Un empleado es despedido de una gran empresa (500 trabajadores), y molesto publica en su blog los correos electrónicos y los sueldos de los Gerentes, animando a que los lectores les escriban para denostarlos por las altas e injustificadas rentas. Las cuentas de correo son nominativas: [email protected].

Enfoquémonos sólo en las direcciones electrónicas. Lo que en la especie ha ocurrido es que el ex empleado ha realizado un «tratamiento» de datos personales, sin el consentimiento de los titulares individualizados ni para fines permitidos, porque una dirección de correo electrónico nominativo es un antecedente personal que «identifica» o hace identificable -en términos de la ley 19.628- a una persona natural.

Queda de lado el análisis sobre el status jurídico del contenido de los correos electrónicos; lo que interesa ahora es relevar el alcance jurídico de las direcciones, tanto en cuanto dato identificativo personal -por su naturaleza- y de contacto no público ni masivo de una persona natural en su calidad de Gerente -por su funcionalidad-. Y no son datos secretos ni confidenciales por ley, y no son privados sino parte de una esfera o de un ámbito menos que público pero accesible por 500 personas[i].

Más precisamente, el tratamiento realizado sin causa de legitimación consistió en una comunicación con publicidad a terceros, a saber, cualquier persona que haya leído el blog, (i) sin facultad legal para hacerlo, (ii) sin el consentimiento expreso, escrito y explícito del titular del dato personal y (iii) sin que la finalidad se corresponda  con las exigencias del artículo 9° de la ley 19628, toda vez que el hecho de estar recogida y publicada en la Intranet de la empresa (de dónde la obtuvo el trabajador despedido) sólo era la habilitación para un tratamiento únicamente con fines internos y laborales.

Se ha vulnerado el Derecho Fundamental a la Protección de Datos Personales que, expresamente se contiene en la Constitución desde el año 2018. Que sea dato personal no admite discusión. Las normas internacionales de protección de datos y las  normas locales, constitucional y legales, obedecen al criterio simple para asignarle tal calidad de que se permita por su intermedio identificar o hacer identificable a una persona natural, lo que en la especia se hace directamente.

A la calificación de dato personal se llega también –camino más fundado- de la siguiente forma: (i) «la dirección de correo electrónico es un conjunto de palabras o signos que identifican al emisor o al receptor de un mensaje de correo electrónico; (ii) su configuración se elabora mediante un conjunto de palabras o signos, libremente escogidos, normalmente por el titular de la cuenta de correo o por la organización a la que pertenece; (iii) se puede distinguir entre direcciones personalizadas, direcciones no personalizadas o de carácter genérico, las que no son datos personales; y, (iv) cuando la dirección de correo pueda ser vinculada a una persona física identificada o identificable, se tratará sin duda de un dato personal”.

Este hecho, hace aplicable en consecuencia todo el contenido de la institucionalidad de la ley 19.628, y es de carácter unánime en la doctrina extranjera, vertida en el marco del Reglamento General Europeo de Protección de Datos Personales. Así, «…la publicación de la dirección de correo electrónico de carácter laboral o profesional que se pueda asociar a personas físicas constituye una comunicación de datos de carácter personal y debe sujetarse al régimen de comunicaciones previsto en la normativa general de protección de datos personales«, lo que para Europa -y en Chile- significa que tener que disponer del consentimiento inequívoco de la persona afectada.

En este caso no se configura una vulneración de la privacidad, intimidad o vida privada de los Gerentes. A esta garantía alude el artículo 19/4 de la Constitución, y es de su esencia que una persona natural realice actos concretos que evidencien su no disposición para que ciertos actos, hechos o antecedentes sean de conocimiento de un tercero, como sería el evitar que se conozca su filiación política o su credo religioso. Pero esta esfera de privacidad cede a una «esfera más pública», si la persona acepta que un antecedente que pudo ser privado o íntimo sea conocido por terceros. En el caso en análisis, el hecho de haber sido publicada la cuenta de correo en la Intranet la saca de una esfera privada y la posiciona en una esfera reservada, pero de modo alguno la transforma en un dato que pueda ser de público conocimiento y usada en forma masiva e indiscriminada.

Penalmente no se configura un delito de violación de secretos. Al tenor del artículo 2 de la ley 19.223 el ex trabajador realizó un tratamiento/comunicación no autorizado e indebido, abriéndose la opción que se colapse la cuenta de correo electrónico de la persona para impedir que la pueda utilizar, lo que además sería un delito penal y se llama -técnicamente- «denegación de servicio». Este último, si se consuma se subsume en los artículos 1 y 3° de la ley 19.223 (alteraciones y daños) y lo cometerían todos los que mandan correos con el fin de «interrumpir la integridad y la disponibilidad» del sistema de correos de la empresa. (Santiago, 22 julio 2021)

[i] Las direcciones de email sólo estaban disponibles en la Intranet, que no es una fuente accesible al público al tenor de la ley 19.628, artículo 2°. Al contrario, era un registro de acceso restringido y reservado sólo para los trabajadores, al que se le asignó de hecho una esfera de confidencialidad o reserva.