Este artículo es una colaboración de Marco Lopez, Diseñador de sitios Web, Estudiante de Informática y ex estudiante de Derecho. Su Blog es http://www.munir.com.mx

Cencosud es un holding de empresas y centros comerciales con operaciones en Chile, Argentina, Perú, Brasil y Colombia, -eso todos lo sabemos (o deberíamos saberlo) y dentro de sus estrategias de marketing en Chile, ha decidido decir adiós a “Círculo Más” y dar la bienvenida a “Nectar”, un nuevo programa de puntos y beneficios que se supone mejor que el ya desaparecido Círculo Más.

Pero ¿qué sabemos de Nectar? Nectar es un programa de puntos que ya existe en el Reino Unido (www.nectar.com) operado por la empresa Loyalty Management UK Limited. Incluso en ese lugar también existe pero en el caso de Chile tenemos que Nectar ha sido una marca importada por Cencosud para “fidelizar” al cliente, de hecho, en el 2007 -segun informaba Revista Capital ya estaban observando el know-how de Nectar y de la supermercadista Tesco, la mayor cadena de supermercados en el Reino Unido, quedándose finalmente con el modelo de fidelización de Nectar.

Dentro de las “Ventajas” que se publicitan luminosamente en las publicidades de Nectar aqui en Chile estan las de que ahora “un punto significa un peso chileno” tambien dicen que “puedes canjear lo que quieras”, etcétera. Su publicidad también anuncia que por cada $200 pesos de compra en Jumbo acumulas 2 puntos (el 1% de la compra), pero si compras en Paris, Easy o Santa Isabel ahi por cada $200 pesos de compra sólo acumulas 1 punto (el 0,5% de la compra). y desde ahi es donde surgen otros detalles que me preocupan.

1. Solo se puede canjear desde 4000 puntos en Santa Isabel y en el resto de las tiendas de Cencosud (Paris, Jumbo, Easy) puedes hacerlo desde 5000 puntos. lo que significa que si uno quiere acumular dicha cantidad deberá comprar alrededor de $500.000 pesos chilenos en Jumbo o $1.000.000 de pesos chilenos en Paris, Easy o Santa Isabel para alcanzar los 5000 puntos mínimos para canjear algo ($400.000 pesos chilenos de compras en Jumbo o $800.000 pesos chilenos de compras en Paris, Easy o Santa Isabel para canjear algo en Supermercados Santa Isabel).
2. El Artículo 8º parrafo 3 de los Términos y Condiciones del contrato que aparece en nectar.cl:
   “Asimismo, la participación en el Club Nectar faculta a las Compañías Participantes a enviar al Cliente, en conjunto o por separado, por el medio que se estime más eficiente, informaciones, ofertas y promociones.”. En otras palabras, uno autoriza a Nectar a enviar SPAM, independiente de las configuraciones que uno pueda realizar dentro de su sitio web para evitar que dicho SPAM llegue a nosotros.
3. El Artículo 14º de los Términos y Condiciones del contrato que aparece en nectar.cl:
   “La Empresa ha elaborado políticas de privacidad y uso de información personal para que los Titulares y Adicionales de cuentas del Club Nectar tengan conocimiento sobre la información personal que Nectar reúne sobre ellos, cómo y con quién se utiliza, las que se encuentran publicadas en el sitio web del Club Nectar (www.nectar.cl). Dichas políticas de privacidad y protección de la información se entienden formar parte integrante de las presentes bases para todos los efectos.” Ahora, si nosotros revisamos esas “Políticas de Privacidad” y ponemos atención en el Título II, parrafos 3º y Artículo 1º de éstas políticas nos encontramos con lo siguiente:
4. “…En consideración a lo anterior, el Usuario consiente expresamente que, en virtud de su incorporación al Programa, la Información que se acumule, recolecte, reciba o recoja de los Usuarios por parte de la Empresa, podrá ser usada por la Empresa de la siguiente manera:
   
   1.- La Información podrá ser objeto de: (i) almacenamiento, entendiendo por tal el archivo de la información en lugares especialmente destinados al efecto; (ii) procesamiento, entendiendo por tal los mecanismos y procesos que permitan brindar al Cliente los servicios ofrecidos; (iii) tratamiento, entendiendo por tal cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar o cancelar la información; y (iv) disposición, entendiendo por tal comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal o utilizarlos en cualquier forma. Lo anterior salvo que el Cliente, respecto del tratamiento y disposición, expresamente instruya lo contrario mediante comunicación escrita, despachada mediante carta certificada al domicilio de la Empresa 2.- Respetando las disposiciones legales que regulen la materia, la Información podrá almacenarse, procesarse y tratarse en cualquier país del mundo. Sin perjuicio de lo anterior, la Empresa será siempre responsable del debido cuidado de la Información debiendo tomar medidas de seguridad razonables para resguardar la Información contra su manipulación, pérdida, destrucción, divulgación y acceso no autorizados.  

   3.- La Información almacenada podrá ser usada para uno o más de los fines que, a continuación, se expresan: (i)(ii) la confección y/o mejora de los productos y/o servicios que la Empresa o las Compañías Participantes le prestan a los Clientes, así como el diseño de nuevos productos y/o servicios para éstos; (iii) el despacho por cualquier vía de todo tipo de información, incluyendo, pero no limitada a, antecedentes técnicos, publicidad y promoción de productos y/o servicios, ya sean de la Empresa, de las Compañías Participantes o de terceros, formularios y encuestas; y (iv) la realización de estudios individuales y/o colectivos de cualquier tipo como, por ejemplo, estudios en materia demográfica, histórica, comportamiento de los Clientes e investigaciones de mercado.

   4.- El Usuario consiente expresamente que, en el desarrollo del Programa, la Empresa podrá tener acceso o solicitar al Cliente o a terceros, información que pudiere ser más específica respecto del Cliente, en adelante la “Información Adicional”, que revele preferencias, gustos, hábitos, comportamientos, bienes, obligaciones y en general toda aquella que permita un mayor conocimiento del Cliente, la cual podrá almacenarse, procesarse, tratarse y disponerse en los mismos términos indicados en los números precedentes.

   5.- La Empresa podrá disponer y comunicar al público todo o parte de la Información o de la Información Adicional, caso en el cual su destinatario deberá cumplir con alguno de los siguientes requisitos (i) ser una persona relacionada a la propiedad o gestión de Círculo Más S.A., ser una filial o controladora de misma, o ser una persona que esté bajo el control común de Cencosud S.A.; o (ii) ser una Compañía Participante del Programa. La Empresa procurará que el destinatario de la referida información garantice que ésta será tratada bajo adecuados parámetros de reserva y que, en el evento que el Cliente se oponga al uso de la misma, será prontamente eliminada de los registros respectivos. Por último, tanto Círculo Más S.A. como los citados destinatarios sólo podrán usar la Información o la Información Adicional con los propósitos indicados en el número 3 precedente, caso este último en que las condiciones de esta política aplicables al Programa deberán ser cumplidas por dichos destinatarios. la mantención de las relaciones contractuales y/o comerciales derivadas del Programa entre la Empresa, las Compañías Participantes y el Cliente.“

Haciendo una interpretación de lo que acaba usted de leer debe tener claro que Si usted entra a Nectar, Cencosud podrá:

• Usar la información que usted les provea para lo que ellos deseen, incluso (aunque no lo declaren expresamente), para localizarlo en caso de que usted tenga alguna deuda pendiente.
• Exportar sus datos “a cualquier país del mundo”.
• No conforme con esto, Cencosud podrá buscar información acerca de usted en fuentes externas a usted, o sea podrán usar a DICOM, SERVEL, GOOGLE o la  fuente de datos que ellos deseen con el fin único de saber mas de usted.
• Cencosud también podrá traspasar la información que tiene de usted a las empresas que se vayan incorporando a Nectar en el futuro y en caso de que usted no desee que X empresa tenga información alguna sobre usted tendrá que enviar una “Carta Certificada” al domicilio de La Empresa (o sea Nectar en Chile). o sea todo es automático, mientras le convenga a Nectar, nunca a usted, además que no se ve el domicilio de “La Empresa (Nectar) en forma clara dentro del sitio web de Nectar.
• También la información provista por usted podría ser entregada a las autoridades judiciales en caso de algo ilegal, esto esta bien, pero si pensamos que esta información puede parar en “cualquier pais del mundo” perfectamente esta información podría parar en el FBI, la CIA o Scotland Yard.
• Además usarán esta información para estudiar los hábitos de compra de los clientes, y seguramente despues le llegará publicidad según sus intereses. Si tanto criticamos a Facebook deberíamos fijarnos que Nectar tiene unas politicas de “privacidad” que les permite practicamente hacer SPAM y dónde además los clientes tendrán que desembolsar sumas de dinero que van desde de los $400.000 pesos chilenos al $1.000.000 de pesos chilenos($800 a $2000 dólares aproximadamente) para recien canjear algo de $5000 pesos chilenos ($10 dólares aproximadamente). O sea darles casi todo el dinero y nuestra vida privada a cambio de algo que perfectamente podemos adquirir sin sacrificar nuestra privacidad.

Como conclusión digo que Nectar no es un buen programa de puntos y sus políticas demuestran que no todo es tan maravilloso como lo pinta la publicidad que ha dispuesto Cencosud en los medios de comunicación de Chile y en realidad esconde intenciones poco santas. esta bien querer fidelizar a los clientes, pero hay que hacerlo bien, lo que es de Chile, debe resguardarse en Chile y no puede ser exportado asi como así porque le conviene a los planes expansivos de una empresa, también debería pensar en quienes compran poco y fidelizarlos  adecuadamente permitiendo el canje por un puntaje minimo mas fácil de alcanzar por la mayoría de los Chilenos.

El tenor de los amparos y los fallos es más o menos similar: el recurrente de amparo solicita la entrega del informe psicolaboral propio, a lo que se accede por tratarse de información propia, datos que pertenecen a su titular, PERO también se solicita la entrega de los informes y evaluación sicológica de la o las personas designadas en los cargos, a los cuales el consejo accede, siempre y cuando se excluyan los datos sensibles y reservados que éstos pudiesen contener, aplicando el principio de divisibilidad, esto es, tarjando aquellos datos.

Los informes psicolaborales son hoy un herramienta de selección de personal, que implican la aplicación de instrumentos de evaluación y entrevista personal a candidatos seleccionados por alguna organización. A éstos se les aplica algunos o varios test o exámenes tales como, Zulliger, Lüscher, Rorschach, Phillipson, Edwards, Cattell, Dominó y Grafología.

Finalmente se obtiene el perfil psicológico y psicolaboral del candidato, además de su motivación, conocimientos, habilidades y competencias, así como también de su capacidad para el trabajo en equipo, resistencia al cambio, trabajo bajo presión y personalidad de acuerdo al cargo. Estos revelan los principales aspectos intelectuales y afectivo-sociales de la persona.

El Consejo señala que el organismo requerido debe analizar si el contenido del informe psicolaboral que se solicita se refiere en forma expresa al estado de salud psíquico de los candidatos seleccionados. De lo contrario, si el informe psicolaboral se refiere a la idoneidad sicológica del candidato para el cargo determinado y no expresa datos sensibles sobre su estado de salud mental, dicho informe no queda cubierto por la protección del citado artículo 10 de la Ley N° 19.628.

La divisibilidad en el acceso a la información implica la potestad de poder separar y entregar al solicitante aquella información pública de la que no. Es uno de los principios que inspira la ley de acceso a la información chilena y que es de gran aplicación cuando el aplicador de la ley debe ponderar derechos.

¿Qué parte del informe psicolaboral no constituye datos sensibles?

La ley 19.628 señala que son datos sensibles “datos personales que se refieren a las características físicas o morales de las personas, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual” (Art. 2° g) Estos datos pertenecen a la categorías de datos especialmente protegidos, y no pueden  ser objeto de tratamiento salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.

Esta misma ley incorporó  al artículo 127 del Código Sanitario, que “las recetas médicas y análisis o exámenes de laboratorios clínicos y servicios relacionados con la salud son reservados”. Dentro de este supuesto, el Código Sanitario considera expresamente los informes emitidos por sicólogos en sus artículos 112 y 113, quienes dentro de sus servicios profesionales comprenden la aplicación de principios y procedimientos psicológicos que tienen por finalidad asistir, aconsejar o hacer psicoterapia a las personas con el propósito de promover el óptimo desarrollo potencial de su personalidad o corregir sus alteraciones o desajustes.

Siguiendo esta misma línea de interpretación la Contraloría General de la República en el Dictamen N° 31.250/2008, declara que los informes psicológicos de los candidatos a un cargo público son datos sensibles y, en tal carácter, no entregables a terceros sin cumplir los requisitos del artículo 10 de la Ley N° 19.628, de Protección de Datos Personales.

La Corte de Apelaciones chilena ha tenido la oportunidad de resolver definitivamente el último de estos casos (A110-09), y no ha innovado en cuanto a lo resuelto por el Consejo para la Transparencia, en virtud de otorgar protección a los datos personales.

La entrega del informe sicológico aplicando la divisibilidad no es más que una interpretación forzada de la norma en favor de un espíritu de acceso a la información pública y transparencia lesionando y no armonizando el derecho a la protección de datos personales. Puesto que si bien tales informes han sido un antecedente fundamental para que dichos candidatos fueran finalmente elegidos para desempeñarse en funciones públicas, no lo es la  condición individual del seleccionado,  si no el cumplimiento de un perfil general, que está disponible en las bases del concurso y que es lo pretendido por la institución que selecciona.

Por lo tanto, todo el informe psicolaboral constituye datos sensibles, a excepción de la fecha, nombre del evaluado, los test aplicados (excluyendo los resultados), y la firma del psicólogo, lo que torna irrisoria la entrega de la información.

Por otra parte el balance aún no es tal, si aún se observa una interpretación de la ley de acceso en el sentido de considerar público todo lo que obra en poder de la administración sin reparar en que el Estado al tratar datos personales en documentos públicos, no constituyen por eso información pública.

Así el IFAI (México) a modo de balancear transparencia y protección de datos publica en el “currículum vitae” de los funcionarios exclusivamente “datos curriculares”, que finalmente son los que interesan al control social que debe ejercerse sobre la administración, y que son: el grado máximo de estudios, la experiencia laboral (tanto en el sector público como en el privado), los logros laborales o académicos, en su caso, y la experiencia académica, si procede.

Descargar fallo Corte Apelaciones

Carta publicada

el día 16 de junio de 2010

Señor director:

Hace algunos días los medios de comunicación informaron sobre la decisión del Consejo para la Transparencia en el caso Servicio Electoral (Servel), que señaló que los datos del padrón electoral en poder de este órgano, que antes vendía en soporte electrónico, es información y debe entregarse de manera gratuita a quien los pida. La respuesta de nuestros legisladores frente a esto, a los que se les ha delegado la responsabilidad de modificar este estado de cosas que obligó a haber resuelto de esta manera, no se ha hecho esperar. Se ha presentado un proyecto de ley que modifica la ley del Servel, señalando que no es información pública el RUT, profesión y circunstancia de ser analfabeto o no vidente.

Sin embargo, hay que tener presente aquello que permite armonizar criterios de publicidad vs. privacidad en documentos que obran en poder del Estado, en el sentido que los datos personales no dejan de ser tales por estar contenidos en documentos públicos. Si el Estado maneja, almacena y trata datos personales, no se transforman por ese hecho en información pública; mantienen su carácter de datos personales. En ningún caso el Servel puede ceder dicha información a terceros o usarla para un fin distinto al declarado en su recogida, cual es asegurar el ejercicio del derecho constitucional a sufragio y las elecciones se realicen en un contexto lejos de corrupción, puesto que ello se encuentra fuera de su ámbito de acción.

No es correcto afirmar que la información contenida en el padrón electoral es información pública, sino datos personales, que son el reflejo de nuestra individualidad y personalidad. Deben armonizarse y no incompatibilizarse ambas cuestiones.

Romina Garrido

Descargar PDF

Este artículo es una colaboración de la abogada Matilde Cobeña Vásquez, comisionada de la Adjuntía en Asuntos Constitucionales de la Defensoría del Pueblo de Perú, docente del curso de Introducción a las Ciencias Jurídicas en la Facultad de Derecho de la Pontificia Universidad Católica del Perú, y estudiante de la Maestría de Derecho Constitucional de la misma Universidad.

Desde hace un tiempo se estaba trabajando en Perú un proyecto de Ley sobre Protección de Datos Personales. El proyecto por fin ve la luz, y con algunas modificaciones, el pasado 09 de junio se ha presentado al Congreso de la República para su respectivo debate y aprobación.

El texto ha sido elaborado por el Ministerio de Justicia para garantizar el derecho fundamental a la protección de datos personales o autodeterminación informativa, derecho reconocido en el artículo 2°, numeral 6) de la Constitución Política Peruana pero que no es ejercido debido a que no cuenta con una ley de desarrollo constitucional.

Este proyecto pretende regular los bancos de datos personales de entidades públicas y privadas, cuyo tratamiento se realice en territorio peruano. Asimismo, se ocupa de establecer los principios rectores de la protección de datos personales; el tratamiento de dichos datos; los alcances y limitaciones del consentimiento de su tratamiento; los derechos del titular de los datos  personales (acceso, rectificación, cancelación, oposición); las obligaciones del titular y del encargado del banco de datos, las funciones de la Autoridad  Nacional de Protección de Datos Personales, las infracciones y sanciones administrativas por el incumplimiento de sus disposiciones, entre otros aspectos.

Cabe destacar que resulta interesante que este proyecto reciba atención por parte del legislador peruano, en tanto que el Perú cuenta con legislación dispersa respecto a la protección de datos personales. Sin embargo, resulta también necesario que se establezcan los límites adecuados de esta protección de modo que no se afecten otros derechos fundamentales como el acceso a la información pública que obra en poder de las entidades estatales.

En ese sentido, el trabajo de nuestros legisladores requerirá el aporte valioso de distintas entidades públicas y privadas a fin de lograr una regulación precisa y acorde con las responsabilidades del Estado y con el respeto de ambos derechos fundamentales: protección de datos personales y acceso a la información pública. Ello resulta importante para que los avances en la implantación de una cultura de transparencia que se viene construyendo en el Perú, hoy no desaparezca como pretexto de la cultura de la privacidad de nuestros datos personales.

Ver el Proyecto de Ley

El hackeo de portada (o defacement), fue atribuido por parte de un cracker (hacker malintencionado) conocido y difundido ampliamente a través de distintas redes sociales. Durante cierto periodo de tiempo- según informó radio Biobio- al ingresar a la Web del municipio de Lampa, se podía observar una extensa base con datos de casi 500 personas, con información que incluía sus números de RUT, e-mail, contraseñas, nombres completos y números de teléfonos, incluso información sensible sobre subsidios que entrega el SERVIU.

El Estado como ente que trata datos personales es responsable de éstos, conforme al artículo 11 de la Ley N° 19.628, de los daños y del tratamiento con la “debida diligencia”.

En complemento con lo anterior, es norma obligatoria para los órganos de la Administración el Decreto N° 83, de 12 de enero de 2005, del MINSEGPRES que establece una Norma Técnica relativa a las señala las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documentos electrónicos que se generen, intercambien, transporten y almacenen en o entre los diferentes organismos de la Administración del Estado y en las relaciones de éstos con los particulares.

Recordemos que la protección de los documentos, no se justifica en sí mismo, sino en virtud de la protección de su contenido: los datos e información que contiene.

El nivel básico debió cumplirse a más tardar el año 2004, y el avanzado en 2009.

Sin duda, leyes que no se cumplen constituyen normas que el Estado no tiene capacidad de cumplir.

Hoy por la prensa nos enteramos del gran cambio en el disclaimer que ya nos tenía preocupadas en los sistemas biométricos de atención de salud…un cambio a nuestro juicio que no responde aún al verdadero ejercicio de los derechos de acceso en protección de datos y al deber de información por parte de los responsables de bases de datos.

El disclaimer de hecho aparece hoy en un comunicado y ahora señalaría:

“Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A. y de Autentia S.A., y el tratamiento de tales datos para verificar mi identidad contra los datos ya almacenados de conformidad a la ley. En caso que la colocación de mi huella digital no implique el otorgamiento de dicha autorización, comunicaré tal circunstancia a I-Med y/o Autentia a través de carta dirigida a Avda. 11 de Septiembre 1901 piso 3 o al correo electrónico: autentia@i-med.cl, a fin que se tomen las medidas del caso”.

El anterior disclaimer indicaba: “Al colocar el dedo sobre el lector de huellas suscribo y otorgo un contrato privado por el cual gratuitamente para mi autorizo expresamente la inscripción enrolamiento, transmisión y almacenamiento de mis datos personales en la base de datos prexistentes de I-Med S.A., como en la de Autentía S.A. el tratamiento de tales datos y /o la verificación de mi identidad contra dicha base de datos ya almacenados declarando haber sido informado del propósito de la inscripción, enrolamiento,  transmisión y almacenamiento de tales datos y su posible comunicación a terceros, conforme lo exige el artículo 4º de la ley 19.628”…

La verdad es que la diferencia es insignificante, puesto que en nuestra consideración NO se cumple a cabalidad con el deber de información por parte de I-MED respecto de la finalidad del tratamiento,  su transmisión y comunicación a terceros; asimismo, no queda claro el tratamiento para verificar la identidad ya que se describe en términos muy amplios… Lo que ahora pesa sobre los usuarios del sistema es el envío de una carta a la dirección indicada para que cualquier persona que lo desee puede solicitar que se borre la información biométrica contenida en la bases de datos.

Haciendo un brevísimo análisis del comunicado:

• Para garantizar la autenticidad de las transacciones efectuadas por personas se usan la verificación de identidad mediante la huella digital, la información de las huellas es almacenada sólo en nuestras bases de datos en forma encriptada y no es traspasada a terceros fuera de nuestro control empresarial, garantizándose siempre la privacidad de la información contenida en ellas.
• En cada operación de verificación de identidad, y a especial pedido del usuario sólo se emite a la empresa requerida del servicio (Isapre, AFP, etc.) la información de control de identidad, consistente en confirmar o negar que la persona que se presenta bajo un cierto nombre y RUT corresponde a quien dice ser según el resultado del control de la huella digital, para que así pueda concretarse la transacción que dicho usuario, por su voluntad, desea realizar con la empresa requerida. Posteriormente, nuestra empresa guarda los datos de la transacción para garantizar la integridad de la operación. Dichos datos no son ni serán traspasados a terceros fuera de nuestro control empresarial.

¿Que empresas están detrás de I-MED?

I-Med, no está sola,  los socios de ésta crearon Autentia (que desde el año 2006 se encarga de generar aplicaciones alrededor del uso de huella dactilar digital). Entre las dos empresas han generado el mayor know  how en el uso de biometría digital en América Latina…. Y detrás de Autentia está el sólido respaldo de SONDA, la principal empresa de informática de Chile y una de las más grandes de América Latina; la Cámara Chilena de la Construcción y Banmédica…

• Nuestra empresa no tiene acceso ni almacena ningún dato relacionado con la transacción efectuada entre el usuario y la empresa requerida.

La autorización señala claramente: Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A

• Nuestro servicio se encuentra organizado responsablemente dentro del marco de la legislación específica aplicable a la protección y resguardo de datos de carácter personal y de firma digital, siguiendo todos los parámetros nacionales e internacionales al respecto.
• Nuestro servicio de identificación sólo puede materializarse con el concurso de la voluntad de la persona cuya identidad se requiere verificar en una transacción específica. Dicha voluntad se manifiesta en el momento de colocar la huella en el lector para ser verificada. En ausencia de su voluntad el proceso de identificación jamás llega a concretarse.

Y así es, no es culpa de ellos que la ley no tenga sanciones y que, en definitiva, regule el tratamiento de datos y no el control de los titulares sobre los mismos.
En radio cooperativa, se señala que el diputado Gabriel Silber presentó ayer miércoles una denuncia en la Superintendencia de Salud por esta cláusula que autoriza la transferencia o cesión de datos sensibles del cliente. El abogado Claudio Mangliola, académico de Propiedad Intelectual y Nuevas Tecnologías de la U. de Chile, declaró en el mismo medio que desestima la denuncia del parlamentario “porque la ley sobre protección de datos establece que el tratamiento de de datos personales puede hacerse cuando consta con autorización expresa y por escrito de la persona”, “¿Cuando yo pongo la huella es una autorización expresa y por escrito? Sí, porque la huella es una firma electrónica”.

¿Y dónde queda el deber de información por parte de I-MED? ¿es válida esa autorización expresa si no existe información sobre la finalidad del tratamiento?

¿Cuál es el sueño de I-MED?

“Queremos hacer posible el futuro en prestaciones de salud, mediante el cual los distintos agentes están conectados en línea, sus transacciones son inmediatas, y tienen acceso a todos los aspectos de la transacción – comercial, financiera y operacional. Aseguradores, empleadores, prestadores de salud, farmacias y emisores de tarjetas de crédito: todos conectados para hacer de la Salud un servicio fácil, cercano y eficiente.” 

SÚPER!

Más info: aquí

Foto: Ciper Chile

Una multa de 80 millones de pesos cursó la Superintendencia de Salud a las ISAPRES Banmédica y VidaTres por intercambio de datos personales de clientes, con la cadena de farmacias Cruz Verde.

Los datos se referían a patologías Auge y a sus medicamentos específicos.  

El Mercurio señaló que “El convenio entre las ISAPRES y la cadena farmacéutica fue suscrito para entregar a los usuarios los beneficios correspondientes a las patologías Auge, y fue descubierto sólo tras la denuncia hecha a la justicia por la abogada Verónica Sánchez, quien advirtió el 8 de abril del año pasado que su diagnóstico médico había sido entregado a la cadena de farmacias, que a su vez le ofrecía los medicamentos para tratarlo”.  

Este acuerdo contemplaba:  

-          uso de medicamentos por patología en unidades y pesos  

 -          medicamentos usados por beneficiarios en unidades y pesos  

 -          costos de los beneficiarios  

-          distribución geográfica del consumo en unidades y pesos  

-          beneficiarios que más utilizan medicamentos en unidades y pesos 

-          tendencias de consumo. 

La ley 19.628 al respecto señala que los datos de salud, pertenecen a la categoría de datos sensibles o especialmente protegidos, entendiéndose por tales aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.   Enseguida,  que el tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. A pesar de que la norma contempla una serie de excepciones, en el caso de los datos de salud, por pertenecer a una categoría especial de datos personales, no pueden tratarse. La ley fue clara en ese sentido señalando que no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular (…) y, agregó una “excepción” adicional: que dichos datos sean necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares…

Las empresas aludidas tienen cinco días para formular descargos y, de no estar conformes con la sanción, pueden recurrir a los tribunales de justicia. El diario Financiero ya informó hoy que las empresas van a apelar a dichas multas.

La Asociación de Isapres justificó el intercambio, argumentando que “la Isapre entrega información a la farmacia, primero, para saber quién es el afiliado y para saber qué medicamentos entrega”, Rafael Caviedes, director ejecutivo de la entidad.    

Según El Mercurio el traspaso de datos era la única forma de cumplir con la ley que regula el plan Auge, pues las farmacias son las únicas expendedoras de medicamentos autorizadas en el país. También señalaron que “El texto del convenio entre los seguros y Cruz Verde añade que estos datos son confidenciales y que ninguna de las partes podrá divulgar su contenido sin la autorización de la otra”.    

Además, prohíben entregarles información a terceros, salvo a una empresa de informática de su confianza y a una fundación que atiende a pacientes con cáncer.    

La abogada Verónica Sánchez, una de las cerca de 3 mil afectadas por este hecho, anunció que prepara una millonaria demanda civil en contra de estas entidades.

Más info:

Diario Financiero  

Diario El Mercurio  

Diario La Tercera  

Radio BioBio  

Y en Radio Infinita un audio de la abogada Verónica Sánchez.

El panel de Protección de Datos “se quedó abajo” y fue reemplazado por un taller de  “Medios de comunicación y Transparencia”.

El Seminario a realizarse en razón del cumplimiento de un año de la entrada en vigencia de la ley 20.285 los días 20 y 21 de abril de 2010 en Santiago de Chile (en el Centro de Extensión Pontificia Universidad Católica) sería una instancia de debate del tema: “Protección de Datos Personales: el balance con el derecho de acceso a la información”, junto a tres panelistas.

Recordemos que en el Congreso se tramita un proyecto de ley desde octubre de 2008, que contempla un órgano de protección de datos en Chile, una deuda pendiente de la ley 19.628,  que no contempló una autoridad de control en protección de datos. La idea legislativa es modificar la ley 20.285 y la 19.628 otorgando al Consejo para la Transaparencia las facultades de “autoridad de control de protección de datos personales”.

Muy interesante habría sido escuchar la postura del Consejo en esta materia, como futura  autoridad de control y supervisión, como ente autónomo, independiente e imparcial frente a organismos públicos y privados o personas que tratan datos personales.

Esperamos que en futuros encuentros, foros o seminarios el Consejo considere esta materia en su programa.

No obstante lo señalado, destacamos la participación de José Luis Piñar, ex Director de Agencia Española de Protección de Datos, como expositor en el Panel 3 “Sector privado y transparencia”.

Aunque viene de cerca la recomendación, por que hoy en día trabajo en la Biblioteca, la novedad es que hoy es posible acceder de manera inmediata y directa a la ley que principalmente nos interesa en este blog la ley 19.628 actualizada (y a todas la Leyes de la Republica, of course) y a una bateria de otra información que enriquecen nuestra experiencia de consulta en el sitio.

Desde la ley también se accede a la Historia de la Ley y de sus artículos disponibles (a la fecha hemos elaborado tres: Arts. 16, 17 y 18) a los proyectos de ley en actual tramitación en el Congreso que la modifican y a una consulta en web de los dictamenes de aplicación emanados de la Contraloría General de la República. Todo desde el mismo sitio.

También a los reglamentos de aplicación o relacionados en este caso, las modificaciones, versiones, etc.

Creo que vale la pena echarle un vistazo a estas nuevas herramientas gratuitas y que deben difundirse en toda la comunidad.

EL organizador del Seminario es la Dirección Nacional de Protección de Datos Personales y este evento construirá un ámbito para formular propuestas teniendo en cuenta el estrecho vínculo entre tecnología y economía y, en especial, la influencia de la protección de datos personales para la potenciación del desarrollo económico que trae aparejada la innovación y el abordaje de problemas complejos con resguardo de los derechos de las personas.

Objetivos

Este Seminario se ha organizado considerando la estrecha vinculación que existe entre Protección de  los Datos Personales y la Economía.

Anteriormente, hemos puesto especial relevancia en el progreso tecnológico, el éxito y la innovación en la sociedad. Ahora, agregamos a los factores mencionados la economía. Se produce una natural sincronización. La economía como proceso de riqueza relacionada con la protección de los  datos personales  en los ámbitos comerciales, financieros y en todos aquellos en los que esté en juego el desarrollo nacional e internacional.

El resguardo del federalismo ha sido contemplado en este Seminario, al pensar la actividad conjunta entre los Municipios, las Provincias Argentinas y el Gobierno Nacional a través de la Dirección Nacional de Protección de Datos Personales.

El objetivo fundamental se proyecta en las personas, a fin de preservar  su honor y privacidad.

Ahora, se pone nuevamente en marcha la labor para que el presente y el futuro se integren en el año del Bicentenario de la República Argentina.

Para inscribirse al seminario, aquí.

Fuente

http://www.jus.gov.ar/datos-personales/seminario-internacional.aspx

(Traducido desde sitio web del Consejo de Europa)

El tratamiento informatizado de los datos personales,  forma parte importante de la vida de los ciudadanos, ya sea en el trabajo, en sus relaciones con las autoridades, en el ámbito médico, cuando compran bienes o servicios, y cuando navegan por Internet.

El derecho a la protección de esta información es también un requisito previo para el ejercicio de otros derechos fundamentales, tales como el derecho a la protección de la intimidad, la libertad de expresión y la libertad de conciencia.

Con el fin de ofrecer protección a todos en este ámbito, el Consejo de Europa elaboró un convenio para proteger los datos personales que sigue siendo el único instrumento jurídico internacional vinculante en este campo. Cualquier país puede adherirse a la Convención, sea o no miembro del Consejo de Europa. (Convenio 108)

El objetivo del Día  de la Protección de Datos, el 28 de enero de cada año, es dar a los ciudadanos la oportunidad de entender qué tipo de datos son recogidos y cuál es su tratamiento, por qué se hace esto, y cuáles son sus derechos .

Es también la oportunidad  de  ser más conscientes de los riesgos inherentes asociados con el uso ilegal o clandestino de procesamiento de sus datos personales.

El día de la protección de datos  es una celebración internacional de la dignidad de la persona expresada a través de la información personal.

Mas información:

• Declaración de la Sociedad Civil Española
• Consejo de Europa
• Grupo Facebook
• Dataprivacyday2010.org

Fuente

Sólo el 3% de las reparticiones dependientes de los ministerios sociales tienen inscritas las bases de datos con información de ciudadanos que usan en sus entidades. Ésa fue la conclusión de un estudio de la Fundación Pro Acceso que involucró a 164 servicios, programas o beneficios de los ministerios de Vivienda, Salud, Educación, Trabajo y Planificación, y el Servicio Nacional de la Mujer. El trabajo, uno de los más extensos que se ha desarrollado usando la Ley de Transparencia, se realizó a partir de un cuestionario de siete preguntas enviado durante el mes de septiembre a las reparticiones.

Sin embargo, los resultados muestran un panorama preocupante, según plantea Federico Allendes, abogado y presidente de Pro Acceso. “Hay un escaso cumplimiento de la ley sobre protección de datos y vida privada. Porque de los 50 servicios que respondieron formalmente, hubo 39 que reconocieron tener bases de datos personales, y de ésos solamente 5 han cumplido con su deber de registrarlas ante la entidad correspondiente, que es el Registro Civil”, señala.Este hecho, añade Allendes, es un incumplimiento de la Ley 19.628, que protege los datos personales, ya que los servicios están obligados por esa norma a registrar sus bases de datos, y deja en una abierta desprotección a los ciudadanos. “Es un problema muy serio, porque el estudio demuestra que los ciudadanos no tienen cómo saber qué tipo de datos tiene el Estado sobre ellos”, dice.

Además, el estudio reveló que sólo 5 servicios afirmaron tener un encargado para el tema de las bases de datos, y que son escasas las medidas de seguridad adoptadas por los organismos para proteger dicha información.

“Hay una gran desprotección que implica un desafío enorme para el futuro, porque Chile ingresó a la OCDE, y dentro de las políticas de ese grupo está la protección de datos. En este momento estamos con un proyecto en el Parlamento para tratar de alcanzar el nivel OCDE; sin embargo, las prácticas actuales no están en ese nivel”, plantea Allendes.

Ante este panorama, la Fundación Pro Acceso acudirá hoy al Consejo para la Transparencia, organismo facultado para velar por el manejo de las bases de datos en el sector público, para hacer entrega del estudio y solicitarle acciones respecto del tema, ya que, según concluye Allendes, “no hay políticas claras ni normas técnicas sobre las reglas de seguridad que se debieran seguir en el manejo de las bases de datos. No se está cumpliendo la ley actual por ningún lado”.

Bajo cumplimiento de la Ley de Transparencia

Otro elemento del estudio que fue mal evaluado por Pro Acceso fue el nivel de respuesta de los organismos públicos.

“Del 100% de la muestra, solamente un 30% respondió satisfactoriamente, lo que es un nivel muy bajo”, señaló Federico Allendes. El 28% no emitió respuesta alguna y el 34% respondió formalmente l solicitud, pero sin contestar el cuestionario, lo que también será puesto en conocimiento del Consejo para la Transparencia, para que tome las medidas correspondientes en el tema.

“El estudio demuestra que los ciudadanos no tienen cómo saber qué tipo de datos tiene el Estado sobre ellos (…) Hay una gran desprotección que implica un desafío enorme”.

El estudio se encuentra disponible aquí.

Los datos habrían sido extraídos desde el sitio de la Junta Nacional de Auxilio y Escolar y Becas (JUNAEB), específicamente del portal del Sistema Nacional de Becas ( http://sinab.junaeb.cl). Vemos nuevamente a este organismo público involucrado o afectado por hechos de esta naturaleza (recordemos lo ocurrido en el mes de junio de este año respecto de los datos de menores)

Señalamos en ese momento que el tratamiento de datos personales realizado tanto por organismos públicos como privados, debe cumplir el principio de seguridad, contenido en el artículo 11 de la ley 19.628,  que señala: “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Si bien no se establece en la ley, de manera expresa, el cumplimiento específico de determinados estándares de seguridad, los responsables de bases de datos deben establecer una planificación en la herramienta que soportará toda la información, y adoptar una serie de medidas legales, técnicas y organizativas de seguridad que limiten su responsabilidad frente a posibles incumplimientos de la normativa de protección de datos.

Convengamos en que los datos que maneja la JUNAEB son de una sensibilidad o criticidad elevada, por cuanto no sólo se manejan datos de identificación de las personas, sino que mantienen otros datos que dan cuenta de circunstancias personales, como la asignación de beneficios sociales asociados a becas u otros (programas de alimentación escolar por ejemplo), o de características personales, como la fotografía o imagen. Resulta determinante, por tanto, que en el caso de la JUNAEB se efectúe una auditoría informática, para conocer si su sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, se llevan a cabo eficazmente los fines de la organización y si utiliza eficientemente los recursos.

Con claridad existe una vulnerabilidad en el sistema informático de esta entidad que genera un riesgo para la institución y los titulares de los datos.

Noticia: El Mercurio, LUN

En Chile el Código del Trabajo prohíbe todo acto de discriminación, considerando entre ellos las exclusiones basadas en motivos de raza, color, sexo, edad, religión, opinión política, nacionalidad, origen social, etc. También se prohíbe condicionar el empleo a la inexistencia de deudas.

Todo lo anterior, al igual que en Francia, es letra muerta debido a que en la práctica es difícil de probar la existencia de esta discriminación pre- contractual, la cual se da el momento de análisis de los postulantes. Es una realidad que supera el mandato de la norma: tener Dicom, no solo es la muerte económica si no también un impedimento para acceder por completo al mercado laboral, aunque no tenga nada que ver con el trabajo en postulación.

La Dirección del Trabajo en Chile, dentro de sus facultades de fiscalización ha sancionado a diversas empresas que mediante avisos exigen ciertas características tales como: buena presencia, apariencia física, fotografía, antecedentes comerciales, edad, nacionalidad y en otras situaciones ha considerado que la exigencia de titulo universitario o solo técnico, por ejemplo, no constituye acto de discriminación.

El proyecto Francés que termina en mayo del 2010, será evaluado en sus resultados para determinar en definitiva si es posible una práctica así de manera permanente. Entre las empresas participantes encontramos: Loreal, Peugeot, Axa, Citroen, Nissan, Air France…

¿Cómo le iría a Chile en una iniciativa de esta envergadura?

Según consta en la resolución de la entidad (Decisión Amparo N° A211-09), el 29 de junio pasado Constanza Souza Vega solicitó al alcalde de Peñalolén, Claudio Orrego, acceso y copia a un listado en que se entregara la nómina de enfermos con influenza A(H1N1) diagnosticados en el Centro de Salud Carol Urzúa en la semana del 8 al 14 de junio.

La municipalidad respondió el 10 de julio, señalando que la información pedida estaba contemplada en las causales de reserva de la Ley de Acceso a la Información; esto es, que correspondía a la esfera de la vida privada de los afectados.

La solicitante recurrió entonces al Consejo para que resolviera el tema. Y la entidad, resolvió, tras consultar a ambas partes, que la información “se enmarca dentro de lo que la Ley de Protección de Datos Personales define como datos sensibles, toda vez que se refieren a estados de salud físicos de las personas”. El considerando 26° indica además “Que el artículo 10° de dicho cuerpo legal [ley 19.628] prohíbe el tratamiento de los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o se trate de datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares, excepciones que no concurren en la solicitud de acceso a información que nos ocupa”.

Por ello, avaló la decisión de la Municipalidad de Peñalolén de no entregar el registro de pacientes, y dictaminó que dichos datos son secretos.

Criterio similar

Otra resolución del Consejo, que también fue notificada esta semana (Decisión Amparo N° A124-09), apunta en la misma línea de proteger las identidades de las personas.

La entidad autónoma denegó una solicitud de Tomás Domínguez, quien pidió la lista de obreros que trabajaron en remodelaciones del Cementerio General, donde se habrían exhumado cuerpos.

“El listado de los trabajadores que ejecutaron la obra no fue un hecho relevante al momento de la evaluación y posterior adjudicación de la licitación pública, por lo que el interés público de conocer dicha información es relevado por el interés privado de su protección en atención a lo dispuesto en el artículo 4 de la Ley N°19.628, que dispone que el tratamiento de los datos, como lo sería la cesión de éstos al solicitante, sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello, exigencias que en el particular no se presentan”, señaló el Consejo para la Transparencia”.

Asimismo, en su considerando 7° señala “Que, a falta de autorización expresa, el listado referido que solicita el reclamante podría ser cedido si los referidos datos personales hubiesen provenido o sido recolectados de una fuente accesible al público, lo que en la especie no acontece, pues obran en poder del órgano por haber sido proporcionados por el contratista con ocasión del contrato. Lo que, en opinión de este Consejo, obliga a su protección por aplicación del artículo 4, inciso quinto, de la Ley N°19.628”.

Fuente: Emol