También recomienda que los órganos públicos nombren un encargado de protección de datos, para facilitar el cumplimiento de las obligaciones establecidas en la ley Nº 19.628 y una mejor observancia de las presentes Recomendaciones,  y constituya un contacto efectivo en la materia con el Consejo para la Transparencia.

Por Eduardo Orellana Nenen,  Profesor en Estado de Filosofía Usach y

estudiante de primer año de Periodismo Vespertino Usach.

De la protección de datos, los modelos internacionales de protección, la ley 19.628 y los futuros debates parlamentarios al respecto, versó la Charla “Protección de datos personales: un desafío actual”, que la abogada de la Universidad de Valparaíso y miembro de la RED Iberoamericana de Protección de Datos, Romina Garrido, dictó a los estudiantes de Periodismo Vespertino Usach, con el fin de contribuir en sus competencias frente al tema de la protección de datos personales en nuestro país.

Como señaló la coautora del sitio Protecciondedatospersonales.cl , los datos personales son relativos a cualquier información concerniente a personas naturales, identificadas o identificables. A su vez, la protección de datos es la garantía de controlar la propia información frente al tratamiento manual o automatizado, “la facultad de decidir por sí mismo cuando y dentro de qué límites la persona podrá revelar situaciones referentes a su propia vida”, concluyó.

En tal sentido, la protección de datos es una garantía individual, inherente a todo ser humano. A juicio de la magíster (c) de la Universidad de Chile esta garantía reconoce una serie de limitaciones jurídicas respecto a la libertad de expresión, el legítimo derecho a “saber” y la voluntad de la persona.

En Chile, la Ley de Transparencia en materia de protección de datos, entrega al Consejo la atribución de velar por el debido cumplimiento de la Ley 19.628 -sobre protección de datos de carácter personal- respecto de los órganos de la administración del Estado. Esta amplia facultad no lleva aparejada facultades de sanción por parte de la institución, indicó la abogada Garrido.

Quienes tratan los datos en Chile son particulares sujetos a las reglas de la Ley 19.628 y el Estado. Respecto a quienes controlan a los entes tratantes de datos en Chile, la circulación de datos personales como la libertad de prestación de servicios, la libre competencia, la neutralidad tecnológica, la compatibilidad internacional, equivalencia de los soportes, no alteración de las categorías del ordenamiento jurídico, la mínima intervención y la libre circulación de la información, determinarán el debate parlamentario local, frente a los múltiples casos de denuncia y abuso de este derecho de protección de datos personales.

Sobre los derechos fundamentales afectados por las nuevas tecnologías, cuando se toma una decisión sobre una persona, basada en el tratamiento automatizado de su información personal, la profesional describió algunos tipos de conflictos en su formulación y consagración, funcionamiento práctico, información como fuente de poder y eliminación de fronteras. Frente a tal situación, Romina Garrido ejemplificó la experiencia de la Directiva de la Unión Europea que indica que: “…Se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”.

Referente a la confidencialidad de datos, el Artículo 7° de la Ley 1 9.628, señala que “Las personas que trabajan en el tratamiento de datos personales, tanto en organismos públicos como privados, están obligadas a guardar secreto sobre los mismos, cuando provengan o hayan sido recolectados de fuentes no accesibles al público, como asimismo sobre los demás datos y antecedentes relacionados con el banco de datos, obligación que no cesa por haber terminado sus actividades en ese campo”.

Finalmente, la abogada comparó las experiencias del modelo europeo y norteamericano respecto a la protección de datos, indicando que el primero está basado en la regulación y el reconocimiento específico del derecho fundamental a la protección de datos, mientras que en el modelo norteamericano prima la idea de privacidad y la autorregulación.

La nota original acá

En el año 2002, la Ley N° 19.628 fue modificada por la Ley N° 19.812, conocida como “Ley DICOM”, la que también modificó el Código del Trabajo, señalando que “Ningún empleador podrá condicionar la contratación de trabajadores a la ausencia de obligaciones de carácter económico, financiero, bancario o comercial que, conforme a la ley, puedan ser comunicadas por los responsables de registros o bancos de datos personales; ni exigir para dicho fin declaración ni certificado alguno. Exceptúanse solamente los trabajadores que tengan poder para representar al empleador, tales como gerentes, subgerentes, agentes o apoderados, siempre que, en todos estos casos, estén dotados, a lo menos, de facultades generales de administración; y los trabajadores que tengan a su cargo la recaudación, administración o custodia de fondos o valores de cualquier naturaleza”. Esta es precisamente la norma que muchas veces no se cumple.

Recientemente, se ha consagrado una nueva modificación a  la Ley N° 19.628, que consiste en el bloqueo de datos de morosidad. Un bloqueo de datos es la suspensión temporal de cualquier operación de tratamiento de los datos almacenados. Es decir las entidades responsables que administren bancos de datos personales no podrán publicar o comunicar la información referida, ni efectuar operaciones de tratamiento distintas al almacenamiento. Se entiende dentro de estas entidades, organismos públicos y privados que tratan datos personales con el objeto de generar informes comerciales.

Este bloqueo de carácter gratuito procede para los trabajadores cesantes que se ven perjudicados por el hecho de dejar de pagar sus cuentas e ingresados a bases de datos de morosos.

Esto funciona mediante la comunicación que debe efectuar la Administradora de Fondos de Cesantía al Boletín de Informaciones Comerciales, y sólo mientras subsistan los beneficios que otorga este fondo (6 meses) para los efectos de que éste bloquee la información concerniente a tales personas. Las personas no incorporadas al seguro de cesantía deberán acreditar la situación de cesantía ante el Boletín de Informaciones Comerciales, acompañando el finiquito extendido en forma legal o, si existiese controversia, con el acta de comparecencia ante la Inspección del Trabajo, para los efectos de impetrar este derecho por tres meses, renovable hasta por una vez. Para que opere dicha renovación se deberá adjuntar una declaración jurada del deudor en la que manifieste que mantiene su condición de cesante.

Esta comunicación solo se efectúa desde la Administradora de fondo de Cesantía al Boletín de Informaciones Comerciales y no a las entidades tratantes de datos, siendo por tanto estas últimas las responsables de actualizar el dato respecto a la situación de bloqueo.

Las excepciones para optar a este beneficio, proceden para aquellos que consignan anotaciones en el sistema de información comercial durante el año anterior a la fecha de término de su relación laboral. Es decir este sistema premia a los buenos pagadores.

Los responsables de la administración de bancos de datos personales financieros no podrán señalar, bajo ninguna circunstancia, signo o caracterización que la persona se encuentra beneficiada por esta ley.

Comentarios: la moción parlamentaria, que hoy es Ley, sin duda con una intención loable, se hace cargo del tema al revés, puesto que reconoce esta mala práctica de los empleadores y en lugar de establecer un procedimiento sancionatorio, traslada una vez más al titular del dato la responsabilidad de proceder a solicitar el bloqueo de su data personal usada con una finalidad distinta que evaluar su capacidad de crédito.

Desde la historia de la ley pueden extraerse varias opiniones respecto a los efectos de esta nueva modificación. Nos llama la atención en particular aquella que señala que “De aprobarse la iniciativa, su aplicación implicaría ir en contra de uno de los pilares fundamentales de todo sistema de información comercial, y que la Ley N° 19.628 recoge en su artículo 9°, que consagra la obligación de que la información “debe ser exacta, actualizada y responder con veracidad a la situación real del titular de los datos”.

No creemos que se atente contra el principio de veracidad, exactitud y actualidad, puesto que cumplir con esta obligación recae en el responsable de la base de datos como principio base de la actividad de tratamiento. ¿De que manera la incomunicación, que es la base del bloqueo, podría afectarlo?

En relación al impacto de esta iniciativa en el ámbito crediticio, el profesor Jijena, invitado a la discusión, señaló que quienes otorgan créditos igualmente cuentan con la información del comportamiento crediticio de la persona cesante, y además para efectos del otorgamiento del crédito ponderan una serie de otros antecedentes, lo que su impacto en esta materia sería igual a 0.

Este artículo es una colaboración de Marco Lopez, Diseñador de sitios Web, Estudiante de Informática y ex estudiante de Derecho. Su Blog es http://www.munir.com.mx

Cencosud es un holding de empresas y centros comerciales con operaciones en Chile, Argentina, Perú, Brasil y Colombia, -eso todos lo sabemos (o deberíamos saberlo) y dentro de sus estrategias de marketing en Chile, ha decidido decir adiós a “Círculo Más” y dar la bienvenida a “Nectar”, un nuevo programa de puntos y beneficios que se supone mejor que el ya desaparecido Círculo Más.

Pero ¿qué sabemos de Nectar? Nectar es un programa de puntos que ya existe en el Reino Unido (www.nectar.com) operado por la empresa Loyalty Management UK Limited. Incluso en ese lugar también existe pero en el caso de Chile tenemos que Nectar ha sido una marca importada por Cencosud para “fidelizar” al cliente, de hecho, en el 2007 -segun informaba Revista Capital ya estaban observando el know-how de Nectar y de la supermercadista Tesco, la mayor cadena de supermercados en el Reino Unido, quedándose finalmente con el modelo de fidelización de Nectar.

Dentro de las “Ventajas” que se publicitan luminosamente en las publicidades de Nectar aqui en Chile estan las de que ahora “un punto significa un peso chileno” tambien dicen que “puedes canjear lo que quieras”, etcétera. Su publicidad también anuncia que por cada $200 pesos de compra en Jumbo acumulas 2 puntos (el 1% de la compra), pero si compras en Paris, Easy o Santa Isabel ahi por cada $200 pesos de compra sólo acumulas 1 punto (el 0,5% de la compra). y desde ahi es donde surgen otros detalles que me preocupan.

1. Solo se puede canjear desde 4000 puntos en Santa Isabel y en el resto de las tiendas de Cencosud (Paris, Jumbo, Easy) puedes hacerlo desde 5000 puntos. lo que significa que si uno quiere acumular dicha cantidad deberá comprar alrededor de $500.000 pesos chilenos en Jumbo o $1.000.000 de pesos chilenos en Paris, Easy o Santa Isabel para alcanzar los 5000 puntos mínimos para canjear algo ($400.000 pesos chilenos de compras en Jumbo o $800.000 pesos chilenos de compras en Paris, Easy o Santa Isabel para canjear algo en Supermercados Santa Isabel).
2. El Artículo 8º parrafo 3 de los Términos y Condiciones del contrato que aparece en nectar.cl:
   “Asimismo, la participación en el Club Nectar faculta a las Compañías Participantes a enviar al Cliente, en conjunto o por separado, por el medio que se estime más eficiente, informaciones, ofertas y promociones.”. En otras palabras, uno autoriza a Nectar a enviar SPAM, independiente de las configuraciones que uno pueda realizar dentro de su sitio web para evitar que dicho SPAM llegue a nosotros.
3. El Artículo 14º de los Términos y Condiciones del contrato que aparece en nectar.cl:
   “La Empresa ha elaborado políticas de privacidad y uso de información personal para que los Titulares y Adicionales de cuentas del Club Nectar tengan conocimiento sobre la información personal que Nectar reúne sobre ellos, cómo y con quién se utiliza, las que se encuentran publicadas en el sitio web del Club Nectar (www.nectar.cl). Dichas políticas de privacidad y protección de la información se entienden formar parte integrante de las presentes bases para todos los efectos.” Ahora, si nosotros revisamos esas “Políticas de Privacidad” y ponemos atención en el Título II, parrafos 3º y Artículo 1º de éstas políticas nos encontramos con lo siguiente:
4. “…En consideración a lo anterior, el Usuario consiente expresamente que, en virtud de su incorporación al Programa, la Información que se acumule, recolecte, reciba o recoja de los Usuarios por parte de la Empresa, podrá ser usada por la Empresa de la siguiente manera:
   
   1.- La Información podrá ser objeto de: (i) almacenamiento, entendiendo por tal el archivo de la información en lugares especialmente destinados al efecto; (ii) procesamiento, entendiendo por tal los mecanismos y procesos que permitan brindar al Cliente los servicios ofrecidos; (iii) tratamiento, entendiendo por tal cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar o cancelar la información; y (iv) disposición, entendiendo por tal comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal o utilizarlos en cualquier forma. Lo anterior salvo que el Cliente, respecto del tratamiento y disposición, expresamente instruya lo contrario mediante comunicación escrita, despachada mediante carta certificada al domicilio de la Empresa 2.- Respetando las disposiciones legales que regulen la materia, la Información podrá almacenarse, procesarse y tratarse en cualquier país del mundo. Sin perjuicio de lo anterior, la Empresa será siempre responsable del debido cuidado de la Información debiendo tomar medidas de seguridad razonables para resguardar la Información contra su manipulación, pérdida, destrucción, divulgación y acceso no autorizados.  

   3.- La Información almacenada podrá ser usada para uno o más de los fines que, a continuación, se expresan: (i)(ii) la confección y/o mejora de los productos y/o servicios que la Empresa o las Compañías Participantes le prestan a los Clientes, así como el diseño de nuevos productos y/o servicios para éstos; (iii) el despacho por cualquier vía de todo tipo de información, incluyendo, pero no limitada a, antecedentes técnicos, publicidad y promoción de productos y/o servicios, ya sean de la Empresa, de las Compañías Participantes o de terceros, formularios y encuestas; y (iv) la realización de estudios individuales y/o colectivos de cualquier tipo como, por ejemplo, estudios en materia demográfica, histórica, comportamiento de los Clientes e investigaciones de mercado.

   4.- El Usuario consiente expresamente que, en el desarrollo del Programa, la Empresa podrá tener acceso o solicitar al Cliente o a terceros, información que pudiere ser más específica respecto del Cliente, en adelante la “Información Adicional”, que revele preferencias, gustos, hábitos, comportamientos, bienes, obligaciones y en general toda aquella que permita un mayor conocimiento del Cliente, la cual podrá almacenarse, procesarse, tratarse y disponerse en los mismos términos indicados en los números precedentes.

   5.- La Empresa podrá disponer y comunicar al público todo o parte de la Información o de la Información Adicional, caso en el cual su destinatario deberá cumplir con alguno de los siguientes requisitos (i) ser una persona relacionada a la propiedad o gestión de Círculo Más S.A., ser una filial o controladora de misma, o ser una persona que esté bajo el control común de Cencosud S.A.; o (ii) ser una Compañía Participante del Programa. La Empresa procurará que el destinatario de la referida información garantice que ésta será tratada bajo adecuados parámetros de reserva y que, en el evento que el Cliente se oponga al uso de la misma, será prontamente eliminada de los registros respectivos. Por último, tanto Círculo Más S.A. como los citados destinatarios sólo podrán usar la Información o la Información Adicional con los propósitos indicados en el número 3 precedente, caso este último en que las condiciones de esta política aplicables al Programa deberán ser cumplidas por dichos destinatarios. la mantención de las relaciones contractuales y/o comerciales derivadas del Programa entre la Empresa, las Compañías Participantes y el Cliente.“

Haciendo una interpretación de lo que acaba usted de leer debe tener claro que Si usted entra a Nectar, Cencosud podrá:

• Usar la información que usted les provea para lo que ellos deseen, incluso (aunque no lo declaren expresamente), para localizarlo en caso de que usted tenga alguna deuda pendiente.
• Exportar sus datos “a cualquier país del mundo”.
• No conforme con esto, Cencosud podrá buscar información acerca de usted en fuentes externas a usted, o sea podrán usar a DICOM, SERVEL, GOOGLE o la  fuente de datos que ellos deseen con el fin único de saber mas de usted.
• Cencosud también podrá traspasar la información que tiene de usted a las empresas que se vayan incorporando a Nectar en el futuro y en caso de que usted no desee que X empresa tenga información alguna sobre usted tendrá que enviar una “Carta Certificada” al domicilio de La Empresa (o sea Nectar en Chile). o sea todo es automático, mientras le convenga a Nectar, nunca a usted, además que no se ve el domicilio de “La Empresa (Nectar) en forma clara dentro del sitio web de Nectar.
• También la información provista por usted podría ser entregada a las autoridades judiciales en caso de algo ilegal, esto esta bien, pero si pensamos que esta información puede parar en “cualquier pais del mundo” perfectamente esta información podría parar en el FBI, la CIA o Scotland Yard.
• Además usarán esta información para estudiar los hábitos de compra de los clientes, y seguramente despues le llegará publicidad según sus intereses. Si tanto criticamos a Facebook deberíamos fijarnos que Nectar tiene unas politicas de “privacidad” que les permite practicamente hacer SPAM y dónde además los clientes tendrán que desembolsar sumas de dinero que van desde de los $400.000 pesos chilenos al $1.000.000 de pesos chilenos($800 a $2000 dólares aproximadamente) para recien canjear algo de $5000 pesos chilenos ($10 dólares aproximadamente). O sea darles casi todo el dinero y nuestra vida privada a cambio de algo que perfectamente podemos adquirir sin sacrificar nuestra privacidad.

Como conclusión digo que Nectar no es un buen programa de puntos y sus políticas demuestran que no todo es tan maravilloso como lo pinta la publicidad que ha dispuesto Cencosud en los medios de comunicación de Chile y en realidad esconde intenciones poco santas. esta bien querer fidelizar a los clientes, pero hay que hacerlo bien, lo que es de Chile, debe resguardarse en Chile y no puede ser exportado asi como así porque le conviene a los planes expansivos de una empresa, también debería pensar en quienes compran poco y fidelizarlos  adecuadamente permitiendo el canje por un puntaje minimo mas fácil de alcanzar por la mayoría de los Chilenos.

El informe se sitúa dentro del contexto del proyecto de ley en discusión (o más bien dicho reposando) en el Congreso, que otorga las facultades al Consejo para la Transparencia en materia de protección de datos. En este informe técnico el CSP expone las diversas alternativas para un modelo institucional y finalmente se recomienda la más adecuada.

En la primera parte del evento se expuso el informe de la Universidad de Chile, explicando claramente el contexto o marco de referencia del estudio. Sin embargo luego de la propuesta o recomendación del CSP, vinieron las ventajas y desventajas de una institución única con ambas funciones (acceso y protección de datos), siendo las primeras mayores que las segundas, o al menos más visibles y de mayor contrapeso.

Un final un tanto extraño…

Posteriormente se abrió el debate con distintas posiciones moderado por el consejero Alejandro Ferreiro. Las posiciones u opiniones que pude captar fueron mas o menos las siguientes:

Juan Enrique Vargas, Decano de la UDP: Planteó que los casos de protección de datos pueden resolverse tomando criterios de casos anteriores (haciendo el símil de un timbre que se usa tantas veces llegue un caso en que ya haya pronunciamiento similar previo), esto pues a su juicio la protección de datos no presenta las particularidades del acceso a la información pública. Esto es un poco parecido a lo que hace la DT o la CGR al resolver citando pronunciamientos anteriores. En su concepto ambas institucionalidades deben funcionar juntas.

Moisés Sánchez, de Proacceso: Planteo la mirada desde la sociedad civil, el trafico indiscriminado de datos, la ignorancia sobre donde y quienes los tienen y la necesidad de fijar criterios de armonización entre transparencia y protección de datos. El rol de Proacceso en ese sentido es educar y sensibilizar en esta materia. Su postura sobre la institucionalidad debo decir que no quedó clara.

Alejandro Barros: Nos quedamos con la reflexión sobre el avance de la tecnología totalmente asimétrico con las leyes existentes. Las tendencias de Open data, el cloud computing, el crecimiento de los servicios globales, la mejora de las plataformas tecnológicas en el Estado no van de la mano con las leyes protectoras de datos.

Felipe Harboe, Diputado: Planteo la idea de la ” teoría de la estructura consecuencial”: una institucionalidad debe modelarse teniendo claridad de la naturaleza del derecho que se va a proteger, que objetivos tiene y cual será la estrategia para lograrlo. Relacionado con esto es interesante la reflexión sobre cual será la naturaleza que cómo país le daremos al derecho a la protección de datos personales. Respeto al organismo para la protección de datos su postura es la de la institucionalidad separada.

Andrés Allamand, Senador: También manifestó la postura de la institucionalidad separada, basado en aspecto tales como la demanda encubierta de protección de datos y principalmente la naturaleza bajo la cual esta concebido el Consejo para la Transparencia, su funcionamiento y los incentivos opuestos entre acceso a la información y protección de datos, la construcción de ambos derechos, su componente es distinto, etc.

Finalmente, tengo las siguiente impresiones:

-      El ejercicio propuesto en este debate es sin duda un acto de transparencia de un Consejo preocupado de sus posibles nuevas funciones y es un acto de transparencia aún mayor cuando la mitad de los panelistas invitados consensuaron en la importancia de que el Consejo por la Transparencia no sea la encargada de la institucionalidad de la Protección de Datos Personales, lo cual estaba en parte, fuera del contexto de discusión.

-     Esto trae como consecuencia la sensación que estamos frente a un proyecto de ley huérfano. No tiene padre ni madre. ¿Quien es el organismo encargado de su impulso? ¿Es prioridad para el actual gobierno o al menos está dentro de su agenda? ¿Quién defiende los fundamentos de que el Consejo sea la institucionalidad de protección de datos? ¿El propio Consejo? Al menos quedó un tanto claro que el objeto de encargar este estudio es ver el impacto que asignar esta función al consejo y de ahí deriva la preocupación del CPT.

-    También tengo la sensación de que la protección de datos esta siendo mirada como instrumento, no solo para el desarrollo económico de Chile, si no también dentro del ámbito de acceso a la información y no en el contexto de la dignidad humana. Si bien el acceso a la información es un derecho humano, reconocido por Tribunales Internacionales como parte del derecho a la información, que se condice  con un principio de actuación del Estado cual es la transparencia de la función pública, puesto que se traduce en el mecanismo para poder hacer efectivo el control sobre la actuación de los poderes públicos. La protección de datos, por su parte, como derecho de autodeterminación informativa también reconocido como derecho humano, va intrínsecamente ligado a un atributo de la personalidad, a mi juicio un derecho de mayor jerarquía que el derecho a saber: la dignidad humana, como valor esencial intrínseco de todo ser humano independiente de toda condición. Puesto que mis datos personales soy yo mismo y nada menos. Como disco rayado: un tratamiento ileal de datos no solo afecta la privacidad, sino que puede cercenar un sinnúmero de  derechos y libertades en su esencia: libertad de movimiento, acceso a la salud, a la educación, al empleo…

El tenor de los amparos y los fallos es más o menos similar: el recurrente de amparo solicita la entrega del informe psicolaboral propio, a lo que se accede por tratarse de información propia, datos que pertenecen a su titular, PERO también se solicita la entrega de los informes y evaluación sicológica de la o las personas designadas en los cargos, a los cuales el consejo accede, siempre y cuando se excluyan los datos sensibles y reservados que éstos pudiesen contener, aplicando el principio de divisibilidad, esto es, tarjando aquellos datos.

Los informes psicolaborales son hoy un herramienta de selección de personal, que implican la aplicación de instrumentos de evaluación y entrevista personal a candidatos seleccionados por alguna organización. A éstos se les aplica algunos o varios test o exámenes tales como, Zulliger, Lüscher, Rorschach, Phillipson, Edwards, Cattell, Dominó y Grafología.

Finalmente se obtiene el perfil psicológico y psicolaboral del candidato, además de su motivación, conocimientos, habilidades y competencias, así como también de su capacidad para el trabajo en equipo, resistencia al cambio, trabajo bajo presión y personalidad de acuerdo al cargo. Estos revelan los principales aspectos intelectuales y afectivo-sociales de la persona.

El Consejo señala que el organismo requerido debe analizar si el contenido del informe psicolaboral que se solicita se refiere en forma expresa al estado de salud psíquico de los candidatos seleccionados. De lo contrario, si el informe psicolaboral se refiere a la idoneidad sicológica del candidato para el cargo determinado y no expresa datos sensibles sobre su estado de salud mental, dicho informe no queda cubierto por la protección del citado artículo 10 de la Ley N° 19.628.

La divisibilidad en el acceso a la información implica la potestad de poder separar y entregar al solicitante aquella información pública de la que no. Es uno de los principios que inspira la ley de acceso a la información chilena y que es de gran aplicación cuando el aplicador de la ley debe ponderar derechos.

¿Qué parte del informe psicolaboral no constituye datos sensibles?

La ley 19.628 señala que son datos sensibles “datos personales que se refieren a las características físicas o morales de las personas, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual” (Art. 2° g) Estos datos pertenecen a la categorías de datos especialmente protegidos, y no pueden  ser objeto de tratamiento salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.

Esta misma ley incorporó  al artículo 127 del Código Sanitario, que “las recetas médicas y análisis o exámenes de laboratorios clínicos y servicios relacionados con la salud son reservados”. Dentro de este supuesto, el Código Sanitario considera expresamente los informes emitidos por sicólogos en sus artículos 112 y 113, quienes dentro de sus servicios profesionales comprenden la aplicación de principios y procedimientos psicológicos que tienen por finalidad asistir, aconsejar o hacer psicoterapia a las personas con el propósito de promover el óptimo desarrollo potencial de su personalidad o corregir sus alteraciones o desajustes.

Siguiendo esta misma línea de interpretación la Contraloría General de la República en el Dictamen N° 31.250/2008, declara que los informes psicológicos de los candidatos a un cargo público son datos sensibles y, en tal carácter, no entregables a terceros sin cumplir los requisitos del artículo 10 de la Ley N° 19.628, de Protección de Datos Personales.

La Corte de Apelaciones chilena ha tenido la oportunidad de resolver definitivamente el último de estos casos (A110-09), y no ha innovado en cuanto a lo resuelto por el Consejo para la Transparencia, en virtud de otorgar protección a los datos personales.

La entrega del informe sicológico aplicando la divisibilidad no es más que una interpretación forzada de la norma en favor de un espíritu de acceso a la información pública y transparencia lesionando y no armonizando el derecho a la protección de datos personales. Puesto que si bien tales informes han sido un antecedente fundamental para que dichos candidatos fueran finalmente elegidos para desempeñarse en funciones públicas, no lo es la  condición individual del seleccionado,  si no el cumplimiento de un perfil general, que está disponible en las bases del concurso y que es lo pretendido por la institución que selecciona.

Por lo tanto, todo el informe psicolaboral constituye datos sensibles, a excepción de la fecha, nombre del evaluado, los test aplicados (excluyendo los resultados), y la firma del psicólogo, lo que torna irrisoria la entrega de la información.

Por otra parte el balance aún no es tal, si aún se observa una interpretación de la ley de acceso en el sentido de considerar público todo lo que obra en poder de la administración sin reparar en que el Estado al tratar datos personales en documentos públicos, no constituyen por eso información pública.

Así el IFAI (México) a modo de balancear transparencia y protección de datos publica en el “currículum vitae” de los funcionarios exclusivamente “datos curriculares”, que finalmente son los que interesan al control social que debe ejercerse sobre la administración, y que son: el grado máximo de estudios, la experiencia laboral (tanto en el sector público como en el privado), los logros laborales o académicos, en su caso, y la experiencia académica, si procede.

Descargar fallo Corte Apelaciones

Como ya les contamos en el encuentro había muchísima gente (más de mil personas inscritas) y pese a que el lugar del seminario no era el ideal, la convocatoria del evento nos sorprendió de muy buena forma.

En el marco de marco del Bicentenario de la República Argentina, y para continuar con la política de promoción de la protección de datos personales en el la DNPDP comenzará a publicar en el canal de Youtube material informativo, tutoriales y todo tipo de información útil para la difusión de la protección de los datos personales. También, están a su disposición los videos del sexto seminario realizado en 2009.

Las suscripciones al canal son abiertas, y eso permitirá estar al tanto de las actualizaciones o de futuros encuentros y  para fomentar la protección de datos personales.

La decisión o fallo sobre el caso SERVEL señala que los datos del padrón electoral en poder de dicho organismo, que hasta ahora vendía en soporte electrónico los datos de todos los chilenos inscritos, son datos públicos y deben entregarse de manera gratuita.

En adelante sólo se podrá cobrar el costo de la reproducción del padrón o del formato en que éste sea entregado, por ejemplo los $100 pesos chilenos que cuesta un CD (menos de un cuarto de dólar).

Los fundamentos de dicha decisión se justifican principalmente en que la Ley del SERVEL señala que el registro electoral es público. La Constitución Política, a su vez, señala que “Habrá un sistema electoral público. Una ley orgánica constitucional determinará su organización y funcionamiento, regulará la forma en que se realizarán los procesos electorales y plebiscitarios, en todo lo no previsto por esta Constitución y, garantizará siempre la plena igualdad entre los independientes y los miembros de partidos políticos tanto en la presentación de candidaturas como en su participación en los señalados procesos”. El carácter público del sistema electoral es, entonces, un principio que entrega la propia Constitución.

Por otro lado, la decisión señala que no se puede requerir al órgano reclamado tarjar aquellos datos personales, ni aún bajo el amparo de la Ley N° 19.628, sobre protección de datos personales, ya que ésta fue aprobada con un quórum de ley simple que impide al Consejo estimar que pudiese haber derogado tácitamente a una norma aprobada con quórum orgánico constitucional.

El Consejo, brevemente, también delega la responsabilidad del mantenimiento de la publicidad de esta información al legislativo, señalando que si bien le preocupa la publicidad de la información contenida en el padrón “la claridad de la Ley N° 18.556 al disponer que la información contenida en ellos es pública impide desatenderla. De allí que corresponda a los órganos colegisladores y no a este Consejo resolver, a futuro, si es preciso modificar este estado de cosas”.

Cabe comentar que la decisión del Consejo fue adoptada con el voto disidente del señor Juan Pablo Olmedo (quien era Presidente en ese momento).

Finalmente, esta decisión merece las siguientes reflexiones:

1. El registro electoral es un libro encuadernado, con tapa dura, de columnas verticales que contiene diversas anotaciones. Tal es la materialidad física del libro en cuestión, que la ley dispone que si faltare la firma o la impresión digital del pulgar, se entenderá inexistente la inscripción. Sin duda, el legislador de la época (1986) no estaba pensando en un registro “digital”.
2. El SERVEL, toma los datos del registro público y elabora otros sub-productos, entre ellos, un padrón alfabético computacional, que constituyen bases de datos personales y los vende (o vendía) a terceras personas a elevados precios. Estos sub-productos y el registro, son claramente, a nuestro juicio, cosas diversas.
3. Por otra parte, los datos recolectados por el SERVEL, son entregados voluntariamente por los ciudadanos, para el ejercicio del derecho Constitucional a sufragio. El servicio electoral almacena estos datos con un fin en específico: regular el régimen de inscripciones electorales y la organización y funcionamiento del Servicio, como parte del sistema electoral público.
4. La publicidad del registro sólo puede justificarse en virtud de la transparencia “connatural de la administración”, y para el ejercicio del control de situaciones, como la duplicidad de registros que, en definitiva, aseguran que los procesos de elecciones democráticas se realicen en un contexto lejos de corrupción. El control debe ejercerse sobre la gestión y manejo del registro público.
5. Que si bien se estima por el Consejo que no es posible desatender la claridad de la Ley N° 18.556 al disponer que el registro electoral es público, no señala esta disposición legal que la información contenida en ellos es pública. Cuando el Estado maneja información de las personas, no la transforma por ese hecho en pública, mantiene su carácter de dato personal.
6. No es posible obviar la finalidad en cuya virtud el SERVEL almacena, procesa y realiza tratamiento de los datos. Por tanto, en ningún caso puede ceder dicha información a terceros puesto que ello se encuentra fuera de su ámbito de acción o competencia, a menos que los titulares de esos datos consientan en ello, esto es, de los cerca de 8 millones de chilenos inscritos.

Observando otros países, ejemplos hay varios. En México, el padrón electoral no es público, sólo puede estar a disposición del titular para realizar correcciones de sus datos. En España, se prevé por ley la elaboración del denominado “Censo Promocional” con determinados datos contenidos en el Censo Electoral, el que tendría carácter publicitario y sería una fuente accesible al público, base de datos que aún no se implementa y no ha estado fuera de polémica.

Llama la atención, por así decirlo, la señal que quiere dar el Consejo para la Transparencia con esta decisión si aspira a convertirse también en el órgano para la protección de datos personales, conforme a las modificaciones (en proyecto de ley) que se encuentran en el Congreso.

Noticia y Decisión: aquí

Esta propuesta surge, según los parlamentarios, de la necesidad de morigerar las consecuencias de los modernos sistemas de información que son utilizados para la transmisión de datos, que a diferencia de lo que ocurría hasta hace algunos años atrás, hoy transmiten la información de manera inmediata.

La costumbre, aplicada por la mayoría de los bancos comerciales y los notarios, determina que entre la fecha en que se produce el incumplimiento que genera el protesto o la morosidad, y aquélla en que estos hechos son publicados en el Boletín Comercial, median por lo menos 30 días, dentro de los cuales la persona afectada puede cumplir sus obligaciones, repactarlas o, en fin, ver la manera de resolver su situación de incumplimiento.

Muchas personas creen que esta costumbre está consagrada por la ley y por lo tanto hay quejas cuando protestos y morosidades son publicadas dentro de plazos más cortos o en casos en que la publicación de los datos se produjo después de su cumplimiento.

Por tanto, se estima como “solución” fijar por ley un plazo de gracia antes de que los datos puedan ser publicados, es una medida que no afecta la exigibilidad de la prestación por parte del acreedor, sino que, por el contrario, constituye un incentivo para que dentro de este plazo el deudor cumpla, para evitar de este modo su publicación en el Boletín Comercial.

La modificación al artículo 5 de la ley 19.628 agrega un nuevo inciso:

“Con todo, los datos personales, independientemente del mecanismo de comunicación de datos utilizado, no podrán ser publicados sino transcurridos 30 días desde que la obligación morosa se haya hecho exigible o se hubiere producido el protesto.”

El Secretario General de la Cámara de Comercio de Santiago, Cristián García Huidobro, señaló que si se instauraran los 30 días que contempla el proyecto, se estaría perjudicando a los deudores,  atendido que, por lo general, todas las deudas, incumplimientos y morosidades, tanto provenientes de la banca como del sector comercial, tienen más de 30 días al momento de ser publicadas. Ninguno de los acreedores institucionales, como los bancos, las casas comerciales y los grandes agentes de crédito institucionales envían los antecedentes a DICOM dentro de un plazo menor. Estimó que, en el evento que el proyecto considere un plazo mayor al que normalmente se otorga en la práctica, éste debería ser de a lo menos 60 días, para que realmente sea un beneficio más allá de lo que actualmente existe.

El proyecto ya fue aprobado en comisión y se espera ahora el debate en la sala.

Partiendo de la situación actual de los países del entorno latinoamericano y siendo conscientes de las consecuencias a nivel social, tecnológico y económico que supone la obtención de la Declaración de Adecuación, emitida por la Comisión Europea, por parte de los países miembros de la Red Iberoamericana de Protección de Datos (RIPD), dentro del marco del reconocimiento del Derecho a la Protección de Datos Personales como un Derecho Fundamental,

Consideramos que la celebración de un Seminario en el que participen autoridades de protección de datos junto a representantes de las instituciones iberoamericanas miembros de la RIPD, puede ser una buena oportunidad para impulsar la implementación de una norma que regule esta materia en cada uno de los países miembros, así como una excelente ocasión para avanzar en el proceso de obtención de la “Declaración de Adecuación” aludida. Sin perjuicio de abordar temas como las Transferencias Internacionales de Datos (TID), transparencia y la protección de datos personales y la privacidad en el entorno judicial y empresarial, se aprovechará para conocer la situación actual de cada país en el momento de la celebración del Seminario, así como para exponer el estado actual de los proyectos comprometidos por cada uno de los países del entorno iberoamericano en el último Encuentro celebrado en el mes de noviembre en Madrid.

PROGRAMA:

1 DE JUNIO

Las Transferencias Internacionales de datos y su relación con la adecuación de la Unión Europea.

Transferencias Internacionales a países con niveles adecuados y no adecuados de protección. Aspectos Prácticos.

Transferencias Internacionales a países con niveles adecuados y no adecuados de protección. Aspectos Prácticos (continuación).

2 DE JUNIO

La armonización entre las leyes de transparencia y los estándares internacionales de protección de datos personales.

Interoperabilidad versus Privacidad en las Administraciones Públicas.

Interés público y protección de datos personales con especial referencia a los Derechos Humanos.

3 DE JUNIO

El tratamiento de los datos personales en los Tribunales de Justicia.

Bases de Datos Jurisdiccionales.

Garantías en el acceso a la información y protección de datos personales en el ámbito jurisdiccional.

Casos jurisprudenciales, antes y después de la sanción de la Ley uruguaya, de Protección de Datos Personales y Acción de Habeas Data.

4 DE JUNIO

Regularización Internacional de los Bureau de información crediticia. Sectores Corporativos más susceptibles a la protección de datos: estrategias y buenas prácticas de abordaje regulatorio.

Tratamiento de datos sensibles en las empresas e incidencia del secreto profesional. Incidencia de la Protección de Datos en el diseño empresarial

La DNPDP es el órgano de control Argentino, creado para la efectiva protección de los datos personales.

Tiene a su cargo el Registro de las Bases de Datos, instrumento organizado a fin de conocer y controlar las bases de datos.

Asesora y asiste a los titulares de datos personales recibiendo las denuncias y reclamos efectuados contra los responsables de los registros, archivos, bancos o bases de datos por violar los derechos de información, acceso, rectificación, actualización, supresión y confidencialidad en el tratamiento de los datos.

También tiene por función investigar si la base de datos denunciada da cumplimiento o no a los principios que establece la ley.

El día miércoles 21 de abril, no asistimos a la inauguración (pues viajamos ese mismo día) en la que Don Juan Antonio Travieso, Director de la DNPDP daría las palabras de bienvenida.

Nos acomodamos en un hostal en Palermo esa misma tarde y al día siguiente asistimos a la jornada que duraría todo el día.

Algunas caras ya conocidas de seminarios anteriores, un lleno total del evento de gran convocatoria fue la tónica de todo el día. Primero se trataron temas como la importancia de la protección de datos en la economía internacional y a nivel latinoamericano. Uno de los invitados principales para estos efectos fue la AGESIC, pues recordemos Uruguay esta en vías de obtener la adecuación de la Unión Europea. Los brasileros, por su parte, ya aprobaron en una de sus cámaras del congreso el proyecto de acceso a la información pública, el de catastro de deuda positiva y en estudio (entre el Ministerio de Ciencias y Tecnología y el de Justicia) se encuentra en elaboración una ley general de protección de datos. En seguida, los paneles se avocaron a la protección de datos y el comercio, temas como el secreto bancario, los datos personales en la Web y en plataformas de intercambio de servicios como mercado libre.

En la tarde, los paneles desarrollados principalmente vincularon la protección de datos con los derechos del consumidor, y sobre la alianza entre las OMIC (Oficina de Información al Consumidor, el símil del SERNAC en Chile) y  la DNPDP para derivar reclamos de consumidores respecto al tratamiento de datos personales.

Posteriormente, en el panel de “la protección de datos y el abordaje profesional” se debatió cómo este “nuevo” derecho va influyendo en el desarrollo libre de la profesión de abogado, de médico, de auditor, etc. Finalizó la tarde con un panel sobre protección de datos y redes sociales.

En general, quedamos con una visión bastante positiva del evento. Si bien el lugar físico no cumplió nuestras expectativas, sí valoramos la gran convocataria e interés que despierta este tema, que no es del futuro, sino de presente.

La moción parlamentaria, se basa en un requerimiento presentado por la Fiscalía Nacional Económica en contra de la Cámara de Comercio de Santiago ante el Tribunal de Defensa de la Libre Competencia el año 2005. Éste alude al abuso de posición dominante de esta asociación gremial en el mercado de la información crediticia, materializado en el cobro de estas tarifas por las aclaraciones, las que para la Fiscalía son absolutamente ilegales y que carecen de fundamentos económicos.

Todos sabemos que la publicación de deudas en el Boletín Comercial, produce ” un efecto circular” en la vida de muchas personas, debido a que éstas no encuentran trabajo por aparecer en el Boletín Comercial y están en él porque no encuentran trabajo. Así, la vida de muchas personas depende de aparecer o no en el referido Boletín.

Por ello, un grupo de parlamentarios presentó este proyecto de ley que, entre otras cosas, cuestionaba la tarifa que debe pagarse a la Cámara de Comercio. Esta aclaración es única, y no obstante pagada o solucionada la deuda, si no se paga la respectiva tarifa, la persona  puede seguir apareciendo en el Boletín. Así entonces, si la deuda se paga y se sigue informando se trata de un dato caduco.

¿Qué se publica en el Boletín comercial?

Notarios:

• Protestos (causa, monto, nombre y domicilio)
• Lista de las compraventas, remates y adjudicaciones de bienes raíces, (nombres de las partes contratantes, ubicación y precio de venta).
• Lista de los mutuos hipotecarios (nombre del deudor y del acreedor, ubicación y monto del préstamo).
• Cancelaciones.
• Nuevas sociedades comerciales y de las modificaciones y disoluciones de éstas.
• Convenios extrajudiciales entre comerciantes.

Juzgados de Letras en lo Civil:

• Embargos, retenciones, quiebras y concursos que se decreten.
• Sentencias ejecutoriadas que condenen al pago de rentas insolutas de arrendamiento de bienes raíces.
• Decretos de posesión efectiva.

Conservadores de Bienes Raíces:

• Inscripciones en los registros de propiedad; de hipotecas y gravámenes; de interdicciones y prohibiciones de enajenar de prenda agraria; y de prenda industrial.

Las instituciones, empresas y organismos fiscales, semifiscales o de administración autónoma, que realicen actividades destinadas a promover el desarrollo económico del país:

• Deudores morosos en el servicio de préstamos o créditos. Asimismo, los bancos, sociedades financieras y administradoras de mutuos hipotecarios y cooperativas de ahorros y créditos podrán remitir la nómina de los deudores morosos en el servicio de sus préstamos o créditos.

Bancos y sociedades financieras:

• Letras de cambio y pagarés (monto de la letra, el nombre, Rol Único Tributario y domicilio del aceptante y el nombre del girador).
• Letras de cambio y pagarés que hubieren protestado estas instituciones a su vencimiento, en conformidad a lo dispuesto en la Ley N° 18.092 (monto, el nombre y Rol Único Tributario del suscriptor).

¿Quién consume dicha información y se transforma en su principal distribuidor?

En el proyecto de ley se señala que se trata de un mercado en competencia con alto grado de concentración en un actor dominante, que es DICOM EQUIFAX (80%), existiendo otras empresas distribuidoras, tales como DATA BUSINESS, SINACOFI, y SIISA.

Se señala además que el boletín de informaciones comerciales, precisó que tiene un sistema computacional con los más altos estándares internacionales, y que a tasa de error de registros publicados, es del 0,004% y los errores de procesamiento interno, son solucionados vía Aclaración Especial, sin costo para el afectado. Respecto de los agentes crediticios, nunca hubo un requerimiento legal por errores o inconsistencia en la información publicada.

La Cámara de Diputados, rechazó esta iniciativa finalmente, puesto que implicaría la fragmentación de la información, favoreciendo al operador dominante y en definitiva las personas deberían monitorear y/o regularizar sus antecedentes en cada una de las empresas que tienen sus datos; se pierde completitud y unicidad del sistema y, por tanto, la confianza en la información.

No obstante, el ex Ministro de Hacienda, en el informe de comisión enfatizó: “No obstante lo anterior, comparte el objetivo de la Moción, razón por la cual se ha anunciado una modificación al Decreto Supremo N° 950 del Ministerio de Hacienda para facilitar el acceso a las aclaraciones, la que se encuentra actualmente en tramitación. La referida modificación tiene por objeto la eliminación gradual del cobro por las aclaraciones, disminuyendo la carga que por este concepto soportaban los interesados, para finalmente establecer la gratuidad de las mismas, permitiendo de esta forma ajustar también gradualmente la estructura de ingresos del Boletín de Informaciones Comerciales. De esta manera, desde el primer día de entrada en vigencia del decreto que modificará el Decreto Supremo N° 950 del Ministerio de Hacienda, quedarán exentas de pagos las publicaciones de aclaraciones de documentos cuyo monto sea menor o igual a $100.000, lo que corresponde a más de un 54% de los documentos morosos.”

Hoy por la prensa nos enteramos del gran cambio en el disclaimer que ya nos tenía preocupadas en los sistemas biométricos de atención de salud…un cambio a nuestro juicio que no responde aún al verdadero ejercicio de los derechos de acceso en protección de datos y al deber de información por parte de los responsables de bases de datos.

El disclaimer de hecho aparece hoy en un comunicado y ahora señalaría:

“Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A. y de Autentia S.A., y el tratamiento de tales datos para verificar mi identidad contra los datos ya almacenados de conformidad a la ley. En caso que la colocación de mi huella digital no implique el otorgamiento de dicha autorización, comunicaré tal circunstancia a I-Med y/o Autentia a través de carta dirigida a Avda. 11 de Septiembre 1901 piso 3 o al correo electrónico: autentia@i-med.cl, a fin que se tomen las medidas del caso”.

El anterior disclaimer indicaba: “Al colocar el dedo sobre el lector de huellas suscribo y otorgo un contrato privado por el cual gratuitamente para mi autorizo expresamente la inscripción enrolamiento, transmisión y almacenamiento de mis datos personales en la base de datos prexistentes de I-Med S.A., como en la de Autentía S.A. el tratamiento de tales datos y /o la verificación de mi identidad contra dicha base de datos ya almacenados declarando haber sido informado del propósito de la inscripción, enrolamiento,  transmisión y almacenamiento de tales datos y su posible comunicación a terceros, conforme lo exige el artículo 4º de la ley 19.628”…

La verdad es que la diferencia es insignificante, puesto que en nuestra consideración NO se cumple a cabalidad con el deber de información por parte de I-MED respecto de la finalidad del tratamiento,  su transmisión y comunicación a terceros; asimismo, no queda claro el tratamiento para verificar la identidad ya que se describe en términos muy amplios… Lo que ahora pesa sobre los usuarios del sistema es el envío de una carta a la dirección indicada para que cualquier persona que lo desee puede solicitar que se borre la información biométrica contenida en la bases de datos.

Haciendo un brevísimo análisis del comunicado:

• Para garantizar la autenticidad de las transacciones efectuadas por personas se usan la verificación de identidad mediante la huella digital, la información de las huellas es almacenada sólo en nuestras bases de datos en forma encriptada y no es traspasada a terceros fuera de nuestro control empresarial, garantizándose siempre la privacidad de la información contenida en ellas.
• En cada operación de verificación de identidad, y a especial pedido del usuario sólo se emite a la empresa requerida del servicio (Isapre, AFP, etc.) la información de control de identidad, consistente en confirmar o negar que la persona que se presenta bajo un cierto nombre y RUT corresponde a quien dice ser según el resultado del control de la huella digital, para que así pueda concretarse la transacción que dicho usuario, por su voluntad, desea realizar con la empresa requerida. Posteriormente, nuestra empresa guarda los datos de la transacción para garantizar la integridad de la operación. Dichos datos no son ni serán traspasados a terceros fuera de nuestro control empresarial.

¿Que empresas están detrás de I-MED?

I-Med, no está sola,  los socios de ésta crearon Autentia (que desde el año 2006 se encarga de generar aplicaciones alrededor del uso de huella dactilar digital). Entre las dos empresas han generado el mayor know  how en el uso de biometría digital en América Latina…. Y detrás de Autentia está el sólido respaldo de SONDA, la principal empresa de informática de Chile y una de las más grandes de América Latina; la Cámara Chilena de la Construcción y Banmédica…

• Nuestra empresa no tiene acceso ni almacena ningún dato relacionado con la transacción efectuada entre el usuario y la empresa requerida.

La autorización señala claramente: Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A

• Nuestro servicio se encuentra organizado responsablemente dentro del marco de la legislación específica aplicable a la protección y resguardo de datos de carácter personal y de firma digital, siguiendo todos los parámetros nacionales e internacionales al respecto.
• Nuestro servicio de identificación sólo puede materializarse con el concurso de la voluntad de la persona cuya identidad se requiere verificar en una transacción específica. Dicha voluntad se manifiesta en el momento de colocar la huella en el lector para ser verificada. En ausencia de su voluntad el proceso de identificación jamás llega a concretarse.

Y así es, no es culpa de ellos que la ley no tenga sanciones y que, en definitiva, regule el tratamiento de datos y no el control de los titulares sobre los mismos.
En radio cooperativa, se señala que el diputado Gabriel Silber presentó ayer miércoles una denuncia en la Superintendencia de Salud por esta cláusula que autoriza la transferencia o cesión de datos sensibles del cliente. El abogado Claudio Mangliola, académico de Propiedad Intelectual y Nuevas Tecnologías de la U. de Chile, declaró en el mismo medio que desestima la denuncia del parlamentario “porque la ley sobre protección de datos establece que el tratamiento de de datos personales puede hacerse cuando consta con autorización expresa y por escrito de la persona”, “¿Cuando yo pongo la huella es una autorización expresa y por escrito? Sí, porque la huella es una firma electrónica”.

¿Y dónde queda el deber de información por parte de I-MED? ¿es válida esa autorización expresa si no existe información sobre la finalidad del tratamiento?

¿Cuál es el sueño de I-MED?

“Queremos hacer posible el futuro en prestaciones de salud, mediante el cual los distintos agentes están conectados en línea, sus transacciones son inmediatas, y tienen acceso a todos los aspectos de la transacción – comercial, financiera y operacional. Aseguradores, empleadores, prestadores de salud, farmacias y emisores de tarjetas de crédito: todos conectados para hacer de la Salud un servicio fácil, cercano y eficiente.” 

SÚPER!

Más info: aquí

Así durante este trámite se gestó la idea de contemplar un artículo con el concepto de datos personales.

En un primer momento, el artículo solo contempló la definición de datos personales y posteriormente en el segundo informe de la misma comisión, este artículo es nuevamente modificado incorporando diversas definiciones legales, atendido el carácter técnico y la complejidad de la materia en estudio, lo que fue expresamente sugerido por las personas invitadas a la sesión entre ellos: el Presidente, el Gerente General y el abogado de Dicom, señores Guillermo Elton, Marco Antonio Álvarez y Jaime Guerrero, respectivamente; el Gerente General de la Base de Datos del Diario Oficial, señor Mario Saquel; el Gerente General de la Cámara de Comercio de Santiago, señor Claudio Ortiz; el Fiscal de la Cámara de Comercio de Santiago, señor Cristián García-Huidobro; el asesor legal de la Cámara Nacional de Comercio, señor Francisco Arthur; el representante de la Asociación Chilena de Empresas de Tecnología de Información, señor Fernando Hudson; el representante de la Asociación de Marketing Directo, señor Sergio Pineda; los señores Mauricio Alliende Leiva y Emilio Pohl Ibañez y la señora Gina Peri Mundaca, Presidente, Vicepresidente y Secretaria General del Comité Jurídico de la Asociación de Instituciones de Salud Previsional.

Entre las definiciones que fueron eliminadas en los siguientes tramites: Dato anónimo, difusión de datos, interesado, mientras que otras definiciones tal como fuente accesible a público se agregó en tercer trámite a sugerencia de la Segpres.
El archivo se encuentra disponible al consultar la ley.

Foto: Ciper Chile

Una multa de 80 millones de pesos cursó la Superintendencia de Salud a las ISAPRES Banmédica y VidaTres por intercambio de datos personales de clientes, con la cadena de farmacias Cruz Verde.

Los datos se referían a patologías Auge y a sus medicamentos específicos.  

El Mercurio señaló que “El convenio entre las ISAPRES y la cadena farmacéutica fue suscrito para entregar a los usuarios los beneficios correspondientes a las patologías Auge, y fue descubierto sólo tras la denuncia hecha a la justicia por la abogada Verónica Sánchez, quien advirtió el 8 de abril del año pasado que su diagnóstico médico había sido entregado a la cadena de farmacias, que a su vez le ofrecía los medicamentos para tratarlo”.  

Este acuerdo contemplaba:  

-          uso de medicamentos por patología en unidades y pesos  

 -          medicamentos usados por beneficiarios en unidades y pesos  

 -          costos de los beneficiarios  

-          distribución geográfica del consumo en unidades y pesos  

-          beneficiarios que más utilizan medicamentos en unidades y pesos 

-          tendencias de consumo. 

La ley 19.628 al respecto señala que los datos de salud, pertenecen a la categoría de datos sensibles o especialmente protegidos, entendiéndose por tales aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.   Enseguida,  que el tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. A pesar de que la norma contempla una serie de excepciones, en el caso de los datos de salud, por pertenecer a una categoría especial de datos personales, no pueden tratarse. La ley fue clara en ese sentido señalando que no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular (…) y, agregó una “excepción” adicional: que dichos datos sean necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares…

Las empresas aludidas tienen cinco días para formular descargos y, de no estar conformes con la sanción, pueden recurrir a los tribunales de justicia. El diario Financiero ya informó hoy que las empresas van a apelar a dichas multas.

La Asociación de Isapres justificó el intercambio, argumentando que “la Isapre entrega información a la farmacia, primero, para saber quién es el afiliado y para saber qué medicamentos entrega”, Rafael Caviedes, director ejecutivo de la entidad.    

Según El Mercurio el traspaso de datos era la única forma de cumplir con la ley que regula el plan Auge, pues las farmacias son las únicas expendedoras de medicamentos autorizadas en el país. También señalaron que “El texto del convenio entre los seguros y Cruz Verde añade que estos datos son confidenciales y que ninguna de las partes podrá divulgar su contenido sin la autorización de la otra”.    

Además, prohíben entregarles información a terceros, salvo a una empresa de informática de su confianza y a una fundación que atiende a pacientes con cáncer.    

La abogada Verónica Sánchez, una de las cerca de 3 mil afectadas por este hecho, anunció que prepara una millonaria demanda civil en contra de estas entidades.

Más info:

Diario Financiero  

Diario El Mercurio  

Diario La Tercera  

Radio BioBio  

Y en Radio Infinita un audio de la abogada Verónica Sánchez.