profesionales consultado
de telefnica tena claridad de si esto era as o no. Sin embargo, refirieron a que de
todos modos el registro de bases de datos es obligatorio solo para los organismos
pblicos pero voluntario para los privados.
56
La compaa tiene mltiples procedimientos de atencin y adems existe un portal
interno donde se revisan los procedimientos para que los usuarios puedan ejercer
los derechos de acceso, rectificacin y supresin de sus datos. Es frecuente que los
usuarios pidan informacin, la compaa por su parte se ocupa de que esta slo sea
entregada al titular del servicio, ya que slo este tiene la facultad y la soberana
sobre sus datos personales.
En cuanto al uso de cookies que utilizan muchos sitios webs la direcciones IP que la
compaa asigna a sus usuarios se distingue. Los usuarios del segmento masivo
que consumen los productos hogar tienen IP dinmicas. Cuando se trata de un
cliente empresa, donde se requiere un volumen de conexiones de datos mucho
mayor, donde hay por ejemplo un servicio de enlace, internet dedicado o servicio de
VPN, estos servicios requieren de conexiones IPs fijas.
57
estara faltando al artculo 3 de la misma ley por infringir el deber de informacin de
informacin bsica sobre las condiciones y uso del servicio o producto.
En esta materia la doctrina est conteste en que lo firmado por los contratantes es
ley para las mismas, y que slo podra ser objeto de modificacin en cuanto ambas
consientan en ello. Rodrigo Momberg (2013) seala que [e]l principio de la fuerza
obligatoria del contrato o pacta sunt servanda es uno de los pilares bsicos del
derecho de contratos, reconocido por la mayora de los ordenamientos jurdicos y
consagrado positivamente tanto en las codificaciones decimonnicas como en las
contemporneas. Dicho principio, lo mismo que los principios de libertad contractual
y del efecto relativo de los contratos, se considera el corolario necesario del dogma
de la autonoma de la voluntad82. En el paradigma de contratos tradicionales donde
ambas partes tienen una fuerza negociadora equivalente, sin embargo en contratos
de adhesin, como es la situacin del presente estudio, donde una parte
simplemente acepta o rechaza las condiciones de contrato que una parte le impone
a la otra, la intangibilidad del contrato toma una relevancia crtica, pues no puede el
derecho dejar en la desproteccin a quien ya se encuentra en una situacin
desmejorada a la hora de negociar y contratar.
82
MOMBERG, Rodrigo (2013): El control de las clusulas abusivas como instrumento de
intervencin judicial en el contrato, cita MJD1001, consultado 15 de noviembre 2016
58
persona que oferta el contrato no tiene tampoco la capacidad de negociar los
trminos del mismo.
Ambas ISP refirieron en sus entrevistas que las compaas comprendan dentro del
concepto de comunicacin privada los metadatas de servicios de Internet mvil y
hogar, as tambin los de telefona fija o mvil, y con ello el contenido de las
mismas.
Al ser consultadas por los protocolos que seguan respecto de los requerimientos de
comunicacin privada de sus clientes, ambas compaas hicieron la distincin de
cuando estas eran requeridas a travs de orden judicial, y de cuando estas eran
84
DE LA MAZA, igo (2004)
85
Ibd
59
requeridas por el Ministerio Pblico, personalmente por el Fiscal, o a travs de la
polica teniendo como uno requisito que la solicitud se enmarcara en la investigacin
de un crimen o delito.
Ante esto cabe hacer algunas precisiones, lo que evidenciara que, las mencionadas
compaas no estaran cumpliendo con estndares adecuados a la hora de entregar
informacin solicitada por la autoridad sin exigir la entrega de la orden judicial que
ordene la realizacin de diligencias que puedan vulnerar derechos garantizados en
la Constitucin y en los distintos tratados internacional ratificados por Chile.
60
lo anterior, en caso de una detencin se deber entregar por el funcionario policial
que la practique una constancia de aqulla, con indicacin del tribunal que la
expidi, del delito que le sirve de fundamento y de la hora en que se emiti. Vale la
pena mencionar que dichas garantas son irrenunciables, y por tanto no pueden ser
modificadas a travs de clusulas contractuales86.
5. Conclusiones
Disponible en http://www.derecho.duad.unam.mx/amicus-
curiae/descargas/vol10/Intervenciones%20en%20las%20Comunicaciones.pdf
61
concentracin econmica, con un nmero reducido de oferentes concentrando la
gran mayora de los clientes.
Por ultimo, resulta sumamente preocupante que dichas empresas hagan entrega de
informacin de cracter personal relativa a sus clientes a las policas o entes de
persecucin policial sin mediar una orden judicial previa.
Todas las falencias antes descritas no solo deben ser abordadas por las empresas a
travs de la autoregulacin, sino que es necesario que el Estado tome un rol activo,
tanto en la fiscalizacin del cumplimiento de la legislacin vigente, como en la
regulacin del sector. Dicha regulacin debera ser diseada e implementada de
forma multisectorial, teniendo en consideracin las posturas del sector privado, pero
tambin de la sociedad civil y los consumidores.
62
Bibliografa
CONADECUS. Los Derechos del Consuidor que garantiza la nueva Ley Dicom.
2012. http://www.conadecus.cl/conadecus/?p=3011.
FTC Report. Big Data. A tool for Inclusion or Exclusion. Understanding the Issues.
2016. https://www.ftc.gov/system/files/documents/reports/big-data-tool-
inclusion-or-exclusion-understanding-issues/160106big-data-rpt.pdf.
63
Iigo De la maza. El control de las clusulas abusivas y la letra g). Scielo, 2004.
MIT Technology Review. The Big Data Conundrum: How to Define It? 2013.
https://www.technologyreview.com/s/519851/the-big-data-conundrum-how-to-
define-it/.
Pulso. OCDE enva carta de advertencia a Chile por retraso en proteccin de datos
personales. 2016. http://static.pulso.cl/20150722/2154431.pdf .
Reed, Benjamin. First Degree Price Discrimination Using Big. Working Paper Series.
2013.
http://www.brandeis.edu/departments/economics/RePEc/brd/doc/Brandeis_W
P58.pdf.
64
SERNAC. Gua Prctica Nueva Ley Dicom. 2012. http://www.sernac.cl/271304/.
Legislacin:
Chile, Tribunal Constitucional. 2011. Sentencia Rol No. 1732-10-INA y Rol No. 1800-
10-INA (acumulados), 21 de junio de 2011, p, 28.
65
Comparacin entre la normativa chilena sobre datos personales y el
Reglamento General de Proteccin de Datos de la Unin Europea
Definiciones:
66
responsable de la base de datos, podemos encontrar: encargado del tratamiento
(aquel que trata datos personales por cuenta del responsable), destinatario (aquel al
que se comuniquen datos personales, se trate o no de un tercero), tercero (persona
distinta del interesado, del responsable del tratamiento, del encargado del
tratamiento y de las personas autorizadas para tratar los datos personales bajo la
autoridad directa del responsable o del encargado), representante (aquel que
representa al responsable o al encargado en lo que respecta a sus respectivas
obligaciones en virtud del presente Reglamento), empresa (persona fsica o jurdica
dedicada a una actividad econmica, independientemente de su forma jurdica,
incluidas las sociedades o asociaciones que desempeen regularmente una
actividad econmica), grupo empresarial (grupo constituido por una empresa que
ejerce el control y sus empresas controladas), autoridad de control (la autoridad
pblica independiente establecida por un Estado miembro), organizacin
internacional (una organizacin internacional y sus entes subordinados de Derecho
internacional pblico o cualquier otro organismo creado mediante un acuerdo entre
dos o ms pases o en virtud de tal acuerdo).
Datos personales : Ambas normativas lo definen en trminos muy similares
(toda informacin referente a una persona fsica o natural identificada o
identificable) Sin embargo, el Reglamento (art. 4) especifica cundo debe
considerarse identificable a una persona (cuando su identidad pueda
determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un nmero de identificacin,
datos de localizacin, un identificador en lnea o uno o varios elementos
propios de la identidad fsica, fisiolgica, gentica, psquica, econmica,
cultural o social de dicha persona). Por otro lado, el Reglamento incorpora
las nociones de datos biomtricos y datos genticos, cuestiones no previstas
en la ley chilena.
Respecto a los datos considerados sensibles -o categoras especiales de
datos personales, segn el lenguaje del Reglamento- existen semejanzas y
diferencias: ambas leyes coinciden en incorporar el origen racial, las
opiniones polticas, las convicciones religiosas, los datos relativos a la salud y
los referentes a la vida sexual. Sin embargo, el Reglamento incorpora las
convicciones filosficas, la afiliacin sindical, los datos genticos, los datos
biomtricos y los datos relativos a la orientacin sexual. La ley chilena no
67
contemplas estos supuestos pero posee una regla general (art. 2 inc. g) por la
cual se considera sensible aquellos datos personales que se refieren a las
caractersticas fsicas o morales de las personas o a hechos o circunstancias
de su vida privada o intimidad.
Nuevas definiciones: El reglamento incluye numerosas definiciones que
no estn presentes en la ley chilena, a saber: elaboracin de perfiles,
violacin de la seguridad de los datos personales, establecimiento
principal, normas corporativas vinculantes, tratamiento transfronterizo o
servicio de la sociedad de informacin.
Principios:
La legislacin chilena no hace un listado explcito de los principios aplicables
a las operaciones de tratamiento de datos. Sin embargo, de las disposiciones de la
ley se pueden deducir un catlogo de aquellos, a saber: principio de finalidad (art 9:
los datos personales deben utilizarse slo para los fines para los cuales hubieren
sido recolectados, salvo que provengan o se hayan recolectado de fuentes
accesibles al pblico), principio de calidad de los datos (art. 9: la informacin debe
ser exacta, actualizada y responder con veracidad a la situacin real del titular de
los datos), principio de licitud (art.4: El tratamiento de los datos personales slo
puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el
titular consienta expresamente en ello),
Frente a esto, el Reglamento consagra estos mismos principios, pero el
desarrollo de sus contenidos es ms minucioso. As, al momento de tratar el
principio de licitud el Reglamento (art. 6) establece una serie detallada y precisa de
condiciones las cuales -al menos una- deben ser cumplidas para ser considerado
lcito el tratamiento, a saber: si el interesado dio su consentimiento para el
tratamiento de sus datos personales para uno o varios fines especficos; si el
tratamiento es necesario para la ejecucin de un contrato en el que el interesado es
parte o para la aplicacin a peticin de este de medidas precontractuales; si el
tratamiento es necesario para el cumplimiento de una obligacin legal aplicable al
responsable del tratamiento; si el tratamiento es necesario para proteger intereses
vitales del interesado o de otra persona fsica; si el tratamiento es necesario para el
cumplimiento de una misin realizada en inters pblico o en el ejercicio de poderes
pblicos conferidos al responsable del tratamiento o si el tratamiento es necesario
68
para la satisfaccin de intereses legtimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los
intereses o los derechos y libertades fundamentales del interesado que requieran la
proteccin de datos personales, en particular cuando el interesado sea un nio.
Por otro lado, el Reglamento consagra explcitamente el principio de
minimizacin de los datos, que ordena que los datos sern adecuados, pertinentes
y limitados a lo necesario en relacin con los fines para los que son tratados. De
esta manera, la normativa europea dispone como principio general la obligacin de
recolectar, almacenar y procesar la menor cantidad de informacin posible.
La limitacin de la conservacin tambin esta definida de manera precisa por
el Reglamento, que establece que los datos sean mantenidos de forma que se
permita la identificacin de los interesados durante no ms tiempo del necesario
para los fines del tratamiento de los datos personales.
En sintona, la normativa europea consagra el principio de integridad y
confidencialidad, ordenando que los datos sean tratados de tal manera que se
garantice una seguridad adecuada de los datos personales, incluida la proteccin
contra el tratamiento no autorizado o ilcito y contra su prdida, destruccin o dao
accidental, mediante la aplicacin de medidas tcnicas u organizativas apropiadas .
Finalmente, el Reglamento agrega el principio de responsabilidad proactiva,
por el cual los responsables de tratamiento de datos sern responsables del
cumplimiento de todos los principios y adems, debern ser capaces de demostrar
tal cumplimiento.
69
exigencia de eliminacin, o la de bloqueo de los datos, en su caso, podr hacer
cuando haya proporcionado voluntariamente sus datos personales o ellos se usen
para comunicaciones comerciales y no desee continuar figurando en el registro
respectivo, sea de modo definitivo o temporal)
Al igual que la ley chilena, el Reglamento consagra los derechos ARCO. Sin
embargo, agrega nuevos derechos, como el derecho a la supresin o derecho al
olvido, )por el cual toda persona tiene la facultad de solicitar la supresin de los
datos personales que ya no sean necesarios para el cumplimento de las finalidades
para las que fueron recogidos, cuando se haya retirado el consentimiento y no
exista otra base legal para el tratamiento del mismo, cuando el tratamiento haya
sido realizado en forma ilcita, etc.), el derecho a la limitacin del tratamiento
(derecho a solicitar que los datos sean conservados pero sin que puedan ejercerse
otro tipo de tratamiento) y el derecho a la portabilidad (derecho a recibir los datos
personales que le incumban que haya facilitado a un responsable del tratamiento y a
transferirlos a otro responsable, sin que el anterior pueda impedirlo)
Por otro lado, la normativa europea establece el derecho a no ser objeto de
una decisin basada nicamente en un tratamiento automatizado de datos (art. 22),
salvo excepciones expresamente establecidas. En caso de que se realice este
tratamiento, existe el derecho a no ser discriminado y el derecho a requerir una
explicacin acerca del modo de funcionamiento de los procesos que permiten la
adopcin de este tipo de decisiones.
Consentimiento:
La ley chilena (art. 4) establece que el consentimiento del titular de los datos
es necesario para el tratamiento de sus datos, salvo que una disposicin legal lo
haya autorizado. Al momento de establecer las condiciones, la normativa sostiene
que el consentimiento debe ser expreso, informado, y por escrito. Asimismo, la
autorizacin puede ser revocada en cualquier momento, tambin de manera escrita.
Las excepciones al consentimiento se dan en los siguientes supuestos: 1)
datos personales que provengan o que se recolecten de fuentes accesibles al
pblico; 2) cuando sean de carcter econmico, financiero, bancario o comercial, se
contengan en listados relativos a una categora de personas que se limiten a indicar
antecedentes; 3) cuando lo realicen personas jurdicas privadas para el uso
exclusivo suyo, de sus asociados y de las entidades a que estn afiliadas, con fines
70
estadsticos, de tarificacin u otros de beneficio general de aqullos, o cuando lo
realicen organismos pblicos, en la medida que se refiera a materias de sus
competencias.
En lo que respecta al Reglamento, el consentimiento es definido como una
manifestacin de voluntad libre, especfica, informada e inequvoca por la que el
interesado acepta, ya sea mediante una declaracin o una clara accin afirmativa, el
tratamiento de datos personales que le conciernen. De esta manera, la normativa
europea no utiliza el calificativo expreso presente en la legislacin chilena y admite
adems de una declaracin, la presencia de otras acciones afirmativas claras que
sean expresin del consentimiento del interesado. En este ltimo sentido, la ley
chilena determina que el consentimiento slo puede otorgado por escrito.
Otra diferencia con la normativa chilena es que el Reglamento establece
expresamente que es el responsable del tratamiento de datos el encargado de
demostrar que el interesado consinti en que sus datos personales sean tratados.
Asimismo, la normativa europea determina que para establecer el carcter libre del
consentimiento, deber tenerse en cuenta los datos personales que se solicitan para
la ejecucin del contrato . Si la persona debe suministrar o aceptar el tratamiento de
datos que no son necesarios para la ejecucin de dicho contrato, tal situacin ser
tomada como un elemento en contra de considerar al consentimiento como libre
Medidas de seguridad:
71
El Reglamento establece una regulacin detallada de las medidas de
seguridad que deben implementarse para proteger la integridad y confidencialidad
de los datos personales (art. 24). As, se determina que los responsables o
encargados de tratamiento de datos deben adoptar medidas adecuadas para
garantizar un nivel de seguridad adecuado al riesgo que dicho tratamiento puede
implicar para los derechos y la libertades de las personas. Para evaluar dicho
riesgo, se debern tomar en cuenta los riesgos que pueda presentar la eventual
destruccin o alteracin de la base de datos o el acceso no autorizado a dichos
datos. Adems del riesgo, las medidas a adoptar deben tener en cuenta el estado
de la tcnica, los costos de aplicacin, y la naturaleza, alcance, contexto y fines del
tratamiento. Asimismo, se establece la obligacin de incluir en el registro de
actividades la descripcin de las medidas de seguridad adoptadas, en cuanto sea
posible. En este sentido, se considera que la adhesin a un cdigo de conducta o a
un mecanismo de certificacin constituye un elemento para demostrar el
cumplimiento de los requisitos de seguridad. Por ltimo, existe un procedimiento de
notificacin en caso de una violacin a una medida de seguridad que todo
responsable cuya base de datos ha sufrido dicha afectacin debe seguir (art. 33 y
34).
Por el lado de la normativa chilena, existe una referencia genrica a que los
responsables de bases de datos personales deben cuidar de ellos con la debida
diligencia, bajo la sancin de hacerse responsable de los daos ocasionados (art.
11). Asimismo, se consagra el deber a cargo de las personas que trabajan en el
tratamiento de datos personales de guardar secreto, aun luego de haber cesado en
sus actividades (art. 7). Sin embargo, no existen estndares o criterios a los cuales
las bases de datos tengan que ajustarse, de acuerdo al tipo de tratamiento que
realizan o el riesgo que implican para la proteccin de las personas. En el mismo
sentido, no hay establecido un procedimiento a seguir en caso de violaciones a la
seguridad de una base de datos.
72
En forma paralela al Reglamento, la Unin Europea sancion la Directiva 680/2016
relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de
sus datos personales por parte de las autoridades competentes con fines de
prevencin, investigacin, deteccin o enjuiciamiento de infracciones penales o de
ejecucin de sanciones penales. La mencionada norma entr en vigor el 5 mayo
de 2016 y tiene como principal finalidad el garantizar la adecuada proteccin de los
datos de las vctimas, testigos e investigados por la presunta comisin de delitos.
Paralelamente la Directiva pretende armonizar la cooperacin transfronteriza de la
polica y los fiscales para combatir ms eficazmente el crimen y el terrorismo en
toda Europa.
73
En comparacin con esta detallada regulacin, la normativa chilena no posee una
regulacin tan elaborada y sistematizada. Las disposiciones que existen se
encuentran desperdigadas en diferentes leyes y en general, slo cubren aspectos
especficos del tratamiento de datos, como lo es la consulta o acceso a sus bases
de datos.
As, la ley 19628 establece la obligacin por parte de los organismos pblicos que
sometan a tratamiento datos personales relativos a condenas por delitos,
infracciones administrativas o faltas disciplinarias, de no comunicarlos una vez que
haya prescrito la accin o se haya cumplido la pena o sancin (art. 21).
Como complemento, el Decreto Ley 645 del Ministerio de Justicia, cuya ltima
versin es del ao 2012, regula los registros de condenas, estableciendo que salvo
el Ministerio Pblico, las autoridades judiciales, policiales y de gendarmera, nadie
tiene derecho a solicitar esta informacin. Esta norma contiene una excepcin
desde el ao 2012, cuando se cre el registro de condenados por delitos sexuales
contra menores mediante Ley 20.594. Esta norma estableci que el registro puede
ser consultado por cualquier persona, para los fines de evaluar la contratacin de
personas en empleos o cargos que impliquen relaciones directas y habituales con
menores de edad.
74
Institutos no previstos en la ley chilena:
75
presencia de una persona especialista en proteccin de datos que los
responsables o encargados deben nombrar en los siguientes supuestos:
autoridad u organismo pblico (excepto tribunales judiciales), las actividades
principales consistan en operaciones de tratamiento que, en razn de su
naturaleza, alcance y/o fines, requieran una observacin habitual y
sistemtica de interesados a gran escala, o las actividades principales
consistan en el tratamiento a gran escala de categoras especiales de datos
personales. En estos casos la funcin del delegado ser: informar y asesorar
a los responsables y encargados del tratamiento de datos personales (y a sus
empleados) de las obligaciones que tienen; supervisar el cumplimiento de la
legislacin; ofrecer el asesoramiento que se le solicite para hacer la
evaluacin de impacto de un tratamiento de datos personales; cooperar con
las autoridades de control y actuar como punto de contacto de las
autoridades de control para cualquier consulta sobre el tratamiento de datos
personales.
76
las autoridades de control de los pases miembros debern actuar con total
independencia en el desempeo de sus funciones. Asimismo, los miembros
sern ajenos a toda influencia externa y no solicitarn ni admitirn ninguna
instruccin. Por otro lado, se dispone que todo Estado debe garantizar que su
autoridad de control cuente en todo momento con los recursos humanos,
tcnicos y financieros, as como los locales y la infraestructura necesaria para
el cumplimiento efectivo de sus funciones. Finalmente, la normativa ordena
que todos los Estados garanticen que los rganos de control gocen de un
presupuesto anual pblico e independiente y que estn sujetos a un control
financiero que no afecte su independencia.
77
la facilitacin de cualquier informacin necesaria para el desempeo de las
funciones, obtener el acceso a los datos personales, los equipos y medios de
tratamiento de datos. Entre los segundos podemos mencionar la facultad de
imponer sanciones (advertencia, apercibimiento, multa o la limitacin -
temporal o definitiva- del tratamiento) ordenar la supresin, rectificacin o
limitacin de un dato personal, ordenar a los responsables o encargados que
sus operaciones se ajusten al Reglamento, que atiendan las solicitudes de
los interesados en ejercicio de sus derechos o que notifiquen a dichos
interesados en caso de un incidente de seguridad.
78