Todo órgano de la Administración del Estado (OAE), legalmente, en sede de la Institucionalidad de la Protección de Datos Personales (DP – PDP) y al tenor de la Ley N°19.628, es un responsable[i] del tratamiento de los datos nominativos de los administrados y/o gobernados, que sean –únicamente- personas naturales.
Al ordenamiento jurídico le da igual o no le empece que los DP estén soportados, contenidos o almacenados en archivos, ficheros, bases de datos, bancos de datos, servidores, “en la nube” (cloud computing) o que se transmitan vía redes[ii]. Al derecho, internacional y local, lo que lo convoca es que exista un tratamiento de DP, a saber, en Chile, que de conformidad al artículo 2° letra o) de la Ley N°19.628 y de manera muy amplia, se concrete cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.
“Automatizado o no” dice la norma, con lo que se subsumen los cardex con carpetas de papel; “en cualquier otra forma” de tratamiento, porque es un concepto numerus apertus. No es serio jurídicamente publicar libros excluyendo a las fichas clínicas electrónicas ni a los datos personales sensibles o especialmente protegidos de salud contenidos en ellas, de la aplicación del Instituto de la PDP y del Derecho Fundamental respectivo. Es una visión sin fundamento jurídico y sin sensibilidad con la PDP el quedarse en el análisis literal de que la Ley N°19.628 sólo regularía DP que obren “en registros o bases de datos”[iii].
En síntesis, esto significa (i) que todo aquel antecedente que identifique directamente- o que haga identificable –indirectamente- a un administrado ante un OAE debe ser tratado o procesado porque existe una base o causal de legitimación que lo permite (léase en leyes generales y especiales como las orgánicas), que debe hacerse actuando dentro de su competencia privativa de Derecho Público[iv] y siempre en conformidad a sus fines promocionales y asistenciales de servicio público (principio de finalidad), velando por la confidencialidad general de los datos (no sólo por el secreto específico que pueda existir en una ley especial, como el de salud, el estadístico, el de filiación política o el tributario) y en forma diligente, segura y/o cibersegura.
En sede de Derechos Fundamentales o en concreto por lo dispuesto en el artículo 19 N°4 de la Constitución Política, todo OAE además es garante -desde el año 2018- expresamente de la Protección de Datos Personales de los administrados, y por regla general no de la vida privada, privacidad o intimidad de los ciudadanos que sean sus usuarios. “Vida Privada” y “PDP” son Derechos autónomos y diversos. Concurrirán si copulativamente ambos Derechos, como posibles de ser conculcados y necesitados de tutela, cuando el tratamiento se refiera a datos sensibles, respecto de los cuales, además de la exigencia legal de confidencialidad que dispone el artículo 7° de la Ley N°19.628 un ciudadano podrá reclamar una válida (o legal) expectativa de privacidad[v].
Tenemos entonces a un ciudadano amparado o protegido en el tratamiento de sus datos personales por una norma constitucional y por una norma legal especial y general o transversal (la Ley N°19.628). Se agregan al bloque legal de tutela concretos y específicos marcos jurídicos contenidos en leyes especiales, como es el caso de la Ley Orgánica del INE que establece el secreto estadístico, o en materia tributaria, especial más no exclusivamente en virtud del artículo 35 del Código, que consagra el secreto tributario y que determina la confidencialidad específica y la criticidad de parte de la data nominativa de los contribuyentes que sean personas naturales.
Para que el ciudadano pueda controlar o auto determinar el uso que haga el OAE de sus datos personales; o para el evento de que un OAE se aparte de o infrinja la normativa y al tratarlos vulnere los datos personales de los administrados, el ordenamiento jurídico contempla opciones específicas de tutela para hacer efectiva su responsabilidad.
Primero si, para evaluar su procedencia, habrá que determinar casuísticamente cuando la actuación administrativa implica una vulneración. Lo será, por ejemplo, mediante el tratamiento ilícito de datos personales (sin causal legal de legitimación), o por cualquier acción que pueda suponer un trato o exposición negligente (pérdida, filtración o brecha) de datos personales (no es “satanización”, pero los ejemplos del ransomware hace años del Banco del Estado o de Chilecompras ahora reciente son buenos y oportunos). Lo será también cualquier transgresión de la normativa sobre derechos de los interesados, tales como que no se informe al titular de un tratamiento, el que no se le permita el acceso, el que se niegue una rectificación, una cancelación o (a futuro) una solicitud de portabilidad sin mérito, etc.
Una primera opción de tutela, sólo cautelar y no exclusiva ante otros derechos que puedan hacerse valer, será el Recurso de Protección del artículo 20 de la Carta Fundamental, siempre restringido a la eventualidad de que se materialice un acto administrativo arbitrario o ilegal[vi]. Una segunda, en conformidad al Derecho de Acceso o –en doctrina- al “Habeas Data” contemplado en el artículo 12 de la Ley N°19.628, que después de acceder para conocer e informarse permite –instrumentalmente y a esta fecha- (i) rectificar, (ii) cancelar o suprimir y (iii) -en teoría- oponerse al tratamiento de datos personales[vii]. Y una tercera, una eventual acción indemnizatoria contemplada en el artículo 23 de la Ley N°19.628, si es que se logra acreditar algún tipo de perjuicio concreto para el titular de los DP[viii].
Es (será) una problemática jurídica a resolver (hoy en doctrina y a futuro por la Agencia ad hoc) y reflexionar dogmáticamente, por ejemplo:
i. Sobre la procedencia y real idoneidad del Habeas Data sólo de rango legal del artículo 12 de la Ley N°19.628, cuando sea interpuesto por un administrado (primero ante el OAE, luego ante la nueva Agencia y eventualmente ante los tribunales);
ii. Sobre las posibles causales concretas de vulneración del Derecho Fundamental a la Protección de Datos Personales; y,
iii. Sobre los contenidos y alcances de los derechos derivados del recurso o Derecho de Acceso (los llamados derechos ARCO) y su procedencia, o (lo que es lo mismo), sobre las posibles restricciones a la interposición del recurso de Habeas Data. Ocurre que un OAE siempre legitima sus procesos de tratamiento en el cumplimiento de sus potestades de Derecho Público y a su respecto –por ende- no cabría “oposición” porque no pueden ser trabados infundadamente por los titulares.
Para cerrar, un ejemplo concreto ya levantado. Sería en derecho procedente, para cada ciudadano, solicitar individual y personalmente acceder y conocer cualquier tratamiento algorítmico que se haga a su respecto, siempre de la mano de la confidencialidad que al OAE le exigen e imponen, tanto el artículo 7° de la Ley N°19.628 como la naturaleza de información crítica que de manera general le asigna el D.S. N°83 sobre seguridad documental, sin que exista la posibilidad de cancelarlos o suprimirlos, de olvidarlos ni menos de oponerse a que se realicen dichos perfiles automatizados mediante tratamientos de DP, que el Derecho Público legitima y permite[ix]. (Santiago, 18 de octubre de 2023)
[i] La letra n) del artículo 2° de la Ley N°19.628 señala que reviste la calidad de responsable de tratamiento “la persona natural o jurídica privada, o el respectivo organismo público, a quien competen las decisiones relacionadas con el tratamiento de los datos de carácter personal”
[ii] Intentar jurídicamente dejar al margen de la aplicación de la ley, por ejemplo a las fichas clínicas electrónicas porque no serían “registros o bases de datos”, carece de todo fundamento.
[iii] En la misma idea, restringir el ámbito de aplicación a los DP que obren en recetas médicas y exámenes de laboratorios porque sólo a ellos alude expresamente la Ley N°19.628 al modificar el Código Sanitario, no es admisible jurídicamente.
[iv] Así lo exige el artículo 20 de la Ley N°19.628. Argumentos al respecto.
[v] Un muy buen ejemplo son los datos sensibles de salud que tratan el MINSAL, los consultorios y los Hospitales Públicos.
[vi] V.gr, sería el caso de no respetarse la confidencialidad que es inherente a la obligación legal del secreto estadístico.
[vii] “En teoría”, porque las causales legales de tratamiento priman por sobre la necesidad de consentimientos de los administrados.
[viii] Sería el caso extremo que desde los sistemas del MINSAL se expusieran las identidades de los ciudadanos enfermos de sida.