El año 2015 trajo una concentración inusual de hitos para la protección de datos en el mundo. En Europa, nueva regulación y sentencias tremendamente influyentes prometen cambiarle la cara a la regulación de la privacidad. En Chile, más tímidamente, interesantes casos de privacidad llegaron a tribunales, y fuimos esperanzados testigos de cierto avance del anteproyecto de protección de datos en su travesía por el aparato estatal, que pareciera dar buenas luces de que pronto llegará a las puertas del Congreso una modificación no menor a nuestras propias (y muy desactualizadas) estructuras legales de protección de datos.
En junio se promulgó en Estados Unidos la ley USA Freedom Act, que modifica la forma en que las agencias norteamericanas (incluida la NSA) pueden ejercer supervigilancia y recopilar datos; y en varias áreas reemplaza al USA Patriot Act, que perdiera vigencia con un día de anterioridad a la promulgación del USA Freedom Act. Esta ley se aprobó solo un par de meses después que una Corte Federal de Apelaciones determinara que la recopilación masiva de metadata telefónica efectuada por la National Security Agency (NSA) excedía las facultades del USA Patriot Act entonces vigente.
El más dramático y relevante de todos los cambios en protección de datos que presenció el 2015, sucedió al final de año en Europa, al llegar el Consejo, el Parlamento y la Comisión Europea a un acuerdo final del texto del reglamento General Data Protection Regulation o GDPR. Una vez aprobado por el Parlamento Europeo –probablemente en enero de 2016- se hará obligatorio para todos los miembros de la Unión Europea, derogando las leyes de protección de datos internas que sean contradictorias con éste. El GDPR reemplazará a la Directiva 95/46/EC uniformando la regulación de la protección de datos en la Unión Europea. A diferencia de una Directiva, un Reglamento adquiere obligatoriedad automática (o tras el periodo de transición que el mismo reglamento señale, en este caso, dos años) y no requiere de una aprobación adicional por los órganos legislativos de cada país. El GDPR extendería su ámbito de aplicación a todas empresas extranjeras que hagan tratamiento de datos personales de residentes de la Unión Europea y está asociada con importantes sanciones.
Un segundo hito mayor en Europa el 2015 fue la invalidación del Safe Harbour Agreement entre la Unión Europea y USA por la Corte de Justicia de la Unión Europea, restando todo valor al mecanismo de transferencia de datos internacionales entre USA y la Unión Europea, que desde el año 2000 era activamente utilizado por las empresas americanas que hacían tratamiento de datos en Estados Unidos, de ciudadanos europeos. La Corte de Justicia estimó que, basado en las revelaciones de Edward Snowden respecto de las actividades de los organismos de inteligencia de Estados Unidos, y pese a la implementación y cumplimiento con el mecanismo descrito por el Safe Harbour Agreement, la ley norteamericana no garantizaba una protección robusta de los derechos de los ciudadanos europeos sobre sus datos, en particular frente a las actividades de supervigilancia del Estado.
Siguiendo con los hitos del 2015, las violaciones de seguridad (security breaches) mantuvieron su presencia, desnudando debilidades informáticas de grandes empresas e instituciones y generando millones de dólares en pérdidas; y al mismo tiempo –en la eterna y fértil conversación entre las medidas de seguridad y los hackers que las desafían- provocando el crecimiento de la industria y fortalecimiento de las herramientas de ciberseguridad.
En marzo fue develado el que hasta hoy es el robo más grande de archivos médicos de la historia, cuando los sistemas de las compañìas de seguros de salud Anthem y Premera fueron vulnerados. En agosto les seguiría Excellus. Y cómo no mencionar la violación de Ashley Madison, sitio web de citas para personas casadas, que comprometió 37 millones de records y contraseñas, y que fue anunciada por los hackers en las pantallas de los propios empleados de Ashley Madison. Como consecuencia de este hackeo, fueron publicados miles de datos de hombres buscando relaciones extramatrimoniales, lo que puede haber derivado incluso en dos suicidios.
Si bien en Chile no ocurrieron cambios tan radicales como los de Europa (ni tan sustanciales como quisiéramos), si creemos que germinó una semilla que terminará por modificar profundamente la relación de las empresas con los datos personales que tratan día a día. El año 2014 la Subsecretaría de Economía inició un proceso de consulta ciudadana en torno a un texto de anteproyecto que pretendía derogar la actual ley 19.628 sobre Protección de la Vida Privada, reemplazándola con una ley de estructura y obligaciones similar a la española. Paralelamente se citó a una mesa público-privada de expertos en la materia, representantes de la industria y sociedad civil, para el análisis critico del anteproyecto. Luego de ello y durante 2015, si bien la Presidenta agregó la modificación a la ley de protección de datos entre las medidas legislativas de la Agenda de Probidad, no vimos llegar esta iniciativa al Congreso. Entendemos que actualmente el anteproyecto está siendo analizado en el Ministerio de Hacienda y que sigue siendo una medida en progreso. Por último, se creó por primera vez el Consejo de la Sociedad Civil de Datos Personales al alero de la ley Nº 20.500 y de la Subsecretaría de Economía, cuyo objetivo es manifestar la voz ciudadana en todo el ciclo de la gestión de políticas públicas ligadas al desarrollo de la Protección de Datos Personales en Chile.
Nuestra ley, de 1999, tiene una estructura y redacción débil cuyas obligaciones tienen límites difusos, y que no está respaldada por una institucionalidad que interprete las normas o fiscalice su cumplimiento (como sí sucede con Argentina, Perú, Colombia, México y Uruguay, por ejemplo). Nos encantaría ver cómo Chile se integra el 2016 al ciclo de reformas en la regulación de protección de datos, ya sea reemplazando la actual 19.628 o modificándola de forma tal que se ajuste a los estándares internacionales, cumpliendo, de paso, con las obligaciones asumidas ante la OCDE.