Estándares de Protección de Datos Personales para los Estados Iberoamericanos presentados en el XV Encuentro Iberoamericano de Protección de Datos

En Santiago, Chile, entre los días 21 y 22 de junio de 2017, se celebró el XV Encuentro Iberoamericano de Protección de Datos, organizado en conjunto por la Red Iberoamericana de Protección de Datos y el Consejo para la Transparencia de Chile (en adelante, la “Red”), en el que uno de los principales acontecimientos fue la presentación de los “Estándares de Protección de Datos Personales para los Estados Iberoamericanos”, (en adelante, los “Estándares”). Éstos fueron redactados por la Red Iberoamericana de Protección de Datos, conformada por diversos organismos públicos relacionados a la protección de datos, tanto de los países miembros, como de los países observadores de la institución. Entre los primeros se encuentran Andorra, Argentina, Chile, Colombia, Costa Rica, España, México, Perú, Portugal y Uruguay. En el caso de Chile, el organismo que integra la Red es el Consejo para la Transparencia.

Desde hace varios años, la Red ha promovido la homologación e inclusión de ciertos principios y conceptos mínimos en la normativa de protección de datos personales de los países de la región. Es así como se ha esbozado la necesidad de adoptar estándares comunes que permitan reducir las divergencias normativas entre los países iberoamericanos, así como encauzar las nuevas leyes y políticas al respecto, por ejemplo, en materia de transferencia internacional, características de la autoridad de control, tratamiento de datos sensibles, entre otras.

En este sentido, los Estándares declaran que:

“Los Estados Iberoamericanos (…) han convenido adoptar los presentes Estándares como máxima prioridad en la Comunidad Iberoamericana para que con el carácter de directrices orientadoras contribuyan a la emisión de iniciativas regulatorias de protección de datos personales en la región de los países que aún no cuentan con estos ordenamientos, o en su caso, sirvan como referente para la modernización y actualización de las legislaciones existentes”.

En el siguiente artículo haremos una breve exposición de los principios contenidos en los Estándares, que constituyen las bases en que éstos se sustentan, para luego analizarlos a la luz de la ley chilena de protección de datos y del proyecto de ley en esta materia que fue planteado en marzo recién pasado por el ejecutivo, Boletín 11.144-07 (en adelante, “el Proyecto”) y que, en su oportunidad, también comentamos.

Principios de protección de datos personales

El capítulo II de los Estándares señala cuáles son los principios que deberían regir el tratamiento de datos personales. Ellos son:

  • Legitimación: El responsable sólo podrá tratar datos personales cuando se presenten ciertos supuestos excepcionales enunciados en los Estándares, como por ejemplo, se cuente con la autorización del titular, los datos se traten para dar cumplimiento a una orden de la autoridad o para la ejecución de una obligación contractual o precontractual, el tratamiento sea necesario por razones de interés público establecidas en la ley, entre otras.
  • Licitud: El responsable tratará los datos personales con estricto apego y cumplimiento a lo dispuesto en el derecho interno, el derecho internacional y a las libertades de las personas. A la vez, si es tratado por una autoridad pública, siempre será en la esfera de sus atribuciones.
  • Lealtad: El responsable tratará los datos personales privilegiando la protección de los intereses del titular y absteniéndose de tratarlos a través de medios engañosos o fraudulentos. Se entenderá como desleal el tratamiento que dé lugar a una discriminación injusta o arbitraria contra los titulares.
  • Transparencia: El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que puedan tomar decisiones informadas al respecto, debiendo entregar cierta información mínima a los titulares (ej. finalidades del tratamiento, mecanismo a través de los cuales podrá ejercer sus derechos, etc.).
  • Finalidad: El tratamiento de datos personales deberá limitarse al cumplimiento de finalidades determinadas, explícitas y legítimas. El responsable no podrá tratar datos para finalidades distintas de aquéllas que motivaron el tratamiento originalmente.
  • Proporcionalidad: El responsable tratará únicamente aquellos datos que resulten adecuados, pertinentes y limitados al mínimo necesario, en relación con las finalidades del tratamiento.
  • Calidad: El responsable adoptará medidas necesarias para que los datos personales que mantiene en su poder sean exactos, completos y actualizados, de forma tal que no se altere su veracidad, conforme se requiera para el cumplimiento de las finalidades que motivaron el tratamiento. Los datos podrán ser conservados por el responsable únicamente durante el plazo necesario para cumplir las finalidades del tratamiento o aquéllas relacionadas con exigencias legales aplicables al responsable.
  • Responsabilidad: El responsable deberá implementar los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en los Estándares, como son la elaboración de políticas y programas de protección de datos personales obligatorios y exigibles al interior de su organización, la realización de programas de capacitación y actualización de su personal sobre obligaciones en materia de protección de datos personales, entre otros. Asimismo, el responsable, deberá rendir cuenta sobre el tratamiento de datos personales al titular y a la autoridad de control.
  • Seguridad: El responsable establecerá y mantendrá, independiente del tipo de tratamiento que efectúe, medidas de carácter administrativo, físico y técnico suficientes para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. Este principio comprende también la obligación de notificar vulneraciones de seguridad de los datos personales en poder del responsable.
  • Confidencialidad: El responsable establecerá controles o mecanismos para que, quienes intervengan en cualquier fase del tratamiento de los datos personales, mantengan y respeten su confidencialidad, incluso después de finalizar sus relaciones con el titular.

Estándares de protección de datos y legislación chilena

Como se mencionó anteriormente, los Estándares buscan sugerir y ser una directriz para las futuras normativas de los Estados Iberoamericanos, ya sea operando como un punto de partida en la creación de nuevas leyes, o bien, fundamentando la modificación de las actuales.

Con esto dicho, debemos mencionar que la ley chilena sobre protección de la vida privada, N° 19.628, (en adelante, “LPD”) presenta una serie de deficiencias que han llevado a que al día de hoy se encuentre desfasada en cuanto a los avances internacionales en la materia. En efecto, nuestra LPD no sistematiza expresamente los principios que la informan. Sin perjuicio de ello, podemos encontrar tácitamente el principio de legitimación en el artículo 4 inciso 1 de la LPD que posiciona al tratamiento de datos personales como una situación excepcional al señalar: “El tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello”. Igualmente, podemos encontrar implícito en el inciso 2 de la misma norma el principio de finalidad que consagra el deber de informar a quien autoriza el tratamiento del propósito del almacenamiento y de su posible comunicación al público.

En contraste con la LPD, el Proyecto sí regula de forma expresa una serie de principios, lo que constituye una de sus grandes innovaciones legislativas. Estos principios son: (i) licitud, (ii) finalidad, (iii) proporcionalidad, (iv) calidad, (v) responsabilidad, (vi) seguridad e (vii) información.

La mayoría de estos principios tienen en el Proyecto una formulación muy similar, sino casi idéntica a la de los Estándares, salvo por el principio de responsabilidad, que en los Estándares tiene una formulación más rigurosa, pues ejemplifica los mecanismos mediante los cuales los responsables pueden cumplir con el principio y además, establece la obligación de éstos de rendir cuentas sobre el tratamiento al titular y a la autoridad de control. Creemos relevante proponer mejoras al Proyecto tomando como base lo que plantean los Estándares en este sentido.

Algunas conclusiones

Para finalizar y en razón de lo anteriormente expuesto, destacamos el buen camino que está siguiendo la regulación de la protección de datos en nuestro país, dado que el Proyecto se hace cargo de modernizar nuestra legislación tomando como base los principios que hoy día recogen los Estándares y que, muy probablemente, servirán de base para la modernización de las legislaciones de protección de datos de los demás países de la región.

La similitud existente entre ambos documentos da cuenta de que, en nuestro país, el anhelo de la Red de impulsar la modernización y desarrollo de la legislación de protección de datos de los países de la región, se va de a poco materializando en iniciativas parlamentarias que precisamente acogen lo planteado por la institución a través de los Estándares.