El Mercurio - Legal
Versión para imprimir El Mercurio.com
.
Legal | Opinión | Opinión | Artículo 2 de 2
Hellen Pacheco
Datos personales y delitos informáticos: medios judiciales de protección y resarcimiento
"...En sede constitucional se debe acreditar la existencia de un derecho indubitado lo que puede ser difícil inc contexto informático, pero en sede infraccional, una vez acreditado ser cliente de un banco, la carga de la prueba es del oferente del servicio que debe acreditar su seguridad o que fue el cliente quien fue negligente en su consumo.
Viernes, 28 de febrero de 2020 a las 10:40 | Actualizado 9:40
Hellen Pacheco
Recién el año pasado a la Constitución Política de la República se le agregó por Ley Nº 21.096 la protección de los datos personales al Nº 4 del artículo 19, sin embargo, el ejercicio de ese derecho queda subordinado a lo establecido en la Ley Nº 19.628, sobre protección de datos de carácter personal, existiendo un proyecto en actual tramitación.

Usualmente, los bancos frente a un reclamo por parte de un consumidor o cliente afectado por uso no autorizado de tarjetas bancarias, que en sus modalidades más frecuentes implican acceso a datos personales, tienden a defenderse atribuyéndole responsabilidad al cliente por uso negligente de tarjetas de crédito al haber permitido que sea una tercero quien acceda a sus datos y los use en compras y transferencias. Sin embargo, las propias características de los delitos informáticos permiten reflexionar que lo más probable es que podrían ser los oferentes del sistema financiero los que no otorgan un servicio seguro de acuerdo al artículo 3 de la Ley Nº 19.496, lo que nos hace razonar nuevamente sobre la asimetría en la información con que cuentan los consumidores en materia de ciberseguridad, ya que debido a lo tecnológico del contexto, se requiere de conocimientos especializados y puede incluso ser parte del secreto empresarial de un banco.

No cabe duda que los consumidores están obligados a efectuar un uso seguro de sus tarjetas bancarias, lo que implica tener una diligencia mínima en no dejarse engañar frente a los intentos de pesca u olfateo de claves (phishing) provenientes de mensajes de texto, correos electrónicos, llamados telefónicos o derechamente páginas falsas, evitar realizar transacciones telefónicas, es más, no atender llamados telefónicos donde deba entregarse información comercial, por ejemplo.

Pero, ¿cuál sería la extensión de la protección de datos personales a que está obligada una entidad bancaria?

Respecto de la información sobre los movimientos de las cuentas no hay duda de que conforme a lo dispuesto en los artículos 154 y siguientes de la Ley General de Bancos e Instituciones Financieras DFL 3 de Hacienda, las operaciones son confidenciales y los datos, al menos, reservados, pero ¿cómo es posible que casi a diario recibamos una llamada ofreciendo un crédito, avance o cuentas de quien no es nuestro banco? Ello solo es posible con el acceso a nuestros datos por parte de empresas que los tienen, tal vez no solo los bancos. Así, el solo hecho de recibir llamadas o correos electrónicos de quien no hemos llamado, contactado, ni le hemos solicitado servicios, implica que nuestros datos han sido conocidos, lo que haría responsable a quien permitió aquello.

Las sentencias de los tribunales de justicia cada vez han ido otorgando una visión más clara de esta responsabilidad del oferente bancario por la falta de seguridad de los servicios ofrecidos en los siguientes casos:

Uso de claves de tarjetas de créditos por terceros sin autorización de su titular es lo más frecuente y hasta ahora tiene desafíos probatorios, ya que corresponde al cliente acreditar que su tarjeta no ha salido de su esfera de resguardo y al banco que el anterior fue negligente. Si se trata de compras cargadas que no ha realizado y provienen del exterior, pudiera resultar fácil acreditar que no corresponden bastando un oficio a la Policía de Migraciones para demostrar no haber salido del país o el pasaporte para demostrar estar en otro distinto. A nivel nacional, son útiles los registros de asistencia al trabajo o a cualquier evento, con presencia física del titular, en un lugar distinto en el día de la compra o cargo a la tarjeta.

La clonación de tarjetas: delito que puede cometerse por medios mecánicos y por medios exclusivamente informáticos. Aquella por medios mecánicos se produce con dispositivos denominados skiners instalados en los cajeros automáticos o lectores de tarjetas, los que permiten copiarlas cuando son usadas. En este caso, la responsabilidad recae en quien ofrece el servicio de tarjetas y de cajero; sin embargo, hoy existe más vigilancia sobre los cajeros y tecnología aplicada en su diseño, disminuyendo estos eventos.

La clonación por medios informáticos consistiría en una copia masiva de las claves y datos de las tarjetas a través de una intervención del servidor o hackeo, siendo más preocupante ya que los bancos no son proclives a reconocer este tipo de acción, pues implicaría que sus niveles de seguridad informática serían deficientes, por lo que los bancos han devuelto los dineros de manera más bien silenciosa.

Con respecto al phishing la situación es diferente, ya que requiere que el titular de la tarjeta haya entregado las claves, pero ¿cómo pudieron llegar hasta esa persona, con su mail y asociarla a un determinado banco? Esto, ya que el modus operandi del phishing comúnmente se produce mediante el recibo de un mail con un link que conduce a una página falsa, por lo que de nuevo se vuelve al cuestionamiento en el tratamiento de datos personales.

Las vías judiciales para reclamar de esta falta de seguridad en el servicio o hacer efectiva la responsabilidad civil que se pudiera haber generado han sido dos: la infraccional y la constitucional.

La vía penal, si bien ha sido usada, tiene un objetivo distinto, lograr el castigo del o los autores del delito desde la perspectiva del Estado, pero no siempre permite a la víctima lograr resarcirse de los perjuicios causados.

La via infraccional se deduce ante los juzgados de policía local haciendo efectiva la responsabilidad de los artículos 3, 12 y 23 de la Ley 19.947, siendo el fundamento de la acción deducida el que la institución financiera no otorgó un servicio seguro al consumidor.

La vía constitucional, más breve, se ampara en las garantías de los números 4 y 24 del artículo 19 de la Constitución Política de la República, con resultados que van a depender del tipo de ilícito cometido, si es por un uso no autorizado de tarjetas de crédito, por phishing o clonación de tarjetas. Aquí debe recordarse que no corresponde al tribunal de alzada determinar el monto de los perjuicios que deben ser indemnizados al titular de las tarjetas bancarias, pero sí evitar la afectación de la propiedad sobre los fondos depositados.

Al optar por una u otra conviene tener presente, aparte del objeto de ser resarcido por los perjuicios patrimoniales o morales sufridos, las pruebas con que se cuente. En sede constitucional se debe acreditar la existencia de un derecho indubitado, lo que puede ser difícil por el contexto informático; pero en sede infraccional, una vez acreditado ser cliente de un banco, la carga de la prueba es del oferente del servicio que debe acreditar su seguridad o que fue el cliente quien fue negligente en su consumo.

Habría una tercera vía civil, mucho menos usada, la de la ley especial 19.628 y permite conocer a quien fueron transferidos los datos de una persona y obtener el resarcimiento de los perjuicios ocasionados por esa transferencia. Tiene la gran ventaja de que la prueba se aprecia en conciencia por el juez, lo que podría alivianar la carga del titular de los datos.

* Hellen Pacheco Cornejo es académica del Instituto de Investigación en Derecho de la Universidad Autónoma de Chile.
.
El Mercurio
Términos y condiciones de la Información © 2002 El Mercurio Online