Carta publicada

el día 16 de junio de 2010

Señor director:

Hace algunos días los medios de comunicación informaron sobre la decisión del Consejo para la Transparencia en el caso Servicio Electoral (Servel), que señaló que los datos del padrón electoral en poder de este órgano, que antes vendía en soporte electrónico, es información y debe entregarse de manera gratuita a quien los pida. La respuesta de nuestros legisladores frente a esto, a los que se les ha delegado la responsabilidad de modificar este estado de cosas que obligó a haber resuelto de esta manera, no se ha hecho esperar. Se ha presentado un proyecto de ley que modifica la ley del Servel, señalando que no es información pública el RUT, profesión y circunstancia de ser analfabeto o no vidente.

Sin embargo, hay que tener presente aquello que permite armonizar criterios de publicidad vs. privacidad en documentos que obran en poder del Estado, en el sentido que los datos personales no dejan de ser tales por estar contenidos en documentos públicos. Si el Estado maneja, almacena y trata datos personales, no se transforman por ese hecho en información pública; mantienen su carácter de datos personales. En ningún caso el Servel puede ceder dicha información a terceros o usarla para un fin distinto al declarado en su recogida, cual es asegurar el ejercicio del derecho constitucional a sufragio y las elecciones se realicen en un contexto lejos de corrupción, puesto que ello se encuentra fuera de su ámbito de acción.

No es correcto afirmar que la información contenida en el padrón electoral es información pública, sino datos personales, que son el reflejo de nuestra individualidad y personalidad. Deben armonizarse y no incompatibilizarse ambas cuestiones.

Romina Garrido

Descargar PDF

La propuesta ha sido elaborada en el último año bajo la coordinación de la Agencia Española de Protección de Datos (AEPD). Artemi Rallo explica que “estos estándares son una propuesta de mínimos internacionales que recogen un conjunto de principios y derechos que permitan alcanzar el mayor grado de consenso internacional”. A pesar de la aprobación, el documento no tiene valor vinculante. “Tendrá un inmediato valor como referencia y sobre todo como punto de partida para aquellos países que aún no tienen una legislación sobre la materia”, asegura el director de la AEPD.

Entre los principios básicos que deben regir en la utilización de datos personales, están los de lealtad, legalidad, proporcionalidad, calidad, transparencia y responsabilidad. Además, contempla la necesidad de la existencia de autoridades de supervisión, y de que exista una cooperación y coordinación entre los diferentes estados. Además, conjunto de derechos, como el de acceso, rectificación, cancelación y oposición, y la forma de ejercitarlos.

También incluye deberes como el de seguridad de los datos personales -a través de las medidas que resulten idóneas en cada caso- o el de confidencialidad, que afecta tanto a la persona responsable como a quienes intervengan en cualquier fase en la que se manejen datos personales.

El documento se detiene a definir los datos sensibles como aquellos que afectan a la esfera más íntima de la persona o cuya utilización indebida pueda dar origen a una discriminación ilegal o arbitraria, o conllevar un riesgo grave para la misma.

Por otra parte, el texto recuerda que, como regla general, podrán realizarse transferencias internacionales de datos personales cuando el Estado al que se transfieran los datos ofrezca, al menos, el nivel de protección previsto en el documento; o cuando quién pretenda transferir los datos, garantice que el destinatario ofrecerá el nivel de protección requerido, por ejemplo, mediante las cláusulas contractuales apropiadas.

Uno de los capítulos más relevantes del documento es el referido a las medidas proactivas, por el cual se insta a los Estados a promover el mejor cumplimiento de la legislación aplicable en materia de protección de datos, a través de instrumentos como el establecimiento de procedimientos destinados a prevenir y detectar infracciones, o la realización periódica de programas de concienciación, educación y formación.

Apoyo empresarial

Un grupo de 10 grandes empresas (Oracle, Walt Disney, Accenture, Microsoft, Google, Intel, Procter & Gamble, General Electric, IBM y Hewlett-Packard) han firmado una declaración en la que acogen con satisfacción la iniciativa de la 31 Conferencia Internacional de explorar marcos para una mejor coordinación global de los distintos regímenes de privacidad.

Fuente: Telecinco

Sólo hay que REGISTRARSE… así de simple:

Basta con tener una tarjeta BIP, ingresar a http://www.metro.cl/ o inscribirse en cualquiera de los stands que se encuentran ubicados en diversas estaciones del metro.

El Formulario de Registro exige los siguientes datos personales:

Nombre, Apellidos,  Sexo, F. Nacimiento, Profesión, Nivel Educación, E-Mail, Fono, Dirección, Comuna, Ciudad, y el N° de Chip de la Tarjeta Bip!

Lo curioso e interesante es que, por una parte, se está pidiendo el número de chip de la tarjeta BIP, con el cual podrán trazar todos tus recorridos, tanto en el tren como en los buses, por lo tanto, la empresa pública accederá a la información de la fecha de traslado o recorrido, hora, punto de partida y término del viaje, entre otros.

En segundo lugar, NO existe en alguna parte del sitio Web y menos en el momento en que el usuario pretende registrarse las Condiciones o Políticas de Privacidad que se aplicarían en el “Club Metro”, es decir, cláusulas que informen a quienes entregamos datos personales sobre el uso y los fines que el sujeto encargado del tratamiento de datos le dará a la información personal que recolecta.

Más claramente: se hace un llamado a la población para registrarse en una base de datos en el que no se informa cuál es el fin perseguido con el almacenamiento de estos datos (salvo el de otorgar beneficios de índole gastronómico y cultural), el uso que harán de los datos a que accedan, del ente encargado del tratamiento del dato, de su posible trasmisión o cesión a terceros, del tiempo en que dichos datos se mantendrán almacenados, etc.

En países como Estados Unidos, esta práctica existe de manera informada para los ciudadanos, quienes están conscientes de la “venta o intercambio” de su datos personales  obteniendo por ellos distintos beneficios, premios o simplemente dinero.

En el caso de Metro, es importante al menos preguntarse: ¿Cuál es el objeto de esta recolección? Si consideramos que el Metro de Santiago poco o nada tiene que ver con la administración de la tarjeta BIP, que es realizada por el Administrador Financiero del Transantiago, ente encargado además de la recaudación y distribución de los ingresos entre los operadores del Transantiago y de la tarjeta, y de su comercialización.

La otra pregunta que surge es: ¿Quién es el responsable de la base de datos? ¿Quién será el encargado del tratamiento de los datos de los usuarios de las tarjetas BIP? Si es el AFT, ¿podrá ceder la información que recoja a las empresas que la constituyen (Banco Estado, Banco de Chile, BCI, Banco Santander Santiago, Promotora CMR Falabella, Sonda)?…

Se trata de reglas o normas de conducta sobre el tratamiento de datos que se autoimpone el que solicita y trata la información personal. Encontramos (o deberíamos encontrar) políticas de privacidad en todos los sitios Web que exijan el registro o bien ofrezcan productos o servicios y tengan formularios donde se soliciten datos personales.

En ciertos casos, debemos leer estas políticas y aceptarlas para poder completar el registro y, en otros, sólo aparecen de manera informativa.

Se trata, en definitiva, de códigos o normas de conducta autoimpuestos por que el trata los datos. La Directiva Europea reconoce los códigos de conducta como una forma de autorregulación y promueve su formación entre los organismos de los diversos sectores económicos que tratan datos para cumplir sus propios fines específicos.

Sin querer entrar en el detalle sobre la validez y real efectividad, las políticas de privacidad son una manifestación de los principios de información, lealtad y finalidad en el tratamiento de datos. Más aún, cuando se trata de tratamiento de datos con características especiales como el tratamiento de datos de menores, lo que como hemos mencionado anteriormente, que consideramos información sensible.  Es indispensable que los sitios que incorporan esta información en bases de datos informen sobre su uso, más aún se exige lo anterior cuando la información es recolectada por organismos públicos, pues de este último esperamos una tutela efectiva de nuestros derechos.

Un mal ejemplo de lo anterior es el concurso educativo “Maratón Minera” organizado por un servicio público que solicita el llenado de un extenso formulario donde “un profesor”  -y no el propio alumno, según los organizadores- debe señalar diversos datos de menores alumnos tales como nombre, edad, domicilio, curso, colegio, etc., y donde lamentablemente no se visualiza por ninguna parte del sitio las Políticas de Privacidad o el uso de la información personal que ha sido solicitada.

Sin embargo, no sólo el Estado es infractor, son muchos los ejemplos (salo, Pascualina), donde a través de atractivas imágenes se solicitan datos personales de menores con el fin de participar en concursos o ser parte de una red social.

En otros casos, como Panini, encontramos políticas sobre el tratamiento datos, lo que se valora , pero lamentablemente se trata de un extenso formulario, que si bien cumple con la finalidad perseguida, los datos al ser solicitados a menores debieran redactarse de manera tan atractiva como el formulario en que les son solicitados sus datos, para así garantizar su real conocimiento y entendimiento.

Escuche el programa aqui.

Para remediar esta situación, se encuentra en el Congreso un proyecto de ley enviado por el Gobierno el 01 de octubre de 2008 que modifica la Ley 19.628 de Protección de la Vida Privada y la Ley 20.285 de Acceso a la Información Pública. ¿Hasta cuándo dormitará ahí?

El Tarot de JJ dijo que es un gran desafío que los congresistas se pongan de acuerdo y tomen una decisión..

Fuente: Radio Tierra

Fecha de emisión: 19 de junio de 2009.
Temas del programa: protección de datos personales, sazonado con un poco de Tarot.
Conductores: Hugo Fernández y Juan Jorge Faúndes.
Duración: 30’.

El bien jurídico protegido es la libertad informática o la autodeterminación informativa, concluyente con la denominada “intimidad informática”, que abarca la reserva y control de la información de carácter personal en aras de la preservación de la propia identidad, dignidad y libertad, lo que se ha dado en denominar “derechos de la tercera generación”.
La doctrina extranjera ha constatado dos niveles de protección en el tratamiento de los datos personales:
1) El primer nivel consiste en una serie de reglas de carácter técnico-sustantivo (que involucran garantías que pueden confundirse con los principios que protegen el tratamiento de datos).
2) El segundo nivel está dado por los principios que fundamentan la garantía de juridicidad en sede constitucional del tratamiento de datos.
1) Reglas Básicas. Estas reglas fueron inspiradas por el Convenio 108 del Consejo de Europa:
• Que el tratamiento de datos persiga una finalidad legítima. El tratamiento del dato ha de ser necesario para el cumplimiento de aquella finalidad.
• El tratamiento, además de necesario, ha de ser adecuado, razonable a la vista del fin que se pretende.
• La recogida leal de los datos, por tanto, el consentimiento informado del titular de los datos o la autorización legal se requerirán en este contexto.
• La calidad de la información sometida a tratamiento, que consiste en la veracidad, exactitud y actualidad de los datos personales.
• Las cautelas a observar en los supuestos en que se ceda esa información personal y a la necesidad en que sólo se ceda cuando exista consentimiento previo del interesado o autorización legal, se guarde conexión de finalidad y proporción.
Estas reglas, junto a la normativa, son las que deben considerarse en todos los momentos o fases por los que puede pasar el tratamiento de los datos. Se trata de 3 etapas:
1. El momento de recabar los datos. Tendrá importancia la licitud y lealtad, además de conocimiento o consentimiento del afectado, según el caso.
2. El momento del tratamiento automatizado de los datos, que pueden ser cruzados y relacionados en forma automática junto con otros datos, buscando definir un perfil determinado del afectado, que incluso él mismo llega a desconocer.
3. El momento de la utilización y, en su caso, comunicación a terceros de los resultados de ese tratamiento. Se tendrá que considerar, igualmente, el conocimiento y consentimiento del titular.

2) Principios del derecho de la protección de datos personales. Tres de los más importantes principios son:
1. El consentimiento del titular de los datos, es el único que decide cuándo, dónde y cómo se prestan sus datos al exterior, o se dan a conocer a terceros. Sin embargo, este principio tiene excepciones en las distintas legislaciones.
2. La calidad de los datos.
3. La información al recabar los datos. Es decir, todo ciudadano tiene derecho a conocer la información almacenada sobre sí mismo, sobre la finalidad de la recogida, de la identidad del responsable del fichero y de los destinatarios de la información. Asimismo, ser informado respecto del derecho que tiene de ejercitar el acceso al banco de datos para saber qué datos de él se mantienen y, en su caso, exigir la rectificación o cancelación de los mismos cuando sean inexactos, obsoletos o no adecuados al fin perseguido.
Otros principios son el de licitud, de la finalidad o unicidad, proporcionalidad, veracidad, caducidad, rectificación y cancelación, y legalidad.

Conclusión. Nuestra legislación, Ley Nº 19.628, sobre Protección de la Vida Privada, no obstante lo descrito precedentemente, no logró plasmar en su letra en forma clara toda aquella sistematización. No obstante, con el proyecto de ley, actualmente en el Congreso, se prentende incorporar y fortalecer las reglas y principios descritos.
Esperamos que el proyecto sea aprobado íntegramente por ambas cámaras.

El caso de Trywho (empresa que hoy ya no ofrece sus servicios, argumentando que se encontraba en etapa de prueba), en su definición se presenta como un buscador de información pública o autorizada por sus dueños. En concepto de la empresa, no son tratadores de datos personales. Pensamos distinto, pues en Chile, el tratamiento se define como “cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”. No es necesario abundar más en este tema. Aunque la protección de datos corre también para empresas proveedoras de servicios de Internet y motores de búsqueda.

Volviendo al consentimiento informado, cuando los datos han sido recogidos no directamente de sus titulares si no de fuentes públicas, la Directiva señala que no es necesario imponer la obligación de información sobre el tratamiento si el interesado ya está informado, si el registro o la comunicación están expresamente previstos por la ley o si resulta imposible informarle, o ello implica esfuerzos desproporcionados. Respecto a esta última excepción, pese a parecer un “saco roto” veremos cómo se ha reglamentado particularmente en España.

La LOPD  ha establecido un concepto más o menos restringido de la fuente accesible a público que encontramos en el Art. 3 letra J de la LOPD que, entre otros, incluye las guías telefónicas, censos y listas de personas pertenecientes a grupos profesionales  (concepto que ha sido considerado en la reforma por el legislador chileno). Respecto al consentimiento, es necesario para el tratamiento de datos, salvo que ese dato se obtenga de estas fuentes accesibles al público, siempre y cuando no vulnere derechos fundamentales de los interesados.

Por otro lado, en cuanto a la recogida de datos, los titulares deberán ser informados de modo expreso, preciso e inequívoco de la existencia del fichero, de la finalidad de la recogida y del destinatario de la información. La excepción amplia contemplada en la Directiva, que reproducíamos anteriormente, referida a si resulta imposible informar al titular de los datos cuando ello implica esfuerzos desproporcionados, no queda al criterio del titular o dueño del fichero, sino al del órgano de control: la Agencia Española de Protección de Datos.

Es intersante un documento sobre tratamiento de datos personales  en los buscadores  que  señala que:

Conforme a la LOPD, el titular de datos tiene el derecho de oposición al tratamiento de éstos; por otra parte, se señala que el tratamiento legítimo de los datos personales por los buscadores de Internet está sujeto a una condición previa, tanto si se basan en la existencia de una  relación jurídica, como si lo hacen en el consentimiento de quienes se registran voluntariamente para utilizar estos servicios:  Que las personas cuyos datos se tratan estén informadas de qué datos se van a utilizar, por quién, con qué finalidad y a quiénes se pueden ceder sus datos.

Aunque el tratamiento de los datos de los usuarios pueda estar legitimado por las  necesidades inherentes a los servicios de búsqueda, ello no excluye que deban  garantizarse, a solicitud de su titular, el ejercicio de los derechos de acceso, rectificación, cancelación y oposición que la LOPD les reconoce.

La ley de acceso otorgó como  sabemos facultades al Consejo de la Transparencia para velar por el adecuado cumplimiento de la ley de protección de datos de carácter personal, por parte de los órganos de la Administración del Estado, entre muchas otras funciones relacionadas con la transparencia de la función pública.

Este nuevo proyecto, lleno de buenas intenciones,  señala las falencias de la ley 19. 628 y algunas formas en que busca subsanarla.

Tambien se manifiesta la urgente necesidad de contar con la autoridad de control, la necesidad de adecuar nuestro ordenamiento jurídico a las recomendaciones de la OCDE, la necesidad de un registro, la protección de datos a las personas jurídicas,  el establecimiento de sanciones reales en casos de infracción y un ejercicio expedito del habeas data. En definitiva las modificaciones que reconocen el olvidado principio de control, entendido como el derecho del titular de los datos a controlar los mismos. Prácticamente se modifican todos los artículos de la ley.

Lo novedoso es que modifica la denominación del consejo para la transparencia y lo llama  Consejo para la Transparencia y Protección de Datos Personales. En general las facultades del consejo se amplían en este sentido: se crea un Registro Único Nacional de las Bases de Datos, sean estas de origen público o privado, Fiscalizar el cumplimiento de las normas sobre tratamiento y protección de datos, dictar instructivos, Conocer de las reclamaciones de particulares relacionadas con el ejercicio de sus derechos.

Tendremos un Consejo ocupado de una de las dos más importantes y sensibles materias que atañen al funcionamiento adecuado de un país: la transparencia y acceso de la información pública y el acceso a la información y la protección de la vida privada.

La experiencia internacional nos dice que esto ultimo se devora a la primero. ¿Y que es lo más relevante? ¿Por que no tener dos instituciones independientes, especiales que velen por uno y otro tema?

En Inglaterra la Oficina del Comisionado para la Protección de Datos, actualmente denominada Oficina del Comisionado de Información, existe este eterno conflicto sobre determinar la supremacía de alguno de estos derechos.

¿Cómo se resuelve? Nada más que ponderando el daño y el balance del interés público. Así para lograr determinar que derecho prevalece debemos estar frente al supuesto concreto que se plantee y atender a los criterios de equilibrio para garantizar el respeto de ambos. Y este juicio de proporcionalidad corresponde tanto a los tribunales ingleses, que deban conocer de conflictos planteados en esta materia como a los operadores jurídicos y a los órganos administrativos que en el desarrollo de sus funciones deban atender peticiones de acceso a documentación administrativa que contenga datos personales.

Por otro lado, tanto a sido el impacto que la función de acceso quedo relegada a un segundo plano, y el propio gobierno del Reino Unido es hostil a la ley de acceso, nadie quiere dar la información a menos que pueda controlarla.