Emilio Oñate Vera. Decano de la Facultad de Derecho y Humanidades, Universidad Central de Chile (UCEN).
El Derecho a la Protección de Datos
Si bien Chile fue pionero en Latinoamérica en dictar una ley sobre protección de datos, con la entrada en vigor de la Ley N° 19.628 sobre protección a la vida privada[1] resulta evidente que esta ley ha quedado desactualizada, no solo por la irrupción de las redes sociales y el desarrollo de las Tecnologías de la Información y Comunicación (TIC), que han permitido que tanto entidades públicas como privadas almacenen una infinidad de datos de las personas, los que además son tratados sin que existan mecanismos de tutela o garantía adecuados para sus titulares. Si no también, porque a diferencia de la mayoría de los países de la región, recién en el año 2018 se reconoce como derecho fundamental la protección de datos personales, reconocimiento que significó dotar a su titular de la acción de protección, pero que hasta la fecha no ha sido ejercido, no habiéndose presentado recurso de protección alguno invocando la afectación de este, fundamentalmente porque el recurso de protección solo procede frente a una actuación arbitraria o ilegal que perturbe, amenace o transgreda un derecho fundamental, y, en el caso de la protección de datos puede que la vulneración se produzca por el tratamiento de la información que se está haciendo sin el consentimiento de su titular o porque el titular de los datos quiere acceder a su propia información. En definitiva, la acción de protección no alcanza a cubrir todas las hipótesis de afectación del derecho a la protección de datos.
El texto que se plasmó en el N° 4 del artículo 19 fue el siguiente: “El respeto y protección a la vida privada y a la honra de la persona y su familia y asimismo la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley”[2].
Esta redacción constitucional, a continuación de la expresión “asimismo”, le reconoce a la protección de datos, tal como lo había hecho la doctrina y los ordenamientos jurídicos comparados, independencia y autonomía, dotándolo de un contenido y alcance propios. Reconociéndolo no solo en su dimensión negativa, para que no se utilicen esos datos sin el consentimiento de su titular; sino que, en su dimensión positiva, esto es el derecho a disponer de los mismos, consagrando así la libertad de los datos o la autodeterminación informativa.
El Hábeas data
En Chile, el ejercicio de la acción de Hábeas data está regulado en el artículo 16 de la Ley 19.628, pudiendo revestir dos modalidades: una preventiva, cuando tenga por objeto permitir al titular de los datos personales ser informado sobre la existencia de bancos o registros de datos que contengan información que le concierne y si así fuese, acceder a los mismos; y una correctiva, cuando a través de él se exige que determinados datos personales sean corregidos, bloqueados, cancelados, pues el tratamiento que se hace de ellos es indebido, en el sentido que vulnera o conculca sus derechos. A pesar de esta regulación legal, en la práctica el ejercicio de la misma es casi inexistente, principalmente por déficit procedimentales en su configuración como porque las sanciones a las que están expuestos los responsables de los ficheros o bases de datos son irrisorias, inhibiendo a los titulares de los datos de su ejercicio.
El Hábeas data en las Constituciones Latinoamericanas
Autores como Villegas Carrasquilla, plantean un tercer modelo en materia de protección de datos, para diferenciarlo del modelo europeo[3] y estadounidense[4]: el latinoamericano, que se sustentaría en el derecho fundamental de Hábeas data, que además de ser un derecho fundamental, es una acción de protección de la que gozan los titulares de los datos, frente al tratamiento indebido o ilegal de los mismos, alojados en archivos de entidades tanto públicas como privadas[5]. Latinoamérica se diferencia del modelo europeo, fundamentalmente porque no existe una norma, tratado o instrumento multilateral (aparte de las regulaciones de soft law, como la de la Red Iberoamericana de Protección de Datos) de carácter general que resguarde la protección de datos de carácter personal.
A diferencia de los países europeos, que fijaron como mecanismo de regulación y promoción para la protección de datos personales el establecimiento de una autoridad de control en la materia, en Latinoamérica se ha utilizado un instrumento jurisdiccional, que precisamente es el Hábeas data y que está presente en las constituciones de Argentina (art. 43), Bolivia (art. 130), Brasil (art. 5° N°71), Ecuador (art. 92), Honduras (art. 182 N°2), Paraguay (art. 135), Perú (art. 200 N°3) o Republica Dominicana (art.70) por mencionar algunas.
De los expuesto, es posible concluir que el derecho a la protección de datos personales puede ser reconfigurado tomando en cuenta el momento constitucional por el que atraviesa el país, no solo para mejorar su conceptualización a través de la expresión de autodeterminación informativa, si no para consagrar con rango constitucional su contenido, reconociendo los derechos de acceso, rectificación, cancelación[6] y oposición (ARCO), así como los principios de licitud y consentimiento. Si no que además regulando en la Carta Política el Hábeas data, como una acción para su efectiva tutela.
Qué se propone:
- Consagrar de manera expresa en el catálogo de derechos fundamentales la autodeterminación informativa y además hacer referencia a su contenido estableciendo los denominados derechos ARCO.
- Establecer que la regulación del derecho de protección de datos solo podrá hacerse por ley, lo que es coincidente con lo establecido en el N° 26 del art.19, o en su defecto por consentimiento expreso de su titular, impidiendo con ello el tratamiento de los datos que se alojan en fuentes de acceso público. Esto supone consagrar en el nuevo texto constitucional los principios de licitud y consentimiento de la autodeterminación informativa.
- Disponer que a través de la respectiva ley se estructurará una entidad o autoridad de control encargada no solo de proteger y fiscalizar tanto a instituciones públicas como privadas en el cumplimiento efectivo del respeto a la protección de datos personales como derecho fundamental sino además se encargue de su promoción y del desarrollo de acciones preventivas para su adecuado resguardo.
- Incorporar en la nueva Carta Política el Hábeas data como una acción que permita tutelar el derecho a la Autodeterminación informativa.
Referencias
[1] Como se puede apreciar, el título de la ley limita la protección de datos a la vida privada y no reconoce, el legislador de la época, seguramente de manera involuntaria, la autonomía e independencia de este derecho.
[2] El 16 de junio de 2018 se publicó en el Diario Oficial la ley 21.096, que consagra la protección de datos personales como garantía constitucional, en el numeral 4° del artículo 19 de la Constitución chilena.
[3] El sistema europeo tiene un alcance más general y uniforme, que ha sido reforzado por el Reglamento General de Protección de Datos Personales RGPD 2016/679 de la UE, donde se tutela y reconoce el derecho a la protección de datos por parte del Estado, el cual interviene activamente en su promoción y protección.
[4] El enfoque norteamericano se sustenta fundamentalmente en la noción de libertad como contrapartida a la intervención estatal en la vida de las personas, promoviendo principalmente la autorregulación, por lo que la afectación de la protección de datos personales es resuelta por los tribunales de justicia.
[5] Villegas (2012), p. 130.
[6] Sobre el derecho de cancelación supresión, en la experiencia comparada, fundamentalmente europea, se reconfigura un nuevo derecho derivado de la Autodeterminación informativa, el derecho al olvido, el cual no tiene reconocimiento expreso en el ordenamiento jurídico chileno, pero que es posible de conceptualizar como, el derecho de las personas físicas a hacer que se borre la información sobre ellas después de un periodo de tiempo. Si bien la Ley 19.628 no lo señala expresamente, en su artículo 21 dispone una figura que podría ser asimilable al señalar: “Los organismos públicos que sometan a tratamiento datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias, no podrán comunicarlos una vez prescrita la acción penal o administrativa, o cumplida o prescrita la sanción o la pena”.