El sitio web chileno datos.24×7.cl permite obtener el RUT de una persona a partir de su nombre, o viceversa. Como el RUT y el nombre de una persona son datos personales protegidos por la Ley 19.628 Sobre Protección a la Vida Privada (LPD), y debido a la gran cantidad de información a la que hoy puede accederse a partir del RUT de una persona, la actividad de este sitio web ha generado controversia y debate en torno a su legalidad.
El debate se ha vuelto una discusión jurídica, porque los datos personales que ofrece el sitio habrían sido recolectados desde una fuente accesible al público, que para nuestra LPD constituye una excepción a la obligación de obtener el consentimiento del titular de los datos para poder utilizarlos. La forma en que esta figura está regulada en la LPD no es del todo clara y genera preguntas en torno a su aplicación, por ejemplo: ¿cuándo y cómo se puede hacer tratamiento de datos recolectados de una fuente accesible al público, sin la autorización del titular de los datos? ¿Basta con que un dato se encuentre en una fuente accesible al público para eximir al responsable del consentimiento del titular? Una vez que los datos han sido recolectados de una fuente de acceso público, ¿puede hacerse cualquier tratamiento, y para siempre? ¿Hay alguna limitación en la finalidad de este tratamiento? ¿Tienen los responsables de las bases de datos recolectadas de fuentes de acceso público las mismas obligaciones que cualquier responsable de bases de datos?
¿Qué establece la LPD respecto de las fuentes accesibles al público?
Recordemos que por regla general, quien hace tratamiento de un dato personal debe obtener una autorización escrita e informada del titular de esos datos; salvo que la ley autorice el tratamiento. Esta regla general (la de requerir siempre autorización del titular) tiene excepciones que eximen a quien hace el tratamiento, de la obtención de este consentimiento. La circunstancia de provenir los datos de una fuente de acceso público forma parte de estas excepciones.
El artículo 2 letra i de la LPD define las fuentes accesibles al público como
“los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes”.
El inciso 5 del artículo 4 de la LPD contempla la excepción de fuente accesible al público:
“No requiere autorización el tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial, se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.
La redacción de este inciso es deficiente. No es evidente si la fuente accesible al público puede operar como una excepción autónoma (que baste con que un dato se haya obtenido de una fuente accesible al público para que no sea necesario obtener el consentimiento del titular para su tratamiento), o si el dato además debe tener alguna de las características indicadas en el resto del inciso (por ejemplo, que además sea un dato financiero).
El lenguaje utilizado en esta norma pareciera inclinarse por la segunda opción, pues el adverbio “cuando” pareciera dar inicio a una enumeración de elementos que complementan, cada uno de ellos, la fuente de acceso público como excepción. Bajo esta interpretación, para que no se requiera la autorización del titular de los datos no basta con que el dato provenga de una fuente de acceso público, sino que el dato mismo debe encontrarse en alguna de estas categorías:
- Ser de carácter económico, financiero, bancario o comercial;
- Contenerse en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o
- Ser necesario para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.
Sin embargo, el artículo 5 de la LPD exime al responsable de una base de datos accesible al público en general, de deberes que sí se establecen para responsables de otras bases de datos que efectúen procedimientos automatizados de transmisión. Por su lado, el artículo 9 de la misma ley exime a los datos recolectados de una fuente accesible al público, de la obligación de ser tratados estrictamente dentro de la finalidad para la cual se recolectaron. En estos artículos, el legislador no pone calificación a las fuentes de acceso público, lo que podría utilizarse para argumentar que tampoco lo hace en el artículo 4.
Un recurso de protección fue presentado contra la empresa titular del sitio 24×7, lo que generó una valiosa oportunidad para que los tribunales de justicia interpretaran esta norma algo confusa y se pronunciaran sobre el alcance de la excepción de fuente de acceso público y la legalidad de la actividad comercial realizada en torno a las bases de datos que han sido pobladas por datos obtenidos desde fuentes públicamente accesibles.
En nuestro próximo artículo analizaremos con mayor profundidad el desarrollo del juicio gatillado por este recurso de protección y las consecuencias que tiene la forma en que fue resuelto.
pincha aquí para el articulo completo.