El proyecto intenta resolver la deficiente protección a la vida privada de las personas, terminar con trabas al flujo internacional de datos y homologar la normativa con estándares internacionales. Sin embargo, fracasa en todos ellos.

Por Alberto Cerda, ONG Derechos Digitales.

En 1999, Chile se transformó en el primer país de América Latina en disponer de una ley general sobre protección de la información personal. Con los años, la ley demostró su ineficacia para proteger a las personas, facilitar la transferencia internacional de datos y adecuarse a los estándares internacionales. Esto llevó a nuevos proyectos de ley, como el presentado en enero del 2011 por el Ejecutivo, tras un oscuro proceso de consulta pública.

Después de estar congelado por cerca de dos años a raíz de las críticas que expertos y los propios legisladores formularon, en enero de este año el gobierno logró un acuerdo. Éste le permitirá avanzar en la tramitación del proyecto, lo que implica que parte de la ley tendrá eficacia sólo por algunos años, tras lo cual el Ejecutivo evaluará sus logros y permitirá al Congreso volver a discutir una nueva ley en la materia. Como veremos, en los hechos esta iniciativa retrasará la adopción de una solución efectiva y, en el intertanto, se sacrificarán los derechos de las personas y se pondrá en riesgo la competitividad de la industria local.

Dentro de un contexto negativo, el proyecto de ley acierta en ciertos aspectos. Por ejemplo, al establecer que el objetivo de la ley es proteger la información de las personas utilizada por entidades privadas o públicas, a fin de asegurar el derecho de protección a la vida privada. También recepciona de forma expresa los principios recomendados internacionalmente en la materia, e introduce mejoras en cuanto a la información y consentimiento que las personas deben dar para autorizar el tratamiento de sus datos. Además, resuelve la situación de los datos de personas fallecidas y precisa la responsabilidad tanto de los organismos responsables de tratamiento de datos personales como de quienes procesan datos por encargo.

No obstante, son muchos otros los aspectos del proyecto suscitan preocupación, particularmente por su ambigüedad, lo cual puede mermar los derechos de las personas e introducir incertidumbre. Así, el concepto de “dato personal” se aparta de todos los instrumentos internacionales sobre la materia y de la legislación de otros países, lo cual obsta a la armonización internacional, socava la protección a las personas concernidas por la información y arriesga aún mayores trabas a la transferencia internacional de datos hacia Chile. Lo propio sucede con un ambiguo concepto de “fuente accesible a público”, que permite el tratamiento de datos personales sin conocimiento ni consentimiento de las personas a quienes los datos se refieren.

Aunque el proyecto asegura indemnización de perjuicios para las personas afectadas por tratamiento ilícito de datos, ellas deben probar el tratamiento indebido de sus datos, algo que está fuera de toda posibilidad para la mayor parte de las personas y que claramente desconoce la asimetría de información entre ellas y las empresas que tratan datos. Esto hace que la reparación de los perjuicios se transforme en un imposible. Hubiese sido más deseable establecer un sistema de responsabilidad objetivo o, a lo menos, revertir la carga de la prueba, obligando a los organismos que tratan información personal a probar que han actuado diligentemente.

El proyecto adopta un sistema de “Listas Robinson”, que permite a una persona informar que no desea recibir información a través de su teléfono, e-mail u otro medio. Sin embargo, la eficacia de este sistema no tiene sustento empírico y ha resultado un fracaso en aquellos países que han intentado su adopción. No hay razón entonces para creer que éste pueda funcionar apropiadamente en Chile.

Con todo lo descrito hasta ahora, los dos principales problemas del proyecto de ley son, por un lado, que agravará las trabas al flujo internacional de datos hacia Chile y, por otro, que carece de un efectivo sistema de fiscalización de la ley en el sector privado.

Una seria limitante de las empresas chilenas que prestan servicios en línea es que no pueden hacer negocios con la Unión Europea, la que exige claras reglas acerca de cómo y a dónde transferir datos personales. Similares reglas han sido también adoptadas por los países de la región: Argentina (2000), Uruguay (2008), México y Colombia (2010), Perú y Costa Rica (2011). Mientras, Brasil tiene ya un proyecto de ley que sigue también el estándar europeo. Esto significa que si Chile no brinda un nivel de protección adecuado, en un futuro inmediato no podremos hacer ciertos negocios ni con Europa ni con las principales economías de América Latina.

La ley intenta resolver el problema del flujo transfronterizo de datos con un oneroso y complejo mecanismo contractual. Esta solución ya se ha intentado en otros países, con limitados y cuestionables resultados. Lo que es peor, crea costos innecesarios para los innovadores y empresarios locales. La adecuación se logra sólo con un apropiado arreglo institucional, del cual el proyecto, desafortunadamente, carece. Esto supone el reconocimiento de derechos a los titulares y obligaciones a los responsables de tratamiento y la existencia de mecanismos que garanticen el cumplimiento de la ley. Esto último es el punto más deficiente de la iniciativa de ley.

La fiscalización de la ley en el sector privado es probadamente ineficiente. De acuerdo al proyecto, la supervisión de la ley en el sector privado tendría lugar mediante tres formas. Primero, a través de demandas judiciales, un mecanismo que ha probado sistemáticamente ser insuficiente y no es garantía de adecuación. Segundo, por reclamación ante la agencia de protección al consumidor, una institucionalidad de papel que carece de facultades fiscalizadoras, sancionadoras y hasta procesales suficientes. Y tercero, a través de mecanismos de autorregulación y certificadores que han probado ser un fracaso en Estados Unidos y en México. Estos también han sido un fracaso en Chile, donde tanto la Cámara Nacional de Comercio como la Cámara de Comercio de Santiago intentaron por más de ocho años un sistema similar entre sus asociados, con resultados insatisfactorios.

La mayor parte de los países han adoptado autoridades independientes que fiscalizan el cumplimiento de la ley, dotados de amplias facultades inspectivas, sancionadoras y procesales. Desafortunadamente, ellas están ausentes en esta iniciativa o son precarias. Como resultado, la ley no mejorará la protección de los derechos de las personas concernidas por la información, ni removerá los obstáculos al flujo transfronterizo de datos personales, de modo de potenciar la prestación de servicios al exterior así como la inversión extranjera, en su caso.

Lejos ya de ese 1999, con la experiencia de otros países de la región en materia de datos personales y con más de una iniciativa local para mejorar nuestro marco normativo, hoy nos enfrentamos a un proyecto de ley que en términos generales no avanza en materia de protección de datos, muy por el contrario, implica un retroceso que sacrificará los derechos de las personas y pondrá en riesgo la competitividad de la industria local.

Alberto Cerda Silva es director asuntos internacionales de ONG Derechos Digitales.
E-mail: alberto (at) derechosdigitales.org