Luego de haberse cumplido un año de la publicación de la reforma pro-consumidor (Ley Nº 21.398), resulta razonable plantearnos ciertas interrogantes en torno al artículo 15 bis que, como sabemos, hizo extensibles normas medulares de la Ley Nº 19.496 tratándose de “
los datos personales de los consumidores en el marco de sus relaciones de consumo”.
Al respecto es relevante comenzar señalando que la norma no proviene del mensaje original, sino que surge de una indicación parlamentaria en la Cámara cuyo sentido fue mutando hasta consolidarse en la redacción finalmente adoptada en la Comisión Mixta ante una propuesta del Ejecutivo. Ello no es baladí, pues en el Senado la discusión estuvo principalmente marcada por la ponderación de dos aspectos. Por una parte, la razonable preocupación del Sernac ante la vacilante jurisprudencia en torno a su legitimación activa para representar el interés colectivo o difuso de los consumidores y, por otra parte, la excesiva dilación de la reforma sectorial marco (boletín 11.144-07) que deriva en la inexistencia de una autoridad con
enforcement en datos personales.
Para subsanar la situación el Sernac puso especial énfasis en la inclusión del artículo 2 bis letra b) y 58 bis, mas no del artículo 58 debido a que las implicancias institucionales de la enmienda con la nueva agencia de datos aconsejaban estudiarlas conjuntamente. Sin embargo, el artículo 58 acabaría siendo despachado incluyendo todas y cada una de sus funciones y potestades —por ejemplo, en materia de fiscalización, monitoreo de mercado, generación de estudios, entre otras—. Con todo, dada la sideral diferencia entre lo pretendido y lo resuelto, así como la vaguedad de los términos empleados en el artículo 15 bis, la academia mantuvo sus suspicacias frente al alcance interpretativo que el organismo le otorgaría a la norma
1.
Hoy, a la luz del comportamiento del Sernac luego de transcurrido un año de la vigencia del artículo 15 bis, es notorio que ha primado una interpretación extensiva, considerándose a sí mismos habilitados para ejercer todo el catálogo de facultades que enumera el artículo 58 en el ámbito de la protección de datos de los consumidores. No obstante, tal interpretación resulta extremadamente delicada al recordar el cambio de paradigma producido con el reconocimiento de la protección de datos personales como una garantía fundamental, pues desde el año 2018 pasa a ser mandatorio que todas aquellas normas que pretendan regular o complementar su contenido deban ser de rango legal, en virtud de lo dispuesto en los artículos 19 Nº 26 y 63 Nº 2 de la Constitución Política
2. Esta reserva general es además reforzada con una de carácter especial impuesta expresamente en el artículo 19 Nº 4 al exigir que las formas y condiciones aplicables para el “
tratamiento” y “
protección” de los datos personales sean determinadas por ley.
Por lo tanto, en base a la reserva general y especial no cabe duda de que las fuentes infralegales quedan excluidas para estos efectos y es justamente aquello lo que sustenta la tramitación de una reforma transversal desde el año 2017, compuesta de un mensaje y moción refundidos. Por ello, dado que la reforma hoy se encuentra en segundo trámite constitucional y que, por ende, la ley vigente continúa siendo la Nº 19.628, resulta al menos cuestionable que el Sernac, ejerciendo sus atribuciones interpretativas, elabore circulares para la regulación sustantiva de la inteligencia artificial o
cookies, creando un supra estándar al margen de la ley, vulnerando no solo la reserva legal, sino que afectando gravemente la certeza jurídica.
Si los servicios públicos pueden crear normas y estándares por vía reglamentaria resultaría legítimo cuestionarse la pertinencia y el rol de los legisladores que actualmente discuten nuevas normas en materia de protección de datos. La ley es y debe ser una generadora de conductas, pero, a su vez, un límite al poder funcionario, y no resulta adecuado usar la vía reglamentaria para saltarse la potestad del legislador.
Además, la naturaleza de la garantía fundamental incorporada con la Ley Nº 21.096 al numeral 4º del artículo 19 del texto constitucional lógicamente se desdibuja cuando son actos administrativos en directa contravención al principio de reserva legal los que la reducen a un mero acto de consumo. En efecto, la protección de datos personales existe para resguardar el control que toda persona posee respecto de la información que le concierne, lo cual a nivel comparado se denomina autodeterminación informativa. En palabras de Jijena, “
detrás de un dato personal, cualquiera sea su naturaleza, contenido, sensibilidad o relevancia, y tratado o procesado que sea —indebidamente y sin legitimación— en el sector privado o en el sector público, siempre habrá una persona natural afectada, y ello basta para que opere el derecho de la protección de datos personales con todo el rigor necesario”
3. Ello es de toda lógica, pues la constitucionalización autónoma y funcional de la protección de datos personales fue una conquista que recién se pudo obtener cuando existió consenso sobre las inconveniencias de deducir sus prerrogativas a partir de la interpretación extensiva de otras garantías, como el derecho de propiedad o la intimidad.
Junto a los argumentos de carácter constitucional existen otros vinculados a las tendencias y buenas prácticas de privacidad. En efecto, el Convenio 108+, las directrices de privacidad OCDE, el RGPD o la Carta de Derechos Fundamentales UE son enfáticos en establecer la importancia de que la legislación interna contemple una institucionalidad —independiente, profesional y autónoma—, así como procedimientos sancionatorios para garantizar la protección de la privacidad y las libertades en relación con los datos personales. Sin embargo, Chile se aparta del camino cuando la autoridad del consumidor se permite por la vía reglamentaria regular los derechos, obligaciones o deberes para los responsables de tratamiento de datos personales creando un estándar paralelo al legal. No es la autoridad del consumidor sino la ley la encargada de establecer los límites y restricciones de la protección de datos personales. Pensemos por un minuto que ocurriría si una nueva autoridad política del Sernac decidiera vía circular restringir los derechos ciudadanos en materia de protección de datos, estaríamos ante un escándalo público.
No hay duda en la academia de la necesidad de que Chile tenga cuanto antes un organismo profesional especializado e independiente, con facultades para velar, promover, fiscalizar y sancionar la protección de datos personales con competencias sobre el sector público y privado. Justamente en tal dirección van encaminadas las recientes indicaciones del gobierno. No obstante, los derechos sustantivos resultan afectados cuando la gobernanza es equívoca. Se requiere asumir la necesidad de contar con una autoridad que “
en virtud de potestades legales” ejerza el rol regulador, fiscalizador, sancionador e incluso interpretativo, que permita a los ciudadanos conocer criterios unívocos y no tener derechos de diversa intensidad en atención a los diferentes criterios de las distintas autoridades reguladoras.
Por ahora, es importante advertir la fragmentación institucional en la supervisión de la protección de datos, destacando las potestades que el CPLT y Contraloría tienen sobre el ámbito público, las cuales se suman a aquellas que el Sernac, CMF (Ley Fintech), TDLC, Superintendencias y la —futura— Agencia tienen sobre el sector privado también. Demasiadas instituciones para un tema que será gravitante para Chile en su transición productiva hacia la economía digital.
* Felipe Harboe Bascuñán y José Miguel Catepillán Friederichs se desempeñan en H&CO Abogados, oficina especializada en protección de datos personales y regulación digital.