Recientemente, el Servicio Nacional del Consumidor (Sernac) emitió dos circulares con disposiciones relevantes respecto del tratamiento de datos personales.
I Circular interpretativa sobre criterios de equidad contenidas en contratos de adhesión referidas a la recolección y tratamiento de datos personales
El Sernac propuso el control y supervisión de las cláusulas y estipulaciones contenidas en los contratos de adhesión normalmente presentados en forma de “políticas de privacidad” y “términos y condiciones”, fórmulas que normalmente contienen una gran diversidad de cláusulas que lidian con el tratamiento de datos personales de los consumidores.
En este contexto, el Sernac propone cinco criterios interpretativos a los cuales se debe prestar especial atención. El primero se refiere a un control de forma, y los restantes a diversas “cláusulas abusivas” que suelen presentarse en estas políticas. Estos son:
- Control de forma: transparencia de las políticas de privacidad y de toda estipulación vinculada al tratamiento de datos personales de los consumidores.
Este control apunta a que el proveedor deba proporcionar al consumidor información trasparente y específica respecto a qué información y qué datos del mismo serán tratados, con tal de obtener de su parte una autorización válida que habilite el tratamiento de datos en el contexto de un contrato de consumo, debiendo ser específica, tanto en lo que respecta a los datos personales tratados (en lo relativo a las actividades de tratamiento), como en lo que concierne al propósito del tratamiento. La satisfacción de este parámetro, según el Sernac, determina el carácter informado que ha de tener la autorización entregada por el consumidor para el tratamiento de sus datos, conforme a los criterios del consentimiento establecidos por la LPD.
El Sernac señala que deben evitarse cláusulas y políticas de privacidad excesiva e innecesariamente extensas, desorganizadas, confusas o de difícil comprensión, como aquéllas que carezcan de un orden esquemático, o las que presenten dificultades de visualización, entre otras.
Además de esto, el Sernac pone énfasis en la identificación por parte de los consumidores acerca de qué información concerniente a los mismos será recolectada y cómo será usada, con tal de que, si lo desean, puedan ejercer sus derechos como titulares de datos.
Así, la Circular señala que las políticas de privacidad deberían permitir a los consumidores identificar fácilmente:
- al responsable de tratamiento de datos recopilados, conociendo sus datos de contacto;
- qué datos personales del consumidor se están recabando en virtud del contrato, indicándolos con precisión y señalando si revisten una calidad especial (por ej. si se trata de datos sensibles);
- qué base de licitud habilita el procesamiento de los datos, (iv) las operaciones de tratamiento que se están autorizando -en este punto. El Sernac espera que el proveedor “describa claramente la finalidad o finalidades específicas de tratamiento para las cuales se solicita el consentimiento (…), por ejemplo, si los datos recolectados se utilizarán para estudios de mercado, para operaciones de perfilamiento de los consumidores o si eventualmente serán transferidos o compartidos con terceros”;
- los parámetros que permitan determinar el espacio de tiempo o período durante el cual el proveedor conservará los datos personales recabados, aunque según indica el Sernac “no apunta a que se indique un término o plazo específico de conservación, atendidas las necesidades de tratamiento asociadas a la prestación del servicio, es esperable que los proveedores indiquen criterios que permitan la determinación con el propósito de generar un conocimiento óptimo al consumidor conforme a los estándares legales”;
- los destinatarios a quienes, eventualmente se podrán comunicar los datos recogidos. Esta última expectativa, según indica el Servicio, no necesariamente debe ser ex ante y precisa respecto de cada uno de los potenciales destinatarios, pero “es importante que exista un grado razonable de especificidad que permita identificar al menos las categorías de terceros a quienes pueden transferirse los datos de los consumidores.”
Por último, con respecto a este criterio, el SERNAC señala que la transparencia exige poner en conocimiento a los usuarios sobre los derechos que la ley les reconoce en cuanto titulares de datos personales, junto con el procedimiento para su ejercicio ante el responsable del tratamiento.
- Cláusulas que contemplan la modificación, suspensión o terminación unilateral de la relación contractual
A este respecto, la Circular del Sernac se refiere a cláusulas que resultan abusivas de acuerdo con lo dispuesto en el art 16 letra (a) de la LPDC, es decir, aquellas cláusulas que permiten al proveedor dejar, unilateralmente y a su solo arbitrio, sin efecto, modificar o suspender la ejecución del contrato.
En materia de datos personales, estas cláusulas permiten al proveedor responsable de los datos modificar unilateralmente y de manera amplia los términos y condiciones bajo los cuales el consumidor autorizó originalmente la recopilación y procesamiento de su información.
Además, el Sernac distingue entre modificaciones sustanciales y modificaciones no sustanciales de las políticas de privacidad. Respecto de las primeras, se entiende que son aquellas que amplían la información que el consumidor autoriza que sea recolectada por el proveedor, alteran las finalidades del tratamiento, autorizando operaciones de procesamiento adicionales, incluyen nuevas categorías de terceros a quienes eventualmente se pueda transferir la información del consumidor, entre otras. Respecto de este tipo de cláusulas, el servicio señala que las fórmulas que pretenden modificar dichas estipulaciones sobre la base del consentimiento tácito o implícito del consumidor, es decir, de una autorización no derivada de una expresión de voluntad expresa y escrita, sino que de un determinado comportamiento (incluyendo la inacción o el silencio del titular de datos, como señalar que constituye aceptación expresa de las nuevas condiciones el mero uso por parte del consumidor de la plataforma o de los servicios que suministra el proveedor.) Se agrega que los modelos de opt-out o casillas premarcadas, autorizando el tratamiento datos y de casillas “no acepto” no son suficientes, al no satisfacer el estándar de consentimiento explícito que establece la LPD.
Las modificaciones no esenciales, por su parte, se refieren a temas relacionados a cambios en la estructura corporativa del proveedor, o a cambios en datos de contacto del proveedor de encargados, y que, si bien no requerirán contar con la autorización explícita del consumidor para ser válidas, deberán serle informadas bajo los estándares de transparencia del N. 1
- Cláusulas que ponen de cargo del consumidor los efectos de eventuales deficiencias, omisiones o errores
Estas cláusulas se relacionan con la causal de abusividad dispuesta en el art. 16 letra (c) de la LPDC, que priva de todo efecto a las estipulaciones que “pongan de cargo del consumidor los efectos de deficiencias, omisiones o errores administrativos, cuando ellos no le sean imputables.”
En relación con el tratamiento de datos personales, el Servicio destaca la existencia de disposiciones contractuales de diversa índole, que ponen siempre y a todo evento a cargo del consumidor las pérdidas, alteraciones, filtraciones o accesos no autorizados a los datos personales que han sido recabados por el proveedor. El Sernac señala que poner de cargo del consumidor dichas deficiencias, errores u omisiones eventuales ponen entredicho la adecuada observancia de los deberes de profesionalidad y de seguridad que recaen en los proveedores.
Estos deberes se relacionan con lo dispuesto en la LPD, ya que corresponde a los proveedores responsables la adecuada gestión de las bases de datos en las cuales dicha información se encuentra contenida, cobrando relevancia también el principio de seguridad en materia de tratamiento de datos personales (art. 11 LPD), y que dichos datos sean exactos (art. 9 LPD), siendo estos datos, por regla general, confidenciales o secretos (art. 7 LPD).
- Cláusulas que contienen limitaciones absolutas de responsabilidad frente al consumidor
Estas cláusulas, por su parte, se relacionan con la causal de abusividad dispuesta en el art. 16, letra e) de la LPDC, que priva de todo efecto a aquellas estipulaciones que “contengan limitaciones absolutas de responsabilidad frente al consumidor que puedan privar a éste de su derecho a resarcimiento frente a deficiencias que afecten la utilidad o finalidad esencial del producto o servicio.”
En cuanto a la materia de protección de datos personales, el Servicio señala la existencia de muchas cláusulas o estipulaciones contractuales que eximen o atenúan la responsabilidad del proveedor frente a la vulneración de la confidencialidad de los datos de los consumidores o cualquier otro daño que pueda derivarse de las operaciones de tratamiento realizadas.
El Sernac señala que la responsabilidad recae en el proveedor que efectúa el dato de los consumidores, estando obligado a “controlar el cumplimiento de los estándares necesarios para la adecuada protección de los consumidores, mediante la adopción de soluciones técnicas diligentes que maximicen dicha protección conforme a sus deberes de profesionalidad y seguridad. Por tanto, las estipulaciones contractuales que de manera explícita o subrepticia eliminan total o parcialmente dicha responsabilidad socavan la antedicha obligación en desmedro de las garantías básicas que deben proteger a los consumidores, y por lo mismo, han de estimarse abusivas.”
- Cláusulas de contravienen la buena fe contractual
El último apartado de la circular se refiere a las cláusulas que contravienen lo dispuesto en el art. 16, letra g) de la LPDC, es decir, aquellas estipulaciones que son contrarias a las exigencias de la buena fe “atendiendo para estos efectos a parámetros objetivos, causen en perjuicio del consumidor, un desequilibrio importante en los derechos y obligaciones que para las partes se deriven del contrato. Para ello, se atenderá a la finalidad del contrato y a las disposiciones especiales o generales que lo rigen”. En relación con esta causal genérica, el Sernac señala que revisten el carácter de abusivas aquellas cláusulas que contravienen las exigencias de la buena fe al pretender autorizar ciertas operaciones de recolección y tratamiento de datos que resultan excesivas o que se desvían del objetivo típico que un consumidor promedio busca satisfacer mediante la relación de consumo, teniendo en consideración sus razonables expectativas.
Un ejemplo son aquellas estipulaciones que consisten en declaraciones escritas previamente elaboradas por el proveedor y que imponen al consumidor tratamientos de sus datos personales que no son necesarios para la consecución de los fines específicos que tuvo presente (en cuanto a consumidor medianamente diligente) al momento de contratar, según la apariencia creada por el consumidor. También serían abusivas aquellas cláusulas que autorizan entregar informaciones a toda clase de terceros con quienes el consumidor no ha contratado y que resultan amplias o excesivas, por ejemplo, las que habilitan el procesamiento da datos con el propósito de que terceros ajenos a la relación contractual puedan remitir al consumidor mensajes comerciales o publicitarios, entre otras.
Además de esto, el SERNAC establece un plazo para aplicar los nuevos criterios de la Circular, que en el caso de las empresas de menor tamaño (microempresas, pequeñas empresas y medianas empresas), será de sesenta días corridos, y para proveedores en general, luego de cuarenta y cinco días; ambos luego de la fecha de publicación de la Circular.
II Circular interpretativa sobre publicidad y prácticas comerciales
La Circular sobre Publicidad y Prácticas comerciales ahora contiene un apartado referido específicamente a la relación entre la publicidad y el tratamiento de los datos personales.
La Circular se refiere específicamente al marketing directo como un medio de publicidad no tradicional que establece un vínculo directo entre el anunciante y el público consumidor. Una forma eficaz de llevar a cabo este tipo de prácticas se sustenta en extensas y organizadas colecciones de datos acerca de actuales o potenciales clientes, señala el servicio. Así, las prácticas del marketing directo comprenden un conjunto de prácticas comunicacionales que, basándose en la recopilación de procesamiento de diversos datos concernientes a consumidores actuales o potenciales, permiten el envío de anuncios publicitarios o promocionales, solicitados o no, a uno o varios individuos específicos, a través de correos postales, correos electrónicos, llamadas telefónicas, etc.
El Sernac señala que, para obtener los datos de los consumidores, se usan tecnologías de big data que permiten la recopilación continua de volúmenes masivos de datos de diversas fuentes, los cuales luego son objeto de diversos tratamientos. En este sentido, los proveedores que se someten a este tipo de modelos deben someterse a la norma relacionada a protección de datos personales contenida en la LPD, contando con una base de licitud para la recolección de dichos datos, y en caso de que provengan de una fuente de acceso público, que dicha fuente de acceso público haya sido obtenida también de forma legítima y lícita, de acuerdo con lo dispuesto en la LPD.
También se destaca que los proveedores tienen la obligación de facilitar a los consumidores ejercer sus derechos como titulares de datos respecto al marketing directo, particularmente a través de mecanismos expeditos que les permitan solicitar directamente la suspensión de este tipo de comunicaciones, o dando eficacia a respuesta simples vía correo electrónicos a través de mensajes como “remover envíos”, o en caso de comunicaciones telefónicas, ofreciendo en la misma llamada la opción de suspender los envíos mediante un dígito. Asimismo, se destaca que dicha facultad también puede ejercerse a través del sitio web del SERNAC, mediante el “Sistema No Molestar.”