El RUT ¿Un dato de carácter personal?

Acceso a la información pública Colaboradores invitados datos personales TransparenciaPublished enero 9, 2011 at 10:24 pm 1 Comment

Este artículo es una colaboración del abogado Alfredo Steinmeyer.

El estado de la protección de datos personales en nuestro país ha cobrado importancia durante los últimos años. La regulación establecida en la Ley 19.628, sobre Protección de Datos Personales, a la luz de los avances en las tecnologías de información y transmisión de datos personales, ha devenido en insuficiente, sus principios son contradictorios y además no responde a estándares mínimos internacionales; es decir, está obsoleta.

La protección de datos personales parte del principio de la autodeterminación informativa, que significa que el titular de un dato de carácter personal tiene derecho a conocer, acceder, rectificar, cancelar y controlar las informaciones concernientes a sí mismo. Esto es precisamente lo que nuestra legislación ha olvidado, toda vez que no consagra expresamente el derecho de las personas a controlar sus datos. En su lugar, se limita a establecer el derecho a efectuar tratamiento de datos personales, con referencia a que tal tratamiento debe respetar los derechos de los titulares. Asimismo, parte de la base de que la información objeto de tratamiento es pública y que, por tanto, no requiere de la autorización de sus titulares para procesarse.

Es en este contexto en que se buscará, a continuación, dilucidar si el RUT es un dato de carácter personal y cuáles son los efectos de su tratamiento. Especialmente considerando el uso masivo que hoy se hace de él, su valoración como extensión del nombre y la ignorancia que existe respecto a las consecuencias de su divulgación.

Distinción entre RUT y RUN

Lo primero que debe tenerse en cuenta es que, no obstante tratarse de datos idénticos, no es lo mismo hablar de RUT que de RUN. En efecto, el RUN (Rol Único Nacional) es el número de identificación único e irrepetible que posee toda persona natural, mientras que el RUT (Rol Único Tributario) es un instrumento que permite identificar a todos los contribuyentes del país, sean éstos personas naturales o jurídicas.

En consecuencia, las personas naturales tienen RUT y RUN, mientras que las personas jurídicas sólo tienen RUT. En todo caso, el sistema y la numeración que identifica a las personas naturales es el mismo que el utilizado para identificarlo como contribuyente. Por tanto, el número RUT y RUN es idéntico.

Legalmente el dato RUT sólo es de aplicación tributaria y su objetivo no es el de identificar personas, sino a contribuyentes. En la práctica, se trata de un número identificativo que permite indexar computacionalmente información nominativa referida a las personas naturales y jurídicas[1]. Su confección, mantención y actualización es responsabilidad del Servicio de Impuestos Internos, el que debe dictar las normas técnicas que sean necesarias y mantener y concentrar en su Dirección Nacional “la información de todos los contribuyentes del país”.

Por último, ha de tenerse presente que aún cuando el RUT sirva para identificar contribuyentes y no personas, dado que su contenido será el mismo que el RUN, entonces siempre nos permitirá identificar a una misma persona. La distinción pierde sentido, entonces, si digitando uno u otro número llegamos siempre a identificar a su titular, sea en su condición de persona natural o contribuyente.

¿Dato personal?

Para que se esté en frente de un dato personal éste debe estar referido a una persona natural identificada o identificable. En nuestra legislación sólo las personas naturales son titulares de datos personales. No lo son, por tanto, las personas jurídicas y, en consecuencia, no les son aplicables las garantías que establece la Ley 19.628, sobre Protección de Datos Personales.

Dada esta definición de dato de carácter personal, lo que interesa ahora es saber si la información contenida en el RUT o RUN permite identificar a su titular.  Si lo permite de manera directa -por ejemplo el RUN está asociado con el nombre y apellido del titular del derecho- estaremos ciertamente ante un dato de carácter personal. Si no lo permite a simple vista, habrá de analizarse si la persona titular de la información contenida en el RUN resulta identificable. Al respecto, se considera que una persona es identificable cuando su “identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considera identificable si dicha información requiere plazos o actividades desproporcionadas”.

De manera que si la información contenida en el RUN permite identificar al titular del derecho mediante operaciones relativamente simples- por ejemplo, introduciendo la información contenida el RUN en un buscador tipo google- entonces estaremos frente a un dato de carácter personal. Si no lo permite, o para hacerlo se requiriera efectuar operaciones complejas, entonces no estaremos frente a un dato de carácter personal.

En la práctica, aún cuando el RUN no estuviese asociado a otro dato que permita identificar de manera directa a su titular, lo cierto es que incluso analizado como dato aislado es relativamente fácil saber a quién corresponde, quién es su titular. No se trata de operaciones complejas o que requieran de plazos extensos, sino que de operaciones sumamente sencillas. Así, por ejemplo, basta ingresar a la página del Servicio de Registro Electoral para que, ingresado el RUN de una persona en un buscador, obtengamos su(s) nombre (s), apellidos y comuna en la que reside. Cuestión similar ocurre si con el mismo dato vamos a DICOM, donde no sólo obtendremos el nombre y apellido de una persona sino que también su información crediticia.

De manera que cualquier discusión que se desee realizar para analizar el grado de protección que merece el dato RUN,  debe partir de la base de que nos encontramos frente a un dato de carácter personal. En esa condición será acreedor de la protección que ofrece la Ley 19.628, sobre Protección de Datos Personales, especialmente lo dispuesto en su artículo 7°, que establece la obligación de los órganos públicos y privados a guardar secreto sobre los mismos, cuando provengan o hayan sido recolectados de fuentes no accesibles al público.

¿Importa que el RUT sea el nombre en sí mismo?

Se ha planteado que dado el uso extensivo que se hace del RUN en nuestro país, éste pasaría a tener la misma naturaleza que el nombre y apellido de una persona, o bien, transformarse en una extensión del mismo. Luego, como es improbable que una persona alegue que el conocimiento de su nombre y apellido pueda afectar la protección de sus datos personales, tampoco lo podría hacer el conocimiento del RUN.

Vale la pena detenerse en este punto para aclarar que el nombre y apellido de una persona es un dato personal por definición. Por cierto, su conocimiento no afecta el derecho de su titular salvo en casos específicos que la legislación prohíbe su divulgación. Así ocurre, por ejemplo, con la divulgación de los nombres de los menores de edad que han cometidos delitos o que han sido víctimas de uno. Pero son casos en los que más bien se busca resguardar el derecho a la intimidad o la honra de una persona o, si se quiere, el respeto a tratados o convenciones, mas no la protección de sus datos personales. Por ello, es difícil construir una argumentación consistente que explique por qué el conocimiento que se tenga del nombre de una persona vulneraría sus datos personales.

A mayor abundamiento, bien podría decirse que el nombre y apellido de una persona es, en esencia, un dato contenido en una fuente accesible al público y que por tanto no puede tener carácter reservado.

No obstante lo anterior, debe observarse que el problema no reside específicamente en el conocimiento del dato “nombre” o en el conocimiento del dato “RUN”. En efecto, el problema está dado por la información que se pueda obtener a partir de ese dato. Ésta es de hecho la discusión que hoy se está dando con el uso masivo de las denominadas redes sociales y con los buscadores tipo Google. Basta tener el nombre de una persona para que a través de Facebook podamos acceder a una infinidad de información personal. Así, fácil será acceder a la foto, sexo y edad de una persona  y, dependiendo de las políticas de privacidad que haya elegido y a los datos que haya publicado, a sus creencias religiosas, políticas, lugar de estudio, trabajo y amigos.

Algo similar sucede hoy con el RUN. Con todo, a diferencia del nombre, el RUN no se presta para equívocos. En otras palabras, los datos asociados al nombre pueden no ser correctos mientras que los datos asociados al RUN sí lo serán (o al menos hay una buena probabilidad de que lo sean). Por ejemplo, una persona podría colocar casi cualquier cosa en Facebook respecto de sí misma y sería difícil verificar que dicha información sea real. No sucede lo mismo con el RUN pues la información indexada a él tiene mayores garantías de autenticidad. La razón reside en que la fuente de información no somos nosotros sino que los órganos encargados de elaborar este dato, a saber, el Servicio Nacional de Registro Civil o el Servicio de Impuestos Internos, según corresponda, e incluso será fidedigna cuando seamos nosotros mismos quienes lo otorguemos, porque esperamos recibir un beneficio o porque estamos obligados a hacerlo. En efecto, ningún sentido tendría que entregásemos un RUN falso al supermercado que nos otorga puntos o descuentos, o a la clínica u hospital que nos pide nuestros datos para otorgar un bono o beneficio. Innumerables ejemplos se pueden dar con los datos proporcionados a bancos, supermercados, farmacias, comercio,  órganos públicos, etc.

Un segundo punto- no menos importante por cierto- dice relación con que el dato RUN es único mientras que el dato nombre y apellido no lo es. Es común encontrar a personas con el mismo nombre y apellido, lo que hace difícil saber a cuál de esas personas corresponde, por ejemplo, una dirección determinada. Incluso podría darse el caso de personas con el mismo nombre, apellido paterno, materno y fecha de nacimiento. Luego, la única forma de poder distinguirlas será otorgándoles un número de identificación único e irrepetible, en este caso, el RUN.

Entonces, la información a la que podemos acceder con este dato no sólo es amplia (datos de salud, financieros, de consumo, etc.) sino que además es- o probablemente lo sea- auténtica y única. Es lo que se denominará como  información confiable.

Concluyendo

Posiblemente el problema con la protección de datos personales en nuestro país no sólo se deba a una regulación deficiente, sino que además a la poca conciencia que existe respecto de los efectos que produce o puede producir el tratamiento indiscriminado, sin previa autorización y consentimiento de datos personales; dificultad para emplearse, discriminación a la hora de acceder a beneficios de salud o al crédito son sólo algunos ejemplos de los problemas asociados a esta conducta.

Piénsese tan sólo por un momento en la cantidad de instituciones, organizaciones o entidades, públicas o privadas, que tienen bases de datos personales. ¿Sabemos quién está en posesión de nuestros datos?, ¿sabemos para qué? ¿A quién son cedidos?, ¿o si cumplen con normas mínimas de seguridad?

El conocimiento que se tenga del RUN facilita el acceso a una cantidad considerable de información personal. Si a esto le sumamos su calidad de dato confiable, de fácil recolección, indexación y transmisibilidad, no es extraño que hoy se haya transformado en una información codiciada por diversas instituciones financieras, de comercio y salud. Las bases de datos y dentro de ellas, especialmente el RUN, son el cimiento sobre el cual estas empresas o instituciones ejecutan sus actividades. Sin información o con mala información sería dificultoso- sino imposible-llevar a cabo las mismas. No podrían predecir comportamientos de consumo, preferencias, otorgar beneficios o hacer predicciones de riesgo.

Por otro lado, si bien es cierto que en su esencia el RUN es lo mismo que el nombre y apellido de una persona (ambos sirven para identificarla), la diferencia  radica en que la identificación a través del RUT será auténtica, aún bajo un manto de aparente anonimato, y que los datos que podemos acceder a través del RUN son muchísimo más amplios de los que podríamos acceder si sólo conociéramos el nombre.

No obstante lo anterior, esta condición de dato confiable merece una segunda lectura. Habrá casos en que el conocimiento que se tenga de este dato será, cuando menos, necesario. Cómo saber que un beneficio se otorga a una persona que realmente existe si no es con el conocimiento que se tenga del RUN; o cómo podría verificarse que una persona no aparece contratada dos veces si no es con el conocimiento que se tenga del RUN. El conocimiento del RUN facilita en algunos casos el control social.

En consecuencia, el dato RUN es un dato de carácter personal pues está referido a una persona identificada o identificable, y la información que a través de él se puede acceder es amplia y confiable. Su condición de dato personal es inescapable y cualquier tesis que quiera eludirlo se topará, tarde o temprano, con las dificultades de explicar por qué un dato que calza perfectamente con la definición de dato personal no es considerado como tal.

Así considerado, el dato RUN merece, prima facie, la protección que establece la Ley 19.628, sobre Protección de Datos Personales. Sin perjuicio de lo anterior, ha de tenerse presente que en algunos casos su conocimiento podría resultar necesario para facilitar el control social, la transparencia y para no hacer ilusorio el derecho de acceso a la información. En un análisis que será caso a caso y aplicando el denominado test de daño, podría resolverse la publicidad del RUN, considerando que no obstante el daño producido, éste será menor que el beneficio causado con su divulgación.

---

[1] JIJENA, Renato, “Consideraciones Jurídicas sobre los datos RUN y RUT”