Voces: LIBERTAD PERSONAL Y SEGURIDAD INDIVIDUAL
Anuncio
Voces: LIBERTAD PERSONAL Y SEGURIDAD INDIVIDUAL - PROTECCIÓN DE DATOS PERSONALES - DERECHOS Y GARANTÍAS CONSTITUCIONALES - ACCESO A LA INFORMACIÓN PÚBLICA - LIBERTAD DE INFORMACIÓN - DERECHO COMPARADO Título: Análisis del Estatuto de Protección de Datos Personales en Chile y evolución de la materia a nivel nacional e internacional - Luarte Correa, Jaime Autor: Luarte Correa, Jaime Fecha: 4-nov-2009 Cita: MJCH_MJD370 | MJD370 Producto: MJ Sumario: 1.Introducción; 2. Evolución de los sistemas de Protección de Datos Personales en Europa y Latinoamérica; 3. La Protección de Datos Personales en Chile; 4. La Ley 19.628 sobre protección de la vida privada y protección de datos personales; 5. Proyectos de ley en trámite que buscan perfeccionar el sistema y regular un verdadero estatuto jurídico de protección de datos personales; 6. Conclusiones; 7. Notas y Referencias bibliográficas. Por Jaime Luarte Correa (*) 1.- INTRODUCCIÓN Cuando hablamos de un tema como la protección de datos personales, tal como lo entiende hoy la doctrina, invariablemente tenemos que remitirnos a las categorías de derechos fundamentales del hombre, así de relevante se nos plantea esta materia, que ha estado vinculada desde hace mucho tiempo al derecho a la privacidad. Luego de transitar por los derechos de primera generación que se ganaron al poder público a finales del Siglo XVIII, con la Declaración de los Derechos del Hombre y del Ciudadano, tales como la libertad y la igualdad, pasando luego por los derechos de segunda generación, donde cobran relevancia los derechos sociales, económicos y culturales, que permiten el desarrollo y la participación más activa de los ciudadanos en la sociedad, hecho que supone que el Estado debe garantizar el espacio donde se materializarán y se harán efectivos esos derechos, arribamos a los derechos de tercera generación. Como señalara Pérez Luño, el derecho a la autodeterminación informativa es un derecho de tercera generación.Los derechos de primera generación fueron los derechos de defensa; los derechos de segunda generación, fueron los económicos, sociales y culturales; y los de tercera generación corresponden a los derechos que responden al fenómeno conocido como "contaminación de libertades", atendiendo a la erosión y degradación que aqueja a los derechos fundamentales ante determinados usos de las nuevas tecnologías.(1) La protección de datos está referida al resguardo que debe darse a las personas frente al tratamiento por medios automatizados que hacen terceros de sus datos nominativos que permiten identificar o hacer identificables ciertos rasgos de su personalidad con el riesgo de que esa información pueda ser comunicada a terceros, sean éstos, personas y entidades públicas o privadas transgrediendo con ello o poniendo en peligro el ejercicio de una serie de libertades y derechos. Como se puede ver es un tema extremadamente sensible si asumimos que el avance tecnológico permite el almacenamiento y distribución de cantidades ingentes de información que incluso pueden contener datos sensibles de las personas como los referidos a salud, creencias religiosas, tendencia sexual, etc. Comúnmente se ha identificado la protección de los datos personales con el respeto del derecho de la intimidad o protección de la privacidad, garantía constitucional que nos ampara ante invasiones no consentidas de terceros a nuestra esfera más intima y personal. Nuestro constituyente no manifestó mayor preocupación ante las amenazas a la vida privada provenientes del tratamiento de datos personales realizado por medios automatizados o electrónicos. Más bien podemos afirmar que la consagración de la protección de la vida privada y la honra de las personas en nuestra Carta Fundamental está en función de la defensa ante ataques de los medios de comunicación social.Por tanto, la concepción que refleja la garantía constitucional de la protección de la vida privada de las personas está configurada en relación a los límites que deben tener en su actuación los medios de comunicación social, más que en la protección frente a las nuevas tecnologías, como la informática y las telecomunicaciones. La norma chilena que regula la protección de datos personales, la Ley 19.628 de 1999, ha sido un avance y constituyó un aporte en la materia, pero no es suficiente, ya que no contempló diversos instrumentos que permiten configurar una base más sólida de resguardo a las personas en este campo tan sensible, en que está en juego el respeto a los derechos fundamentales de las personas. En la legislación comparada nos encontramos en algunos casos con una regulación legal específica que se traduce en la implementación de verdaderos sistemas de protección de datos personales que cubren la normativa, los agentes de control, procedimientos, sanciones, etc.Aún más, en determinados países se da a estas materias, por su importancia creciente en la protección de los derechos fundamentales, no sólo vinculados a la privacidad y la intimidad, una consagración constitucional, como ocurre en España, que en su Carta Fundamental consagra el derecho a la autodeterminación informativa o libertad informática. Este derecho a la autodeterminación informativa o libertad informática se traduce en el derecho de las personas a controlar el uso de los datos que se encuentran insertos en un programa informático y comprende, entre otros aspectos, la oposición de la persona a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención. En este artículo se intentará analizar la situación de la protección de datos personales en Chile, resaltando las deficiencias de la normativa que regula la materia, en comparación con los avances mostrados por otros países, en particular por los países miembros de la Unión Europea, que impulsados por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la "Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de los Datos", han incorporado en su legislación interna las directrices que permiten plasmar un adecuada protección legal de los datos personales.Igualmente, se pasará revista a los proyectos de ley en trámite en nuestro país que intentan mejorar el estándar de protección legal existente, concluyendo con las consideraciones que a nuestro juicio deben tenerse presente a fin de implementar un correcto sistema de protección de datos personales. 2.- EVOLUCIÓN DE LOS SISTEMAS DE PROTECCIÓN DE DATOS PERSONALES EN EUROPA Y LATINOAMÉRICA Como se ha dicho el impulso al desarrollo de los sistemas de protección de datos personales en Europa fue provocado por instrumentos de carácter internacional que revelaron la trascendencia de la materia, en particular podemos mencionar el Convenio 108 de la Comunidad Económica Europea de 1981, que procura reglar el fenómeno del tratamiento automatizado de datos correspondientes a personas naturales. Antes del Convenio, a comienzos de la década de los setenta, la República Federal de Alemania había promulgado la primera Ley de Protección de Datos, llamada Ley sobre tratamiento de datos personales del "Land de Hesse". En esas mismas fechas se promulgó la Data Lag 1973/289 en Suecia y luego en Francia se adoptó en 1978 la Loi nº 78-17 du janvier, relative á l´informatique, aux fichiers et aux libertés. Todos estos cuerpos legales vinieron a reglamentar el tratamiento automatizado de datos personales referidos a personas físicas realizado por personas naturales o jurídicas de derecho público o privado. No obstante lo anterior, pronto se hizo palpable la necesidad de armonizar el frondoso sistema normativo de los distintos países en un cuerpo que agrupara de forma coherente los principios, mecanismos de tutela y procedimientos para la protección de los datos personales, lo que dio origen al Convenio referido. Los Estados partes del Convenio se obligaban a adoptar en su derecho interno las medidas necesarias para dar efecto a los principios fundamentales de protección de datos a que adscribía el instrumento.Así sucedió con la "Data Protection Act" de 1984 adoptada por el Reino Unido, así como con la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de carácter personal (LORTAD), adoptada por España en 1992, que constituiría la piedra angular sobre la cual se diseñó nuestra Ley 19.628 , e igualmente con la Ley de Datos de la República Federal Alemana de 1990, que cuenta con un largo trabajo preparatorio que trae por causa la declaración de inconstitucionalidad de la Ley de Censo de la Población de 1992.(2) Luego con el tiempo el Parlamento Europeo evidenció la reducida capacidad que tenía el Convenio para obligar a los países a transponer en sus ordenamientos internos las normas de este instrumento por lo que promovió la adopción de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, en adelante la Directiva, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.La Directiva establece un conjunto de derechos para los titulares de los datos o interesados, que deben los Estados miembros incluir en su derecho interno: a)Derecho a la información, esto es, a la comunicación al titular de los datos de que se están llevan a cabo operaciones de tratamiento de datos que le conciernen. b)Derecho de consulta, este derecho obliga a los Estados miembros a adoptar todas las medidas necesarias para garantizar la publicidad de los tratamientos. c)Derecho de acceso al interesado, mediante el cual el titular se puede imponer de los datos que le conciernen que son objeto de tratamiento, así como la finalidad del procesamiento y destinatario de sus datos, entre otros.(3) d)Derecho de rectificación, supresión y bloqueo, mediante el cual se exige que los Estados miembros deben garantizar a los interesados el derecho de obtener del responsable del tratamiento la rectificación, supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las normas de la Directiva, en especial con motivo del carácter incompleto o inexacto de los datos. e)Derecho de oposición, que otorga al interesado el derecho de oponerse a determinados tratamientos de datos que le conciernen. f)Derecho de impugnación a decisiones individuales automatizadas, vale decir, se prohíbe a los Estados miembros someter a una persona a una determinada decisión con efectos jurídicos motivada en un tratamiento automatizado de sus datos. g)Derecho a conocer la cesión de los datos, por medio de este derecho se otorga a los interesados el derecho de ser informados antes que los datos se comuniquen por primera vez a terceros. h)Derecho a la indemnización, "que impone la obligatoriedad a los Estados miembros de garantizar a toda persona que sufra un perjuicio como consecuencia de un tratamiento ilícito o de una acción incompatible con el derecho interno adoptados en aplicación de la Directiva, el derecho a obtener del responsable del tratamiento la reparación del perjuicio sufrido.El cual podrá ser eximido parcial o totalmente de dicha responsabilidad si acredita que no se le puede imputar el hecho que ha provocado el daño".(4) La Directiva fue además el motor impulsor de la adhesión de los Estados miembros a una serie de principios que son la base desde donde se construye un verdadero sistema de protección de datos personales. Entre estos principios podemos señalar los siguientes: - El principio de la licitud y lealtad de las operaciones de tratamiento de datos; - El principio de calidad de los datos; - El principio de consentimiento informado del titular de los datos; - El principio de la seguridad de los datos, en el sentido de que el responsable del banco de datos debe adoptar medidas de seguridad de diversa índole: físicas, lógicas, y, jurídicas, para impedir que los datos que son objeto de tratamiento no escapen del ámbito de acción de quien goza de habilitación legal para realizar dicha actividad; - Principio de confidencialidad de los datos; y - Principio de finalidad de los datos, que busca garantizar la legitimidad del tratamiento, en cuanto los datos deben ser objeto de tratamiento sólo para los objetivos en virtud de los cuales el titular de los mismos consintió en su tratamiento. Otro aspecto importante que aportó a la discusión la Directiva fue el relativo a la Transmisión Internacional de Datos Personales hecha por los Estados miembros a terceros países. En este sentido la normativa comunitaria instaló el principio de que sólo se pueden transferir datos personales a terceros países que cuenten con un nivel adecuado de protección, teniendo presente una serie de criterios para determinar en qué casos un tercer país puede asegurar a los interesados que los datos que son transferidos van a contar con las garantías mínimas de protección y de cumplimiento de los principios y derechos que reconoce una legislación adecuada sobre la materia.Al respecto cabe mencionar que la Directiva estableció en su articulado un sistema de evaluación para medir el nivel de protección que presentan terceros países. Resulta interesante, por la influencia ejercida en nuestra Ley de Protección de Datos Nº 19.628 , analizar brevemente el caso español. En España, en cumplimiento de los compromisos derivados del Convenio 108, se promulgó en 1992 la Ley Orgánica 5/1992 Reguladora del Tratamiento de los Datos de carácter personal (LORTAD). Esta ley fue una norma de ficheros automatizados, a diferencia de lo dispuesto en la Directiva, que se aplica también a los ficheros manuales, y se refirió exclusivamente a las personas físicas y su ámbito de aplicación cubrió tanto el sector público como el privado. Lo interesante de esta ley es que consagró ciertos principios de protección de datos como el de los datos sensibles (salud, tendencias políticas, condenas penales, por ejemplo) cuyo tratamiento requiere consentimiento del interesado, las cesiones de datos, la responsabilidad por la vulneración de los derechos del interesado y la notificación de creación de ficheros. Adicionalmente, la LORTAD creó la Agencia de Protección de Datos como autoridad autónoma de control encargada de velar por el cumplimiento de la ley. Con posterioridad, y a raíz de la adopción de la Directiva, a la que se ha hecho referencia, el legislador español es convocado a transponer al orden interno el contenido de la norma comunitaria y se promulga, con el afán de perfeccionar la legislación vigente, la Ley Orgánica 15/1999, de Protección de datos de carácter personal (LOPD) que reemplazó la anterior y que reflejó todos los avances que para los sistemas normativos de protección de datos contenía la Directiva Europea.Llegados a este punto resulta conveniente hacer un somero repaso a los mecanismos de control de protección de datos que estableció la normativa comunitaria y que se vieron reflejados en la LOPD española y en otras legislaciones de países miembros que fueron perfeccionando sus normas en esos años. Los mecanismos de control son lo que en definitiva otorgan la base sistémica a la regulación de protección de datos al dotarlo de una estructura orgánica con funciones delimitadas que facilitan que los titulares de los datos puedan ejercer sus derechos e impugnar debidamente las actuaciones ilegitimas o irregulares de los responsables de los bancos de datos. Podemos afirmar que, sin esa estructura, no existe un verdadero sistema normativo de protección de datos personales. En cuanto a los mecanismos de control, y siguiendo al autor Alberto Cerda Silva, se deben considerar los siguientes: a)Control Jurisdiccional y Habeas Data: Sin perjuicio de la facultades que competen a la autoridad de control, como ente de carácter administrativo, en ocasiones es necesaria la intervención judicial cuando los derechos de los interesados están en riesgo de ser vulnerados o han sido derechamente amagados, en particular cuando los titulares de los datos deben reclamar de ciertas actuaciones o decisiones adoptadas por la autoridad de control. Asimismo, la intervención judicial es solicitada cuando las leyes de protección de datos conceden a las autoridades de control ciertas facultades cuyo ejercicio supone un previo requerimiento y resolución judicial. En relación al Habeas Data este importa el ejercicio de una acción judicial específica que está referida a la totalidad del recurso procesal a través del cual el afectado hace ejercicio del derecho de acceso, desde el requerimiento de sus datos al responsable de la base de datos, pasando por la reclamación administrativa ante la denegatoria del primero, hasta la acción judicial misma. b)Los códigos deontológicos o códigos de conducta:La Directiva y las legislaciones de los distintos Estados miembros han hecho ver la conveniencia de contar con disposiciones especiales aplicables al tratamiento de datos personales para fines determinados. Lo que se busca es articular disposiciones de tratamiento de datos por sectores que necesariamente requieren matizar su ordenamiento. No es lo mismo el tratamiento de datos que se hace con fines comerciales o crediticios, que el realizado con datos sensibles, o el desarrollado por determinados sectores empresariales, asociaciones y otros colectivos. c)El agente de control interno: Esta figura guarda relación con la garantía de que dispone el responsable del banco de datos de que el tratamiento de los datos personales se realicen de forma correcta y legal. Para ello el responsable del tratamiento mantiene una persona responsable de velar por que la actividad se desarrolle dentro del marco legal, lo que en la Directiva se conoce con el nombre de encargado de tratamiento. d)La Autoridad de Control: Consiste en la entidad a quien se le entrega la facultad de velar porque se cumpla la normativa interna de protección de datos personales. Es la autoridad pública independiente abocada a ejercer funciones de promoción, fiscalización y coordinación respecto de la legislación de tratamiento de datos personales. Se distinguen claramente las funciones que ejerce esta autoridad de control en las distintas legislaciones de países que la tienen incorporada: difusión, asistencia y promoción; registro público de las entidades que tratan datos personales; funciones de inspección; facultades sancionadoras, cautelares y normativas; y; atribuciones suficientes para practicar acciones de cooperación internacional en materia de tratamiento de datos. Esta figura es la que recogen diversos Estados miembros de la Unión Europea que tuvieron que adoptar la normativa comunitaria sobre la materia.En el caso de España se insistió en la existencia de la Agencia de Protección de Datos con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD), que ya había sido creada bajo la LORTAD, además de otros organismos de nivel autonómico. Finalmente, podemos agregar que existen otros mecanismos de control a nivel europeo que consisten en tecnologías de protección de la intimidad, los contratos-acuerdo y el Defensor del Pueblo, como lo conocemos dentro de su ámbito de competencia, vale decir, aquella autoridad que vela por el respeto a los derechos fundamentales de las personas frente al accionar de las entidades públicas. A nivel latinoamericano se puede sostener que la evolución legislativa en la materia ha sido lenta y sólo algunos países cuentan a la fecha con leyes de protección de datos personales, entre ellos, Chile, Argentina y Paraguay. Únicamente Argentina cuenta con el reconocimiento de la Unión Europea como país con nivel adecuado de protección de datos, mismo que, dicho sea de paso, representa para la economía argentina ingresos anuales significativos tan sólo en el terreno de las inversiones en el ámbito de la investigación médica y de ensayos clínicos. Detrás de Argentina, países como el nuestro y Uruguay persiguen actualmente adecuar sus marcos normativos para atraer inversiones en el terreno de la oferta de servicios que requieran el tratamiento de datos personales a través de las tecnologías de la información. Existen distintos factores que motivaron la dictación de leyes de protección de datos personales en América Latina, principalmente factores de orden comercial y de cooperación internacional.Incluso en algunos casos, como Brasil, se ha consagrado en el orden constitucional la acción de habeas data, siguiendo la influencia portuguesa en la materia, y también la han incorporado Argentina mediante la reforma constitucional de 1994, Colombia por reforma de su Constitución del año 1991, Ecuador por reforma de su Carta Fundamental de 1996, Paraguay la consagró en su Constitución Nacional de 1992, Perú hizo lo propio en su Carta Fundamental de 1993 y Venezuela por me dio de su nueva Constitución Política aprobada en 1999. México no cuenta con una acción de habeas data en su Constitución Política, pero en relación a la regulación de la protección de datos personales aprovechó la reforma de la Ley Federal de Protección al Consumidor del año 2000 para introducir normativa reguladora de la materia. En el mes de abril de 2009, a través del Decreto por el que se adiciona la fracción XXIX-O al artículo 73 de la Constitución Política de los Estados Unidos Mexicanos, se facultó al Congreso Mexicano para legislar en materia de protección de datos personales en posesión de particulares, y existe hoy en tramitación parlamentaria un proyecto de ley por el que se expedirá la futura Ley Federal de Protección de Datos Personales en Posesión de Particulares. 3.- LA PROTECCIÓN DE LOS DATOS PERSONALES EN CHILE Como se ha dicho la protección de datos personales en Chile ha estado desde siempre vinculada a la garantía constitucional del derecho a la privacidad, el "rigth to privacy" del derecho anglosajón.La muestra más palpable de lo anterior es la Ley 19.628 de 1999 cuyo desarrollo legislativo demuestra que la protección de datos nace concebida como parte del derecho de las personas a ser dejadas solas.5 Como veremos más adelante nuestra legislación de protección de datos, pese a ser la primera en promulgarse en América Latina, adolece de varias deficiencias que, sin duda, hacen imperiosa la necesidad de mejorar el estándar de protección legal para mejorar los niveles de protección de los derechos de los ciudadanos, en particular pensando en una democracia como la que ha ido construyendo Chile en los últimos 20 años y también para acceder a diversas asociaciones internacionales o grupos de países con los cuales nos interesa relacionarnos o ser parte. En este sentido la incorporación, por ejemplo, de nuestro país a la Organización para la Cooperación y el Desarrollo Económico (OCDE), el club de los países más ricos del planeta, conlleva la superación de muchas exigencias que dicen relación, algunas de ellas, con la protección de las personas en este campo. Por estas razones la mirada hacia Europa es inevitable si se quiere perfeccionar el modelo de protección legal de las actividades de tratamiento de datos personales. Es evidente que las falencias de la actual legislación impiden que nuestro país sea considerado como uno de aquellos que tienen un nivel de protección adecuado. Sin embargo, se están haciendo esfuerzos para perfeccionar la actual legislación sobre la materia, existen proyectos de ley en trámite que revisaremos en las próximas páginas, pero en lo medular, si queremos que los proyectos que vean la luz sean verdaderos aportes a la discusión en la materia y vehículos para implementar mecanismos modernos de protección, es fundamental dejar atrás ciertas dificultades que presenta la Ley 19.628, entre las que podemos señalar a modo ejemplar: a)Ausencia de consagración del principio de finalidad en el tratamiento de los datos personales.Esto referido al principio básico que permite asegurar que los datos personales sean realmente utilizados sólo para los objetivos para los cuales fueron recolectados. b)Deber de información en el tratamiento de datos personales. Nuestra legislación no regula esta sensible materia que debiera permitir que los titulares de datos personales sean informados de los posibles tratamientos que puedan afectarles para los efectos de que puedan ejercer los derechos que les otorga la ley. c)Falta de registro de banco de datos privados. En Chile existe una disposición que señala que las bases de datos del sector público deben estar inscritas en un registro que mantiene el Servicio de Registro Civil e Identificación, pero no han sido incorporadas todas las bases que tiene la obligación de efectuar el registro, por lo que éste ha perdido validez y confianza. En cuanto a las bases tratadas por privados no existe ningún registro que cumpla esa función. d)Ausencia de sanciones por infracción a la normativa. La ley carece de un régimen sancionatorio por el incumplimiento de las obligaciones que impone, lo que evidentemente no lo transforma en un elemento disuasivo para los agentes en este ámbito. e)Recurso de habeas data atrofiado. La forma que ha tomado este recurso en la ley ha traído como consecuencia que, pese a la existencia de un recurso especial para garantizar el ejercicio de los derechos de acceso, rectificación, cancelación y bloqueo de los datos personales, aquél no haya sido utilizado, prefiriendo los operadores jurídicos recurrir por intermedio del recurso de protección a los tribunales de justicia invocando la vulneración de un derecho fundamental, normalmente la privacidad. (6) f)Ausencia de una autoridad de control. No existe esta figura en nuestro país, un símil de la Agencia de Protección de Datos en España, que en forma independiente promueva el respeto por los principios que deben inspirar el tratamiento de datos personales, que conozca de reclamaciones de eventuales afectados, que aplique sanciones de carácter administrativo, entre otras funciones.Esta es quizás la mayor falencia de nuestro cuerpo legal sobre la materia. A modo de resumen consideramos de vital importancia acometer en el breve plazo las modificaciones legales que nos permitan estar a la altura de los países que han plasmado en sus legislaciones, incluso en el nivel constitucional, mecanismos protectores de los derechos fundamentales de las personas que cada vez más están siendo vulnerados por el tratamiento no regulado que hacen terceros de datos personales, datos que obtenidos legítimamente, al ser cruzados, crean verdaderos perfiles de personalidad que pueden ser utilizados para fines comerciales y de marketing directo, pero también para transgredir derechos fundamentales como el derecho al trabajo, derecho a la educación, derecho a desarrollar cualquier actividad económica, etc. 4.- La Ley 19.628 sobre Protección de la Vida Privada y Protección de Datos Personales En el mes de agosto de 1999 entró en vigencia en Chile la Ley 19.628 sobre protección de la vida privada y protección de datos de carácter personal. Primera ley sobre la materia en dictarse en Latinoamérica y que fue dictada con el influjo directo de la LORTAD española. Esta ley fue modificada parcialmente por la Ley 19.812 del mes de junio de 2002. A su vez esta legislación fue complementada con la dictación del Reglamento del Registro de Banco de Datos Personales a cargo de organismos públicos de noviembre del año 2000. Así se fue articulando el cuerpo normativo sobre esta materia, que está siendo revisado actualmente en el Congreso para perfeccionar su funcionamiento y lograr estar a la altura de las circunstancias que imponen los nuevos tiempos. Sin querer entrar a realizar un análisis detallado de la legislación, sí resulta conveniente señalar, en primer lugar, que La Ley 19.628 se estructura en base a un título preliminar, cinco títulos que regulan materias relativas a:La utilización de datos personales; a los derechos de los titulares de los datos; a la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial; al tratamiento de datos realizado por organismos públicos; y a la responsabilidad por las infracciones a la ley; además de un título final. En segundo lugar, y en cuanto a su ámbito de aplicación, la Ley 19.628 cubre todos los tratamientos automatizados o manuales de datos personales que efectúen personas naturales o jurídicas, sean de carácter privado o público. En este sentido recibe la influencia directa de la Directiva Europea. En tercer lugar la ley chilena consagra una serie de principios en relación a las actividades de tratamiento de datos personales, como son el de calidad de los datos; el consentimiento del titular de los datos; el especial tratamiento que debe darse a los datos sensibles (7), entendidos como aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida priva o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual; además del principio de comunicación de los datos. También la ley hace suyos ciertos derechos que otorga a los titulares de datos personales para que puedan hacerlos valer en la instancia y sede que corresponda, tales como el derecho de información en la recogida de datos (8), derecho de acceso, derecho de modificación de los datos, derecho de eliminación o cancelación, derecho de bloqueo, derecho a conocer la comunicación de los datos, derecho de oposición y derecho a la indemnización.Ya está dicho que nuestra legislación no contempló la existencia de una autoridad de control, principal defecto de la ley, además de otras falencias que ya han sido descritas en un capítulo anterior y que deben superarse para que nuestro país ingrese a otro estadio de evolución de protección legal de las personas titulares de datos por actividades de tratamiento realizados por terceros. En este aspecto la norma chilena ha sido criticada, con entera justicia a mi juicio, porque ha promovido la actuación de empresas que operan al alero de la información disponible sin la autorización que debe exigirse de los interesados. 5.- PROYECTOS DE LEY EN TRÁMITE QUE BUSCAN PERFECCIONAR EL SISTEMA Y REGULAR UN VERDADERO ESTATUTO JURÍDICO DE PROTECCIÓN DE DATOS PERSONALES Existen actualmente en tramitación en el Congreso tres proyectos de ley destacados que intentan mejorar la actual Legislación sobre Protección de Datos Personales. El primero es un proyecto de reforma a la Constitución Política, Boletín Nº 5883-07, que incorpora en el artículo 19 Nº 4 la garantía constitucional de la protecci ón de datos personales y dispone la creación de una autoridad de control independiente para el cumplimiento y aplicación de la ley. Luego existe otro proyecto contenido en el Boletín Nº 6120-07 que modifica en gran parte la Ley 19.628 , corrigiendo entre otros aspectos, el derecho de las personas a ejercer un control real y efectivo sobre sus datos, adecúa la legislación a estándares internacionales y otorga facultades al Consejo de la Transparencia (órgano creado para velar por el cumplimiento de la Ley de Acceso a la Información Pública Nº 20.285 para fiscalizar el cumplimiento de las normas sobre tratamiento y protección de datos, conocer de las reclamaciones de particulares relacionadas con el ejercicio de sus derechos y llevar el registro de las bases de datos, públicas y privadas.El Consejo pasa a llamarse Consejo para la Transparencia y Protección de Datos Personales. El proyecto pretende dar respuesta a las exigencias de protección, ya que por una parte, se mejoran los estándares de protección y resguardo de los derechos de los titulares de datos personales y, por otra, se confieren competencias y herramientas necesarias a una autoridad autónoma para velar por el adecuado cumplimiento de las normas de protección de datos. Por último, dentro los proyectos destacados que conviene revisar están los que se contienen en los siguientes Boletines, además de la existencia de una indicación sustitutiva que los refunda y reemplaza: Boletín 5309-03: Modifica la Ley 19.628 estableciendo un sistema de información de datos de carácter personal basado en el comportamiento de las personas y no sólo en la noción de incumplimiento. Señala que modifica el artículo 17 de la ley, que actualmente faculta a los responsables de registros o bancos de datos personales a comunicar información sobre obligaciones económicas, bancarias y comerciales cuando éstas consten en documentos protestados o se trate de incumplimiento de obligaciones contraídas con Bancos, Instituciones Financieras y otras. El fundamento de esta modificación es que un sistema de información comercial basado en el incumplimiento no da cuenta del real comportamiento de las personas, por tanto plantea la incorporación de la deuda positiva (deuda al día) en los informes de comportamiento financiero. Boletín 5356-07: Modifica el artículo 12 la Ley 19.628 estableciendo la obligación del responsable del banco de datos o registros personales de informar al propietario acerca de éstos y a quién ha sido entregada dicha información. Boletín 6298-05:Esta modificación propone la eliminación del Boletín Comercial dependiente de la Cámara de Comercio de Santiago y de la Central de Información de la Superintendencia de Bancos e Instituciones Financieras (SBIF) y establece un sistema consolidado de deudas dependiente del Banco Central. Indicación sustitutiva del Ejecutivo que refunde y reemplaza los tres proyectos anteriores: La indicación tiene cuatro ejes, se refuerzan los derechos de los titulares de los datos; se amplía la información relativa a obligaciones económicas disponible en el mercado financiero, para que además de los datos sobre deudas morosas que hoy existe también se registre el buen comportamiento de pago de las personas; se introducen mecanismos de control de calidad de los datos; y, finalmente, se crea una instancia administrativa para regular, fiscalizar y sancionar a los agentes y ordenar el mercado de la información comercial. Sin duda que estos proyectos en trámite constituyen un progreso sustancial en la materia, en particular, a mi juicio, el que modifica en forma importante la Ley 19.628 , contenido en el Boletín 6120-07, ya que propone regular el reconocimiento explicito de derechos, vale decir, consagra explícitamente el derecho de las personas a controlar sus datos.Además el proyecto muestra otros avances, como el hecho que amplía el margen de los sujetos protegidos al considerar como sujeto activo del derecho de acceso y titulares del habeas data a las personas naturales y a las personas jurídicas. Adicionalmente, el proyecto establece una autoridad de control, dicha función está encomendada al organismo encargado de velar por el acceso a la información pública, cuestión que no comparto, ya que lo que se intenta lograr es un equilibrio entre el derecho de información y la debida protección de los datos personales, en dicho sentido resulta más recomendable dejar ambas tareas a órganos independientes, suficientemente alineados en sus criterios de actuación con miras a lograr el equilibrio señalado, pese a la disyuntiva de si la protección de datos, como un derecho autónomo al derecho a la privacidad del artículo 19, Nº 4 debe tener consagración constitucional o no. El proyecto modificatorio de la ley también fortalece los derechos de información de los titulares de datos, regula el flujo transfronterizo de datos, refuerza el deber de rectificación y corrección de datos, regula un catálogo de infracciones y sanciones, perfecciona el sistema de responsabilidad civil y crea un registro de bancos de datos a cargo de la autoridad de control. Sin duda alguna todas las modificaciones contenidas en estos tres proyectos constituyen importantes avances en la materia y parece razonable avanzar en la discusión para lograr en un corto plazo la aprobación de los proyectos de ley que permitan mejorar el estándar de protección en la materia, lo que traerá indudables beneficios para las personas y para nuestro país en general. 6.- CONCLUSIONES Una vez analizada la situación actual de la protección de datos en Chile y su evolución nacional e internacional, no queda más que instar desde esta tribuna para que la actual legislación sobre la materia sea definitivamente superada.Paradojalmente, la Ley 19.628 , puso énfasis en el derecho a tratar datos de carácter personal y no reconoció como primer derecho, el derecho de los titulares de datos personales a controlar los mismos. Ello hace indispensable acometer las modificaciones a la normativa. Todavía se discute si el derecho a la protección de datos personales es un derecho autónomo o es una especificación de un derecho existente, el derecho a la vida privada, pero es evidente que la protección de las personas en materia de bases de datos y tratamientos automatizados, no puede subsumirse exclusivamente en el respecto a la intimidad y la vida privada, pues ella constituye también un peligro para otras libertades. De esta forma la consagración constitucional de este derecho y una nueva regulación legal darían enorme consistencia a los cambios esperados Las sociedades actuales precisan de un equilibrio entre el creciente flujo de información y la garantía de vida privada de los ciudadanos y el respeto a otros derechos fundamentales. Dotarse de un marco adecuado de protección en esta materia sopesa la carga para lograr este equilibrio. 7.- NOTAS Y REFERENCIAS BIBLIOGRÁFICAS (*) Abogado titulado en la Corte Suprema (1999); Licenciado en Ciencias Jurídicas y Sociales, Universidad del Desarrollo (1999); Máster en Informática y Derecho, Facultad de Derecho Universidad Complutense de Madrid, España. (2002 – 2003); Máster en Relaciones Internacionales y Comercio Exterior, Escuela Internacional de Negocios Áliter de Madrid, España. (2004 – 2005). (1) Pérez Luño, Antonio, Los derechos humanos en la sociedad tecnológica, en Libertad informática, Leyes de Protección de Datos Personales, Cuadernos y Debates, Centro de Estudios Constitucionales, Madrid, 1989, p. 143 y ss. (2) CERDA, Alberto, “Mecanismos de Control en la Protección de Datos en Europa”, Ius et Praxis, año/vol. 12, número 002, Universidad de Talca, Talca, Chile, 2006. (3) CERDA, Alberto. Op. cit., pág. 233. (4) ANGUITA, Pedro, La Protección de Datos Personales y el Derecho a la Vida Privada.Régimen Jurídico, Jurisprudencia y Derecho Comparado, 1ª Edición, Editorial Jurídica de Chile, Santiago, 2007, p. 69. (5) ARRIETA, Raúl, Chile y la protección de datos personales ¿Están en crisis nuestros derechos fundamentales?. Chile y la protección de datos personales: Compromisos internacionales, Ediciones Universidad Diego Portales, Santiago de Chile, 2009. (6) ARRIETA, Raúl. Op. cit. (7) Artículo 2º Letra g) de la Ley 19.628 , publicada en el Diario Oficial el día 28 de agosto de 1999. (8) Pedro Anguita Ramírez en su obra “ La Protección de Datos Personales y El Derecho a la Vida Privada” hace la aclaración de que el derecho de información consagrado en la Ley 19.628 es un derecho de información limitado respecto a la recolección de datos personales efectuada con ocasión de encuestas, estudios de mercado, sondeos de opinión u otros instrumentos semejantes, pero que no confiere a los titulares el derecho a ser informados de modo expreso, preciso e inequívoco, previo a la recogida de datos personales, de un conjunto mínimo de antecedentes como suele recogerse en el derecho comparado, por ejemplo, en el caso de España.
