1. El scoring, las evaluaciones o predicciones de riesgos comerciales son una herramienta esencial en la industria financiera, e implican directamente el tratamiento de Datos Personales (DP) y la elaboración de perfiles automatizados que identifican o hacen identificable a una persona natural. Ergo, le es aplicable, la vigente hasta el año 2026 y la modificada Ley N°19.628 (o en estricto rigor de PDP).

¿Cuál sería el fundamento jurídico para construir scoring de empresas o personas jurídicas? [i]. En base a la LPDP inicialmente no lo tenía, sus representantes legales tenían que consentirlo contractualmente, hasta que mediante la Ley N°20.520 se modificó y lo modificado se contextualizó en el artículo 9° referido al Principio de Finalidad, en cuya virtud los DP sólo pueden usarse para los fines recolectados o declarados al momento de la recopilación.

Una primera lectura de la modificación, la más obvia y declarada por los parlamentarios como un beneficio para titulares, propietarios, consumidores, interesados y deudores, es que se limitaron las evaluaciones de riesgo o las predicciones de riesgo comercial de las personas naturales, a que deben hacerse (i) mediante información objetiva y (ii) que por su naturaleza ella debe referirse a morosidades y protestos (es decir, a lo regulado en el Título III de la LPDP) de las personas naturales que se informan. Es un ámbito al parecer nunca fiscalizado por la CMF y en el que la nueva Agencia de PDP tendrá mucho que aportar, sobre todo en cuanto a qué debe entenderse por “información objetiva” y si ella además es “histórica” o se excede más allá de los cinco años de tratamiento/comunicación que permite el artículo 18 de la LPDP.

El tenor literal habla de que se prohíbe lo no basado, dos negaciones que se leen mejor si se entiende como afirmación que se ha permitido lo fundado en información objetiva sobre mora y protestos.

Una segunda lectura de lo modificado, la disruptiva y que no tiene lógica ni fundamento jurídico robusto, es que nada se prohibió sino que expresamente se permitió legalmente -en una norma garantista de Derechos Fundamentales de personas naturales- y de manera general y genérica, que se hicieran predicciones y evaluaciones de riesgos comerciales de personas jurídicas o empresas.

2. La Ley N°19.628 amplía en forma quizás no visualizada el contexto, cuando además del ámbito de las evaluaciones comerciales, regula todo tipo de decisiones automatizadas, sean o no en base a algoritmos de IA e incluyendo todo tipo de perfiles. Nuevamente y en principio sólo para las personas naturales (salvo el caso de los “consumidores” y de los “contribuyentes” que tienen normas expresas y puede entenderse que incluyen a las personas jurídicas), el artículo 8° bis aprobado dispone –es la Regla General- que el titular de datos tiene derecho oponerse y a no ser objeto de decisiones basadas en el tratamiento automatizado de sus datos personales, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecten significativamente.

Las excepciones son lógicas si se entiende que estamos en el contexto de regular un Derecho Fundamental. No se aplicará el derecho de oponerse entonces, (i) cuando la decisión sea necesaria para la celebración o ejecución de un contrato entre el titular y el responsable; (ii) cuando exista consentimiento previo y expreso del titular (persona natural); y, (iii) cuando lo disponga la ley, en la medida en que ésta disponga el empleo de salvaguardas a los derechos y libertades del titular.

Se agrega que “en todos los casos de decisiones basadas en el tratamiento automatizado de datos personales”, el responsable del tratamiento de DP deberá adoptar las medidas necesarias para asegurar los derechos, libertades del titular, su derecho a la información y transparencia, el derecho a obtener una explicación, la intervención humana, a expresar su punto de vista y a solicitar la revisión de la decisión

3. La UAF, el Servicio Nacional de Aduanas, el Ministerio Público, la Policía de Investigaciones y el SII –entre otros- realizan perfilamientos en base a DP que no tienen fines comerciales. La base de licitud o la causal de legitimación para hacerlo sólo puede determinarla una norma legal, sin que sea fácil que invoquen sólo un interés legítimo para justificar el tratamiento. Pero lo que es más relevante es que cada perfilamiento sólo puede tener fines promocionales y asistenciales de servicio público.

El Reglamento Europeo de Protección de Datos Personales (o DP) –del año 2016-  tiene dentro de sus pilares y como base de licitud o causal de legitimación al hecho de que su tratamiento[ii] sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Esta normativa está permeando y estandarizando todos los sistemas iberoamericanos. Normativamente, elaborar un perfil es “…toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física” o natural.

Si bien es cierto la norma europea considera como regla general, en el artículo 22 del Reglamento, que todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles que produzca efectos jurídicos en él o le afecten significativamente de modo similar, cuando lo realiza un servicio público con fines promocionales y asistenciales y está autorizado por los ordenamientos jurídicos es una causal de excepción a dicha regla general.

4. Es un dato empírico que todo Servicio Público, exclusivamente para cumplir sus funciones promocionales y asistenciales, requiere administrar y procesar computacionalmente antecedentes personales o nominativos de sus nacionales. Se requiere, por ejemplo, que el Estado pueda conocer sus rentas y su situación familiar para asignarse subsidios, pensiones o beneficios de educación, sus datos de salud para fijar políticas públicas asistenciales, sus domicilios para ser notificados o determinar donde les corresponde votar, sus propiedades para aplicarles el impuesto territorial, o las importaciones y exportaciones que realizan –por cierto constituidos en empresas o personas jurídicas – para el cobro de aranceles aduaneros si realizan importaciones de mercancías.

Cumplir con esta base de licitud y finalidad es inherente a todas las Administraciones Tributarias cuyo rol de “responsables de bases de datos” o de “responsables de tratamiento” se traduce en que –constantemente- toman decisiones sobre la información nominativa de los contribuyentes personas naturales. Es su fin específico, y se enmarcan dentro de una Misión mayor, la de “elevar los niveles de cumplimiento voluntario por parte de los contribuyentes, mediante dos líneas principales de actuación, a saber,  (i) dando facilidades a los que quieren cumplir y (ii) realizando una lucha radical contra el fraude[iii].

Se observa además, en materia tributaria^[iv], que el uso de Inteligencia Artificial y de algoritmos por las Administraciones se concreta en funcionalidades que van desde la asistencia al contribuyente hasta la lucha contra el fraude fiscal. Así por ejemplo, resolviendo el punto de si procede o no la transparencia algorítmica, la legislación francesa obliga a informar solamente al ciudadano –concreto- las decisiones individuales basadas en tratamientos algorítmicos que le afecten directamente a él y sólo a él, y ofrece la posibilidad al contribuyente, caso a caso, de solicitar información sobre las reglas y características del tratamiento que lo individualiza o lo hace identificable. Sólo así –en esta forma restrictiva y previo requerimiento en un caso donde existe un interés tributario concreto- sería atendible y conveniente reconocer el deber de informar al gobernado por una decisión sobre un algoritmo utilizado, sobre los conjuntos de datos usados en el entrenamiento y sobre los datos utilizados en un análisis. Así podrá hacerse una idea de la forma en que se llegó a la decisión administrativa que le empece. (Santiago, 6 de febrero de 2024)

[i] Conceptualmente, la esencia de los datos personales es que identifican o hacen identificable a una persona, natural o física y no a una jurídica o ficta, y para ello, el caudal de concretos datos personales -susceptibles de tratamiento- es enorme, sobre todo si son fidelizados o cruzados para elaborarse perfiles generándose datos nuevos y consolidados que llevan a la identificación

[ii] En Chile, por tratamiento de datos se entiende legalmente a cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.

[iii] El señalamiento de ambas, de Alfredo Collosa, puede verse en https://www.ciat.org/digitalizacion-de-las-administraciones-tributarias-y-derechos-de-los-contribuyentes/.

[iv] Véase la URL http://scioteca.caf.com/handle/123456789/1933 .