Derecho a la autodeterminación informativa, a la protección de datos personales y a la seguridad informática (Artículos N°87 y N°88)
El artículo 87 de la Propuesta de Nueva Constitución consagraba el derecho a la autodeterminación informativa y a la protección de datos personales. Asimismo, delimita su contenido a la facultad de conocer, decidir y controlar el uso de los mismos, oponerse al tratamiento de ellos u obtener rectificaciones. Por su parte, la propia norma establecía límites para efectuar algún tipo de tratamiento, toda vez que incorporaba principios orientadores en la materia, como el de limitación de la finalidad y minimización de datos. Por su parte, el artículo 88 refiere a la protección y promoción de la seguridad informática, entregándole al Estado y particulares el deber de adoptar las medidas necesarias para garantizar la confidencialidad y resiliencia de la información que contengan los sistemas informáticos que administren.
Definiciones generales (formuladas a partir del proceso constituyente)
Autodeterminación informativa: Se ha entendido como el control que ofrece a las personas sobre el uso por terceros de información sobre ellas mismas . En otro términos, correspondería a la facultad del individuo de decidir básicamente por sí sólo sobre la difusión y utilización de sus datos personales6 .
Datos personales: Cualquier información vinculada o referida a una persona natural identificada o identificable. Así, son considerados datos personales el RUN, número de pasaporte, fotografía, remuneración, domicilio, número telefónico, estado civil, dirección de correo electrónico institucional nombrado, sexo o género, datos bancarios de personas, datos de autenticación, fallos disciplinarios, entre otros.
Minimización de datos: Corresponde a un principio de la protección de datos, referido a que los datos recabados por los responsables del tratamiento han de ser adecuados, pertinentes y limitados a la finalidad para la que fueron recogidos. Para ello, los responsables del tratamiento han de aplicar las medidas pertinentes para alcanzar dichos fines, entre los que se incluye la seudonimización. Del mismo modo, cuando esos fines puedan alcanzar un modo ulterior que impida la identificación de los interesados, dichos fines se alcanzarán por ese método.
Seguridad informática: Es la rama de la seguridad que se dedica a proteger sistemas informáticos de amenazas externas e internas. Las amenazas externas son aquellas que provienen del entorno exterior en el que se encuentra el sistema como, por ejemplo, ataques informáticos, virus, robos de información, etc. Las amenazas internas son aquellas que provienen del propio sistema, como errores humanos, exposición pública de credenciales, fallos o desactualizaciones en el software y fallos en el hardware, entre otros.
Artículo 86.
1.Toda persona tiene derecho a la autodeterminación informativa y a la protección de datos personales. Este derecho comprende la facultad de conocer, decidir y controlar el uso de los datos que le conciernen, acceder, ser informada y oponerse al tratamiento de ellos, y a obtener su rectificación, cancelación y portabilidad, sin perjuicio de otros derechos que establezca la ley.
2.El tratamiento de datos personales solo podrá efectuarse en los casos que establezca la ley, sujetándose a los principios de licitud, lealtad, calidad, transparencia, seguridad, limitación de la finalidad y minimización de datos.
El artículo 87 de la Propuesta de Nueva Constitución consagraba el derecho de toda persona a la autodeterminación informativa y a la protección de datos personales. La regulación del presente derecho no es una novedad en el ordenamiento jurídico constitucional chileno, toda vez que la Constitución vigente contiene disposiciones que se refieren a él, sin embargo, el detalle es menor. Así, en su artículo 19 N°4 señala lo siguiente: Artículo 19.- La Constitución asegura a todas las personas: 4º.- El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley. Por tanto, sólo remite la regulación de este derecho al legislador.
En materia de ley, este derecho se encuentra contenido en la Ley N°19.628 sobre Protección de la Vida Privada, promulgada en 1999. En su artículo primero señala su campo de aplicación: Artículo 1º.- El tratamiento de los datos de carácter personal en registros o bancos de datos por organismos públicos o por particulares se sujetará a las disposiciones de esta ley, con excepción del que se efectúe en ejercicio de las libertades de emitir opinión y de informar, el que se regulará por la ley a que se refiere el artículo 19, N° 12, de la Constitución Política. Por su parte, la ley N°20.285 sobre acceso a la información pública del año 2008, crea un órgano especializado en materia de transparencia y acceso, el Consejo para la Transparencia, a quien le entrega la facultad de velar por el adecuado cumplimiento de la ley N°19.628, de protección de datos de carácter personal, por parte de los órganos de la Administración del Estado.
En el ámbito internacional, Chile ha ratificado tratados y acuerdos internacionales con diferentes organismos donde se compromete a proteger los datos de carácter personal, por ejemplo, la Organización para la Cooperación y el Desarrollo Económico (OCDE) ha dictado directrices relativas a la protección de la privacidad y el flujo transfronterizo de datos de carácter personal (de 1980). También se encuentra el acuerdo de Asociación de Economía Digital (DEPA), que crea normas internacionales sólidas, transparentes e interoperables para proporcionar una mayor certeza al tiempo de respaldar y promover un comercio digital inclusivo y sostenible.
A pesar de lo anterior, dentro de los antecedentes que fundaron las iniciativas en la materia, se encuentra la ausencia de institucionalidad que regule estos asuntos, junto con la recomendación internacional de reconocer la protección de datos como un derecho humano fundamental. De esta forma, se señala que la Ley N°19.628 no permite proteger el derecho a la protección de datos de carácter personal, pues no considera un sistema de fiscalización. Adecuado y ha sido sobrepasada por los avances tecnológicos, pues no protege adecuadamente el consentimiento informado de las personas, debido a que regula la comercialización y no la protección de los datos de carácter personal, entre otras fallas. Además, no cuenta con un catálogo de infracciones, de sanciones efectivas y de precisión de los conceptos de datos de carácter personal y sensibles, lo que dificulta la determinación de responsabilidad.
Es por todo lo mencionado, que el artículo 87 detalla pormenorizadamente la regulación de este derecho, a diferencia de la Constitución vigente, quien sólo le encarga la protección del mismo al legislador. Así, comienza señalando que toda persona tiene derecho a la autodeterminación informativa y a la protección de datos personales. Si bien se detalla posteriormente en el inciso, la autodeterminación informativa se ha entendido como el control que ofrece a las personas sobre el uso por terceros de información sobre ellas mismas7. En otro términos, correspondería a la facultad del individuo de decidir básicamente por sí sólo sobre la difusión y utilización de sus datos personales8.
Por su parte, datos personales corresponden a cualquier información vinculada o referida a una persona natural identificada o identificable. Por tanto, no sólo son datos personales aquellos que contienen datos directos de la persona, sino incluso aquellos, que en conjunto con otros, permitan obtener dicha información. Así, son considerados datos personales el RUN, número de pasaporte, fotografía, remuneración, domicilio, número telefónico, estado civil, dirección de correo electrónico institucional nombrado, sexo o género, datos bancarios de personas, datos de autenticación, fallos disciplinarios, entre otros.
Luego, la Propuesta configura el contenido de este derecho: “Este derecho comprende la facultad de conocer, decidir y controlar el uso de los datos que le conciernen, acceder, ser informada y oponerse al tratamiento de ellos, y a obtener su rectificación, cancelación y portabilidad, sin perjuicio de otros derechos que establezca la ley”. Los primeros tres verbos rectores refieren a la esfera individual de la persona, permitiéndole tomar decisiones respecto a sus datos personales y restringir o disponer de su utilización. Posteriormente, menciona el derecho a acceder, ser informado y oponerse al tratamiento de sus datos, referido al manejo que de ellos tenga la autoridad -usualmente administrativa-, permitiéndole adoptar una conducta que no se encuentre conforme con el trato que dicha autoridad tenga sobre ellos. Para ello, se le entregan tres opciones: la rectificación o modificación de los mismos en el sistema, su cancelación o eliminación y su portabilidad. Esta última, consiste en que el titular pueda obtener del responsable una copia de sus datos personales, para así no depender de él y poder exigirle tranquilamente que cese el tratamiento y elimine sus datos.
En su inciso segundo, la norma en comento permite la utilización de los datos personales, pero de forma excepcional, entregándole al legislador la definición de las situaciones en que pueden ser tratados tanto por la autoridad como por particulares. Así, señala expresamente: “El tratamiento de datos personales solo podrá efectuarse en los casos que establezca la ley, sujetándose a los principios de licitud, lealtad, calidad, transparencia, seguridad, limitación de la finalidad y minimización de datos”.Además, la norma hace referencia a los principios que informan la materia de datos personales, con amplio reconocimiento internacional. El principio de licitud implica que el tratamiento de los datos se base en el consentimiento expreso otorgado por el interesado, que sea necesario para la ejecución de un contrato (de importancia para el interesado) o medidas precontractuales, o para el cumplimiento de una obligación legal. En otras palabras, busca que la utilización de los datos sea efectuada con una finalidad protegida por el derecho.
Por su parte, el principio de lealtad refiere a que toda persona debe tener totalmente claro qué datos personales suyos serán recogidos o usados, así como la medida en que dichos datos son o van a ser tratados. El principio de calidad refiere a que los datos deben ser exactos, adecuados, pertinentes y no excesivos, lo que debe ser observado tanto durante la recogida como con el posterior uso de los datos. El de transparencia implica que toda información relativa al tratamiento de los datos personales debe ser fácilmente accesible y entendible, usando para ello un lenguaje claro y sencillo. En cuanto al de seguridad, este tiene que ver con que los datos personales sean tratados con niveles adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado, pérdida, filtración, destrucción o daño accidental y aplicando medidas técnicas u organizativas apropiadas.
Los últimos dos principios son los más emblemáticos en esta materia. Por un lado, el principio de finalidad indica que los datos personales recabados por el responsable del tratamiento han de ser tratados con una o varias finalidades específicas. Asimismo, no podrán ser utilizados con una finalidad diferente para la que fueron recogidos, salvo que el interesado haya otorgado consentimiento expreso para ello. Por el otro, el principio de minimización de datos refiere a que los datos recabados por los responsables del tratamiento han de ser adecuados, pertinentes y limitados a la finalidad para la que fueron recogidos. Para ello, los responsables del tratamiento han de aplicar las medidas pertinentes para alcanzar dichos fines, entre los que se incluye la seudonimización. Del mismo modo, cuando esos fines puedan alcanzar un modo ulterior que impida la identificación de los interesados, dichos fines se alcanzarán por ese método.
Es importante destacar que la Propuesta contemplaba la creación de institucionalidad para la protección de este derecho. Así, bajo el título “Agencia Nacional de Protección de datos”, específicamente bajo el artículo 376, se contemplaba la creación de este órgano autónomo que tenía la misión de velar por la promoción y protección de los datos personales, con las facultades de normas, investigar, fiscalizar y sancionar a entidades públicas y privadas, además de contar con atribuciones, composición y funciones que el legislador determine.
Artículo 88.
Toda persona tiene derecho a la protección y promoción de la seguridad informática. El Estado y los particulares deberán adoptar las medidas idóneas y necesarias que garanticen la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan los sistemas informáticos que administren, salvo los casos expresamente señalados por la ley.
El artículo 88 de la Propuesta de Nueva Constitución consagraba el derecho a la protección y promoción de la seguridad informática. La regulación del presente derecho es una novedad en el ordenamiento jurídico constitucional chileno, toda vez que la Constitución vigente no contiene ninguna norma que se refiera a él, salvo -quizás- por la leve mención a los datos personales, a propósito de la protección de la vida privada. La seguridad informática es la rama de la seguridad que se dedica a proteger sistemas informáticos de amenazas externas e internas. Las amenazas externas son aquellas que provienen del entorno exterior en el que se encuentra el sistema como, por ejemplo, ataques informáticos, virus, robos de información, etc. Las amenazas internas son aquellas que provienen del propio sistema, como errores humanos, exposición pública de credenciales, fallos o desactualizaciones en el software y fallos en el hardware, entre otros.
Las Constituciones chilenas siempre han protegido aquellos ámbitos de la vida de las personas que deben quedar fuera del conocimiento de los demás, por tanto, los que fundamentaron las iniciativas en esta materia, consideraron que dicha tradición debe mantenerse en un futuro texto constitucional, pero superando las limitaciones formales y adaptarse al cambio sociotécnico que las tecnologías digitales han supuesto en la vida cotidiana de las personas. La Propuesta buscaba establecer la seguridad informática a fin de precaver cualquier medida que impida la ejecución de operaciones no autorizadas sobre un sistema o red informática, cuyos efectos puedan conllevar daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloquear el acceso de usuarios autorizados al sistema9.
Como existe un nuevo campo abierto a un estado de inseguridad y de mayores riesgos, derivados, por ejemplo, de las posibilidades de pérdida y hurto de información o de los accesos indebidos que se producen a través de redes computacionales a sus servidores y centros de procesamiento de datos, por lo que se vuelve fundamental asegurar un derecho a la seguridad de la información. La Propuesta entiende que la seguridad informática es un complemento necesario de la protección de datos personales y de diversos derechos fundamentales que tienen su correlato en una dimensión digital.
Es por esto, que la norma comienza señalando de forma categórica que “Toda persona tiene derecho a la protección y promoción de la seguridad informática.”, pero asimismo como se consagra el derecho, se entrega el deber al Estado y a los propios particulares para que adopten las medidas necesarias para su garantía. Así, señala que el objetivo es que garanticen la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan los sistemas informáticos que administren, salvo los casos expresamente señalados por la ley. La primera garantía, esto es, la integridad de la información, no es otra cosa que evitar la dispersión de la información; la confidencialidad refiere a que sólo las personas o entidades dotadas de una fuente de legitimidad, como el consentimiento o la ley, tengan acceso a los datos personales; finalmente, la disponibilidad y resiliencia de la información refieren a la capacidad de un sistema para recuperarse de un fallo y mantener la confiabilidad persistente en el servicio.
Es importante destacar que la norma no contempla la posibilidad de imponer sanciones o estándares mínimos a los registros o sistemas informáticos que mantenga el Estado o particulares, lo que deberá ser definido por ley. A modo de conclusión, la norma entrega una excepción a los deberes anteriores, lo también quedó entregado al legislador.
1Murillo de la Cueva, Pablo Lucas (2009): “La construcción del derecho a la autodeterminación informativa y las garantías para su efectividad”, en Murillo de la Cueva, Pablo Lucas & Piñar Mañas, José Luis, El Derecho a la Autodeterminación Informativa (Madrid, Fundación Coloquio Jurídico Europeo).
2Anguita, Pedro (2016): Acciones de protección contra Google. Análisis del llamado derecho al olvido en buscadores, redes sociales y medios de comunicación (Santiago, Librotecnia).
3Murillo de la Cueva, Pablo Lucas (2009): “La construcción del derecho a la autodeterminación informativa y las garantías para su efectividad”, en Murillo de la Cueva, Pablo Lucas & Piñar Mañas, José Luis, El Derecho a la Autodeterminación Informativa (Madrid, Fundación Coloquio Jurídico Europeo).
4Anguita, Pedro (2016): Acciones de protección contra Google. Análisis del llamado derecho al olvido en buscadores, redes sociales y medios de comunicación (Santiago, Librotecnia).
5Álvaro Gómez Vieites (2011) “Enciclopedia de la Seguridad Informática”.