Reparos a la operación del sitio web chileno 24×7
El sitio web chileno datos.24×7.cl permite obtener el RUT de una persona a partir de su nombre, o viceversa. Como el RUT y el nombre de una persona son datos personales protegidos por la Ley 19.628 Sobre Protección a la Vida Privada (LPD), y debido a la gran cantidad de información a la que hoy puede accederse a partir del RUT de una persona, la actividad de este sitio web ha generado controversia y debate en torno a su legalidad.
El debate se ha vuelto una discusión jurídica, porque los datos personales que ofrece el sitio habrían sido recolectados desde una fuente accesible al público, que para nuestra LPD constituye una excepción a la obligación de obtener el consentimiento del titular de los datos para poder utilizarlos. La forma en que esta figura está regulada en la LPD no es del todo clara y genera preguntas en torno a su aplicación, por ejemplo: ¿cuándo y cómo se puede hacer tratamiento de datos recolectados de una fuente accesible al público, sin la autorización del titular de los datos? ¿Basta con que un dato se encuentre en una fuente accesible al público para eximir al responsable del consentimiento del titular? Una vez que los datos han sido recolectados de una fuente de acceso público, ¿puede hacerse cualquier tratamiento, y para siempre? ¿Hay alguna limitación en la finalidad de este tratamiento? ¿Tienen los responsables de las bases de datos recolectadas de fuentes de acceso público las mismas obligaciones que cualquier responsable de bases de datos?
¿Qué establece la LPD respecto de las fuentes accesibles al público?
Recordemos que por regla general, quien hace tratamiento de un dato personal debe obtener una autorización escrita e informada del titular de esos datos; salvo que la ley autorice el tratamiento. Esta regla general (la de requerir siempre autorización del titular) tiene excepciones que eximen a quien hace el tratamiento, de la obtención de este consentimiento. La circunstancia de provenir los datos de una fuente de acceso público forma parte de estas excepciones.
El artículo 2 letra i de la LPD define las fuentes accesibles al público como
“los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes”.
El inciso 5 del artículo 4 de la LPD contempla la excepción de fuente accesible al público:
“No requiere autorización el tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial, se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o sean necesarios para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.
La redacción de este inciso es deficiente. No es evidente si la fuente accesible al público puede operar como una excepción autónoma (que baste con que un dato se haya obtenido de una fuente accesible al público para que no sea necesario obtener el consentimiento del titular para su tratamiento), o si el dato además debe tener alguna de las características indicadas en el resto del inciso (por ejemplo, que además sea un dato financiero).
El lenguaje utilizado en esta norma pareciera inclinarse por la segunda opción, pues el adverbio “cuando” pareciera dar inicio a una enumeración de elementos que complementan, cada uno de ellos, la fuente de acceso público como excepción. Bajo esta interpretación, para que no se requiera la autorización del titular de los datos no basta con que el dato provenga de una fuente de acceso público, sino que el dato mismo debe encontrarse en alguna de estas categorías:
- Ser de carácter económico, financiero, bancario o comercial;
- Contenerse en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento, o
- Ser necesario para comunicaciones comerciales de respuesta directa o comercialización o venta directa de bienes o servicios.
Sin embargo, el artículo 5 de la LPD exime al responsable de una base de datos accesible al público en general, de deberes que sí se establecen para responsables de otras bases de datos que efectúen procedimientos automatizados de transmisión. Por su lado, el artículo 9 de la misma ley exime a los datos recolectados de una fuente accesible al público, de la obligación de ser tratados estrictamente dentro de la finalidad para la cual se recolectaron. En estos artículos, el legislador no pone calificación a las fuentes de acceso público, lo que podría utilizarse para argumentar que tampoco lo hace en el artículo 4.
Un recurso de protección fue presentado contra la empresa titular del sitio 24×7, lo que generó una valiosa oportunidad para que los tribunales de justicia interpretaran esta norma algo confusa y se pronunciaran sobre el alcance de la excepción de fuente de acceso público y la legalidad de la actividad comercial realizada en torno a las bases de datos que han sido pobladas por datos obtenidos desde fuentes públicamente accesibles.
El Recurso de Protección contra 24×7
En marzo de 2015, abogadas de la Fundación Datos Protegidos interpusieron un recurso de protección (19.154-2015 – C. Apelaciones de Santiago) contra la empresa 24×7 Limitada –titular del sitio– argumentando que con la divulgación del RUT se vulneraba el derecho a la privacidad de las recurrentes, por ser éste un dato personal cuyo tratamiento requiere autorización previa del titular.
Las recurrentes argumentaron que el RUT es un dato personal protegido por la ley de protección de datos personales (LPD), que los define como “los relativos a cualquier información concerniente a personas naturales, identificadas o identificables”. El funcionamiento del sitio datos.24×7.cl –razonaron– constituiría una forma de tratamiento, lo que haría necesario que la empresa contara con la autorización de los ciudadanos para ofrecer la información de sus RUT.
Se argumentó también en torno al derecho a la autodeterminación informativa reconocido por el artículo 19 N° 4 de la Constitución, que habría sido reconocido por fallos del Tribunal Constitucional (TC), concluyendo que el tratamiento de datos personales de 24×7 Limitada, sin autorización de los titulares, era un acto ilegal y arbitrario que vulneraba el derecho fundamental a la vida privada.
Por su parte, la empresa recurrida replicó que la autorización del titular no era necesaria, por haberse obtenido los RUT de una fuente accesible al público en los términos del art. 2 letra i) de la LPD (“los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes”), como lo es la nómina electoral que el Servicio Electoral (SERVEL) publicó en septiembre de 2013.
La Ley 18.556 (Ley Electoral) en su artículo 32 obliga al SERVEL a publicar en su sitio web el padrón electoral, que contiene “los nombres y apellidos del elector, su número de rol único nacional, sexo, domicilio electoral con indicación de la circunscripción electoral, comuna, provincia y región a la que pertenezcan y el número de mesa receptora de sufragio en que le corresponde votar”. En lo que respecta a estos datos, la nómina electoral tendrá el carácter de pública según el art. 31 de dicha ley.
Sostuvo la defensa que el Consejo para la Transparencia en la causa rol C521-10 habría adherido a su razonamiento, considerando que una nómina pública de RUT exceptuaba a la Superintendencia de Valores y Seguros de requerir el consentimiento de los titulares de ese dato personal, en virtud del artículo 4 inciso 5 de la LPD. La sentencia de la Corte de Apelaciones rechazó el recurso de protección siguiendo un particular razonamiento, donde calificó el actuar de ilegal, mas no de vulneratorio de la garantía constitucional.
La Corte de Apelaciones rechaza el recurso al estimar que este actuar ilegal, sin embargo, no vulnera ninguna garantía de las recurrentes porque “el dato acerca del RUT, por sí solo carece de valor y su divulgación no atenta contra la vida privada ni menos contra la intimidad de las recurrentes, más aún cuando por su naturaleza dicho dato tiene un uso común dentro de la sociedad”. En otras palabras, si bien 24×7 tiene una obligación incumplida de requerir autorización de los titulares para hacer tratamiento de sus datos, esta obligación no vulnera una garantía constitucional pues la divulgación del RUT, dada su calidad de uso común, no puede entenderse atentatorio contra la vida privada.
La Corte Suprema rechazó la apelación de las recurrentes, aunque por razones distintas. Tanto es así, que en su sentencia reemplazó todos los considerandos de la Corte de Apelaciones.
Como primera diferencia, la Corte Suprema estimó que la nómina electoral no pierde su carácter de fuente accesible al público por el hecho de que ya no se encuentre disponible en el sitio web del SERVEL: “Dicha página actualmente no se encuentra en funcionamiento, lo cual no impide obtener la información ya liberada en internet de ese modo mediante sistemas especializados de búsqueda de información. (…) Que, por tanto, habiéndose hecho públicos en internet por una institución del Estado los datos de las recurrentes con anterioridad a su tratamiento por el recurrido…”.
Como se puede apreciar, la interpretación que hace la Corte Suprema del término fuente accesible al público es sumamente amplia, bastando que una información sea divulgada públicamente una sola vez en el tiempo, para que se le reconozca como una fuente de dicha condición.
Luego la Corte Suprema sigue la interpretación de la Corte de Apelaciones respecto al art. 4 inciso 5 de la LPD: la extracción de datos de una fuente de acceso público, por sí misma, no permite prescindir de la autorización del titular de los datos, sino que es necesario cumplir otro de los requisitos allí señalados. Teniendo por acreditado que los datos sí provinieron de una fuente de acceso público, busca la Corte Suprema determinar si la naturaleza del dato es de aquellas indicadas en el artículo 4.
Para determinar la naturaleza del RUT, la Corte Suprema reflexiona sobre el propósito para el cual este número fue creado, y enumera las instituciones que conforme a la ley tienen derecho a demandar su exhibición para la identificación de una persona, entre las que se incluyen instituciones financieras, bancos comerciales, notarías, etc. Esto lleva a la Corte Suprema a determinar que el RUT tendría el carácter de dato económico, financiero, bancario y comercial, porque su “empleo es obligatorio para la correcta identificación de personas naturales en operaciones de carácter económico, financiero, bancario y comercial, evitando así la no poco frecuente probabilidad de contar con los mismos nombres y apellidos de otras personas, de manera que exista una correcta atribución de los derechos y obligaciones de cada cual en tales ámbitos”.
Como consecuencia, la Corte Suprema concluye que el tratamiento que hace “datos 24×7” sí se ajusta a lo dispuesto por la LPD, pues el RUT habría sido obtenido de una fuente de acceso público, y sería un dato “de carácter económico, financiero, bancario o comercial, en los términos del artículo 4º de la Ley Nº 19.628”, de forma tal que no cabe exigir para el tratamiento el consentimiento de sus titulares.
Conclusiones en torno al análisis jurisprudencial de la LPD
- Tanto la Corte de Apelaciones como la Corte Suprema entienden que la excepción del art. 4 inciso 5 de la LPD procede si se cumplen copulativamente los requisitos de fuente(debe ser de acceso público) y naturaleza del dato (con alguna de las demás hipótesis del inciso).
- Para la Corte Suprema, el concepto de fuente de acceso públicoes tremendamente amplio, bastando que una información sea divulgada públicamente una sola vez en el tiempo, para que se entienda que el dato ha provenido de una fuente de esa condición. Esto permitiría tratamientos de datos posteriores, aun cuando la fuente haya dejado de estar disponible. En esta línea de razonamiento, entonces, basta que un dato haya sido “hecho público” en una fuente accesible al público en una ocasión, para tenerse por cumplido para siempre por lo menos el primer elemento de esta excepción del artículo 4.No existe una calificación judicial respecto de la legalidad de la publicación original, lo que combinado con la amplitud legal de la definición nos hace temer que, para los tribunales chilenos, una violación de seguridad y posterior publicación de datos personales (por ejemplo, datos financieros) los transformaría en datos cuyo tratamiento no requeriría del consentimiento de su titular jamás.
- El RUT es un dato personal cuyo empleo es obligatorio para la correcta identificación de personas naturales en operaciones de carácter económico, financiero, bancario y comercial. Esta sola circunstancia permite a la Corte Suprema concluir que el RUT sería, en sí mismo, un dato de carácter económico, financiero, bancario o comercial.
Adherimos a la interpretación “compuesta” de las Cortes respecto de la fuente de acceso público como excepción a la obtención del consentimiento, donde la excepción de la obtención del consentimiento para tratamiento de un dato personal no debe solamente considerar que el dato provenga de una fuente accesible al público, sino además debe examinar si el dato es de alguna de las naturalezas mencionadas en el artículo 4 inciso 5. Sin embargo, echamos de menos en el análisis de la Corte Suprema una explicación más acabada de la relación causal entre la circunstancia de requerirse de forma usual el RUT para el tráfico comercial, y el hecho de constituir el RUT en sí un dato financiero, económico o comercial. El sueldo de un individuo o el balance de su cuenta corriente, son datos que pueden sin duda calificarse de económicos, bancarios o comerciales; el RUT sin embargo, no pareciera tener en sí mismo la característica de ser económico, bancario o comercial, aun cuando en la práctica sea requerido para la operación de negocios de esa naturaleza. Esa línea de argumentación, que involucra tan íntimamente una función determinada por las circunstancias, con el contenido esencial de una cosa, permite también considerar al RUT como un dato sensible per se, pues sin duda es requerido comúnmente para la identificación de las personas naturales en operaciones relacionadas con su salud.
La Corte Suprema pierde una valiosa oportunidad de ofrecer más claridad (tan necesaria ante la redacción actual de la LPD) sobre las consecuencias jurídicas de provenir un dato de una “fuente accesible al público”: ¿opera esta circunstancia únicamente como excepción a la obtención del consentimiento, o puede entenderse que la pertenencia de un dato a una fuente de este tipo lo saca completamente del ámbito de aplicación de la LPD? La amplitud con que usualmente se trata este tipo de fuente, pareciera (lamentablemente a nuestro juicio) sugerir lo segundo. A nuestro entender, los responsables de las bases de datos que contengan datos obtenidos de fuentes accesibles al público deben igualmente respetar los derechos de los titulares de los datos, se encuentran obligados por las normas de los artículos 12 y siguientes de la LPD, y deben en consecuencia cumplir con los requerimientos de información, modificación, cancelación o bloqueo que puedan hacer los titulares.
En este sentido, estimamos que el sitio 24×7 puede ser objeto de los requerimientos de los titulares de datos, teniendo que cumplir con las órdenes de información, modificación, cancelación o bloqueo dentro de los plazos legales, y pudiendo ser objeto de multas por el incumplimiento de estos deberes. Si la propia LPD exceptúa de los deberes de modificación, cancelación o bloqueo (mas no de información) únicamente a los responsables de bases de datos almacenados por mandato legal (artículo 15 inciso 2), quedan pocas dudas de que un sitio web que aparentemente ejerce una actividad comercial en torno a la diseminación de los datos de nombre y RUT de los chilenos, debe cumplir con todas las obligaciones que la LPD impone a los responsables de las bases de datos.
Vale la pena mencionar que la propia Ley Electoral sanciona el mal uso que se haga de los datos contenidos en la nómina electoral. Su artículo 53 establece la pena de reclusión menor en su grado mínimo y multa de 1 a 3 UTM “al que use para fines comerciales los datos del Registro Electoral o Padrón Electoral”.
Por último, no podemos dejar de señalar que a propósito de la polémica y cuestionamientos generados por la operación de 24×7, a mediados de enero de 2016 el diputado Gaspar Rivas presentó una moción ante el Congreso para modificar algunas normas de la LPD.