Hoy nuestros datos personales están protegidos por una ley que data de 1998 y abarca la comunicación, trasmisión, almacenamiento y uso de toda información que sirva para identificar a una persona natural: RUT, dirección, cadena genética y huella digital, entre otros. Sin embargo, hasta ahora no ha mostrado mucha eficacia y está, más bien, obsoleta.

Es por eso que desde el 2010, cuando se acordó alcanzar los estándares que mantienen los países de la OCDE, que Chile ha tenido el tema en carpeta. De hecho, el Gobierno, a través de la ex subsecretaria de Economía, Katia Trusich, trabajó durante el 2014 en un anteproyecto de ley que quedó casi listo para ser remitido al Congreso a inicios de 2015, pero fue frenado por Hacienda, por considerar que creaba una institucionalidad demasiado costosa. Así, pasó a manos de esa cartera, que finalmente, pese a las postergaciones, lo sacó el lunes recién pasado. La Presidenta de la República firmó el envío del proyecto de ley con una modificación radical al régimen actual de protección de datos personales.

El documento, que se hizo público en marzo pasado, establece una autoridad administrativa con facultades de fiscalización y sanción a los responsables de base de datos: la Agencia de Protección de Datos Personales. Esta nueva institucionalidad es un organismo común en los países con sistema de protección de datos y Chile era de las excepciones al no contar con uno. Sin embargo, hoy se está planteando que dependa del Consejo de Transparencia, lo que parece absolutamente incomprensible, ya que la tendencia mundial es tener una institución específica, como se planteó en principio.

Entre las disposiciones se establecen nuevos derechos, llamados “ARCO”: de Acceso, Rectificación, Cancelación y Oposición. Éstos podrán ser ejercidos por vía administrativa en forma muy rápida – actualmente los derechos de habeas data se ejercen judicialmente en procesos largos y complejos- con la inicialmente propuesta Agencia de Protección de Datos Personales. Definitivamente, podría haber un gran avance en la materia. Una oportunidad que ojalá se tome.

Asimismo, a diferencia de lo que existe hoy, distingue en forma clara las categorías de datos personales. Las nuevas categorías contienen una gran diferencia: primero, los datos personales generales requieren del consentimiento previo expreso del titular para su uso; segundo, hay datos personales –como los biométricos, biológicos y de salud- que se erigen como sensibles y que actualmente están catalogados como generales, y cuya regulación es bastante más engorrosa.

Adicionalmente, se resguardan los datos personales de niños y adolescentes, distinguiendo entre los menores de 14 años y aquéllos entre 14 y 18 años.

Respecto a las nuevas responsabilidades de las empresas que manejan bases de datos, habría una regulación del mercado del tratamiento de datos personales totalmente nueva, imponiéndose una serie de obligaciones de comunicación, custodia, seguridad y eliminación de datos personales. Por ejemplo, será obligatorio tener publicada una casilla electrónica o vía similar de comunicación pública para reclamos, además de sendas políticas de privacidad de las empresas. La fiscalización, hoy inexistente, será muy invasiva, y podemos sin lugar a dudas hablar de un SERNAC DE LA PRIVACIDAD. El deber de custodia y seguridad será sancionable con multas como todo otro derecho “ARCO”. En forma desafortunada, el proyecto hace heredable todos estos derechos, lo que a nuestro entender es absurdo.

Por otra parte, se reordena el actuar de los servicios públicos en materia de intercambio de datos personales; entre ellos, regulaciones especiales en materia de eliminación o derecho al olvido de datos relacionados con responsabilidades penales, administrativas o civiles, poniendo como plazo máximo 5 años de mantención en repositorios: leves, graves y gravísimas, con multas que empiezan cerca de los 100 dólares hasta el millón.

Además, las empresas que gestionan bases de datos deberán hacer certificaciones de modelos de prevención ante la entidad custodia, las cuales tendrán duración de tres años.

El sistema de protección de datos personales en Chile podría cambiar radicalmente, lo que va a implicar nuevas responsabilidades, hoy inexistentes, para toda empresa, fundación, colegio u organismo sin fin de lucro. De ahí que resulta crucial estar atentos al desarrollo de la tramitación de este proyecto, que a nuestro juicio, contiene grave fallas por establecer costos excesivos para el sector privado chileno y constituiría un riesgo enorme e indeterminado para las empresas que tengan la necesidad de tratar datos personales. Se necesita contar con un sistema acorde a una economía digital que subsiste necesariamente por la interconexión de la información personal que tenemos los ciudadanos y las personas en general.