LECTURA

Extracto del libro “Transparencia y Privacidad”, de Rodolfo Herrera Bravo. Se

prohíbe su reproducción.

LEY N° 19.628, SOBRE PROTECCIÓN DE LA VIDA PRIVADA

1. Antecedentes generales

El 28 de agosto de 1999 fue publicada en el Diario Oficial la ley Nº 19.628, sobre

Protección de la Vida Privada1 -en adelante LPD-. Si bien en su génesis se
buscaba abarcar un espectro más amplio que el que realmente cubre, como el
primer paso hacia un estatuto civil de la vida privada ante intromisiones
ilegítimas, durante su tramitación legislativa –concretamente en el segundo
trámite, ante la Cámara de Diputados- fue reducido sólo al tema de la protección
de datos personales. Eso significa que su alcance es menor al declarado y, en
estricto rigor, su denominación resulta equívoca, como explicaremos más
adelante.

En cuanto a sus contenidos, está compuesta por 24 artículos permanentes

distribuidos en seis Títulos, que desarrollan gran parte de los elementos que
conforman un sistema jurídico de protección de datos personales, algunos de los
cuales pasaremos a comentar, por resultar relevantes para comprender el
fenómeno de la comunicación de datos personales a terceros.

2. Bien jurídico protegido: ¿protección de la vida privada?

Como anticipamos, la ley resulta imprecisa en su denominación porque no es un

estatuto de protección civil de la vida privada. En realidad su normativa se limita
sólo a la temática de la protección de datos de carácter personal y, por esa sola
razón, abarca un espectro mayor de bienes jurídicos protegidos.

Se requiere, entonces, comenzar con algunos comentarios sobre el bien jurídico

que resguarda nuestra LPD, porque solo así es posible precisar el objeto de la
regulación y, con ello, comprender en qué situaciones procede invocarla.

Sin embargo, no podemos desconocer que el tópico sobre el bien jurídico de la

protección de datos personales suele partir, desarrollarse y, en ocasiones,
agotarse en el derecho a la vida privada.2 No obstante, el derecho comparado
nos demuestra que su alcance es más amplio, por lo que nos detendremos en

1
El año 2002 fue objeto de algunas modificaciones, a través de la Ley N° 19.812, conocida como “Ley
Dicom”.
2
La expresión “vida privada” es coincidente con el lenguaje expresado por el artículo 19 N°4 de la
Constitución Política. Sin embargo, la doctrina y el derecho extranjero también aluden a la intimidad y a la
privacidad, distinguiendo diferencias entre cada expresión, las que no profundizaremos en esta
investigación, para no alejarnos de su objeto central.
algunos análisis bastante clarificadores que ha desarrollado la jurisprudencia
constitucional de España, Alemania y Estados Unidos3.

2.1. Jurisprudencia constitucional española

El artículo 18.4 de la Constitución española dispone: “La ley limitará el uso de la

informática para garantizar el honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos”. Cuando el Tribunal
Constitucional español lo ha interpretado suele analizar las posibilidades que
ofrece el procesamiento informático de datos personales y los riesgos que ello
puede entrañar. Así ocurrió en su sentencia 292/2000 -que acoge un recurso de
inconstitucionalidad en contra de la Ley Orgánica 15/1999, sobre Protección de
Datos de Carácter Personal- en donde reconoce que dicho artículo contiene un
nuevo derecho constitucional autónomo: el derecho a la protección de datos.

Entre sus principales argumentos sostiene que el derecho a la intimidad que

recoge el artículo 18.1 de esa Carta Fundamental, no aporta por sí sólo una
protección suficiente frente a esta nueva realidad derivada del progreso
tecnológico, y que sí lo haría el apartado 4 al incorporar un instituto de garantía,
tanto de ciertos derechos fundamentales –entre ellos, la intimidad-, como del
pleno ejercicio de los derechos de la persona. De esta forma, la Constitución
española responde de manera más apropiada a una nueva forma de amenaza
concreta a la dignidad y los derechos que le son inherentes, garantía que
también es, en sí misma, un derecho fundamental.

Además, esta sentencia no es la primera en la que el Tribunal advierte la

necesidad de un resguardo constitucional ante los riesgos tecnológicos. Ya en
su sentencia 254/1993 dio una interpretación -no sin una cierta cuota de
ambigüedad- en que reconoce un derecho fundamental autónomo que, a su vez,
cumple una función instrumental para la protección de otros derechos y
libertades. Ese derecho, no obstante su autonomía, lo identifica con el tradicional
derecho a la intimidad, aunque en un sentido amplio, bajo la expresión “libertad
informática”4.

Por lo tanto, el Tribunal Constitucional español, en la década de los noventa,

instala la idea de libertad informática como un derecho fundamental

3
Además, no todos los ordenamientos reconocen con igual fuerza constitucional a la intimidad como
derecho fundamental y dan pie a opiniones que plantean renunciar a ella en la vida postcontemporánea,
claudicando ante los atropellos que sufre. Véase Whitaker, Reg, El fin de la privacidad. Cómo la vigilancia
total se está convirtiendo en realidad, España, Paidós Ediciones, 1999.
4
El fundamento jurídico Nº 6 de la sentencia 254/1993, del Tribunal Constitucional español introduce
importantes consideraciones sobre el significado del artículo 18.4 CE al afirmar que dicho precepto entraña
una “[...] garantía constitucional para responder a una nueva forma de amenaza [...]”, y que por ello se
trata de “[…] un instituto de garantía de otros derechos, fundamentalmente el honor y la intimidad,
[aunque] es también, en si mismo, un derecho o libertad fundamental, el derecho a la libertad frente a las
potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del
tratamiento mecanizado de datos”. Por lo tanto, el Tribunal reconoce en el artículo 18.4 CE un nuevo
derecho fundamental que, a su vez, es instrumental para proteger otros derechos.
independiente y distinto de los tradicionalmente reconocidos, pero sin desligarlo
completamente del derecho a la intimidad.5

Esa postura, lejos de zanjar el tema, favoreció un divorcio doctrinal generador de

interesantes teorías. Al respecto, destacan las tesis reduccionistas que centran
el bien jurídico protegido de la legislación sobre datos personales en la intimidad
latu sensu, es decir, aquella que incluye un contenido positivo del derecho. En
esta línea, el profesor Emilio Suñé reconoce en la intimidad un derecho
autónomo reciente, vinculado desde sus orígenes con la tecnología y desgajado
del derecho al honor6. Para ello cita el clásico artículo “Right to Privacy”, de
Warren y Brandeis, publicado en la Harvard Law Review N°5, de 18907, porque
en él se observa a la intimidad como un “derecho a decidir hasta qué punto
pueden ser comunicados a otros sus pensamientos, sentimientos y emociones”,
y que se encontraría reconocido en el Common Law8.

Además, el profesor Suñé advierte que “pese a la autonomización del derecho a

la intimidad, nunca ha podido separarse completamente de otros derechos, tanto
o más fundamentales, si cabe, hasta el punto de que la vulneración de la
intimidad es, las más de las veces, no un fin en si misma, sino un medio para
atacar otros Derechos Fundamentales de la persona, o al menos para conseguir
otro tipo de fines [...]”9.

5
El fundamento jurídico Nº 7 de la sentencia 254/1993 señala que: “la garantía de la intimidad adopta hoy
un contenido positivo en forma de derecho de control sobre los datos relativos a la propia persona. La
llamada ‘libertad informática’ es, así, también, derecho a controlar el uso de los mismos datos insertos en
un programa informático (habeas data)”. En relación con ese contenido positivo del derecho a la intimidad,
añade: “[...] cuando se opera con una ‘reserva de configuración legal’ es posible que el mandato
constitucional no tenga, hasta que la regulación se produzca, más que un mínimo contenido, que ha de
verse desarrollado y completado por el legislador [...]. Un primer elemento, el más ‘elemental’, de ese
contenido, es, sin duda, negativo, respondiendo al enunciado literal del derecho: el uso de la informática
encuentra un límite en el respeto al honor y la intimidad de las personas y en el pleno ejercicio de sus
derechos [...] la garantía de la intimidad adopta hoy un contenido positivo en forma de derecho de control
sobre los datos relativos a la propia persona. La llamada ‘libertad informática’ es, así, también derecho a
controlar el uso de los mismos datos insertos en un programa informático [...] dichas facultades de
información forman parte del contenido del derecho a la intimidad, que vincula directamente a todos los
poderes públicos, y ha de ser salvaguardado por este tribunal, haya sido o no desarrollado
legislativamente.”
Esta idea ha sido reiterada por la sentencia 292/2000, aunque reconoce ese derecho fundamental autónomo
de manera más categórica. El fundamento jurídico N°5, de la sentencia 292/2000 señala: “La garantía de
la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito
propio del derecho fundamental a la intimidad (artículo 18.1 CE), y que se traduce en un derecho de control
sobre los datos relativos a la propia persona. La llamada “libertad informática” es así derecho a controlar
el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros
aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines
distintos de aquel legítimo que justificó su obtención.”.
6
SUÑÉ: “Tratado de Derecho…”, pp. 29-35.
7
Sin embargo, hay que advertir que la argumentación de dicho artículo posteriormente fue objeto de
profunda crítica y considerado erróneo en su razonamiento destinado a buscar precedentes que recogieran
el derecho a la intimidad en la jurisprudencia estadounidense –incluso el propio Brandeis lo reconoció así-
. No obstante, la importancia del artículo de Warren y Brandeis no está en haber encontrado o no tales
precedentes, sino en haber conducido a la creación de un derecho constitucional autónomo. Para mayores
antecedentes, véase FAYOS, Antonio, Derecho a la intimidad y medios de comunicación, Madrid, Centro
de Estudios Políticos y Constitucionales, 2000. pp. 25-32.
8
WARREN, Samuel y BRANDEIS, Louis, El derecho a la intimidad, Madrid, Editorial Civitas, 1995. p. 31.
9
SUÑÉ: “Tratado de Derecho…”, p.30.
Esta última idea, a la cual adherimos, reafirma la imprecisión que existe en
nuestra LPD, al aludir a la “Protección de la Vida Privada” como denominación.
Si observamos la propia naturaleza de los datos que son objeto de tratamiento
se puede constatar con facilidad que la vida privada se revela como uno más de
los bienes que necesitan protección frente al uso de las tecnologías de
información, no siendo el único ni siquiera el principal. De hecho, como veremos,
no todos los datos de carácter personal participan de una naturaleza privada o
íntima, siendo un contrasentido afirmar que se ha vulnerado tal o cual derecho a
partir de la vida privada, cuando ésta ni siquiera se ha visto afectada. Por
ejemplo, pensemos en tratos discriminatorios a partir de apellidos vinculados a
una etnia determinada o por su calidad de extranjero; o de inhibiciones para
opinar o participar libremente en una reunión gremial, si el empleador guarda
registro escrito o audiovisual de lo que allí ocurre. Sin duda, no son casos de
vida privada, sino de igualdad, libertad de opinión o de reunión.

Volviendo a la jurisprudencia del Tribunal Constitucional español, en la sentencia

292/2000 construye el derecho a la protección de datos sobre la base de tres
ideas principales: la función, el objeto y el contenido del derecho. Primero,
tendría una función distinta a la del derecho a la intimidad, que protege frente a
cualquier invasión en el ámbito de la vida personal y familiar que se desee excluir
del conocimiento ajeno y de las intromisiones no consentidas de terceros. En el
derecho a la protección de datos se advierte una función de garantía integral a
la persona, reconociéndole un poder de control y disposición sobre sus propios
datos personales, sobre su uso y destino, con el propósito de impedir su tráfico
ilícito y lesivo para la dignidad y derechos del afectado.

En cuanto al objeto del derecho a la protección de datos, para el Tribunal, la

garantía no sólo abarca la intimidad, sino también la esfera de otros bienes de la
personalidad que pertenecen al ámbito de la vida privada, unidos al respeto de
la dignidad personal, como el derecho al honor y el pleno ejercicio de los
derechos de la persona. A partir de esta idea se concluye que la protección legal
comprende cualquier información concerniente a una persona física identificada
o identificable, sean o no datos íntimos, cuyo tratamiento por terceros pueda
afectar a sus derechos, sean o no fundamentales.

Finalmente, el contenido del derecho también difiere al de la intimidad que

recoge la Constitución española en el artículo 18.1. El Tribunal entiende que no
se trata ya de conferir a la persona el poder jurídico de imponer a terceros el
deber de abstenerse de toda intromisión en la esfera íntima de la persona y la
prohibición de hacer uso de lo así conocido, sino que consiste en proporcionar
al titular del derecho las facultades necesarias para garantizar un poder de
disposición y control sobre sus datos personales. Dicho poder sólo es posible y
efectivo si se imponen a terceros las obligaciones de requerir consentimiento
previo a la recogida y uso de los datos personales, de recibir información sobre
el destino y uso de esos datos y de exigir que se le permita el acceso,
rectificación y cancelación de los mismos.
 2.2. Jurisprudencia constitucional alemana

Otra importante línea jurisprudencial que declara a la protección de datos

personales como un problema no exclusivo de la vida privada, lo encontramos
en Alemania. De hecho, antes de la jurisprudencia española que mencionamos,
el Tribunal Constitucional de la República Federal de Alemania aportó la
emblemática sentencia de 1983, sobre la Ley del Censo.10 Este fallo –un clásico
en la materia-, contiene claros fundamentos que ligan la protección de datos
personales, ya no con la regulación de la vida privada, sino con la dignidad y
personalidad de los titulares de los datos, específicamente con la denominada
autodeterminación informativa11.

El caso en cuestión se originó en un recurso interpuesto por la ciudadanía de

Hamburgo en contra de la Ley del Censo, porque la comunidad miraba temerosa
la posibilidad de “una aprehensión incontrolada de su personalidad incluso en el
caso de que el legislador se limite a recabar unos datos indispensables,
razonablemente exigibles”12, a través de un censo propio de la potestad del
Estado para obtener información.

Resulta interesante que aún en un caso como ese, legitimado por el legislador
alemán, el Tribunal Constitucional admita la posibilidad de tratamientos abusivos
por parte del Estado, considerando que “un dato carente en sí mismo de interés
puede cobrar un nuevo valor de referencia, y en esta medida ya no existe, bajo
las condiciones de la elaboración automática de datos, ningún dato ‘sin
interés’[...]”13.

El tratamiento automatizado de datos personales conlleva un riesgo latente de

abuso que justifica contar con medidas especiales de tutela, en particular frente
a la creación de perfiles de individuos, es decir, de evaluaciones de determinados
aspectos de la personalidad a partir del cruce de ciertos datos.

La mirada del Tribunal Constitucional alemán a este problema, a diferencia de

su par español, no parte del derecho a la vida privada, ya que la Ley Fundamental
de Bonn no lo recoge expresamente, sino que lo concibe como un corolario del

10
El texto traducido de esta sentencia, además de un comentario de Emilio Suñé Llinás puede ser consultado
en SUÑÉ, Emilio, “Sentencia del Tribunal Constitucional alemán sobre la Ley del Censo, de 1983, sobre
derecho a la personalidad y dignidad humana”, en: Derecho Público Contemporáneo, N°7, ene/jun,
Agrupación Nacional de Abogados de la Contraloría General de la República, 2002, pp. 193-262. La
traducción original corresponde a Manuel Daranas, publicada en el Boletín de Jurisprudencia
Constitucional N°33, 1984, España.
11
Dentro de nuestra doctrina, Humberto Nogueira ha señalado que “este derecho constituye la facultad de
la persona de disponer de la información personal privada, íntima o sensible, que debe ser protegida por
el orden social y regulada por el ordenamiento jurídico. […] La autodeterminación informativa es la
facultad de la persona concernida por los datos, almacenados en un archivo o base de datos público o
privado, para autorizar su recolección, conservación, uso y circulación, como asimismo, para conocerla,
actualizarla, rectificarla o cancelarla.”. Respecto a lo afirmado por este autor, solamente quisiéramos
precisar que el contenido de los datos no sólo será privado, íntimo o sensible. Véase NOGUEIRA, Humberto,
“Reflexiones sobre la constitucionalización del habeas data y el proyecto de ley en tramitación
parlamentaria sobre esta materia”, en: Revista Ius et Praxis, año 3, N° 1, Universidad de Talca, 1997.
12
Boletín de Jurisprudencia Constitucional N°33, 1984, p.129.
13
Boletín de Jurisprudencia Constitucional N°33, 1984, p.154.
derecho general a la propia personalidad, expresado en el reconocimiento a la
protección de la dignidad humana14. Por lo tanto, es la inviolabilidad de la
persona la que le permite a ésta desarrollar su libertad o libre autodeterminación
dentro de una sociedad, asimismo, libre.

Por eso el Tribunal, a partir del derecho a la libre autodeterminación, construye

un derecho a la autodeterminación informativa, entendido como la facultad del
individuo para “[...] decidir básicamente por sí mismo cuándo y dentro de qué
límites procede revelar situaciones referentes a la propia vida”15.

En ese sentido, el legislador está llamado a disponer un conjunto de

prevenciones y garantías en el uso de esta información, tan elementales como
la existencia de una finalidad lícita que debe ser respetada al utilizar los datos y
una adecuación de éstos a dicho fin, a los efectos de ser necesarios para su
cumplimiento. De no hacerlo, cada vez que se “[...] impidiera [al] ciudadano […]
obtener conocimiento de quién dispone de sus datos de referencia personal,
dónde, sobre cuáles de ellos, de qué modo y con qué fines, su protección jurídica
sería constitucionalmente insuficiente”16.

El Tribunal Constitucional alemán también es muy claro para explicar cómo el

uso abusivo de los datos impacta en el conjunto de derechos de las personas.
Por ejemplo, si alguien sabe de antemano que sus comportamientos se registran
permanentemente por las autoridades, se catalogan generando perfiles y se
comunican a otros, tratará de pasar inadvertido, sin reunirse ni participar,
inhibiendo o renunciando presumiblemente al ejercicio de sus derechos
fundamentales.

Y más aún, ello no sólo menoscaba el desarrollo de la personalidad del titular de

los datos, sino también a la sociedad que integra, “porque la autodeterminación
constituye una condición elemental de funcionamiento de toda comunidad
fundada en la capacidad de obrar y cooperación de sus ciudadanos.17”

2.3. Doctrina y jurisprudencia estadounidense

La protección de datos personales en Estados Unidos está vinculada con el right

to privacy, un derecho cuyo desarrollo hunde sus raíces en el avance tecnológico
y que presenta abundantes matices doctrinales.

Entre las primeras tesis que analizan la privacy se suele citar el planteamiento
de Samuel Warren y Louis Brandeis, quienes en 1890 publicaron un artículo en
contra de las intromisiones que estaba sufriendo la vida privada por parte de la
14
Ley Fundamental de Bonn, Artículo 1.1 “Protección de la dignidad humana. La dignidad del ser humano
es inviolable, y es obligación de todos los poderes estatales respetarla y protegerla”.
Artículo 2.1 “Derecho general a la propia personalidad. Todos tienen derecho al libre desarrollo de su
personalidad, en tanto en cuanto no lesione los derechos ajenos y no contravenga el orden constitucional
o las buenas costumbres.”.
15
Boletín de Jurisprudencia Constitucional N°33, 1984, p.152.
16
Boletín de Jurisprudencia Constitucional N°33, 1984, p.169.
17
Boletín de Jurisprudencia Constitucional N°33, 1984, p.153.
prensa escrita, a partir de nuevas tecnologías para esa época, como las
fotografías. Ellos desarrollan una solución jurídica desde el Common Law y
dirigida hacia el ámbito constitucional, en la que reconocen el derecho de toda
persona a decidir hasta qué punto pueden ser comunicados a otros sus
pensamientos, sentimientos y emociones18.

Posteriormente, en la década del sesenta se genera un valioso debate sobre el

ámbito desde el cual debería analizarse a la privacy. Por un lado, William
Prosser, refutando el planteamiento de Warren y Brandeis, presenta una tesis
sobre los tipos de ilícitos que enfrenta este derecho, pero desde una óptica
netamente civilista o procesalista basada en tort o agravios propios de litigios
civiles y no desde una perspectiva de derechos fundamentales. Así, este autor
identifica cuatro categorías de tort, a saber: 1) la intrusión en la soledad del
demandante o en sus asuntos privados; 2) la revelación pública de hechos
privados embarazosos para el demandante; 3) la publicidad de una imagen falsa
del afectado ante la opinión pública; y 4) la apropiación, en beneficio del
demandado, del nombre o imagen del demandante19.

Sin embargo, esta visión ha sido considerada excesivamente patrimonialista.

Edward Bloustein la critica presentando a la privacy como un aspecto de la
dignidad humana que supone la inviolabilidad de la personalidad y no de la
propiedad, de modo que los casos de violación de la privacy que distingue
Prosser se reconducen a una única categoría y no a cuatro20.

De manera coincidente con el enfoque que explicamos al referirnos a la

jurisprudencia constitucional española y alemana, parte de la doctrina
estadounidense también ha entendido a la privacy como una facultad de control
sobre la información personal. Es el caso de Charles Fried, quien entiende que
lo realmente característico de la privacy no es lo secreto, sino la posibilidad de
ejercer un control cualitativo y cuantitativo sobre la información personal. En ese
sentido, este derecho tiene un rol instrumental respecto de la libertad personal,
porque permite ejercer un dominio sobre el contexto y, con ello, definir el grado
de intimidad de las relaciones personales. A su vez, Alan Westin formula la
informational privacy como autodeterminación individual, a partir del deseo del
individuo por ejercer un control material sobre sus datos personales, pero que no
es absoluto y debe interactuar con normas sociales y la voluntad de
comunicación y participación21.

La privacy como control sobre la información también ha sido objeto de

revisiones al considerarla en el actual paradigma tecnológico. Paul Schwartz, por
ejemplo, ha analizado la privacy desde las consecuencias prácticas de Internet
y de las nuevas estructuras de poder sobre las personas. Sin embargo, más que
un derecho de control estima que es un valor constitutivo, ya que el acceso a la
información y sus límites permiten conformar la sociedad y configurar la identidad

18
WARREN: “El derecho a…”, p. 31.
19
HERRERO-TEJEDOR, Fernando, La intimidad como derecho fundamental, Madrid, Editorial COLEX,
1998, pp. 49-50.
20
MARTÍNEZ, Ricard, Una aproximación crítica a la autodeterminación informativa, Madrid, Civitas
Ediciones, 2004, pp. 76-78.
21
MARTÍNEZ: “Una aproximación crítica…”, pp. 78-79.
individual, definiendo los ámbitos en que los terceros pueden conocer los datos
personales. Además, advierte sobre mercantilización de la privacy, en donde el
sector privado constituye un alto riesgo para el modelo de la autodeterminación,
entendiendo que este último carecería de sentido si el Estado se abstiene de
regular.22

Ahora bien, esa regulación estatal que demanda Schwartz en un contexto

tecnológico, no debe olvidar que la privacy está llamada a convivir con el
funcionamiento del mercado y las necesidades de información asociadas a
Internet. Además, el propio Estado también representa un riesgo para los
derechos de las personas y por ello se le limita. Finalmente, no existe un único
modo de regular la privacy en un ciberespacio porque, como bien plantea
Lawrence Lessig, la modulación de comportamiento no se limita a las normas
jurídicas tradicionales, sino también a normas no escritas que subyacen en el
código informático que configura la red y que aportan herramientas para controlar
la información personal23.

En relación con la jurisprudencia del Tribunal Supremo de Estados Unidos, ella

ha señalado que pese a no estar reconocido expresamente en la Constitución
Política, el right to privacy se encuentra implícito a partir de otros derechos que
sí lo están. En términos generales, la privacy como derecho constitucional surge
de la combinación de la Novena Enmienda, que contiene la cláusula de apertura
a la incorporación de nuevos derechos, y de la Décimo Cuarta Enmienda, con la
cláusula de Due Process, es decir, la garantía de la libertad de los ciudadanos
frente a los poderes del Estado.

A modo de ejemplo, es posible encontrar sentencias sobre conflictos con la

privacy asociadas a la Primera Enmienda, que tutela la libertad de expresión 24.
En ellas destaca el empleo de distintas técnicas de resolución de conflicto, como
el balancing test, que pondera los intereses en pugna según las circunstancias
concretas de cada caso.

Asimismo, existen otras sentencias que abordan la privacy en relación con la

Cuarta Enmienda, la que ha sido empleada para tutelar distintos aspectos
vinculados con el domicilio, la libertad personal y ámbitos de la intimidad
corporal. No obstante, esta línea de jurisprudencia distingue dos etapas: una que
mira a la privacy como garante de la propiedad privada frente a intromisiones del

22
SCHWARTZ, Paul, “Privacy and Democracy in Cyberspace”, [en línea], en: Vanderbilt Law Review,
Vol.52:1607, noviembre, 1999, http://www.paulschwartz.net/pdf/VAND-SCHWARTZ.pdf, [Consultado
el 4/4/11]. También véase SCHWARTZ, Paul, “Internet Privacy and the State”, [en línea], en: Connecticut
Law Review, Vol 32, spring, 2000, http://www.paulschwartz.net/pdf/SCHWARTZ-CK1A.pdf,
[Consultado el 4/4/11].
23
Véase a LESSIG, Lawrence, El código y otras leyes del ciberespacio, traducción de Ernesto Alberola,
Grupo Santillana de Ediciones S.A., 2001.
24
Véase New York Times Co. v. Sullivan, 376 US 254 (1964), en: BELTRÁN, Miguel y GONZÁLEZ, Julio,
Las sentencias básicas del Tribunal Supremo de los Estados Unidos de América, Madrid, Boletín Oficial
del Estado, Centro de Estudios Políticos y Constitucionales, 2005, pp. 304-322.
Estado, en las que se exige algún tipo de intrusión física para configurarla,25 y
otra, basada en la protección de la privacy desligada, en parte, de la propiedad26.

Finalmente, cabe mencionar que el Tribunal Supremo de Estados Unidos ha

manifestado el carácter fundamental que poseen las dimensiones de la privacy
para el ejercicio de otros derechos, pese a no estar reconocido expresamente en
la Constitución. Basta pensar en las sentencias referidas a las legislaciones
antiabortistas, como Griswold v. Connecticut27, Eisenstadt v. Baird28 y Roe v.
Wade29.

2.4. Síntesis comparativa

Los argumentos presentados desde la doctrina y jurisprudencia de España,

Alemania y Estados Unidos, pese a la diferencia de enfoques, coinciden al
reconocer la necesidad de una regulación específica frente a la recolección,
almacenamiento, utilización y transmisión de los datos concernientes a la
persona. Además, se observa que el bien jurídico protegido va más allá de la
vida privada, incluso en el caso español, en donde las tesis más restrictivas que
se centran en la intimidad lo hacen bajo una concepción distinta a la tradicional
para ese derecho.

La dignidad y el ejercicio libre de la personalidad dan pie al reconocimiento y

tutela de un derecho de control y decisión del titular sobre sus datos. Por lo tanto,
el derecho comparado permite demostrar que el alcance de nuestra LPD, en
cuanto a su contenido, no debe limitarse a un estatuto de protección de la vida
privada, sino a un instrumento jurídico de garantías para el conjunto de los
derechos fundamentales de las personas titulares de datos.

Lo anterior incluso si entendiéramos a la vida privada como privacidad, porque

su contenido no tiene la amplitud de la privacy, mucho mayor que la intimidad,
como ya se adelantaba desde fines del siglo XIX en Estados Unidos. La
privacidad es una expresión no definida por el legislador y según el Diccionario
de la Lengua Española comprende el “ámbito de la vida privada que se tiene
derecho a proteger de cualquier intromisión”30.

Finalmente, si bien reconocemos que la vida privada guarda una relación

cercana con el fenómeno del tratamiento de datos personales, hablar del

25
Véase Olmstead v. United States, 277 US 438 (1928), en: <http://caselaw.lp.findlaw.com/cgi-
bin/getcase.pl?court=us&vol=277&invol=438>, [Consultado el 7/4/11].
26
Véase Warden v. Hayden, 387 US 294 (1967), en: <http://caselaw.lp.findlaw.com/cgi-
bin/getcase.pl?court=us&vol=387&invol=294>, [Consultado el 7/4/11]; y Katz v. United State, 389 US 347
(1967), en: <http://caselaw.lp.findlaw.com/cgi-bin/getcase.pl?court=US&vol=389&invol=347>,
[Consultado el 7/4/11].
27
Véase Griswold v. Connecticut, 381 US 479 (1965),en: BELTRÁN: “Las sentencias básicas…”, pp. 335-
340.
28
Véase Eisenstadt v. Baird, 405 US 438 (1972), en: <http://caselaw.lp.findlaw.com/cgi-
bin/getcase.pl?navby=volpage&court=us&vol=405&page=453>, [Consultado el 7/4/11].
29
Véase Roe v. Wade, 410 US 113 (1973), en: BELTRÁN: “Las sentencias básicas…”, pp. 408-424.
30
Real Academia Española, Diccionario de la Lengua Española, 22ª Edición, 2001.
derecho a la autodeterminación informativa o el derecho a la protección de datos
personales son expresiones más correctas en su contenido. Sin embargo, en
Chile sólo constituyen construcciones doctrinales, porque no se recogen en
ninguna regulación de derecho positivo, ni legal ni reglamentaria. Por ese motivo
utilizaremos la nomenclatura empleada por el legislador chileno, a pesar de su
imprecisión y al hecho que descanse en la vida privada casi con exclusividad,
como un tópico.

3. Requisitos de procedencia de la LPD

Acabamos de explicar que la Ley de Protección de la Vida Privada, en estricto

rigor, no contiene una regulación exclusiva de ese derecho fundamental, sino
que actúa como un instrumento de garantía para cualquier otro derecho del titular
del dato. ¿Y si ahora dijéramos que esta LPD tampoco es una legislación que
protege datos personales per se?

Efectivamente, estas normas buscan el resguardo de la persona natural frente al

riesgo de ver anulados sus derechos fundamentales si un tercero utiliza abusiva
o ilícitamente de sus datos personales. Es más, históricamente han actuado
como respuesta jurídica a determinados progresos tecnológicos que conllevan
el peligro de contaminar las libertades (liberties’ pollution), cuando ciertos usos
tecnológicos erosionan y degradan los derechos fundamentales.31 Es el caso,
por ejemplo, de la exposición de nuestra personalidad y dignidad a un “juicio
universal permanente”32, propiciado a partir del procesamiento y cruce de
nuestros datos.

No en vano, frente a esto se reconoce un derecho a la protección de datos

autónomo e integrante de los derechos fundamentales de tercera generación.
Así lo demuestran un par de rasgos, según el profesor Antonio Pérez Luño33:

1) Una nueva fundamentación, con la solidaridad como valor de referencia. El

respeto y garantía de este derecho tiene incidencia universal en la vida de todos.
Por eso cuando los miembros de una sociedad no pueden ejercer libremente sus
derechos, inhibidos por el control tecnológico al que se ven sometidos por
quienes utilizan indebidamente datos que les conciernen, es la propia comunidad
la que se reciente, volviéndose menos libre.

2) Nuevos instrumentos de tutela, gracias al estatus de habeas data –que

revisaremos más adelante- y a la existencia de un contexto de respeto de los
derechos esenciales de la persona, al más alto nivel y con la mayor extensión,
bastión del constitucionalismo humanista y del derecho internacional de los

31
PÉREZ LUÑO, Antonio, Derechos Humanos, Estado de Derecho y Constitución, -7ª Edición-, Madrid,
Editorial Tecnos, 2001, p.345.
32
FROSINI, Vittorio, Cibernética, derecho y sociedad, traducción de C. Salguero-Talavera y R. Soriano,
Madrid, Editorial Tecnos, 1982, p.178.
33
PÉREZ LUÑO, Antonio, “Las generaciones de derechos humanos”, en: Revista del Centro de Estudios
Constitucionales, N°10, septiembre-diciembre, 1991, pp. 210-217.
derechos humanos34. Acá destacan garantías de acceso y control específicos
para el titular de informaciones procesadas en bases de datos, reforzado con la
creación de órganos especiales que ejercen jurisdicción y/o fiscalizan el
cumplimiento de este régimen jurídico.35

Con todo, la LPD no es un régimen de seguridad de la información en cuanto tal,

más bien se refiere a un tipo de legislación que aparece a propósito de un
fenómeno concreto, descrito como “la posibilidad de tratamiento informático por
parte de una multitud de operadores, de una multitud de datos personales
referidos a una multitud de sujetos”36. Esta particularidad, tan propia de nuestra
época, exige contar con un sistema jurídico específico que permita tasar
críticamente las consecuencias del desarrollo tecnológico, situación que hoy
demanda nuestro país para el disfrute de los derechos fundamentales.

Por otra parte, el hecho que la LPD no garantice los datos personales en sí
mismos, quiere decir que no basta la sola existencia del dato para su aplicación.
En realidad, lo que regula el legislador a través de un sistema de protección de
datos personales es el tratamiento que se efectúa sobre ellos, siendo ése el
momento en el que procede aplicar estas normas. En efecto, la LPD se dedica a
establecer las condiciones bajo las cuales se puede realizar cualquier operación
o procedimiento técnico sobre los datos, tales como su recolección y
almacenamiento, pasando por su organización, elaboración y comunicación,
hasta su transmisión y cancelación37.

Esta sutil diferencia entre el dato propiamente tal y el tratamiento de éste, resulta
determinante para comprender cuándo operan las normas sobre protección de
datos personales contenidas en la LPD. A nuestro juicio, es necesario que
concurran los siguientes elementos copulativos, como requisitos de procedencia:
- que los datos sean de naturaleza personal;
- que los datos consten en un registro; y
- que se realice un tratamiento sobre esos datos del registro.
Veamos separadamente cada uno de estos aspectos.

34
Pérez Luño menciona un tercer rasgo, las nuevas formas de titularidad de los derechos de tercera
generación, el que no es exclusivo de la persona aislada a la que se refieren, dado el impacto en los derechos
que ocasiona el uso abusivo o ilícito de los datos personales, sino a toda su comunidad –léase familia,
corporación, ciudad, país, humanidad-, de modo que deberían formularse acciones más amplias contra los
atropellos a estos derechos que no descansen únicamente en la persona afectada directamente. Sin embargo,
el legislador chileno sólo ha reconocido legitimación activa para la persona titular del dato, frente a las
infracciones a la Ley N°19.628.
35
Sin embargo, la Ley N°19.628 no contempló la creación de un órgano de control especializado para velar
por el cumplimiento de sus normas, sino que concentró la acción procesal de habeas data y las acciones de
reparación de daños en la justicia civil ordinaria.
36
TONIATTI, Roberto, “Libertad informática y derecho a la protección de los datos personales; principios
de legislación comparada”, en; Revista Vasca de Administración Pública, n°29, enero-abril 1999, p.141,
citado por SÁNCHEZ, Álvaro, La Protección del Derecho a la Libertad Informática en la Unión Europea,
Sevilla, Universidad de Sevilla, Secretariado de Publicaciones, 1998, p. 52.
37
Ley N°19.628, artículo 1º: “El tratamiento de los datos de carácter personal en registros o bancos de
datos por organismos públicos o por particulares se sujetará a las disposiciones de esta ley, con excepción
del que se efectúe en ejercicio de las libertades de emitir opinión y de informar, el que se regulará por la
ley a que se refiere el artículo 19, N° 12, de la Constitución Política.”.
 3.1. Primer elemento: Naturaleza personal de los datos

Como primer paso para determinar lo que entra o queda fuera del ámbito de
aplicación de este sistema jurídico, es necesario calificar si los datos tienen un
carácter personal o no. Para ello, nuestro legislador -siguiendo la tendencia
internacional dominante-38 da un concepto amplio de datos personales,
definiéndolos como “los relativos a cualquier información concerniente a
personas naturales, identificadas o identificables”39.

Tan escueta definición ha sido muy generosa en su alcance. Desde el punto de

vista de su naturaleza, el dato personal corresponde a “cualquier información”,
tanto aquella objetiva sobre una persona -como su nombre, domicilio, profesión
o grupo sanguíneo-, como una opinión o evaluación subjetiva de aquélla, verídica
o no40, esté o no demostrada41. Por ejemplo, la calificación de alguien como
“sujeto riesgoso para el otorgamiento de un crédito” es un dato personal de aquél
a quien se le evaluó su comportamiento como deudor. Igualmente lo es la
cualidad de ser “apto o no para un cargo”, respecto de la persona que fue
valorada por su historial de salud, sus creencias o sus hábitos.

El contenido de los datos personales tampoco se limita únicamente a los

“referidos a características físicas o morales de las personas o a hechos o
circunstancias de su vida privada o intimidad”.42 Ellos conforman sólo un tipo de
datos personales, denominados “sensibles”, de modo que es un error asociar la
aplicación de este régimen jurídico únicamente a éstos. Es más, ni siquiera es
necesario que se refieran a la vida privada en sentido estricto, ya que los datos
personales pueden abordar aspectos propios de la convivencia social y no de la
privacidad, como las actividades de naturaleza profesional o laboral.

“Cualquier información” también se interpreta ampliamente respecto del formato.

Un dato personal puede incluir texto alfanumérico, sonidos o imágenes, como
ocurre con aquellas que se obtienen por medio de cámaras de video vigilancia,
en la medida que las personas grabadas sean reconocibles. Incluso puede
tratarse de datos biométricos, como las huellas dactilares, el grupo sanguíneo,
el iris de sus ojos u otros rasgos físicos o fisiológicos de la persona. Además, no
sólo comprende datos en soporte digital sino también en papel u otro análogo,
en la medida que reúnan los elementos de la definición.

38
Dicha tendencia la marca la normativa europea sobre protección de datos, que constituye el estándar
internacional de mayor exigencia mundial, sobre todo a partir de las reglas que establece para la existencia
de flujos transfronterizos de datos con países extra comunitarios, quienes han adaptado sus legislaciones
para facilitar los lazos transaccionales con la Unión Europea. Al respecto destaca la Directiva 95/46/CE del
Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; y el Convenio
N°108 del Consejo de Europa, de 28 de enero de 1981, para la Protección de las Personas con respecto al
Tratamiento Automatizado de Datos de Carácter Personal.
39
Ley N°19.628, artículo 2°, letra f).
40
De hecho, en caso de falsedad el titular goza de la facultad de exigir su corrección.
41
Las afirmaciones subjetivas sobre una persona conforman parte significativa de los mercados de datos
existentes, por ejemplo, en materia crediticia y laboral.
42
Ley N° 19.628, art.2°, letra g).
Un segundo aspecto a destacar del concepto legal de dato personal es la
necesidad de que esa información sea “concerniente” a una persona. Si bien
existen muchos casos de registros de órganos públicos en donde esta relación
puede advertirse sin mayores dificultades -por ejemplo, antecedentes civiles y
penales que administra el Servicio del Registro Civil e Identificación;
beneficiarios de programas sociales de algún Ministerio; o historiales médicos de
pacientes en un hospital público-, no siempre resulta tan evidente.

En ocasiones el vínculo es más lejano, indirecto, porque los datos se refieren a

objetos de una persona, a procesos o a hechos. Por ejemplo, pensemos en el
valor de una vivienda, en cuanto activo del patrimonio de una persona, ya que
será un dato personal a considerar para el cálculo de los impuestos que deberá
pagar ese contribuyente. Del mismo modo será dato personal la multa registrada
que se asigna a un automóvil, a partir de la matrícula que concierne a su
propietario.

Además, la información concierne o versa sobre una persona al referirse a ella,

independiente de la finalidad que persiga el responsable del banco de datos que
la contiene o el tercero que pretende acceder a ella. Por ejemplo, el número de
la cédula de identidad puede ser utilizado como dato identificador, como dato
clasificador de personas, como descriptor de búsqueda en bases de datos o
como un tipo de firma electrónica, sin embargo en todos ellos es un dato
personal.

Un dato también será personal cuando su uso repercuta en los derechos e

intereses de una persona determinada, teniendo en cuenta las circunstancias
que rodean el caso concreto. Para entenderlo, pensemos en los registros de
llamadas realizadas desde un teléfono de la empresa. A partir del tratamiento de
esos datos, se puede obtener el momento de la llamada –dentro o fuera de la
jornada laboral- y el destino –número con quien se comunica-, y con ello, la
persona que la realizó podría ser tratada de forma diferente por su jefatura,
incluso ser sancionada.

Todo lo anterior ha llevado a concluir que un “dato se refiere a una persona si

hace referencia a su identidad, sus características o su comportamiento o si esa
información se utiliza para determinar o influir en la manera en que se la trata o
se la evalúa”43.

El tercer aspecto de la definición legal, no menos relevante, señala que esa

información concierne a “personas naturales”, es decir, a individuos de la especie
humana, cualquiera sea su edad, sexo, estirpe o condición. Contrario sensu, la
LPD no regula el tratamiento de datos referidos a personas jurídicas44.

43
Documento N° WP 105, del Grupo de Trabajo: “Documento de trabajo sobre las cuestiones relativas a
la protección de datos relacionados con la tecnología RFID”, adoptado el 19 de enero de 2005, p.8; citado
por el Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007, por el
Grupo de Trabajo del Artículo 29, de la Unión Europea. [en línea], p.11, en:
<http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_es.pdf>, [Consultado el 7/4/11].
44
El proyecto de ley modificatorio de las Leyes N°19.628 y 20.285, contenido en el Boletín N° 6120-07,
señala en su Mensaje: “[…] el proyecto parte de la base que la información sobre las personas jurídicas
es tan relevante como la de las personas naturales y también merece ser resguardada. De ahí que el
proyecto considere como legitimados activos del derecho de acceso y titulares del habeas data tanto a las
Sin embargo, dada la amplitud del concepto legal, hay situaciones en que cierta
información referente a personas jurídicas, por sus características, se considera
como un dato que concierne a una persona natural y, por ende, puede ser
protegida a través de la LPD. Es el caso, por ejemplo, de ciertas direcciones
institucionales de correo electrónico a cargo de un funcionario público o un
trabajador, tales como “finanzas@empresa.com” o “contacto@organización.cl”;
o la situación patrimonial de una pequeña empresa, a partir de la cual se pueda
describir el comportamiento de sus dueños.

El último elemento de la definición se refiere al grado de determinación del titular

respecto de otras personas. Al respecto, la LPD admite que la persona natural
titular del dato personal esté “identificada” o sea “identificable”. Así, una persona
se encuentra identificada cuando es posible distinguirla dentro de un grupo. En
cambio, será identificable si aún no se la distingue, pero es posible hacerlo a
través de datos identificadores que demuestran una relación cercana con una
persona, tales como la apariencia o alguna cualidad no perceptible de inmediato.

Generalmente la persona estará identificada directamente a través de su nombre

y apellidos. Sin embargo, la identificación de alguien no se obtiene sólo por
conocer esos datos. En ocasiones, apellidos muy comunes pueden resultar
insuficientes para que la persona esté identificada dentro de un grupo extenso,
como una ciudad, pero sí basten dentro de un curso. Por eso, para contar con
mayor certeza se pueden combinar identificadores, ligando el apellido al rol único
nacional o a una fotografía, por ejemplo.

Evidentemente, el número de identificadores necesarios para distinguir a una

persona del resto dependerá del contexto en que nos encontramos. No obstante,
en el derecho extranjero existe un criterio interesante de consignar para
comprender mejor este punto. La Directiva 95/46/CE, en su Considerando 26
señala que “[…] para determinar si una persona es identificable, hay que
considerar el conjunto de medios que puedan ser razonablemente utilizados por
el responsable del tratamiento o por cualquier otra persona, para identificar a
dicha persona”. Ello significa que el tipo y la cantidad de identificadores
suficientes para identificar a alguien –y consecuentemente para catalogar un
dato como personal-, deben ser concordantes con los medios razonablemente
empleados para ese objetivo. Por lo tanto, habrá que tener en cuenta diversos
factores, tales como lo costoso de la identificación, el tiempo de conservación de
los datos, los intereses individuales en juego o los riesgos involucrados y, en
especial, la finalidad del tratamiento.

personas naturales como a las jurídicas. Ambas pueden verse afectadas por un tratamiento errado o doloso
de sus antecedentes personales. Y no existe razón de peso alguna para privarlos del mecanismo jurídico y
procesal mediante el cual puedan obtener la corrección, actualización, modificación o eliminación de sus
datos en los supuestos previstos en esta ley”.
 3.2. Segundo elemento: Datos en un registro o banco de datos

La segunda condición copulativa para aplicar la LPD exige que ese dato personal
no esté aislado de otros, sino que forme parte de un registro o banco de datos,
es decir, de un “conjunto organizado de datos de carácter personal, sea
automatizado o no45 y cualquiera sea la forma o modalidad de su creación u
organización, que permita relacionar los datos entre sí, así como realizar todo
tipo de tratamiento de datos”46.

Sin perjuicio de lo anterior, es un hecho que los datos personales pueden estar
recogidos no sólo en un registro estructurado. Perfectamente podrían contenerse
dentro de una grabación o en algún texto de cualquier documento, como un
oficio, un informe o un correo electrónico. Sin embargo, en esos casos el
documento continente del dato no es un registro en los términos de la
mencionada definición legal, sea porque los datos personales a que alude no
están ordenados o porque no permite relacionarlos entre sí.

En consecuencia, no todos los documentos con información concerniente a una

persona natural se rigen por la LPD. Debe excluirse la documentación no
estructurada, porque no organiza los datos personales para su cruce y
utilización.

Por último, respecto de esta segunda condición sine qua non para aplicar la LPD
cabe destacar la situación de los órganos públicos, ya que administran una vasta
diversidad de bancos de datos personales. Dichas bases deben registrarse ante
el Servicio de Registro Civil e Identificación, dentro de los primeros 15 días
contados desde que inician sus actividades, explicitando el fundamento jurídico
de su existencia, su finalidad, los tipos de datos almacenados y la descripción
del universo de personas que comprende47.

Esta obligación legal es una de las garantías esenciales propias de un sistema

de protección de datos, porque permite que las personas estén en condiciones
de consultar ese registro público para conocer el nombre del banco de datos, el
organismo responsable y cierta información básica que lo legitima. Con esa
información proporcionada desde ese registro oficial el titular de los datos está
en mejores condiciones para ejercer con precisión sus derechos ante el

45
Los registros de datos personales pueden ser manuales o en soporte papel –como un sistema organizado
de fichas, por ejemplo-, porque el concepto legal no es exclusivo de las bases de datos electrónicas, aunque
ellas son las que despliegan el mayor potencial de uso y de riesgo.
46
Ley N°19.628, art. 2, letra m).
47
Ley N° 19.628, artículo 22: “El Servicio de Registro Civil e Identificación llevará un registro de los
bancos de datos personales a cargo de organismos públicos.
Este registro tendrá carácter público y en él constará, respecto de cada uno de esos bancos de datos, el
fundamento jurídico de su existencia, su finalidad, tipos de datos almacenados y descripción del universo
de personas que comprende, todo lo cual será definido en un reglamento.
El organismo público responsable del banco de datos proporcionará esos antecedentes al Servicio de
Registro Civil e Identificación cuando se inicien las actividades del banco, y comunicará cualquier cambio
de los elementos indicados en el inciso anterior dentro de los quince días desde que se produzca.”.
El reglamento a que alude este artículo está contenido en el decreto N° 779, de 2000, del Ministerio de
Justicia.
organismo público que los administra48. Lamentablemente nuestra LPD no
contempla una obligación de registro similar respecto de bases de datos
administradas por particulares.

3.3. Tercer elemento: Existencia de un tratamiento de datos

La justificación de un sistema jurídico de protección de datos es precisamente

regular la utilización de éstos, para equilibrarlo con los derechos de los titulares
que podrían verse afectados en caso de abusos. En ese sentido, este requisito
de procedencia de la LPD se vuelve evidente. Sin tratamiento no hay riesgo
suficiente para los derechos y, por ende, no hay razón para que opere, al menos,
este régimen de garantía.

Sin perjuicio de lo anterior, el mero hecho del almacenamiento de datos

personales en un registro que esté operativo ya constituye una forma de
tratamiento.

El legislador entiende por “tratamiento de datos” a “cualquier operación o

complejo de operaciones o procedimientos técnicos, de carácter automatizado o
no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar,
extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir
o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”49.

Por lo tanto, la amplitud de estas operaciones hace aplicable la LPD desde la

sola creación de la base y su poblamiento. De hecho, el momento de la
recolección de datos suele ser uno de los hitos que requieren más regulación,
en aspectos como la buena fe, la finalidad del tratamiento, la información previa
y el consentimiento del titular. No obstante, es evidente que la utilidad del dato y
el riesgo para la persona se aprecia con más claridad a través de otras
operaciones, en particular aquellas dirigidas a generar perfiles, a cruzar datos y,
por supuesto, al comunicarlos a terceros, sobre todo si se pretende utilizar los
datos para fines distintos a los que motivaron la creación del registro original.

4. La protección de datos personales no regidos por la Ley N° 19.628

Como hemos explicado, la LPD no se aplica por el solo hecho de existir un

documento con datos personales. Es necesario que éstos además consten en
una base de datos y que se efectúe un tratamiento sobre ellos. Sostenemos, por
tanto, una mirada restringida al alcance de la LPD que no significa, en caso
alguno, desprotección para el titular de esos datos personales no sistematizados
en un banco de datos. En efecto, si se concibe sistémicamente el ordenamiento

48
La falta de un órgano específico de control que vele por el cumplimiento y difusión de la Ley N° 19.628,
ha dificultado exigir a los organismos públicos el respeto de esta obligación de registro. Por eso, a la fecha
de redacción de este estudio aún eran pocos los Servicios Públicos que habían cumplido, pese existir una
reglamentación desde hace diez años.
49
Ley N°19.628, art. 2, letra o).
jurídico, es posible encontrar otras normativas que pueden aplicarse a esos
datos personales, cuando no se reúnen los elementos copulativos recién
mencionados.

Esto ocurre, por ejemplo, cuando los datos personales están contenidos en un
documento aislado de una base de datos, como un oficio, una resolución, una
demanda, un currículum, una fotografía o un video. Acá, a pesar de la naturaleza
personal de los datos, falta el registro en cuanto requisito copulativo de la LPD,
de manera que son resguardados por otras disposiciones, como el recurso de
protección o la propia Ley N°20.285, de Acceso a Información Pública.

Evidentemente, un uso abusivo de esa documentación, a través de actos u

omisiones arbitrarios o ilegales relacionados con esos datos, pueden conculcar
derechos constitucionales garantizados, tales como la vida privada y la honra
personal y familiar, la inviolabilidad de comunicaciones privadas, las libertades
de conciencia y de emitir opinión, el derecho de asociarse y de sindicarse o el de
desarrollar cualquier actividad económica, entre otros.

De igual modo, podría ser invocada la Ley N°20.285 para solicitar el acceso a
ese documento aislado, situación en la que el órgano público debe llevar
adelante el procedimiento de oposición a terceros que regula ese cuerpo legal.

Una segunda hipótesis en que los datos personales se protegen por una
normativa diferente a la LPD se encuentra indicada expresamente en el artículo
1° de ésta, cuando exceptúa de su regulación al tratamiento de datos efectuado
en ejercicio de las libertades de emitir opinión y de informar –artículo 19 N°12,
de la Constitución Política-, abordado por la Ley de Prensa50. Particularmente
esa ley se refiere a situaciones relativas a la difusión o no de la identidad de
personas en ciertos ámbitos vinculados al ejercicio del periodismo, a los medios
de comunicación social y a gestiones judiciales51.

En tercer lugar, y sin perjuicio de las regulaciones especiales que hemos

mencionado, cobra particular importancia la situación de datos personales que
dejan de protegerse por la LPD cuando se disocian. Recordemos que el
legislador ha exigido meridianamente que un dato personal verse sobre una
persona natural identificada o identificable. Por lo tanto, si un dato pierde esa
vinculación con el titular deja de ser un dato personal y, por consiguiente, no
cabe someterlo a este sistema jurídico. Estos datos disociados pasan a ser datos
estadísticos, es decir, un tipo diferente a los de carácter personal, definidos como

50
Ley N°19.733, de 2001, sobre Libertades de Opinión e Información y Ejercicio del Periodismo.
51
En términos generales, la Ley de Prensa reconoce el derecho de los periodistas a mantener reserva de su
fuente informativa, la que se extiende a elementos que permitan identificarla y no podrán ser obligados a
revelarla ni aun judicialmente. Además, reconoce el derecho de toda persona natural o jurídica ofendida o
injustamente aludida por algún medio de comunicación social, a que su aclaración o rectificación sea
gratuitamente difundida. Con todo, ese derecho de aclaración o rectificación no se puede ejercer con
relación a apreciaciones personales que se formulen en comentarios especializados de crítica política,
literaria, histórica, artística, científica, técnica y deportiva. En el caso de publicaciones jurídicas
especializadas, no dan lugar a responsabilidad por difundir noticias o información de procesos o gestiones
judiciales afinados o pendientes, siempre que no se individualice a los interesados. Por último, se prohíbe
la divulgación, por cualquier medio de comunicación social, de la identidad de menores de edad que sean
autores, cómplices, encubridores o testigos de delitos, o de cualquier otro antecedente que conduzca a ella.
aquellos “que, en su origen, o como consecuencia de su tratamiento, no puede[n]
ser asociado[s] a un titular identificado o identificable”.52

Si el dato jamás ha concernido a una persona natural, es decir, es estadístico

desde su origen, no se somete a la LPD en ningún momento. Más bien proceden
otras disposiciones como las referidas al Instituto Nacional de Estadísticas, por
ejemplo53.

En cambio, la situación es más compleja cuando un dato originalmente es

personal, pero pierde tal calidad como consecuencia de operaciones que
impiden continuar asociándolo a un titular. Para lograrlo se sigue un
procedimiento denominado “disociación” y que el legislador define como “todo
tratamiento de datos personales de manera que la información que se obtenga
no pueda asociarse a persona determinada o determinable”,54 aunque
lamentablemente luego no aporta más detalles.

Como bien se desprende de la definición, la forma de disociar datos personales

no está preestablecida, sino que es tan diversa y compleja según lo amerite la
situación concreta en la que se desea poner término a la asociación entre un
titular y el dato. Dicho de otro modo, no es un procedimiento que se limite
únicamente a eliminar nombres y apellidos o en el que solo se logre el resultado
de la disociación de esa manera. Por el contrario, sólo habrá disociación cuando
no sea posible vincular el dato con una persona, de manera razonable,
independiente de las acciones realizadas. En definitiva, para disociar puede ser
necesaria una simple acción gracias al contexto, o bien, requerir el reemplazo o
eliminación de otros datos identificadores.

A pesar de no existir un procedimiento único para disociar datos personales,

podemos distinguir dos elementos o presupuestos requeridos para concluir que
ese dato ha dejado de concernir a una persona natural determinada o, incluso,
determinable.

El primero de ellos es el contexto dentro del cual se pretende realizar la

disociación, porque incidirá en el número de datos identificadores necesarios
para distinguir a una persona del resto. En ciertos contextos no será necesario
siquiera acudir al nombre, porque la asociación se logra con otros datos, como
por ejemplo, el sexo, la edad o la profesión. Sin embargo, en otros contextos
ellos no serán suficientes y tendremos que vincularlos a un nombre. Es más, hay

52
Ley N° 19.628, art.2°, letra e).
53
En lo que interesa, el artículo 20 de la Ley N° 17.374 –modificada por el DFL 26, de 2004, del Ministerio
de Hacienda- obliga a todas las personas naturales y jurídicas chilenas y las residentes o transeúntes a
suministrar datos de carácter estadístico que el Instituto Nacional de Estadísticas les solicite, acerca de
hechos que por su naturaleza y finalidad tengan relación con la formación de estadísticas oficiales. Además,
en el artículo 29 se alude al “secreto estadístico”, como el estricto mantenimiento de la reserva de hechos
que se refieren a personas o entidades determinadas en que funcionarios del Instituto, entre otros, hayan
tomado conocimiento en el desempeño de sus actividades.
Por último, el artículo 30 dispone que los datos estadísticos no podrán ser publicados o difundidos con
referencia expresa a las personas o entidades a quienes directa o indirectamente se refieran, si mediare
prohibición de los afectados.
54
Ley N° 19.628, art.2°, letra l).
situaciones en que ello tampoco basta y se requiere además una fotografía o un
número de identificación.

El otro presupuesto corresponde al esfuerzo razonable requerido para disociar.

Este importante criterio lo encontramos en la Directiva 95/46/CE, en su
Considerando 26, cuando señala que “[…] para determinar si una persona es
identificable, hay que considerar el conjunto de medios que puedan ser
razonablemente utilizados por el responsable del tratamiento o por cualquier otra
persona, para identificar a dicha persona”. Ello significa que el tipo y la cantidad
de datos suficientes para identificar a alguien –y consecuentemente para
catalogar un dato como personal-, deben ser concordantes con los medios
razonablemente empleados para ese objetivo. Así, el esfuerzo será razonable o
no teniendo en cuenta diversos factores, tales como lo costoso de la
identificación, el tiempo de conservación de los datos, los intereses individuales
en juego, los riesgos involucrados y, en especial, la finalidad del tratamiento.

Finalmente, la disociación es un procedimiento particularmente útil para atender

solicitudes de acceso a bases de datos personales, a través de la Ley N°20.285.
Al disociar ese registro se prepara una versión pública que puede ser entregada
al requirente sin más, dado que no se comunican datos personales sino
estadísticos. Por tanto, esas peticiones y respuestas no estarían sometidas a la
LPD, sino íntegramente a la Ley N°20.285.

5. Categorías especiales de datos personales

Como hemos explicado, la regulación general de la LPD se aplica a toda

información que se adecue a la definición legal de datos de carácter personal y
que sea objeto de tratamiento en un registro. En ese caso, quien quiera utilizar
datos personales de otro, debe contar con una autorización expresa de su titular
que le permita recabar el dato, con el objeto de almacenarlo, utilizarlo sólo para
aquella finalidad lícita que motivó la entrega y, eventualmente, comunicarlo a
terceros. En virtud de ello, el tratamiento es legítimo mientras dicho
consentimiento no sea revocado y el titular conserve un control parcial a través
de las facultades de acceso, rectificación y eliminación, debidamente
garantizadas, entre otros aspectos, mediante la acción de habeas data.

Sin embargo, la regulación general recién mencionada presenta matices, ya que

no todos los datos personales pesan lo mismo a la hora de determinar la
intensidad de la protección legal. Junto con ese régimen general de resguardo y
comunicación que establece la LPD, construido alrededor de la idea de
autorización previa del titular, se admiten simultáneamente casos de excepción,
con garantías más robustas para los denominados datos personales sensibles,
y otras más morigeradas para el acceso y utilización de ciertos datos personales
contenidos en fuentes accesibles al público, como explicaremos a continuación.
 5.1. Datos sensibles

No existen datos personales inocuos y cualquiera puede, eventualmente, ser

utilizado en perjuicio de su titular. Sin embargo, cuando se involucran datos
sensibles, su abuso suele ser más invasor en los derechos fundamentales55,
atacando la esencia misma de la persona y el fundamento de su desarrollo
personal56. De hecho, hay autores que conciben estos datos –quizás con
excesiva amplitud-, como “informaciones cuyo contenido se refiere a cuestiones
privadas y cuyo conocimiento general puede ser generador de perjuicio o
discriminación”57.

El reconocimiento de una categoría de excepción como ésta resulta clave para

un sistema de protección de datos personales, en cuyo centro está el titular y
sus derechos fundamentales. Gracias a ella es necesaria una mayor justificación
para que un tercero pueda conocer y usar esos datos personales, ya que para la
sociedad, se ubican dentro de la esfera de la intimidad y serían susceptibles de
discriminaciones más perjudiciales para el titular. Eso explica la protección
reforzada en razón de su contenido58.

La LPD define los datos sensibles como “aquellos datos personales que se
refieren a las características físicas o morales de las personas o a hechos o
circunstancias de su vida privada o intimidad, tales como los hábitos personales,
el origen racial, las ideologías y opiniones políticas, las creencias o convicciones
religiosas, los estados de salud físicos o psíquicos y la vida sexual.”59

Sin embargo, el concepto que establece la LPD –y su consecuente regulación-,

nos merece profundas críticas. Primero, porque califica el dato personal como
sensible a partir de dos criterios distintos e independientes entre sí, planteados
de forma muy amplia, pese a tratarse de una categoría restringida. Por un lado,
se refiere a una característica física o moral de la persona y, por el otro, a hechos
o circunstancias de la vida privada o intimidad.

A partir de esta definición legal, podemos estar frente a un dato sensible sólo por
referirse a una característica física del individuo, lo que puede llevar al extremo
de que ciertos aspectos distintivos de la apariencia –como la estatura o, incluso,
los defectos físicos notorios- pasen de una calidad meramente identificadora a
una protección reforzada.

55
SUÑÉ: “Tratado de Derecho…”, p.165.
56
HERRÁN, Ana, La violación de la intimidad en la protección de datos personales, Madrid, Editorial
Dykinson, 1998, p. 264.
57
PIERINI, Alicia; LORENCES, Valentín; TORNABENE, María, Hábeas data – Derecho a la intimidad, Buenos
Aires, Ed. Universidad, 1998, p.24. Citado por MASCIOTRA, Mario, El hábeas data. La garantía
polifuncional, La Plata, Librería Editora Platense, 2003, pp. 266-267. Citamos esa definición aunque no la
compartimos dada su generalidad e imprecisión, porque pueden existir datos privados que se sujeten al
régimen general de protección y no al de datos sensibles, como asimismo, con motivo de un cruce de datos
cualquier información puede ocasionar perjuicio o discriminación respecto del titular, incluso datos
nominativos de identificación.
58
En España, por ejemplo, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter
personal (LOPD), se refiere a ellos como datos especialmente protegidos y no como datos sensibles.
59
Ley N°19.628, art.2, letra g).
Del mismo modo, resulta muy ambigua la expresión “características morales”,
porque al ser un concepto jurídico indeterminado, puede abordar con extrema
subjetividad cualquier comportamiento susceptible de ser calificado como bueno
o malo, como correcto o incorrecto. No olvidemos que lo que forma parte del
comportamiento moral está sujeto a convenciones sociales, no necesariamente
compartidas por todos.

Por otra parte, la LPD parece referirse a vida privada e intimidad como
sinónimos. Si bien, hay autores que opinan que ambas expresiones pueden
utilizarse indistintamente60, nosotros creemos que son distintos, en donde la
intimidad constituye una zona más interior, más cercana a nuestra persona como
la conciencia, los pensamientos y sentimientos. Por ello, se puede mantener
protegida por decisión personal de no divulgarla. La vida privada, en cambio, es
más amplia, no exclusiva del fuero interno.

Frente a esta diferencia, parece más sensato circunscribir los datos sensibles
solo a aspectos íntimos en que claramente es legítimo el interés del titular por
conservar esos datos fuera del conocimiento de los demás. Así los mantiene en
un círculo de mayor reserva, mitigando el riesgo inherente de que sean utilizados
por terceros, conculcando derechos fundamentales o dando pie a
discriminaciones arbitrarias.

Por otra parte, nos parece muy desafortunada la expresión “tales como”, porque
transforma el listado de la definición solo en ejemplos, en un numerus apertus
generador de inseguridad jurídica. En efecto, aunque mencionan el núcleo
generalmente reconocido en el derecho extranjero como datos sensibles –etnia,
ideología, religión, sexualidad y salud-, equivoca la técnica legislativa con que se
define una excepción.

Asimismo, incluye erróneamente como sensibles a los hábitos personales, pese

a ser una información altamente subjetiva y variopinta, que no ofrece certeza
alguna. ¿Acaso es posible considerar que los hábitos de alimentación, de aseo
o de ejercicio, por ejemplo, son datos sensibles para una sociedad?
¿Tendríamos que distinguir –pese a que el legislador no lo ha hecho- como dato
sensible sólo a los malos hábitos personales que pueden generar perjuicios al
titular si son conocidos? Los hábitos personales no pueden ser datos sensibles
y por ello no se encuentran en el derecho comparado como parte de esta
categoría.

A nuestro juicio, cuando el legislador abre esta definición consecuencialmente

establece un régimen subjetivo de datos sensibles en Chile. Ello implica que
cualquier intérprete puede calificar un dato como sensible en ciertos casos, pero
no necesariamente ocurrirá lo mismo con otra persona. No obstante,
aparentemente esto es aceptado por la mayoría, aunque contradice el sentido
que tiene categorizar los datos en un sistema jurídico. Contrario sensu, somos
partidarios de una mayor objetividad en la calificación de los datos sensibles,

60
CORRAL, Hernán, “Configuración jurídica del derecho a la privacidad I: Origen, desarrollo y
fundamentos”, en: Revista Chilena de Derecho, Volumen 27 N°1, 2000 p. 52.
coherente con el carácter excepcional de la normativa de protección reforzada
de datos personales.

Recordemos que el régimen de datos sensibles se construye, en principio, a

partir de la prohibición de su tratamiento por terceros. Por esa razón el concepto
debe estar asociado a un numerus clausus o listado cerrado, para que la
calificación de si el dato es o no sensible por su contenido no sea subjetiva, sino
más bien esté determinada por el hecho de que forme parte o no del listado de
datos sensibles dispuesto por el legislador.

Dicho de otro modo, en un modelo objetivo el legislador dispone un régimen de

protección general de los datos personales, basado en el consentimiento previo
e informado y en el respeto de la finalidad del tratamiento. Si ese dato personal
además forma parte de un listado cerrado de datos sensibles, dispuesto
previamente por ley, operan normas de excepción destinadas a reforzar la
protección del titular, comenzando por la prohibición de utilizarlos, si no se
cumplen exigentes requisitos que veremos luego.

No obstante, reconocemos que la doctrina mayoritaria aboga por un listado

abierto, dinámico y a favor de datos que serán sensibles en relación con el
contexto en que se usan, para que cualquier dato personal, por irrelevante que
parezca61, pueda recibir mayor protección cuando sea necesario62. En ese caso,
la sensibilidad del dato la determina el titular y no el legislador. Hay autores que
incluso han llegado a calificar al numerus clausus como un error grave63, como
si ello impidiera incluir por ley nuevos tipos de datos sensibles en el futuro.

Sin embargo, un numerus apertus para un régimen de excepción como éste, de

derecho estricto e interpretación restrictiva, no es la técnica legislativa apropiada.
A diferencia del resto de datos personales, la normativa sobre tratamiento de
datos sensibles no busca un equilibrio dinámico entre el libre flujo de información
personal y la posibilidad de control por parte de su titular. Por el contrario, se
inclina meridianamente por este último64, por lo que debe abarcar casos
puntuales, los que lamentablemente no quedan definidos o preestablecidos a
partir de una lista abierta y flexible.

Además, la indefinición que genera un listado abierto resulta inconveniente para

la eficacia de la restricción de tratamiento. En la práctica, ¿cómo podría
prohibirse su utilización si sólo después de que ello ocurra y que el titular conozca
el hecho y reclame, recién ahí, el juez declararía que el dato es sensible?, ¿cómo

61
HERRÁN: “La violación de…”, pp. 265-266.
62
HEREDERO, Manuel, La Ley Orgánica 5/1992, de regulación del tratamiento automatizado de los datos
de carácter personal. Comentario y textos, Madrid, Tecnos, 1996, p. 98.
63
PUCCINELLI: “La protección de datos…”, p.170. Este autor critica la definición contenida en el párrafo
3° del artículo 2° de la Ley N° 25.326, de Argentina, que señala: “Datos personales que revelan origen
racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e
información referente a la salud o a la vida sexual”. La razón se debe a que considera que la regulación de
estos datos debe ser permeable al ingreso de otras referencias no previstas, que bien pueden convertirse en
sensibles en el futuro.
64
Ley N°19.628, art. 10: “No pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo
autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento
de beneficios de salud que correspondan a sus titulares.”.
se puede reparar el perjuicio causado por la utilización de un dato sensible, si el
responsable del registro estimó legítimamente que no lo era, pero después un
juez señaló lo contrario? Y lo más grave a nuestro juicio, ¿cómo evitar criterios
contradictorios entre órganos que califiquen un mismo tipo de dato como sensible
en ciertas circunstancias, pero en otras no? De hecho, esto podría ocurrir incluso
respecto de los datos mencionados expresamente en el listado65 66.

Sin duda, no son pocas las razones para justificar un numerus clausus de datos
sensibles que aporte objetividad, sea coherente con el carácter excepcional de
su normativa y evite perjuicios mayores provocados por la falta de certeza en la
calificación previa del dato. Con un sistema objetivo de datos sensibles sería la
propia sociedad, a través de la ley, quien determine una protección especial para
aquellos datos que estime de mayor relevancia, por lo general ligados a las
libertades de conciencia y religión, la étnia, la salud y la vida sexual.

Además, si surgen nuevas necesidades sociales, sea para aumentar o para

disminuir el catálogo de datos sensibles, nada obsta hacerlo por la vía legislativa.
Por ejemplo, si para la idiosincrasia de una sociedad determinada o de acuerdo
sus políticas públicas de protección a ciertos grupos resulta relevante, la ley
podría agregar al listado de datos sensibles aspectos como la filiación, la
sindicalización, la calidad de inmigrante, la identificación biométrica o la
circunstancia de ser víctima de ciertos delitos, por mencionar algunos.

La regulación de los datos sensibles en la LPD no es extensa y se limita a la

definición del artículo 2° letra g) y al artículo 10. Este último dispone el régimen
especial de tratamiento a través de una norma que, en estricto rigor, no es
prohibitiva sino imperativa, porque admite la posibilidad de tratamiento de datos
sensibles, aunque de forma más restringida. Para utilizarlos es necesario contar
con una autorización escrita del titular o una habilitación legal específica,
pudiendo ser empleados sólo para la finalidad lícita que motiva el tratamiento.

Como primera crítica a este artículo 10, sólo exige que exista consentimiento del
titular, sin mencionar que sea informado, expreso, por escrito y específico. Ante
esa omisión solo podemos llegar a concluir que es por escrito a partir de una
interpretación finalista del régimen especial de los datos sensibles, ya que sólo
así descansaría en un requisito de mayor exigencia para el tratamiento. También
se apoya, por supuesto, en que el artículo 4° dispone como regla general –
aparentemente más exigente que el artículo 10-, el consentimiento expreso,
65
A modo de ejemplo, el Consejo para la Transparencia, en su decisión Rol C333-10, Considerando 10)
señaló: “[…] si bien las víctimas de violaciones de derechos humanos durante el periodo 1973-1990
pueden ser asociadas a determinadas convicciones políticas, éstas eran más de una y no necesariamente
participaban de éstas y menos aún sus familiares o descendientes, razón por la cual no se estima que ser
víctima de violaciones de derechos humanos o familiar de alguna de ellas, constituya un dato sensible, no
obstante tratarse de datos de carácter personal. Asimismo, hoy en día no puede estimarse como un estigma
el que una persona que haya sido víctima de violaciones a sus derechos humanos”. Nos preocupa la forma
categórica en que plantea esas opiniones, sin presentar mayores fundamentos objetivos, máxime si esas
afirmaciones desnaturalizan un dato sensible por antonomasia como es la calidad de torturado o preso
político, datos que se encuentran íntimamente ligados a la ideología del titular (no del grupo, como parece
entender el Consejo), a una represalia frente a sus opiniones políticas o al estado de salud físico o psíquico
de esas personas, como consecuencia de dichos apremios.
66
El numerus apertus también dificulta un posible reforzamiento penal para esta categoría de datos, desde
el punto de vista de la tipicidad, ante casos de uso abusivo o indebido.
escrito y previamente informado sobre el propósito del almacenamiento y su
posible comunicación al público. Sin embargo, aunque el artículo 10 solo hable
de consentimiento no cabe interpretarlo como una regla que esté admitiendo
otras formas de autorización.

En este punto queda en evidencia la pobreza sistémica de las normas de la LPD,

porque el artículo 10 es incapaz de consagrar un real reforzamiento, sino que se
limita a reiterar la misma figura de consentimiento por escrito, la regla general en
Chile según el artículo 4°. El legislador debió exigir el respaldo expreso, escrito,
informado y específico para la autorización de los datos sensibles, abriendo otras
formas de consentimiento para la regla general, tales como el verbal y el tácito.

Por último, aunque el artículo 10 dispone que los datos sensibles no pueden ser
objeto de tratamiento, agrega que ello es así “salvo cuando la ley lo autorice […]”.
En este punto, la generalidad de su redacción crea una hipótesis muy amplia que
puede desvirtuar la prohibición general, más aún si en el derecho comparado
estas excepciones describen situaciones específicas y precisas, como bien
advierte el profesor Pedro Anguita, respecto de la Directiva 95/46. Allí se señala
la salvaguardia del interés vital del interesado, los tratamientos realizados por
entidades respecto de sus miembros, los que sean necesarios para reconocer
un derecho en procedimientos judiciales, entre otras.67 68

5.2. Datos de fuentes accesibles al público

Junto al régimen general de protección y al de los datos sensibles, existe otra

categoría especial, aplicable cuando los datos personales se encuentran
contenidos en fuentes accesibles al público. A diferencia de los datos sensibles,
en este caso se morigera la regulación prescindiendo de varias de las
disposiciones de garantía, principalmente la exigencia de consentimiento previo
del titular y la de mantener la finalidad original que motiva el tratamiento.

El legislador no ha definido expresamente una categoría especial para estos

datos, aunque la doctrina extranjera los reconoce y se refiere a ellos como “datos
personales nominativos”69 o “datos personales públicos de mera identificación”70.
Sin perjuicio de ello, debemos precisar que en Chile la distinción de este tipo de
datos no depende de su capacidad para identificar al titular o para mantener su
identidad. De hecho, hay ciertos datos personales identificatorios de carácter
privado, como las huellas digitales, que por ello reciben la protección general de

67
ANGUITA, Pedro, La protección de datos personales y el derecho a la vida privada, Régimen jurídico,
Jurisprudencia y Derecho comparado, Santiago, Editorial Jurídica de Chile, 2007, p. 550.
68
Un tercer caso que permite el tratamiento de datos sensibles se aplica cuando sea necesario utilizarlos
para determinar u otorgar beneficios de salud que correspondan al titular. Al respecto, la LPD introdujo una
modificación al Código Sanitario que señala: “Las recetas médicas y análisis o exámenes de laboratorios
clínicos y servicios relacionados con la salud son reservados. Sólo podrá revelarse su contenido o darse
copia de ellos con el consentimiento expreso del paciente, otorgado por escrito. Quien divulgare su
contenido indebidamente […], será castigado en la forma y con las sanciones establecidas en el Libro
Décimo [del Código Sanitario].”
69
PALAZZI, Pablo, Informes comerciales, Buenos Aires, Editorial Astrea, 2007, pp.7-8.
70
SUÑÉ: “Tratado de Derecho…”, pp.68-69.
la LPD, y otros que, por el contrario, cuentan con la regulación reforzada para
los datos sensibles, como es el caso de una muestra de ADN, por ejemplo.

El criterio de clasificación de esta categoría no es el contenido de los datos

personales, sino el continente, es decir, depende del tipo de registro en el que
se encuentran. De este modo, son datos personales públicos porque forman
parte de un registro o recopilación cuyo acceso por terceros no está restringido
o reservado a quien los solicita.

Tales registros, denominados “fuentes accesibles al público”71, permiten a

terceros la consulta de datos personales con más libertad, sin ser necesario
invocar un interés legítimo y sometiéndose a menos exigencias que en otras
bases de datos. En este caso se pueden utilizar de forma gratuita u onerosa –el
acceso a dicha fuente podría estar sujeto a un pago previo-, sin requerir
consentimiento previo del titular y para cualquier finalidad lícita que estime tanto
el responsable del banco de datos público, como también el tercero que accede
a ellos.

Las fuentes accesibles al público no se distinguen del resto de bases de datos

personales por perseguir una finalidad especial.72 Tampoco requieren que la
titularidad de la base le corresponda a un organismo público, y pueden
pertenecer a particulares, como ocurre con las guías telefónicas. Es más, es un
error considerar estas fuentes como sinónimo de bases de datos de órganos
administrativos, ya que éstas suelen no ser de acceso público.

En cuanto al régimen de excepción aplicable a las fuentes accesibles al público,

la LPD no es muy precisa, más allá de observar diferencias en materia de
consentimiento y finalidad.

Para empezar, el artículo 4°, inciso quinto73, sobre la regla de consentimiento

previo para el tratamiento de datos, establece que no se requiere autorización si
los datos provienen o se recolectan de las siguientes fuentes accesibles al
público:

- Bases que contengan datos de carácter económico, financiero, bancario o

comercial, como el Boletín Comercial, por ejemplo.
- Listados relativos a una categoría de personas que se limiten a indicar
antecedentes tales como la pertenencia del individuo a ese grupo, su profesión
o actividad, sus títulos educativos, dirección o fecha de nacimiento.

71
Ley N° 19.628, artículo 2, letra i): “Fuentes accesibles al público, los registros o recopilaciones de datos
personales, públicos o privados, de acceso no restringido o reservado a los solicitantes.”
72
MESSÍA DE LA CERDA, Jesús, La Cesión o Comunicación de Datos de Carácter Personal, Madrid, Civitas
Ediciones, 2003, pp. 114-121.
73
Ley N° 19.628, artículo 4°, inciso quinto: “No requiere autorización el tratamiento de datos personales
que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico,
financiero, bancario o comercial, se contengan en listados relativos a una categoría de personas que se
limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad,
sus títulos educativos, dirección o fecha de nacimiento, o sean necesarios para comunicaciones
comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.”.
- Registros que contengan datos necesarios para comunicaciones comerciales
de respuesta directa o comercialización o venta directa de bienes o servicios 74.

Acto seguido, el artículo 9°, inciso primero, relativo al principio de finalidad,

dispone: “Los datos personales deben utilizarse sólo para los fines para los
cuales hubieren sido recolectados, salvo que provengan o se hayan recolectado
de fuentes accesibles al público.”. De este modo, tampoco sería necesario
declarar una finalidad, ni mucho menos mantenerla al utilizar los datos.

Ahora bien, las bases de datos que administran los órganos estatales suelen no
ser fuentes accesibles al público, sino registros cuyo acceso se encuentra
restringido o reservado a los solicitantes, por regla general.

Sin embargo, entre los casos de bases de datos de la Administración del Estado
en que, por ley, se ofrece un acceso sin restricciones a los solicitantes, hay uno
que resulta muy ilustrativo. Nos referimos a los listados de personal que
obligatoriamente deben ser publicados en los sitios electrónicos de los órganos
administrativos, como parte de la transparencia activa que exige la Ley
N°20.28575.

Gracias a la transparencia activa se publican los datos personales de todos

quienes trabajan en la Administración, específicamente sus nombres y apellidos,
tipo de contrato, estamento al que pertenece, grado, cargo o función, región en
que trabaja, fecha de inicio y término de sus funciones, calificación profesional o
formación, y la remuneración bruta, tanto mensualizada como en detalle.

Esos datos personales se encuentran permanentemente disponibles al público

en general, sin ningún tipo de restricciones de acceso y pueden ser utilizados
para cualquier finalidad lícita que se desee. Acá estamos en presencia de una
fuente accesible al público de aquellas formadas por listados relativos a una
categoría de personas –en este caso, el personal que trabaja para la
Administración-, limitada a indicar antecedentes sobre su pertenencia al órgano
público, el escalafón al que pertenece, su cargo y su profesión o actividad. De
este modo se observa una armonía entre lo dispuesto en el artículo 7° de la Ley
N°20.285 y el artículo 4° de la LPD.

Entre los datos personales que deben ser publicados según la Ley N°20.285 se
incluye la remuneración, es decir, las contraprestaciones en dinero que reciben
quienes trabajan para la Administración, en razón de su empleo, función o
contrato. La mención de este dato resulta polémica porque, aunque no es
sensible, suele estar celosamente protegido por la regla del consentimiento
previo del trabajador, en el sector privado. Sin embargo, en el caso de los

74
Según Raúl Bertelsen se reconocen en la Ley N° 19.628 datos de fuentes accesibles al público para los
que no se requiere autorización del titular –mencionados en el inciso quinto del artículo 4°-, y otros datos
privados recolectados de fuentes accesibles pero que sí necesitarán de autorización para su tratamiento.
BERTELSEN: “Datos personales: propiedad…”, pp.128-129. Sin embargo, no entraremos en más
profundidad respecto de este artículo 4°, aunque reconocemos que se trata de una de las normas más oscuras
de interpretar de toda la Ley N°19.628, partiendo por la duda acerca de si es una enunciación taxativa de
las fuentes accesibles o es sólo ejemplar.
75
Véase el artículo 7°, letra d) de la Ley N° 20.285 y el artículo 51, letra d) del Decreto N° 13, de 2009,
del Ministerio Secretaría General de la Presidencia.
servidores públicos la remuneración se expone abiertamente al conocimiento de
terceros, a través de su publicación a todo evento, sin mediar una solicitud
expresa.

Una de las razones que más invoca para ello se funda en que el pago está
financiado con presupuesto público y cualquier contribuyente supuestamente
tendría derecho a conocer como se distribuye. No obstante, notamos cierta
ligereza en ese argumento, porque el legislador omite criterios ad-casum para
justificarlo, tales como la finalidad de rendir cuentas y transparentar el uso de los
recursos públicos, entre otros76.

Evidentemente, la remuneración del personal de la Administración es un dato

inherente a un cargo público, asociado a una función pública, por ende, motiva
una necesidad de control ciudadano. Eso sí, no es menos cierto que el grado de
exposición dispuesto por la Ley N°20.285 –publicación en un sitio web de
consulta pública-, resulta excesivo desde el momento en que no existe
posibilidad alguna de control sobre el mal uso de los datos. En efecto, la Ley
N°20.285 no se pronuncia sobre el uso posible de esos datos y la única garantía
que la LPD otorga a los funcionarios públicos, frente al uso abusivo que se haga
con sus datos publicados por transparencia activa, es demandar una
indemnización de perjuicios si logra acreditarlos, es decir, es una solución
inviable por los esfuerzos desproporcionados que supone para el afectado.

Creemos que habría sido más razonable que la obligación de publicar

remuneraciones se hubiese aplicado sólo a ciertas autoridades y jefaturas,
atendida la función que realizan y las atribuciones con que cuentan, dado el
evidente interés público por conocer sus ingresos e inhibir la corrupción. No en
vano, en materia de probidad administrativa, la Constitución Política les impone
el deber de declarar su patrimonio e intereses77. Así, las remuneraciones del
resto del personal no tendrían que estar publicadas sin protección alguna, pero
podrían ser conocidas por terceros a través del ejercicio del derecho de acceso
a información, en la medida que el titular no se oponga fundadamente a la
entrega.

Asimismo, estimamos, lege ferenda, que el actual desequilibrio legal que existe
no sólo respecto de las remuneraciones de funcionarios sino frente a cualquier
petición de datos personales, se podría corregir incorporando un procedimiento
especial de acceso a bases de datos personales en poder de los órganos

76
Dentro de los Documentos Anexos a la Declaración de México adoptada en el IV Encuentro
Iberoamericano de Protección de Datos, de noviembre de 2005, se señala que si se solicita la publicidad de
datos personales de funcionarios públicos hay que elaborar criterios según el caso que tomen en cuenta: si
existen excepciones a favor de la publicidad de dichos supuestos en las leyes respectivas; si con la
revelación de los datos se puede vincular o conocer el correcto desempeño de las responsabilidades o tareas
asignadas al funcionario en un caso concreto; si los datos son considerados como información propia del
individuo, no de su puesto en la estructura laboral; y si la divulgación añade información necesaria para la
rendición de cuentas o la transparencia en el uso de recursos públicos. PIÑAR, José Luis, “Acceso a la
Información Pública y Protección de Datos Personales”, en: La Red Iberoamericana de Protección de
Datos. Declaraciones y Documentos, Valencia, Editorial Tirand Lo Blanch, 2006, pp.73-74.
77
Constitución Política de la República de 1980, artículo 8° inciso tercero: “El Presidente de la República,
los Ministros de Estado, los diputados y senadores, y las demás autoridades y funcionarios que una ley
orgánica constitucional señale, deberán declarar sus intereses y patrimonio en forma pública.”.
administrativos. En él, a diferencia del procedimiento general de acceso a
información pública, debería ser requisito obligatorio explicitar la finalidad para la
que serán utilizados esos datos.

De esta forma se resguardarían con mayor solidez las bases de datos

personales, ya que se inhiben peticiones con finalidades abusivas y permite
ponderar la solicitud con más claridad, tanto para que el titular se oponga o
autorice la entrega, como también para que el órgano administrativo fundamente
mejor una eventual denegación. Asimismo, ofrece mayor eficacia al control del
titular sobre sus datos, porque si corresponde la comunicación, se encuentra en
condiciones de saber quién tiene sus datos y de exigir que los utilice
exclusivamente para el fin declarado. Hoy, sin embargo, la balanza se ve
inclinada sólo hacia el lado del solicitante de información, gracias a que la Ley
N°20.285 le garantiza opacidad a sus peticiones de datos personales.