1. Para no excusarse siempre en aquello de que “el Derecho es Respuesta” y llega tarde, y como derivada del estudio de la evolución normativa y la jurisprudencia administrativa comparada en materia de tratamiento de datos nominativos, puede ser un aporte revisar con anticipación un tema basal para el tratamiento de datos personales (en adelante DP) como lo es el de las causales de legitimación. A esta fecha en Chile sólo son las dos que señala el artículo 4° de la Ley N°19.628, ley y consentimiento. Y modificada que sea, ambas bases seguirán siendo importantes, sobre todo para el rol fiscalizador que asumirá la nueva Agencia[i].

Ella, en el sector privado deberá auditar como las actuales cláusulas de consentimiento no son proporcionadas, no son expresas ni informadas en muchos casos, además de no libres al estar contenidas en contratos de adhesión. Más delicado será cuando hayan habilitado el tratamiento de DP biométricos, mediando además encargos de tratamientos a terceros, como ocurre con el caudal de capturas de rostros en gimnasios, mall, bancos, etc., bajo el argumento de ser mecanismos de autenticación. La Agencia (o la Superintendencia) deberá luego auditar el tema desde la perspectiva de la legalidad de las credenciales generadas (en esencia DP), y se encontrará que la Ley N°19.799 no regula la biometría, que sólo alude a la firma de documentos con sistemas de PKI (llave pública), y que se admite sólo para enviar a un receptor un documento que se use otra tecnología[ii]. Concluirá que una Resolución Exenta dictada por un Ministerio sin facultades normativas y que sólo alude al uso de huellas dactilares, no es una causal legal de legitimación del tratamiento de datos biométricos de millones de chilenos.

La auditoría no será más fácil en el sector público. Para verificar si se cumple con los actuales artículos 4° y 20° de la Ley N°19.628, cuyos contenidos se mantienen en la modificación, y con los artículos 7°, 63 y 65 de la Constitución, es decir, si el bloque de legalidad que legitima el tratamiento de DP de millones de ciudadanos se ha respetado, quizás parta por revisar lo que ocurre en los grandes servicios públicos. Todos los casos de hackeo o accesos indebidos (Minsal, Clave Única, Banco Estado, Chilecompras, Servel, etc.) debieran ser un primer objetivo, porque además de su legitimación tendrán que dar razón de haberse adoptado medidas técnicas y organizativas de seguridad y de ciberseguridad. Sería el ideal que se auditara en conjunto con la otra, con la nueva Agencia Nacional de Ciberseguridad.

¿Cuál sería la causal legal, general o particular, que ha legitimado la transferencia internacional a servidores de empresas deslocalizados en modalidad de cloud computing, de los datos de millones de ciudadanos?. ¿Era suficiente que (quizás) existieran contratos de encargo de tratamiento para legitimar el flujo internacional de DP, como ahora con la plataforma de compras estatales, además en base a la gestión de una empresa colombiana que en Chile sólo tiene domicilios formales pero que opera deslocalizando la data nominativa de miles de proveedores personas naturales en servidores de cloud[iii]?. El Derecho Público, el Congreso y la ley están en falta.

2. Tres consideraciones importantes. Primero, estamos en el contexto del Derecho Público, donde sólo se hace aquello que una ley permite expresamente. Segundo, la ley, el bloque de legalidad en general y el artículo 4° de la Ley N°19.628 en particular^[iv] asociado el artículo 20°, es la única causal o base de legitimación posible para el tratamiento de los datos personales de los ciudadanos. Y tercero, todos los servicios públicos que en Chile a esta fecha ceden sus competencias legales y privativas de tratamiento de datos personales vía resoluciones exentas, todos los que invocan principios generales de colaboración -que no asignan competencias ni funciones públicas- para justificar el tratamiento de la información nominativa de los ciudadanos y, todos los que se auto asignan competencias de tratamiento mediante normas técnicas de jerarquía administrativa menor, sin la previa habilitación legal expresa, realizan funciones públicas en materia de tratamiento de DP sin causal de legitimación o sin competencias legales concretas.

3. De la esencia del Derecho Público y del Principio de Legalidad, el artículo 7° de la Constitución señala que los órganos del Estado actúan válidamente previa investidura regular de sus integrantes, dentro de su competencia y en la forma que prescriba la ley; que ninguna magistratura, ninguna persona ni grupo de personas pueden atribuirse, ni aun a pretexto de circunstancias extraordinarias, otra autoridad o derechos que los que expresamente se les hayan conferido en virtud de la Constitución o las leyes; y que todo acto en contravención a este artículo es nulo y originará las responsabilidades y sanciones que la ley señale. Velar por ejemplo no es interpretar, no es poder tramitar un contencioso administrativo especial ni tener facultades de dictar normas administrativas o instrucciones disfrazadas de recomendaciones.

A nivel legal, el artículo 2° de la Ley N°18.575 señala que los órganos de la Administración del Estado someterán su acción a la Constitución y a las leyes, y que deberán actuar dentro de su competencia y no tendrán más atribuciones que las que expresamente les haya conferido el ordenamiento jurídico. Como necesaria consecuencia, agrega que todo abuso o exceso en el ejercicio de sus potestades dará lugar a las acciones y recursos correspondientes.

También la Constitución vigente dispone, en concordancia con el Principio de Legalidad anterior, en su artículo N°63 N°18 que son materias de ley las que fijen las bases de los procedimientos que rigen los actos de la administración pública. Incluso más, el artículo N°65 dispone que corresponde al Presidente de la República la iniciativa exclusiva (de ley) para crear nuevos servicios públicos…, sean fiscales, semifiscales, autónomos o de las empresas del Estado, suprimirlos y determinar sus funciones o atribuciones.

Cristobal OSORIO, señala que debe entenderse (o se ha entendido) que la competencia al conjunto de facultades, poderes, atribuciones y responsabilidades que corresponden a una determinada entidad administrativa o a un también determinado OAE, y que esas competencias (i) deben haber sido atribuidas de forma expresa y específica, sin poder presumirse, y (ii) deben estar establecidas a nivel constitucional o legal^[v].

4. Es poco probable que un órgano de la Administración del Estado (OAE) trate datos personales para fines diversos de los tenidos en vista al ser recopilados y sin una habilitación legal expresa que permita recopilarlos y luego gestionarlos.

Porque tales fines están determinados por ley y son de su competencia de Derecho Público; porque ellos no pueden ser sino el cumplimiento de los fines promocionales y asistenciales que le son propios y que la ley expresamente determina; porque su gestión puede ser directamente fiscalizada, desde siempre por la CGR o los tribunales y en un futuro próximo por la nueva Agencia de Protección de Datos Personales; y porque el marco jurídico de responsabilidades asociadas al hecho de tratar DP apartándose de estos fines y sin potestades legales es muy alto[vi].

Pero los hay, antiguos y en desarrollo. El caso del Servicio de Registro Civil que quería externalizar el tratamiento de los DP de cédulas y pasaportes en el sitio web de una empresa estatal de China en modalidad de cloud computing[vii] (sin PIA o evaluación de impacto en el diseño, con flujos internacionales de datos y exponiéndose a una brecha de seguridad) la Agencia de Datos no lo habría validado. O el caso de la SUBTEL, que creyó e interpreto estar habilitada para recopilar los DP de los millones de clientes de sus empresas fiscalizadas, sin fines de servicio público directo y sin habilitación expresa, también habría sido reparado.

5. La hipótesis de trabajo jurídico y preventivo podría ser, entonces, el revisar en qué ámbitos a esta fecha se tratan datos de millones de ciudadanos sin habilitaciones legales expresas y adscritas al Principio de Legalidad. Una primera respuesta, podría motivar la dictación de una ley general que regule la transferencia internacional de DP a servidores de cloud computing deslocalizados, o que exija instalación de las nubes en Chile. La CMF quiso hacerlo para la banca, pero los argumentos de la industria proveedora llevaron a la decisión contraria.

Si se revisa jurídicamente el caso del Registro Civil la normativa de Derecho Público y de tratamiento de DP que legitima sus tratamientos se percibe frágil.  La Administración pasada dejó muchos rastros de haber legislado sin ley y por la vía reglamentaria.

(i) Debía administrar un sistema de asignación de claves de autenticación (que implican el manejo de millones de DP/credenciales) porque es su giro y lo permite su Ley Orgánica, pero lo delegó primero por una Resolución Exenta y luego a la fecha por una norma técnica de tercer orden, sin que –para el sólo efecto de los procedimientos administrativos electrónicos- la Ley N°19.880 haya habilitado estos tratamientos encargados. Porque si, los encargos de tratamiento en el sector público requieren previa habilitación legal.

(ii) Nuevamente sin habilitación legal, para el mismo sistema de claves únicas, externalizada la Administración en otro Ministerio se trasladó al sector privado sin habilitación legal, con lo cual el tratamiento de millones de DP/credenciales carece de base de legitimación. El Estado sin ley salió al mercado a cobrar tarifas y a prestar servicios de autenticación, de validación en línea y de generación o renovación de credenciales que implican el tratamiento de DP, ya no para que las personas se identifiquen con o ante los servicios públicos sino para que realicen comercio por ejemplo con tiendas de retail o empresas fintech[viii].

(iii) Y, siempre el SRC, según el artículo 46 de la Ley N°19.880 debe administrar y tratar millones de DP bajo su sola dependencia en un registro único de domicilios digitales y de notificaciones, para los nuevos procedimientos administrativos electrónicos. Nuevamente, invocándose un principio general de colaboración entre servicios públicos y facultades de asesoría no contempladas en la Ley N°19.880 y creadas –sin habilitación legal expresa- sólo en su reglamento subordinado y de ejecución, una norma técnica de tercer nivel le adjudica la administración de la plataforma a MINSEGPRES[ix].

¿Tendría fundamento de Derecho Público que la plataforma de compras públicas fuera administrada sin habilitación legal expresa por un servicio coordinador y asesor de otro Ministerio?. Se trata de otro ámbito donde el tratamiento de DP de los proveedores personas naturales también es esencial y donde la sanción de las brechas de seguridad serán aplicadas a futuro por la nueva Agencia de Protección de Datos.

Tema para otra columna. Sumados los tres casos, ya no sólo existen tratamientos de DP que hoy, sin que sea modificada la Ley N°19.628, carecen de legitimación legal en conformidad a los artículos 4° y 20° de ella. Sumados los tres, se ha pre constituido una causal de ilegalidad que permite a los administrados cuestionar –por ejemplo- un procedimiento administrativo fiscalizador electrónico por la ilegalidad de las autenticaciones y de las notificaciones. (Santiago, 26 de octubre de 2023)

[i] Si el concepto de la nueva institucionalidad es lejano, equipararla con la clásica Superintendencia es adecuado.

[ii] Podría ser adicionarle por ejemplo un código de barras o QR.

[iii] Un documento ad hoc de la REDIB (la Red Iberoamericana de Autoridades de PDP), conceptualiza a la computación en la nube o cloud computing como “una alternativa mediante la cual las organizaciones pueden obtener a través de Internet diversos recursos y servicios informáticos”, poniendo el énfasis en que el uso de dichos servicios puede implicar que se realicen tratamientos de datos personales porque, según el caso, podría efectuarse, entre otras, almacenamiento, circulación (nacional o transfronteriza) o uso de esa información nominativa. Lo que se ha hecho normativamente en Chile como obligatorio por ejemplo para las instituciones financieras, en el sector público se ha reemplazado por Guías de recomendaciones generales carentes de obligatoriedad, sea para toda la Administración, sea en materia de contratación pública.

[iv] Dispone el artículo que el tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. Lo complementa el artículo 20, señalando que los Órganos de la Administración del Estado sólo pueden tratar los datos de los ciudadanos actuando dentro de su esfera legal de competencia, lo que es una materialización de lo que antes estableció el artículo 7° de la Constitución vigente en Chile.

[v] OSORIO VARGAS, Cristobal (2017). “La necesidad de meditar el elemento de la competencia de las actuaciones administrativas, una revisión más allá del cotejo actuación administrativa-norma atributiva de competencia”. En Revista de Derecho Público, N°86, p.155.

[vi] A diferencia de las empresas del sector privado que sólo operan con fines de lucro y no son fiscalizadas respecto de otros posibles usos de DP, constituye un real elemento disuasivo el exponerse a responsabilidades administrativas.

[vii] Para acceder a los beneficios de la industria del cloud y para usar sus plataformas, lo que se elude abordar y se evade regular por ley, es que esa externalización de la data nominativa de los ciudadanos implica una cesión y transferencia internacional de DP, que se hace a destinos desconocidos deslocalizados y a cuyo respecto no se sabe cuál será la legislación en definitiva aplicable. Porque los proveedores (empresas Bigtech) operan en base a servidores descentralizados; porque a pesar de concretarse una relación de responsables/encargados de tratamiento, no se celebra el contrato respectivo; porque el marco contractual para operar con los proveedores de cloud contiene cláusulas eximentes de responsabilidad contrarias al Derecho Público chileno; y, porque casos de connotación pública que implican un enorme caudal de DP tratados con sistemas de BIG DATA.

[viii] El sitio o la plataforma de https://claveunica.gob.cl/además, posee términos de uso que entran a reservarse derechos y a establecer eximentes de responsabilidades, toda vez que la determinación de la eventual responsabilidad por falta de servicio sólo obedece a criterios y parámetros legales de Derecho Público, sin que puedan alterarse los requisitos de la llamada responsabilidad objetiva.

[ix] En este caso, sin ley tramitada en el congreso o al menos de una norma reglamentaria a la que expresamente dicha ley se reenvíe (antes) para una regulación posterior de detalle, se generó una nueva función pública y una nueva competencia de Derecho Público con sólo una norma técnica de rango menor. Se interpreta además que pueden dársele competencias normativas/regulatorias a un OAE, para que se autogenere condiciones de uso de una plataforma y ellas se hagan directamente aplicables a los ciudadanos que, sólo en el marco de un  procedimiento administrativo electrónico,  interactúen con  el Estado. Es lo que establecen los artículos 4° y 9° del D.S. N°9 de Mayo del 2023, Norma Técnica de Autenticación dictada en conformidad al artículo 57 del D.S. N°4, Reglamento de la Ley N°19.880.