El año 2018 fue esencial para la protección de datos personales (o PDP) en Chile. Marcó un antes y un después. Diferenciándolo del Derecho Fundamental a la vida privada, a la privacidad o a la intimidad, se le agregó al catálogo de derechos y deberes como una garantía autónoma y diversa, más amplia, proyectable incluso a la esfera pública de una persona[i]. Se recogió una distinción y una construcción jurídica sólida del Tribunal Constitucional Español del año 2000[ii]; se declaró como subyacente durante el debate el principio de la Autodeterminación Informativa que fundamenta la institucionalidad de la PDP desde 1983; y, omitiendo transformar este principio en un concreto Derecho de Autodeterminación, sólo se mantuvo la opción de que cada titular y propietario de sus datos personales accionará por la vía del Recurso de Protección, siempre limitado para actos que lo vulneren por ser arbitrarios o ilegales.

Se omitió, con fundamentos errados, apartándose del Derecho Comparado (o de otras varias Constituciones) establecer con rango constitucional un Habeas Data, un Habeas Scriptum, o un recurso de Derecho de Acceso específico[iii], y a pesar de haberse propuesto en tres anteriores proyectos de reforma constitucional en Chile. Este, desde sus primeras consagraciones legales –por ejemplo- en la ley francesa de 1978 se transformó en una piedra basal de la institucionalidad de la PDP. Y en esa época no había Internet, la problemática de un titular controlando el uso de su información se presentaba off line y nunca importó el tipo de posible tecnología que se usara para el tratamiento de datos personales, lo que hoy tampoco importa y en el futuro seguirá sin importar.

La importancia de que exista y se consagre un derecho de acceso o Habeas Data no tiene nada que ver con temas tecnológicos. ¿Qué se va a prohibir el uso de sistemas de reconocimiento facial en espacios públicos?. Pues nada, el derecho de acceso subsiste y la garantía derivada de oponerse al tratamiento tendrá fundamento constitucional y legal.

¿Suprimirlo en alguna norma, caer en obsolecencia por posibles razones técnicas o desaparecer como mecanismo esencial de control, eliminar del GDPR la consagración de los derechos ARSOPOL, no mantener el derecho de acceso y sus derivados del actual artículo 12 de la ley N°19.628 al modificarla?: son todas opciones inviables, que no se presentarán ni en la peor “pesadilla jurídica”.

Sería equivalente a que por ejemplo se eliminara el Recurso de Amparo que es su homólogo. Este último, el Habeas Corpus, es un pilar del constitucionalismo y de los ordenamientos jurídicos, y lo mismo ocurre con el Habeas Data en la sociedad de la Información. La acción de amparo se le concede a toda persona detenida, presa o arrestada con infracción a la Constitución o a la ley, o que sufra cualquier otra privación, perturbación o amenaza en su derecho a la libertad personal y seguridad individual, o para el caso, del rechazo del beneficio de libertad condicional[iv].

En virtud del artículo 17 N°9 aprobado estos días por la Comisión de Expertos[v], se está proponiendo establecer que se asegura a todas las personas “el derecho al respeto y protección de sus datos personales y de su seguridad informática y digital”, y se agrega la norma de reenvío disponiéndose que “el tratamiento de datos personales sólo podrá realizarse en los casos y bajo las condiciones establecidas en la ley”.

Esto implica, en primer lugar, que sigue estando pendiente la incorporación de un Habeas Data que constitucionalmente consagre el “Derecho” a la Autodeterminación Informativa y tutele el Derecho Fundamental a la PDP.

En segundo lugar, que se desconocen los aportes robustos de tres propuestas de modificaciones constitucionales anteriores, más completas, y que aludían, además de la referencia a «datos personales», expresamente y para dotarlo de eficacia de nivel constitucional a su mecanismo procesal tutelar por excelencia, el Derecho de Acceso o «Habeas Data». Esas mociones tenían una claridad jurídica evidente, al buscar permitir que se pudiera controlar y autodeterminar en sede constitucional el tratamiento de datos personales, y proponer construir para ello una categoría nueva de Derecho Fundamental y consagrar una nueva acción constitucional[vi].

Significa -en tercer lugar- que se deja de lado lo que se propuso, de bastante buena forma, en la Convención Constituyente anterior. La propuesta estaba contenida en el artículo 87 aludiendo tanto al derecho a la autodeterminación informativa como a la protección de los datos personales, reconociéndose su íntima relación e importancia. Y se agregaba que se incluían –como derivadas e inherentes- las facultades de control, acceso, información, oposición, rectificación, cancelación y portabilidad, y que el tratamiento de datos personales solo podría efectuarse cuando la ley lo autorice, sujetándose a los principios de licitud, lealtad, calidad, transparencia, seguridad, limitación de la finalidad y minimización de datos.

Denota, en cuarto lugar, confusiones terminológicas y el haberse optado por darle rango constitucional a un principio y una carga de gestión (de seguridad y/o de ciberseguridad) de menor importancia que otros más esenciales, como lo son el de la finalidad o el de la confidencialidad en el tratamiento de los datos. Se alude a su seguridad “informática y digital”, y son términos sinónimos. Lo informático es el tratamiento automatizado, de la mano de los dígitos binarios o bits (y sus mutaciones en bytes, megbytes, gigabytes, teras, etc.), o con lenguajes lógico formales y proposicionales, de la información. Es decir, es lo digital. Si se quería establecer una distinción, del concepto genérico seguridad de la información se puede derivar el término específico ciberseguridad, que surge en la medida que se considere tratar los datos vía redes, en forma telemática o en el ciberespacio y asegurándose su integridad, disponibilidad y confidencialidad.

Implica, en quinto lugar, que la PDP será un Derecho Fundamental disminuido y entregado a la voluntad de los legisladores de turno, que podrían menoscabar la eficacia del recurso o derecho de acceso y sus derivados que –hoy- contempla la Ley 19.628 en su artículo 12.

No sería robusto jurídicamente que la propuesta reciente se haya hecho eco del lobby que se desplegó antes del 2018 y que se ha consignado hace poco en una columna, en cuanto a que el mero señalamiento de que se protegen los datos personales es lo idóneo como técnica legislativa. Claro, a los responsables de tratamiento les acomoda que cada titular y propietario de sus datos nominativos no pueda interponer en su contra una acción constitucional específica ante un Tribunal de Alzada, pero aprobarlo así no es la Política Pública que se espera proteja a las personas naturales y a sus antecedentes nominativos.

Es mera desinformación –no casual- el sostener que reconocerse expresamente además derechos derivados y otros principios específicos, aumentándose las posibilidades de obtener protección de la garantía, estaría aludiendo a contenidos adicionales que podrían perder vigencia o ser insuficientes debido al desarrollo tecnológico, lo que motivaría una nueva reforma constitucional. Téngase presente: nunca perderá vigencia el Habeas Data, nunca será insuficiente. Sea cual sea la tecnología intrusiva, mientras haya tratamiento sin causal de legitimación se requerirá del Derecho de Acceso para el titular y propietario de los datos personales. Ni siquiera es un tema “de Derecho Informático”, ese que en la década de los 90[vii] definimos como esencialmente reactivo o de respuesta –un desafío, nunca un impedimento-, que reclamaba autonomía dogmática y regulatoria pero que siempre sería transversal a las disciplinas del Derecho[viii]. Es un conflicto de Derechos Fundamentales, de Derechos Humanos y de Derecho Constitucional.

El Derecho de Acceso no depende de tecnología alguna, y antes de caer en obsolecencia se ha ido desarrollando y robusteciendo. Principios como la finalidad del tratamiento son desde siempre, desde fines de 1978 al menos, basales, al punto que desconocerlo o suprimirlo equivale a la negación per se del Derecho Fundamental a la PDP. Desinformar y anotar que se trata sólo de regulaciones recientes pasa por desconocer el artículo 35 de la Constitución de Portugal de 1976 o lo regulado en Bolivia el año 2004, donde la primera establece que todos los ciudadanos tienen derecho a conocer lo que constare acerca de los mismos en registros mecanográficos, así como el fin a que se destinan las informaciones, pudiendo exigir la rectificación de los datos y su actualización. No es error de redacción: ha sido desde 1976. Comparar nuestros sistemas jurídicos latinos con el anglosajón de EEUU al sostener que su Constitución no reconoce expresamente un derecho a la protección de datos, es no entender el rol creador de la Jurisprudencia a partir de la Privacy Act de 1974 o lo que se ha regulado hace poco en el Estado de California. En fin, todo aquel que afirme que el reconocimiento explícito y constitucional del derecho a la protección de datos personales es relativamente reciente debe además partir por conocer el fallo del Tribunal Constitucional español del año 2000.

Una propuesta personal de posible regulación: “Para la tutela del derecho a la protección de datos personales a que alude el N°4 del artículo 19 y aun cuando no se trate de actos que ocasionen su privación, perturbación o amenaza, se ejercerá la acción de Habas Data ante la Agencia de Protección de Datos y en conformidad al procedimiento contencioso administrativo que determine la Ley Orgánica Constitucional, para garantizar a los titulares el derecho de acceso y los derivados de rectificación, cancelación (supresión), oposición, portabilidad, olvido y limitación”. (Santiago, 5 de junio de 2023)

[i] Así por ejemplo, el uso sin consentimiento de las imágenes disponibles en Internet requieren causal de legitimación para su tratamiento.

[ii] Sostenerse que la Constitución española no regula el tema o que este le es ajeno al ordenamiento jurídico español, carece de fundamento jurídico. Cuando en 1999 se consagraron legalmente en Chile la protección de datos personales (con la Ley N°19.628) y el Derecho de Acceso o Habeas Data (en el artículo 12 de la misma), erradamente la norma se denominó “Sobre la Protección de la Vida Privada” o de la intimidad, y se asoció naturalmente -en su contenido y alcances- por los operadores jurídicos y por la Jurisprudencia del Tribunal Constitucional con el artículo 19 N°4 de la Constitución, que la consagra como Derecho Fundamental. Tan solo un año después –en España- el Tribunal Constitucional construyó jurisprudencialmente la diferencia entre la Intimidad o Privacidad con el Derecho Fundamental a la Protección de Datos Personales, sobre la base del llamado Principio de la Autodeterminación Informativa y considerando –siempre- la existencia de una acción especial para su tutela, a saber, el Habeas Data para acceder y los derivados para rectificar, cancelar e incluso oponerse a un tratamiento.

[iii] El error de fundamento esencial fue creerse que de la sola consagración o declaración constitucional de protegerse los datos personales y sin haberse articulado un Habeas Data o un Derecho de Acceso expreso de tutela constitucional –similar a los ya existentes Habeas Corpus o Recurso de Amparo y al Recurso de Protección y radicalmente diverso al Acceso de la Ley N°20.285 sobre transparencia y probidad-, se estaba transformando el Principio de la Autodeterminación informativa en una acción o en un recurso concreto para materializar el control del tratamiento de datos personales que le es propio

[iv] “Artículo 21.- Todo individuo que se hallare arrestado, detenido o preso con infracción de lo dispuesto en la Constitución o en las leyes, podrá ocurrir por sí, o por cualquiera a su nombre, a la magistratura que señale la ley, a fin de que ésta ordene se guarden las formalidades legales y adopte de inmediato las providencias que juzgue necesarias para restablecer el imperio del derecho y asegurar la debida protección del afectado”.

[v] Véase la URL https://www.ovejeronoticias.cl/wp-content/uploads/2023/05/Texto-aprobado-en-particular-por-Pleno-de-CE.-VF.-30.05.23.pdf

[vi] Así por ejemplo, un grupo de Diputados presentó el Boletín Nº 5883-07 de junio del 2008, que expresamente incorporaba en el 19 Nº 4 la garantía constitucional de la protección de datos personales y disponía la creación de una autoridad de control independiente para el cumplimiento y aplicación de la ley. En parte decía que “…el derecho fundamental a la intimidad, como un concepto de carácter estático, debe ser dejado de lado, ya que protege aspectos que no se encuentran vinculados con el desarrollo tecnológico, que se imponía una concepción más dinámica y abierta, que permita la relación armónica de las nuevas tecnologías lo que implicaba el reconocimiento no solo de un derecho, sino que de nuevos instrumentos de protección en sede del Derecho Constitucional”. Propuso modificar el artículo 19 Nº 4 de la Constitución Política, agregándose que «toda persona tiene derecho a la protección de sus datos personales, los que deben ser tratados para fines concretos y específicos, con su propio consentimiento, o en virtud de otro fundamento contemplado en la ley, y que tendrá asimismo, derecho a acceder a dichos datos, para obtener su rectificación, actualización o cancelación». Más sólida resultaba, la propuesta de que «…una ley orgánica constitucional establecerá las normas para la debida aplicación de este derecho, como asimismo el órgano autónomo que velará por el cumplimiento de dicha ley y controlará su aplicación”.

[vii] JIJENA LEIVA, Renato (1992), “Chile, la protección penal de la intimidad y el delito informático”, Editorial Jurídica Andrés Bello.

[viii] Un ejemplo, los aportes del Derecho Penal y de los penalistas a la tipificación de delitos informáticos.