1. Sobre medidas para incentivar la protección de los derechos de los consumidores «en tiempos de pandemia», un proyecto de ley en tercer trámite -Boletín 12.409- necesitaba mayor debate. Se ha propuesto amplia, genérica e imprecisamente y se está debatiendo, agregar a la ley 19.496 el siguiente artículo 15 bis (los destacados y cambios son nuestros)[i]:

Las normas relativas al tratamiento «de cualquier tipo de datos personales» de los consumidores, incluyendo especialmente los de carácter comercial, contenidas en la ley N° 19.628, sobre protección de la vida privada, en especial en el Titulo III “De la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial”, y demás normas legales relacionadas, se considerarán normas especiales de protección de los derechos del consumidor, especialmente para los efectos de lo dispuesto en los artículos 2 bis, 58 y 58 bis de la presente ley[ii].

«Los proveedores» -todos- que realicen el tratamiento de cualquiera de -todos- los datos mencionados en el inciso anterior, deberán dar estricto cumplimiento a las normativas que allí se señalan. Para estos efectos, deberán implementar medidas necesarias para garantizar (i) la seguridad y (ii) la reserva en el tratamiento de datos, (iii) con especial resguardo respecto de los fines para los cuales fueron autorizados por su titular.

En el supuesto de que los proveedores «reporten una violación de seguridad de sus bases de datos o de aquellas de las que se sirvan y que contengan información de sus clientes o usuarios«, será mandatoria la entrega de información a los consumidores de lo ocurrido, dentro de 24 horas contadas desde el referido reporte. (i) Esta comunicación se deberá efectuar de forma digital e incluirá las medidas de seguridad adoptadas en momentos previos y posteriores a la ocurrencia del hecho; (ii) en caso de no prosperar esta vía de contacto, esta misma información se pondrá en conocimiento del consumidor a través de medios físicos, telefónicos u otros idóneos que garanticen celeridad, dentro de un plazo de 72 horas contado desde el reporte señalado en el inciso anterior. (iii) Las consultas y reclamos suscitadas con ocasión de este tipo de incidentes se canalizarán a través del servicio de atención a los clientes que disponga cada proveedor.

Sin perjuicio de lo consagrado en los incisos anteriores, el responsable tendrá la obligación de informar, a petición del consumidor, la fuente de legitimidad del tratamiento de sus datos y de respetar, en todo caso, la finalidad para la cual fueron recolectados o almacenados.

2. Bajo la necesidad legislativa -así declarada-, de que no exista duda interpretativa acerca de la competencia para interponerse acciones colectivas o aplicarse la ley 19.496, cuando este comprometido el interés sobre datos personales de los consumidores, se están aprobando, fuera del contexto necesario y sin los mecanismos de sanciones administrativas directas esenciales y minimalistamente, normas propias pero muy parciales de una ley de protección de datos.

Es verdad que hace unos años «el cartolazo» que afectó a un banco, al enviarse a los cuentacorrentistas antecedentes personales, patrimoniales y financieros equivocados o cambiados fue una negligente brecha de seguridad y que vulneraba el secreto bancario, acreedora en otros países a multas millonarias en euros. Como también lo han sido el hallazgo en un botadero de información de cuentacorrentistas, las cesiones de bases de datos desde una Isapre a Cadenas de Farmacias o desde una AFP a una multitienda comercial, o lo son las captaciones de datos sensibles como las huellas dactilares, sin que el titular consienta con conocimiento el  uso y destino de sus antecedentes biométricos especialmente protegidos.  Pero esta casuística requiere un blindaje jurídico transversal, robusto y específico, considerándose la naturaleza de la posible afectación al Derecho Fundamental de las personas  y, de modo alguno, a su calidad de «consumidores».

3. Detrás de un dato personal, cualquiera sea su naturaleza, contenido, sensibilidad o relevancia, y tratado o procesado que sea -indebidamente y sin legitimación- en el sector privado o en el sector público, siempre habrá una persona natural afectada, y ello basta para que opere el derecho de la protección de datos con todo el rigor necesario. En todo caso, las autoridades de protección de datos del Derecho Comparado siempre han aplicado altas multas cuando ante una brecha el volumen de afectados es masivo.

4. Permitir al Sernac que sin expertice pondere una brecha de seguridad, o que determine cuando cualquier tratamiento de datos vulnera -o no- la confidencialidad o secreto, la finalidad o la falta de diligencia que exigen el derecho hoy vigente, so pretexto de la conveniencia de interponerse acciones colectivas, es errado. ¿Bases de datos con cuantos datos almacenados serán fiscalizadas?. Para la tutela de datos personales, ampliamente todos aquellos que identifican o hacen identificable a personas naturales, se propone transformar al Sernac en una mini Autoridad de Protección de Datos transversal, es decir, con competencia para conocer de casos y ámbitos en que se crea que existe un perjuicio para «todos los datos personales» y «de todos los consumidores», lo que es amplísimo.

Más delicado para el Derecho Fundamental a la Protección de Datos Personales será cuando el Sernac dicte unilateralmente circulares administrativas, mediante las cuales se desarrollarán derechos y obligaciones o deberes para los responsables de tratamiento que sólo deben ser materia de ley e, indefectiblemente, ir aparejadas de multas su infracción. ¿En cuántos ámbitos del sector privado en Chile aplica la ley de los consumidores?. Allá llegarán los normas reguladoras de detalle o circulares del Sernac, devenida en una Autoridad de control “de hecho” y sin la preparación necesaria.

5. Para los contenidos y exigencias de la OCDE, del Convenio 108 + o del GDPR Europeos, esta opción es improcedente.

6. Si la Política Pública subyacente considera relevante el tema, basta agregar un inciso al artículo 2 bis de la ley que diga expresamente que procederán acciones colectivas cuando se afecten datos personales de los consumidores, y una jurisprudencia peregrina del año 2015 que opinó lo contrario[iii], no es suficiente para soslayar que se regule en forma precaria la tutela de los datos personales. (Santiago, 11 mayo 2011)

[i] A todas luces más relevante habría sido abordar y solucionar definitivamente el tema del spam o los correos comerciales no solicitados: http://soteder.blogspot.com/2021/04/consumidores-internet-y-derecho.html

[ii] Una segunda opción regulatoria pendiente habría sido la de asegurar los derechos de los usuarios en plataformas de B2C: https://www.linkedin.com/pulse/como-proteger-en-chile-los-derechos-de-consumidores-jijena-leiva/

[iii] Véase la Sentencia de la Corte Suprema Rol 1533-205, que dispuso, erradamente porque la respuesta no se encuentra en la ley 19.628, que en materia de tratamiento de datos personales sólo procedían acciones individuales.