1 PROYECTOS DE LEY / PROTECCIÓN DE DATOS PERSONALES…Renato Jijena Leiva / Daniela Vasquez CEDI U. de Chile Mayo del 2017
2 “Acá estamos otra vez”, intentando reformas radicales a la Ley 19“Acá estamos otra vez”, intentando reformas radicales a la Ley sin la previa definición de una política pública…: BOLETÍN 6120… BOLETÍN 8143… BOLETÍN … BOLETÍN … 2
3 3
4 Artículo 2° ley 19.628; definición legal:* ¿Qué nos convoca?: El dato personal o nominativo permite identificar cualquier característica de una persona para relacionarse en sociedad... Artículo 2° ley ; definición legal: “f) Datos de carácter personal o datos personales, los relativos a cualquier información concerniente a personas naturales, identificadas o identificables”.
5 ¿De qué tipo de antecedentes nominativos estamos hablando* ¿De qué tipo de antecedentes nominativos estamos hablando?; ¿cuáles debieran ser públicos y cuáles privados?: ...nombre y apellidos; RUT; edad; domicilio; sexo; estado civil; grupo familiar; estudios y profesión; credo religioso; etnia; opción sexual; filiación política, estados de salud (enfermedades, “discapacitados”); datos biométricos (huella digital); renta o ingresos; patrimonio o activos; “bienes raíces”; deudas, créditos o pasivos; morosidad y protestos o insolvencia; hobbies y pasatiempos; viajes; hábitos como consumidor; etc.
6 * Estamos inmersos en un tema de implicancias económicas (sector privado):(i) ...porque el "tratamiento" de datos personales genera la materia prima de la gestión de importantes empresas (bancos, tiendas de retail, cías. de seguros, Isapres, AFP, etc.), y, (ii) ...porque hay un negocio de transferencia de bases de datos que regular en forma idónea, que hoy se desarrolla en una zona oscura, que factura millones (“list brockers”) y que por la mala regulación en realidad está desregulado. 6
7 * Téngase presente desde ya: es muy grave la opción de suprimir el registro obligatorio de responsables de bases de datos… 7
8 * Las LPDP surgen a fines de la década de los 70 en Europa….* En esencia, apuntan a regular, para que se desarrolle en forma equilibrada, el procesamiento electrónico o "tratamiento" de datos personales o nominativos que realicen los llamados "responsables de bases de datos" (RBD), públicos y privados; ¿cómo?: 8
9 (i) ...dándole herramientas a los titulares de los datos como el llamado "habeas data" o derecho de acceso, y estableciendo principios como la obligación de secreto o el respeto de la finalidad declarada al recolectarse la información nominativa -parte dogmática-; (ii) ...consagrando una Autoridad de Control que administra un registro obligatorio de RBD y aplica sanciones administrativas -parte orgánica-; 9
10 (iii) ...contemplando un procedimiento contencioso administrativo para que los titulares hagan valer su "derecho de acceso" de manera sumaria y breve parte procedimental-; y, (iv) ...estableciendo sanciones civiles, multas e incluso sanciones penales -parte sancionatoria-. 10
11 * La ley posee una parte dogmática débil, no tiene parte orgánica real (SRC), no contempla procedimientos administrativos de tutela sino uno judicial, y no posee un arsenal sancionador adecuado. * En Chile…, se usan los datos con diversos fines, no apegados a los declarados al ser recopilados: ...se requiere fiscalización administrativa del uso de datos realmente conforme a los fines declarados.
12 * En Chile, …la exigencia de consentimiento previo y expreso del titular y propietario no se cumple (artículo 4° ley / excepciones); …PLE propone consentimiento tácito. * En Chile…, los RBD son anónimos, porque no están registrados ante una Autoridad de Control que administre el registro; …PLE lo suprime por costos administrativos, supuestamente siguiendo el criterio de la Unión Europea (¡Chile no tiene 40 años de institucionalidad! y esto mantiene la impunidad del tráfico de bases de datos con fines de lucro).
13 * …Los nuevos proyectos buscan optimizar los aspectos dogmáticos; el PLE contempla la existencia de un órgano competente; el PLE propone reemplazar el procedimiento judicial por un contencioso administrativo; ambos le conceden la importancia debida a la seguridad de sistemas; y ambos explicitan las posibles sanciones o multas pecuniarias (altas -para las pymes-, sin parámetros de cálculo y con el error de llegar a impedirse el funcionamiento vía sanciones accesorias). * …Porque buscan acercarse a estándares de la OECD y de la Unión Europea, ambos aumentan los deberes, las cargas, las responsabilidades y las sanciones para los RBD, y mejoran sustancialmente los derechos para los titulares y propietarios de la información nominativa. 13
14 * ¿Idoneidad de la institucionalidad propuesta por el Boletín 11.144?.Salvo el nombre de “Agencia” (Dirección Nacional de Protección de Datos), los roles fiscalizadores, reguladores y promocionales asignados al órgano de control unipersonal (ADP) propuesto son idóneos, y los grados de descentralización funcional que el derecho chileno le asignaría también son adecuados para una primera etapa de instalación y posicionamiento… * La regla general son las Autoridades unipersonales y el único caso donde deficitaria y erradamente se mezcla este tema con el ámbito de la probidad y la transparencia es México… 14
15 * Falta de idoneidad del Consejo de Transparencia con duplicidad de roles (no unanimidad).15