Skip to main content

De los ilícitos del Banco BCI al escaso avance del proyecto de ley de protección de datos

Hace algunos días atrás recibí, al igual que cientos de otros chilenos, un cortés correo electrónico del Banco de Crédito e Inversiones (BCI), personalizado, en que me informaban que las “compras y retiros de cajeros automáticos que usted realizó entre los días 8 al 13 de febrero no fueron cargados a su cuenta corriente, situación que se comenzó a regularizar a partir del jueves 7 de marzo (…) estos montos fueron descontados de su cuenta corriente hoy 12 de marzo”.

“Que mal”, pensé. Pero el “que mal” no es por las deficiencias en la gestión de las cuentas corrientes por parte del Banco, sino por una cuestión mucho más grave: ni yo, ni muchos de quienes recibieron ese correo, somos o hemos sido clientes del Banco BCI.

Lo anterior significa que el Banco BCI ha cometido un ilícito previsto en la ley Nº 19.628, de protección de datos personales, que en síntesis señala que solo hay dos causales que autorizan a realizar tratamiento de datos de las personas naturales: porque nosotros, los titulares de los datos, libremente hemos consentido para ello con ciertas finalidades específicas, o porque una ley les autoriza. Y no hay más.

En mi caso y en lo de muchos más, jamás he consentido en entregarle mis datos al Banco BCI y la ley no autoriza a los Bancos a tratar datos de personas que no son sus clientes, lo que lleva a la forzosa conclusión de que el Banco BCI adquirió dicha información en el mercado negro de los datos personales, construyó bases de datos con ellos y, por error, envío el mensaje a quienes no deberían ser sus destinatarios.

Lo anterior no solo es una mala práctica, sino también un ilícito, pero el problema es que la actual ley de protección de datos, para hacer valer mis derechos, me obliga a contratar a un abogado, recurrir a los tribunales de justicia, probar todas mis afirmaciones, demostrar el daño efectivo que me ha causado y esperar todos los meses que dure el procedimiento para que, si hay suerte, los tribunales lo condenen al pago de una indemnización irrisoria y le ordenen sacarme de sus bases de datos (solo mis datos, no los de los demás que están en la misma situación). En resumen, un ejercicio caro, lento e inútil.

Por supuesto, hay alternativas como apostar por solicitar la protección de los tribunales superiores por la privación, perturbación o amenaza a mi derecho constitucional a la protección de datos personales (procedimiento más rápido y relativamente más barato) o plantear la denuncia ante la Superintendencia de Bancos e Instituciones Financieras, alegando los ilícitos del Banco BCI, pero teniendo presente que dicha entidad no resuelve los conflictos de los particulares con los Bancos, sino más bien la falta de apego de estos últimos a las leyes sectoriales.

Pero el fondo del problema tiene que ver, como seguramente el lector habrá oído hablar, del hecho que nuestra ley de protección de datos personales es del año 1999, y tiene dos errores fundamentales: no señala la autoridad pública que se encargará velar por su cumplimiento y tampoco contempla un régimen de sanciones serias, por lo que vulnerar la misma usualmente sale a costo cero.

Por ello, desde hace años que se hacen esfuerzos para reformarla, pero gente con nombre y apellido ha obstaculizado su avance.

El último de los esfuerzos por sacar adelante la reforma lo hizo la ex Subsecretaria de Economía, Katia Trusich, quien encargó la redacción de un proyecto de ley; este fue torpedeado por el ex Ministro de la misma cartera, Luis Felipe Céspedes, quien hizo que lo enviaran al Ministerio de Hacienda, donde fue ocultado deliberadamente hasta el término del segundo Gobierno de Michelle Bachelet, cuando dicho Ministerio lo tomó como propio, mandándolo al Congreso Nacional.

Ahora, el proyecto de ley enviado al Congreso terminó siendo bastante razonable (tras varias batallas) y contemplaba una Autoridad de Protección de Datos autónoma y un régimen de sanciones severo, modelo que siguen la mayoría de los países europeos, y eso contribuyó a que avanzara su tramitación en el Congreso “a marchas forzadas” y con entusiasmo.

Pero no contábamos con la desmedida ambición del Consejo para la Transparencia quien aspira, más allá de cualquier otra consideración, a tener todas las facultades y recursos que proporciona el hacerse cargo de labor inversa a la transparencia, como es la protección de datos, por lo que a pesar de que sus pretensiones fueron derrotadas durante el Gobierno de Bachelet, apenas asumió el Presidente Piñera se presentó en el Palacio de la Moneda para, a puertas cerradas, convencerlo de cambiar el texto del proyecto de ley a su favor; ahora el proyecto dice que la autoridad de protección de datos será el Consejo para la Transparencia, a pesar de la oposición de la ya muy agotada Sociedad Civil, de la generalidad de los expertos y el hastío de los organismos internacionales con Chile (le mentimos a Europa todos los años, diciéndoles que prontamente tendremos una ley que cumplirá con los estándares internacionales).

Es anecdótico que una de las estrategias del Consejo para posicionarse en el tema es salir a hablar a la prensa de cualquier asunto que esté en las noticias del día y que les suene remotamente a protección de datos: fútbol, juegos de mesa, medidores inteligentes, reconocimiento facial, muñecas parlantes y lo que haga falta. De hecho, en una asociación de derechos digitales tienen un diario mural que lleva por título «Hoy, Marcelo Drago Opina sobre…», donde van clavando las apariciones del presidente del Consejo.

Pero como les decía, al que convencieron fue al Presidente de la República, y no a los parlamentarios, lo que tiene como consecuencia que, “gracias” a la agresiva intervención del Consejo para la Transparencia para obtener un proyecto de ley a su favor, la tramitación del mismo prácticamente se ha detenido, pues hay escaso ánimo de darle al Consejo para la Transparencia una atribuciones que casi nadie cree que le correspondan, ni que sea bueno para el país que ellos las tengan.

A lo anterior se suma que existe cierto consenso en que el encargado de llevar adelante el proyecto de ley por el Ministerio de Hacienda (ignoro de quién se trata) no tiene las competencias técnicas necesarias, y chapotea entre la ignorancia y la indecisión, por lo que tampoco acerca la iniciativa a puerto. Personalmente no creo que se trate de un problema del asesor en cuestión a quién, reitero, no conozco ni pretendo desacreditar, sino que el problema es que el «derecho a la protección de datos personales» es un tema de derechos fundamentales, y quienes debían hacerse cargo eran los expertos en derechos de las personas del Ministerio de Justicia, y no la entidad responsable de que el país tenga flujo de caja.

 

[ACTUALIZACIÓN: En abril de 2019 se ha reactivado la discusión del proyecto, hablando los incumbentes de «una ventana de oportunidad» para avanzar y de un acuerdo del 80% en el contenido del texto de la futura ley, logrado a través del trabajo de los asesores parlamentarios y de Gobierno.]

 

Artículo 19 CPR.- La Constitución asegura a todas las personas: (…) El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley;
Boletín 11144-07 del proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.
Ley Nº 19.628 de 1999, sobre protección de la vida privada (vigente).

 

Carlos Reusser

Abogado, Univ. de Chile. Magíster en Derecho Constitucional por la Pontificia Univ. Católica de Chile y Máster en Informática y Derecho por la Univ. Complutense de Madrid. Docente universitario. Consejero del Instituto Chileno de Derecho y Tecnologías.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *