1 Datos Personales Proyecto de Ley: Protección de“El tiempo de los derechos” Retail Financiero A.G. Mayo de 2017

2 Moción de los Honorables Senadores señores Harboe, Araya, De Urresti, Espina y Larraín, sobre protección de datos personales (Boletín ), refundido con el Mensaje de S.E. la Presidenta de la República, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (Boletín Nº )

3 Introducción Diagnóstico de la actual legislaciónRazones que motivan el perfeccionamiento Perfeccionamientos previos de la ley actual Análisis de contenidos de los proyectos

4 Introducción El concepto que guía nuestra presentación es la definición de la experta internacional Ana Garriga*: “Se entiende por protección de datos personales el estatuto jurídico destinado a definir las condiciones sobre las cuales terceros podrán hacer uso de datos que conciernen a una persona. Ello principalmente porque un mal uso de dichos datos puede afectar su entorno personal, social o profesional desde las esferas públicas de su persona hasta los límites de su intimidad. De esta definición resulta necesario clarificar que la protección de datos no persigue abstraer del conocimiento público la información de una persona, sino dotarla de los medios necesarios para controlar quién, cómo, dónde y con qué motivo conoce cualquier información acerca de su persona, sea ésta calificable como íntima o no, pública o secreta”.

5 *ANA GARRIGA DOMÍNGUEZEs Profesora Titular de Filosofía del Derecho de la Universidad de Vigo y, en la actualidad, Directora de la Escuela Superior de Ingeniería Informática de esa Universidad. Asimismo es Directora del Laboratorio “Sociedad de la Información y derechos humanos” de la Universidad de Vigo, Laboratorio Consolider-Ingenio 2010.

6 Introducción Nuestra industria valora la presentación de ambos proyectos de ley, porque estimamos necesario perfeccionar la regulación dada la masificación de las tecnologías de información. Reconocemos la titularidad –consagrada en estos proyectos de ley– que tienen las personas sobre sus datos, como también la propiedad de las empresas respecto de los sistemas de compilación que permiten entregar a sus clientes o usuarios mejores productos y servicios.

7 Introducción Creemos fundamental que la regulación que se decida para nuestro país converja con el uso que se le da a los datos personales a nivel internacional, de tal manera de evitar que la regulación local genere desigualdades a favor de los proveedores transfronterizos. Específicamente: Competencia desleal internacional Mayores Costos para las empresas locales

8 Introducción Compartimos la creación de una Agencia de Protección de Datos Personales, pero con un gobierno corporativo que esté a la altura de sus desafíos y que sea coherente con la institucionalidad que se ha ido estableciendo como estándar en nuestro país. Más allá de las facultades que el proyecto del Ejecutivo le otorga a la Agencia, estimamos que una de las principales tareas, sobre todo en una primera etapa, será la de promover una cultura de autorregulación bidireccional (Instituciones y ciudadanía).

9 Introducción Consideramos indispensable promover la autorregulación de todos los que tratan datos personales y la educación a los ciudadanos para que sean conscientes de la relevancia de sus datos; sin autocontrol, no existirá una protección efectiva a los ciudadanos en sus relaciones con todo tipo de organizaciones, públicas o privadas, nacionales o internacionales, empresariales o no, etc.

10 Diagnóstico de la actual legislación Introducción Diagnóstico de la actual legislación Razones que motivan el perfeccionamiento Perfeccionamientos previos de la ley actual Análisis de contenidos de los proyectos

11 Diagnóstico de la actual legislación¿Por qué necesitamos avanzar y perfeccionar el actual marco regulatorio? Porque la actual Ley : Está en general desactualizada. Sólo ha tenido en los últimos 20 años numerosos perfeccionamientos en el ámbito de los datos económicos y comerciales. No tiene una institucionalidad que haga exigible los mandatos del actual marco regulatorio.

12 Diagnóstico de la actual legislación¿Por qué necesitamos avanzar y perfeccionar el actual marco regulatorio? Porque la actual Ley : No promueve la comercialización de servicios transfronterizos. No genera incentivos a la aplicación de mayores estándares en las políticas de tratamientos de datos personales y la implementación de mecanismos de seguridad.

13 Diagnóstico de la actual legislación¿Cuáles son los avances que ha habido en los últimos 20 años? Rebaja los plazos de publicación de las deudas morosas e impagas de 7 y 3 años, a 5 y 0, respectivamente. Prohibió la publicación de las deudas contraídas por servicios de electricidad, agua, teléfono y gas. Ningún empleador podrá condicionar la contratación de trabajadores al uso de información de carácter económico, financiero, bancario o comercial. Prohibió la comunicación de información de deudores del INDAP. Borró las deudas impagas al 1 de mayo de 2002, inferiores a $2 millones. Ley (2002) Ley (2010) Prohíbe la comunicación de la información económica, financiera, bancaria o comercial, especialmente los protestos, ocasionada durante el período de cesantía del deudor.

14 Diagnóstico de la actual legislación¿Cuáles son los avances que ha habido en los últimos 20 años? Ley (2011) Prohíbe predictores de riesgo comercial que no se basen únicamente en información objetiva relativa a las morosidades o protestos de las personas naturales o jurídicas de las cuales se informa. Consagra como finalidad exclusiva de las operaciones de tratamiento de datos de carácter económico, financiero, bancario o comercial la evaluación de riesgo comercial y para el proceso de crédito. Limita los destinatarios de la información (sólo comercio establecido y entidades que participen de la evaluación de riesgo comercial). Obliga a implementar los principios universalmente aceptados para el tratamiento de datos personales. Ley (2012)

15 Diagnóstico de la actual legislación¿Cuáles son los avances que ha habido en los últimos 20 años? Crea la figura del Encargado de Tratamiento de Datos. Se prohíbe comunicar las deudas contraídas con concesionarios de autopistas por el uso de su infraestructura. Se prohíbe a los prestadores de salud consultar sistemas de información comercial, ni aún con el consentimiento del paciente, para efectos de condicionar o restringir una atención de urgencia. Borró las deudas impagas al 31 de diciembre de 2011, inferiores a $2.5 millones. Ley (2012)

16 Análisis de contenidos de los proyectosIntroducción Diagnóstico de la actual legislación Razones que motivan el perfeccionamiento Perfeccionamientos previos de la ley actual Análisis de contenidos de los proyectos

17 Análisis de los contenidos del proyectoAgencia de Protección de Datos Personales Sanciones accesorias Coexistencia de APDP y SERNAC Modelos de prevención de infracciones Consentimiento Costos de la regulación e implementación gradual Tratamiento de datos económicos, financieros y comerciales

18 Agencia de Protección de Datos Personales (APDP)“Organismo público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, encargado de velar por el cumplimiento de la normativa relativa al tratamiento de los datos personales y su protección, sometido a la supervigilancia del Presidente de la República a través del Ministerio de Hacienda y afecto al Sistema de Alta Dirección Pública establecido en la ley N° ” (Artículo 30 Boletín N° ). “La dirección y administración superior de la Agencia de Protección de Datos Personales estará a cargo de un Director o Directora, quien será el jefe superior del Servicio, nombrado por el Presidente de la República conforme al Sistema de Alta Dirección Pública regulado en el título VI de la ley N° , afecto al primer nivel jerárquico.” (Artículo 33 Boletín N° ).

19 Agencia de Protección de Datos Personales (APDP)Es fundamental contar con una APDP autónoma e independiente. El gobierno corporativo de la APDP es la clave para que se le pueda dotar de todas las atribuciones que se consideran necesarias para lograr sus objetivos. El modelo a seguir debiera ser el de la Ley , que creó la Comisión para el Mercado Financiero.

20 Estructura InstitucionalAgencias en el Derecho Comparado (a1) País Data Autoridad Apl. Púb. Priv. APD Estructura Institucional Australia 1988 Ambos Comisario de Información Comisionado es nombrado por el Gobernador General de hasta 5 años. Alemania 2009 Comisionado Federal para la Protección de Datos y Libertad de Información Autoridades Estatales Independientes. Autoridad Federal con estatus legal y administrativo especial. Bélgica 2004 Comisión para la Protección de la Privacidad Autoridad de supervisión independiente bajo los auspicios de la Cámara de Representantes. Canadá 1977 Oficina de la Comisionada de Privacidad El Gobernador en Consejo nombra un Comisionado de Privacidad después de consultar con el líder de cada partido reconocido en el Senado y la Cámara de los Comunes y la aprobación del nombramiento por resolución del Senado y la Cámara de los Comunes. Las funciones las desempeña durante un período de siete años, pero puede ser removido por el Gobernador en Consejo en cualquier momento con aprobación del Senado y la Cámara de los Comunes.

21 Estructura InstitucionalAgencias en el Derecho Comparado (a2) País Data Autoridad Apl. Púb. Priv. APD Estructura Institucional España 1993 Ambos Agencia Española de Protección de Datos Ente de Derecho Público con personalidad jurídica propia y plena capacidad pública y privada. Actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones. Francia 1978 Comisión Nacional de Informática y Libertades Autoridad administrativa independiente. 12 de los 17 miembros son elegidos o designados por las asambleas o los tribunales a las que pertenecen. La CNIL elige a su Presidente de entre sus miembros; no recibe instrucciones de ninguna autoridad. Los ministros, autoridades públicas, líderes empresariales, públicas o privadas, no pueden resistir su acción. El Presidente de la CNIL recluta libremente sus empleados.

22 Estructura InstitucionalAgencias en el Derecho Comparado (a3) País Data Autoridad Apl. Púb. Priv. APD Estructura Institucional Italia 1997 Ambos Garante de la protección de datos personales Órgano colegiado elegido por el Parlamento por un período de 7 años. Nueva Zelandia 1993 Oficina de la Comisionada de Privacidad Entidad independiente del Gobierno y la Corona. Reino Unido 1984 Oficina del Comisionado de Información Autoridad independiente. Uruguay 2008 Unidad Reguladora y de Control de Datos Personales Organismo descentralizado, con autonomía técnica de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (AGESIC) - Los miembros del Consejo son nombrados por el Poder Ejecutivo.

23 Agencias en Chile (b) Facultades Interpretativa Normativa InspectivaSancionadora Demandar Denunciar Requerir Mediadora Acción Colectiva Banco Central ü ü  Consejo para la Transparencia SBIF SERNAPESCA Dirección del Trabajo INE* Coordinador Eléctrico Nacional Comisión para el Mercado Financiero FNE SERNAC*

24 Coexistencia de APDP y SERNAC¿Cómo se garantiza la imparcialidad y trato simétrico respecto de organismos tan diversos como el Servicio de Impuestos Internos, la Superintendencia de Bancos e Instituciones Financieras, la Comisión para el Mercado Financiero, la Tesorería General de la República y el SERNAC, por nombrar algunos ejemplos? Relevancia de la autonomía ¿Cada organismo es autónomo en regular materias relativas a protección de datos personales dentro de la esfera de sus atribuciones? ¿Nueva ley de datos personales sería meramente supletoria? Riesgo de incoherencias regulatorias

25 Desafío para la implementación en regionesCoexistencia de APDP y SERNAC Necesidad de derogar el artículo 28 B de la Ley Sobre Protección de los Derechos de los Consumidores para resguardar integridad y consistencia de la regulación de datos personales. La revisión de eventuales cláusulas abusivas en relación a datos personales, debiera efectuarse exclusivamente por la APDP y no por el SERNAC aplicando el artículo 16 letra g) de la Ley Desafío para la implementación en regiones Lograr prontamente que la Agencia sea efectivamente la única autoridad en esta materia.

26 Consentimiento “Toda manifestación de voluntad libre, específica, inequívoca e informada mediante la cual el titular de datos, su representante legal o mandatario, según corresponda, autoriza el tratamiento de los datos personales que le conciernen.” (Artículo 1 letra o), Boletín Nº ). “El consentimiento del titular debe ser libre e informado, otorgarse en forma previa al tratamiento y debe ser específico en cuanto a su finalidad o finalidades. Debe manifestarse de manera inequívoca, mediante una declaración verbal, escrita o realizada a través de un medio electrónico equivalente o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.” (Artículo 12 inciso 2°, Boletín Nº ).

27 Consentimiento “El consentimiento es toda manifestación de voluntad libre, inequívoca, específica e informada, mediante la que el titular autoriza el tratamiento de sus datos personales. La persona que autoriza debe ser debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible comunicación o cesión a terceros.” (Artículo 5 inciso 1°, Boletín N° ).

28 Consentimiento Se reconoce adecuadamente que existen diversos tipos de consentimientos, destacándose que la regla general para tratar datos personales es el consentimiento inequívoco. El consentimiento inequívoco es clave en la aplicación sobreviniente de los contratos entre titulares de datos personales y los responsables de una base de datos. Es positivo que se reconozcan los diversos medios tecnológicos a través de los cuales se puede acreditar el consentimiento. Recomendamos que el proyecto haga referencia a la Ley que regula la firma electrónica y la define como “cualquier sonido, símbolo o proceso electrónico que permite al receptor de un documento electrónico identificar al menos formalmente a su autor”.

29 Tratamiento de datos económicos, financieros y comerciales“Los responsables de los registros o bancos de datos o quienes efectúen tratamiento de datos personales a fin de determinar la capacidad crediticia de una persona, sólo podrán tratar datos de carácter personal solo para la finalidad prevista en la ley Nº y obtenidos de los registros y las fuentes accesibles al público establecido al efecto o procedente de informaciones facilitadas por el interesado o con su consentimiento. También podrán tratarse los datos de incumplimiento facilitados por el acreedor o por quien actúe por su cuenta. Quien se dedique al tratamiento de estos datos, notificará a los interesados el hecho que sus datos están siendo tratados, por la vía más expedita posible dentro del plazo de 15 días.” (Artículo 22 inciso 1°, Boletín Nº ).

30 Tratamiento de datos económicos, financieros y comercialesCompartimos la visión de la moción en el sentido de ampliar el alcance de los datos económicos, de manera que lo que los caracterice sea la finalidad de los mismos y no el documento o instrumento del que emanan. Creemos que es tiempo de terminar con la cultura de la desconfianza en el uso de este tipo de datos personales. Ello implica: No sustraer la información que emana de obligaciones de servicios públicos. Confiar en que el sistema de tutela de derechos que se busca incorporar es capaz de disuadir el mal uso y en el extremo sancionarlo.

31 Derecho de cancelación“Artículo 7.- Derecho de cancelación. El titular de datos tiene derecho a solicitar y obtener del responsable la cancelación o supresión de los datos personales que le conciernen cuando éstos no resulten necesarios en relación con los fines del tratamiento; cuando haya retirado su consentimiento para el tratamiento y éste no tenga otro fundamento legal; cuando se trate de datos caducos; cuando los datos hayan sido obtenidos o tratados ilícitamente por el responsable o cuando la cancelación deba realizarse para el cumplimiento de una obligación legal.”.

32 Derecho de cancelaciónSin perjuicio de lo anterior, no procede la cancelación o supresión de los datos en los siguientes casos: (…) e) Cuando se requieran para la formulación, ejercicio o defensa de una reclamación formulada en el marco de esta ley.” (Artículo 7 inciso 1°, Boletín ). Es necesario que la excepción de la letra e) se amplíe a cualquier reclamación o juicio en que se afecte la relación entre el tratante y el titular de los datos. De lo contrario, el ejercicio del derecho de cancelación afecta el derecho a defensa de una de las partes. No se debiera prohibir al acreedor afectado a mantener y almacenar los datos de un deudor cuya relación contractual da cuenta de una deuda no pagada, ni aún cuando hayan pasado 5 años desde que se hizo exigible.

33 Sanciones accesorias “En caso que se impongan multas por infracciones graves o gravísimas reiteradas y existan circunstancias debidamente justificadas, la Agencia de Protección de Datos Personales podrá disponer la suspensión de las operaciones de tratamiento de datos por parte del responsable de datos hasta por un término de 30 días.” (Artículo 42 inciso primero, Boletín Nº ). “Si el responsable no da cumplimiento a lo dispuesto en la resolución de suspensión, esta medida se podrá prorrogar por otros 30 días, hasta completar un período máximo de 6 meses de suspensión. De persistir el incumplimiento, el responsable no podrá volver a desarrollar actividades de tratamiento de datos personales.” (Artículo 42 inciso tercero, Boletín Nº ).

34 Sanciones accesorias Suspender el tratamiento de datos personales implica paralizar totalmente las actividades de múltiples empresas, por lo que es desproporcionado que la sanción accesoria sea más grave que la principal (multa). Es indispensable establecer un catálogo de exenciones y atenuaciones de responsabilidad, pues también es desproporcionado castigar con este tipo de sanciones a sujetos por actuaciones de terceros.

35 Modelo de prevención de infracciones“Los responsables de datos, sean personas naturales o entidades o personas jurídicas, públicas o privadas, podrán adoptar modelos de prevención de infracciones…” (Artículo 52, Boletín Nº ). “Los responsables de datos que incurran en alguna de las infracciones previstas en el artículo 38 podrán atenuar su responsabilidad si acreditan haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales bajo su responsabilidad o tratamiento.” (Artículo 54, Boletín Nº ).

36 Modelo de prevención de infraccionesHasta el momento, la única regulación de modelos de prevención se encuentra en la Ley de responsabilidad penal de las personas jurídicas. Por coherencia regulatoria, es recomendable que así como se homologan las exigencias de los modelos de prevención, se le apliquen las mismas consecuencias jurídicas a quienes implementan estos modelos de prevención, incluyéndose por consiguiente la posibilidad de configurar una exención de responsabilidad.

37 Costos de la regulación e implementación gradual“Las modificaciones a las leyes Nº , sobre protección de la vida privada, y Nº , sobre acceso a la información pública, contenidas en el artículo primero y segundo, respectivamente, de la presente ley, entrarán en vigencia el día primero del mes décimo tercero posterior a la publicación de la presente ley en el Diario Oficial.” (Artículo primero transitorio, Boletín Nº ). “Las bases de datos constituidas con anterioridad a la entrada en vigencia de la presente ley deberán adecuarse a los términos previstos en ella dentro del plazo de cuarenta y ocho meses, contado desde su entrada en vigencia. Con todo, los titulares de datos podrán ejercer los derechos que les confiere esta ley ante el responsable de datos, a partir de la entrada en vigencia de la ley.” (Artículo segundo transitorio, Boletín Nº ).

38 Costos de la regulación e implementación gradualLa implementación de la nueva legislación conlleva inevitablemente mayores costos para todas las entidades que tratan datos personales. Contar con una adecuada y oportuna difusión de sus contenidos. Efectuar una correcta capacitación de los funcionarios que se integrarán a la APDP. Por lo anterior, es indispensable una entrada en vigencia progresiva de la ley: 12 meses después de la puesta en marcha de la APDP. Y mantener el plazo de 5 años de adecuación del stock de las bases de datos actuales.

39 Datos Personales Proyecto de Ley: Protección de“El tiempo de los derechos” Retail Financiero A.G. Mayo de 2017