Hace años atrás, la Unión Europea nos preguntaba insistentemente qué estábamos haciendo, como país, para proteger los datos personales de nuestros ciudadanos.
Por supuesto, la pregunta no era desinteresada pues, dependiendo de nuestra respuesta, podríamos ser considerados un país confiable a la hora de hacer negocios que involucraran transferencia internacional de datos de ciudadanos europeos a Chile (y viceversa), o no.
En su momento, lo que hicimos fue mentir: les dijimos que teníamos una maravillosa ley de protección de datos, con principios y derechos calcados de la normativa europea (lo que era cierto) y que cualquier ciudadano que se sintiera vulnerado en sus derechos por un tratamiento abusivo de sus datos, podía recurrir a la justicia ordinaria, que es como se hacen las cosas en un Estado de Derecho, sabiendo que en realidad la generalidad de las personas en Chile no puede permitirse contratar asesoría jurídica.
Los europeos reconocieron el embuste al instante y, como consecuencia, nunca reconocieron a Chile como un país con un nivel adecuado de protección de datos, pues sabían que, en un ordenamiento jurídico sin Autoridad de Protección de Datos Personales, no habría protección de datos para nadie.
¿Por qué? Porque una Autoridad de ese tipo cumple diversas funciones imprescindibles en una sociedad que entiende que lo bueno o malo que le ocurra a las personas en sus proyectos de vida, tiene mucho que ver con los datos que se conocen de ella.
Dicho de otro modo, el problema central de cualquier asunto en que tus datos circulen libremente es que alguien (no sabemos quién) cree saber algo de ti (no sabemos qué) y toma una decisión, usualmente arbitraria, a tu respecto. Y así, el banco te niega un crédito que necesitas, o no te arriendan un lugar en que vivir, tus hijos son rechazados en la postulación a un colegio y, en general, te ocurren muchos sinsabores que afectan tu proyecto de vida personal y familiar, sin tener herramientas con las cuales protegerte ni saber qué es lo que realmente está pasando.
Pero para frenar estas arbitrariedades, no basta con dictar leyes que contengan principios y derechos sobre la materia, sino que también debes establecer una institucionalidad que se haga cargo de que dichos principios y derechos sean efectivamente respetados, y esa institución son las autoridades de protección de datos que reciben distintos nombres, dependiendo del país en que se encuentren: Garante para la Protección de Datos Personales en Italia, Agencia Española de Protección de Datos o Unidad Reguladora y de Control de Datos Personales, en Uruguay.
Y aunque las denominaciones son diferentes, tienen en común que son organismos públicos autónomos respecto de la autoridad política de turno (incluso tienen un “deber de ingratitud”), sobre todo considerando que en un país el mayor tenedor de datos personales casi siempre es el Estado.
Pero no es lo único que tienen en común, sino también sus roles o funciones: la primera de ellas es la formación de los ciudadanos en materia de derechos. La gente tiene que saber que son titulares de sus propios datos y que tiene la facultad de, por ejemplo, negarse a entregar su número de RUT cuando hacen compras o exigir que les expliquen para qué van a ser usados sus datos. O que tienen derecho a que sus datos sean eliminados de registros públicos y privados cuando no existan fundamentos que justifiquen su existencia.
El segundo rol de una autoridad de protección de datos es difundir entre los actores del mercado, como son el comercio, la industria, las asociaciones y, en general, las empresas, las reglas que deben respetar para poder tratar datos personales. O, dicho de otra forma, en una Sociedad Red como la nuestra es perfectamente posible y necesario tratar libremente datos personales de interés económico (o de otro tipo), pero como paso previo debes cumplir con ciertos estándares básicos para su tratamiento: por ejemplo, no les puedes mentir a las personas sobre el para qué vas a usar sus datos, o de dónde los obtuviste o a quién se los vas a entregar.
De hecho, las autoridades de protección de datos son un maravilloso (y gratuito) asesor de la empresa privada, a la cual siempre les van indicando el camino para alcanzar sus objetivos, señalando maneras de regularizar el tratamiento de datos, informándoles sobre el rol de un buen oficial de protección de datos, generando modelos del tipo complete-la-línea-punteada para que no se aparten de la legalidad e, incluso, otorgando premios e incentivos que contribuyen al prestigio de los que lo hacen bien.
Un tercer rol que cumplen las autoridades de protección de datos es el de investigar y fiscalizar el cumplimiento de la normativa, tanto por organismo públicos como empresas y entidades privadas; para ello cuentan con cuerpos profesionales y técnicos muy calificados a la hora de revisar que, efectivamente, el tratamiento de datos se está haciendo conforme a la ley.
Por último, una autoridad de protección de datos, después de haber formado a la ciudadanía respecto de sus derechos, orientado a las entidades públicas y empresas privadas en lo que son las mejores prácticas en la materia y haber investigado el efectivo cumplimiento de la normativa, también tiene la facultad de sancionar y, siendo los datos personales una materia tan sensible para los proyectos de vida de las personas, aplicar castigos duros que van desde elevadas multas a la prohibición de tratar datos, lo que en los hechos podría significar la muerte de la empresa en casos de reincidencia por abusos graves.
Todo lo dicho es común a las autoridades de protección de datos, y también lo es para la Agencia de Protección de Datos Personales de Chile contemplada en el proyecto de ley, en último trámite, que reforma totalmente la Ley 19.628, que dejará de llamarse “sobre protección de la vida privada”, para denominarse “sobre protección de los datos personales”.
Excelente columna Carlos, pudiendo ser pioneros, no nos actualizamos, ya es hora de reivindicarlo, por otro lado nos quedan resolver detalles relacionados con la Ley Marco de Ciberseguridad, donde existen puntos comunes para ambas leyes, esperemos que pronto podamos contar con estas importantes normativas.