En el mundo superconectado el cada vez mayor acceso a las tecnologías ofrece oportunidades nunca antes vistas para nuestro desarrollo, más acceso a la información y conocimiento, acceso a más servicios, objetos conectados a internet que facilitan nuestro día a día, las posibilidades de trabajar desde distintos lugares, lo que nos ofrece mejor calidad de vida, pero a su vez trae enormes desafíos por las capacidades de acceso a nuestra información personal que generan todas estas acciones, lo que a la larga puede amenazar nuestras libertades. Así podríamos afirmar que los beneficios de esta era son proporcionales a los riesgos sobre nuestra vida privada y, más allá aún, sobre la configuración de nuestros derechos fundamentales en el ciberespacio.
Nuestras acciones en el mundo conectado dejan una huella; un dato que se ha transformado en el motor de la nueva economía, en una valiosa mercancía que forma parte del modelo de negocios de muchas industrias. Esta tensión entre la afectación de derechos de las personas versus el uso intensivo de sus datos ha dado origen a debates legales y éticos, sobre los límites del uso de la información que generamos -nuestros datos- y las formas en que podemos incentivar su uso, generar avances tecnológicos y proteger los derechos personales. Algunos hablan de la ética de los datos ante el retraso de las leyes en regular las condiciones adecuadas para la utilización de datos bajo un entorno respetuoso de los derechos de las personas. En Chile tenemos una regulación del tratamiento de datos desde hace 24 años.
La Ley N°19.628 sobre Protección a la Vida Privada en su tiempo llenó un vacío en la materia permitiendo el funcionamiento de ciertas industrias vinculadas al uso de datos crediticios, sin embargo, este no es su único ámbito de aplicación. La ley parte de la premisa de la libertad de tratamiento ajustado a ciertas reglas mínimas, aplicables tanto al sector privado como al público, consagró un vocabulario común, fijó mecanismos de acceso a datos y creó un procedimiento de reclamo en tribunales donde el titular tiene la carga de la prueba. Es decir, es la persona la que tiene que comprobar que sus datos han sido “mal tratados” y no el responsable probar su ajuste a la legalidad. Por eso y otras razones particularmente la falta de supervisión, su uso protector ha sido prácticamente nulo. Es una normativa que nació sin un norte y sin mecanismos que dieran real control a las personas sobre sus datos. Intentos de mejorar esta situación y de adaptar la ley a los estándares internacionales han existido desde el año 2008 todos sin éxito.
El año 2017 se presenta en el Congreso una reforma a la ley de datos, boletines 11092-07 y 11144-07 refundidos, cuyos textos se basan en el Reglamento Europeo de Protección de Datos y en los principios promovidos por la OECD, organización de la que Chile forma parte desde 2010, y con la cual contrajo compromisos internacionales para mejorar el estándar de legislación de privacidad. Después de la consagración constitucional de este derecho el año 2018, el proyecto de ley comienza una activa tramitación deteniéndose el 2019 hasta prácticamente el 2022, por las convulsiones sociales y sanitarias por todos conocidas. Hoy su aprobación es inminente lo que ha llevado al mundo vinculado a las tecnologías, sea público y privado, a focalizar su atención en él.
¿De qué trata esta iniciativa?
Primero señalar que esta nueva ley representa un cambio de paradigma, los datos son de las personas y no de las empresas o del Estado. Estas organizaciones evidentemente podrán seguir utilizando los datos, pero deberán implementar sistemas de gestión y protección que aborden su ciclo de vida total. Deberán identificar si el dato que tienen es personal o puede llegar a serlo, por qué lo tienen, dónde lo tienen, quién accede a él, para qué se usa, cómo se resguarda, si se transfiere o se comparte, entre muchas otras cosas.
En segundo lugar, obligará a los responsables a instalar sistemas para el ejercicio de derechos de las personas, bajo la premisa que el tratamiento de datos debe ser controlado por éstas. Las personas tendrán derecho a saber qué datos se manejan de ellas, a rectificar, suprimir y oponerse a su tratamiento. Por cierto, no a todo evento sino cuando el tratamiento no se justifique, no sea necesario o no esté basado en la ley o el contrato.También se consagran dos nuevos derechos, el derecho a la oposición de las decisiones automatizadas, es decir, se garantiza que el procesamiento automatizado que decida aspectos significativos de la vida de las personas sea justo y transparente; y el derecho a la portabilidad, que en simple significa que las personas tendrán derecho a movilizar sus datos entre responsables, exigiendo mecanismos de interoperabilidad.
El proyecto tiene varias novedades, la regulación de categorías especiales de datos personales, la privacidad por diseño que obligará a concebir los sistemas de tratamiento de datos con la protección de datos embebida, los mecanismos de transparencia, los modelos de cumplimiento, la regulación de la seguridad de datos con notificación de brechas, la regulación de las transferencias internacionales, entre las más importantes. El proyecto de ley no debería sorprender debido a que nuestro país ya cuenta con varios años rezagado en mecanismos de protección y exigencias que efectivamente funcionan en varias partes del mundo, no solo en Europa si no también en la región.
Los cambios más trascendentales son un robusto catálogo de infracciones y sanciones y la creación de la Agencia de Protección de Datos, un ente especializado que fiscalizará, resolverá y sancionará por la vía administrativa los incumplimientos de la ley, siguiendo la tendencia de los países desarrollados que tienen las autoridades más fuertes en la materia como o son España y Francia. en definitiva, esta iniciativa aclara las reglas para los actores que tratan datos y “empareja la cancha” entre personas y organizaciones.
Esperamos que el Ejecutivo mantenga el impulso a este proyecto en medio de la vorágine legislativa, y durante este año podamos contar con esta columna vertebral que es fundamental para que proyectos de uso de datos aborden la protección de datos desde su inicio, para estrategias de ciberseguridad centradas en las personas y para la defensa de nuestros derechos en el espacio digital.
Publicado en Revista TrendTIC