Andrés López Vergara, En Estrado.
Se transformó en algo cotidiano. “Me da su RUT por favor”, repiten cientos de veces al día los vendedores en las tiendas comerciales a lo largo del país. Una entrega de información personal que pocas veces se recalca que es voluntaria, mientras que en otras ocasiones derechamente se condiciona en la compra.
El tema del tratamiento de la información personal volvió a estar en el foco, luego de que el ministro de Hacienda, Ignacio Briones, solicitara los números de cédula de identidad de las personas que retiraron el 10% de los fondos de su AFP.
Una serie de recomendaciones, dadas a conocer a través de un comunicado, para controlar de mejor manera la comunicación y el manejo los datos personales hizo la presidenta del Consejo para la Transparencia (CPLT), Gloria de la Fuente, quien comentó que la antigüedad de la legislación actual –de 1999- deja bastante desprotegidos a los ciudadanos y ciudadanas al presentar una serie de vacíos y falencias.
Sobre las permanentes solicitudes que reciben las personas para dar su RUT, ya sea en contextos comerciales –presenciales o digitales- De la Fuente indicó que “nadie puede condicionar una compra a la entrega del RUT y tampoco nadie está obligado a entregar su Rol Único Nacional a una empresa o institución comercial. Si lo entrego siempre debe ser de manera voluntaria”, agregando que cualquier tratamiento de información personal requiere de una autorización legal o consentimiento expreso del titular de los datos y para los fines expuestos en los términos y condiciones de uso o políticas de privacidad establecidas para el tratamiento de esa información.
Explicó que muchas veces las personas se sienten forzadas a entregar su número de identificación, condicionados por una oferta o por cláusulas abusivas en las que se consigna la autorización del consumidor para el proveedor de un bien o servicio para tratar sus datos personales que se aleje de la finalidad del contrato. Desde el CPLT apuntaron que el marco regulatorio en Chile no se hace cargo de los cambios tecnológicos que se han sucedido en las últimas décadas, por lo que existe cierto nivel de exposición para los usuarios.
A través de un comunicado señalaron que la normativa vigente sobre protección de datos personales no contempla mecanismos de reclamo o sanción especiales. “En la práctica el procedimiento para poder reclamar es importante”, explicó la titular del Consejo. Pero en el caso de Chile “cuando una persona siente o cree que ha sido vulnerada en su derecho (al resguardo de sus datos personales) hoy no hay posibilidad de generar un reclamo efectivo en un órgano que garantice el cumplimiento de la normativa de manera rápida y hay que seguir el camino de Tribunales”, apuntó la presidenta del CPLT.
La titular del Consejo comentó que con la regulación vigente es importante evaluar si el dato personal que se pide para prestar un servicio o hacer una compra, por ejemplo, es proporcional al fin que se busca, y que la finalidad del tratamiento de los datos sea aquella que se define cuando se solicita el consentimiento del titular de la información, y que esa autorización es sólo para ese objetivo y no puede usarse con otra finalidad.
“Acorde a la ley vigente es muy importante no sólo el por qué me piden el dato –debe ser claro con respecto al objetivo que busca quien lo solicita y proporcional a ese fin-, y para qué, dado que sólo pueden usar esa información para la finalidad que declaran y no con otros objetivos que se definan después”, comentó la titular de Transparencia.
“Por ello es que continuamente el Consejo insiste en que los usuarios lean los términos o condiciones de uso al hacer una compra o descargar una aplicación, porque estoy consintiendo el tratamiento de mis datos, muchas veces bajo conceptos muy generales”, acotó de La Fuente. Sin embargo, agregó que lo fundamental es que se actualice la norma que permita contar con una autoridad pública de control.
“Los países deben tener legislaciones adecuadas en materia de protección de datos personales y nuestra normativa ha demostrado ser deficiente para poder perseguir cuando se producen situaciones de abuso. Como Consejo podemos fiscalizar a algunos organismos del Estado, pero no podemos sancionar, por ejemplo. Por ello hemos dado la pelea por avanzar en la tramitación del proyecto de ley que moderniza la normativa y nos permita proteger adecuadamente a los datos personales de los ciudadanos y ciudadanas”, manifestó.
Recomendaciones
¿Por qué tengo que cuidar la entrega de mi RUT u otro dato personal?
La advertencia de controlar a quién damos nuestro RUT se sustenta en que permite inferir otros datos personales o sensibles. Cruzar este número identificador con información de otras fuentes o bases de datos, permite determinar por ejemplo mi domicilio, ingresos, situación socioeconómica, patrones de consumo, es decir, qué productos o servicios compro e incluso mis hábitos personales. Esto es muy importante, porque mi estado de salud -si entrego mi RUT en una farmacia asociado a la compra de un medicamento-, o mis compras del supermercado –que permiten establecer hábitos de alimentación, por ejemplo- son datos sensibles y están bajo mayores niveles de protección acorde a la ley.
¿De qué me sirve no entregar datos personales si ya lo tienen instituciones del Estado o empresas?
En un escenario de masiva circulación de datos y de la llamada “datificación”, la negativa permanente a que accedan a información personal es poco practicable. La idea, señalan desde el Consejo para la Transparencia, es que la entrega de datos personales se haga bajo reglas lo más claras posibles, de manera de que el titular de esa información personal pueda tener control sobre ésta. Dado que la regulación en materia de resguardo de datos personales muestra falencias por su antigüedad –es de 1999- y no se hacer cargo de diversos cambios tecnológicos, el llamado a las empresas es a que sean leales con sus clientes y les permitan el acceso a información clara sobre los términos y condiciones de uso y políticas de tratamiento de datos que harán una vez que recopilan la información de los clientes o usuarios de un servicio.
¿Puedo negarme a entregar el RUT en un local comercial?
La entrega del RUT es voluntaria y es posible negarse ante una solicitud si se identifican cláusulas abusivas de tratamientos cuando los términos y condiciones de tratamiento de datos constituyen cláusulas de adhesión y el consumidor se ve “forzado” a aceptar dado que se condiciona la contratación de un bien o servicio. Esto constituye una violación a la Ley de Protección de los Derechos de los Consumidores y en ese caso se sugiere denunciar la situación al Servicio Nacional del Consumidor (SERNAC). En el caso de que un comercio limite el acceso a números de atención sólo a personas que den su número de identificación, aunque sea sólo para consultar sobre un producto, esa recopilación del dato parece excesiva. Si se trata, en cambio de una atención de salud, pedir el RUT puede no percibirse como desproporcionado si previo a la atención necesitan identificar al usuario del servicio y asociarlo a su plan y coberturas de salud.
¿Qué datos personales entrego y cuándo?
A diario son numerosos los datos personales que uno entrega en distintos contextos. Además del número del Rol Único Nacional (RUN), que es la forma correcta para referirse al número de identificación que llamamos informalmente RUT, es bastante común que se solicite el correo electrónico, el domicilio o un teléfono de contacto. En contextos de pandemia por Covid-19, se ha masificado la medición de la temperatura corporal, que es un dato personal sensible dado que corresponde a información de salud. Desde el Consejo para la Transparencia explican que es importante aprender a aplicar un principio reconocido por la ley de protección de datos personales, el de proporcionalidad, para decidir cuándo entregar información personal y cuándo optar por no hacerlo. En un contexto de consumo de bienes y servicios, la entrega y tratamiento de datos personales por ejemplo, puede depender de las condiciones de la compra y venta. Si quiero adquirir un par de zapatos o una camisa on line tendré que dar el domicilio para fines de despacho y me podrían pedir mi teléfono de contacto para facilitar la entrega, fines que podrían no parecer excesivos con respecto al objetivo que se busca.
¿Qué hacer si se vulnera mi derecho a que cuiden mis datos personales?
El uso de datos personales regulado por la Ley de Protección de Datos Personales dispone como regla general que su tratamiento sólo puede efectuarse cuando hay autorización legal o consentimiento expreso del titular. En el caso de un procedimiento judicial, el tribunal competente para conocer sobre el asunto es el juez de letras en lo civil del domicilio del responsable del tratamiento de datos. Se deben señalar la infracción cometida y los hechos que la configuran, y deberán acompañarse medios de prueba que permitan acreditarla. Una vez escuchadas las partes y dictada sentencia, se podrá apelar ante la Corte de Apelaciones. Ahora, en contextos de consumo, es decir, en la compra o venta de bienes y servicios, la eventual entrega y posterior tratamiento de datos personales está regida por la Ley Protección de los Derechos de los Consumidores. Ante una sospecha de vulneración, la persona puede ingresar un reclamo ante el Servicio Nacional del Consumidor (SERNAC).