1. De cara al Derecho Fundamental a la protección de datos personales, e intentando visualizar aplicaciones concretas, cabe preguntarse acerca de ¿qué tienen en común el Servicio de Registro Civil, Latam, las clínicas prestadoras de servicios de salud y los bancos que aperturan cuentas corrientes subcontratando empresas que operan con biometría y reconocimiento facial?. En esencia, (i) las cuatro son responsables de bases de datos, “del registro o banco de datos”, o de tratamiento de datos personales, que la ley 19.628 define como la persona natural o jurídica privada o el organismo público a quien compete las decisiones relacionadas con el tratamiento de los datos de carácter personal; (ii) las cuatro obtienen una autorización de tratamiento[i], de los titulares y propietarios de los datos personales o de la ley; y, (iii) las cuatro -sin realizar una cesión de datos- encargarán a un proveedor de servicios un tratamiento específico, que en Chile a esta fecha calza en el vínculo jurídico de lo que sería la relación contractual mandante/mandatario[ii]. ¿Y cuál sería la responsabilidad de los responsables en caso de afectación de los datos?.
2. Sólo un análisis muy parcial entendería que obtenida una autorización de tratamiento –amplísima, como se configura en Chile- el responsable tiene carta blanca para hacer cualquier cosa con la información nominativa, porque desde el año 2018 está en juego un Derecho Fundamental. Sólo un análisis no ajustado a derecho olvidaría que se deben respetar los principios de finalidad, confidencialidad, de seguridad, de diligencia e incluso “de proporcionalidad” (en el contexto del Derecho Constitucional); que el consentimiento expreso, escrito e informado tuvo que haber sido concreto, comprensible y completo; y, que en caso de afectación no desaparecerá con un encargo o mandato –en ningún momento- la obligación de ser diligente del responsable de cara a los titulares cuyos datos recopiló y luego compartió con un prestador de servicios que contrata.
Entonces, para volver a los ejemplos anteriores, (i) si el Registro Civil externaliza el tratamiento de los datos de los documentos públicos en los sistemas de una empresa extranjera no basta, de modo alguno, el que afirme que “la empresa ganadora de una licitación no va a administrar la base de datos” biométricos de los chilenos; (ii) si Latam ha externalizado en una empresa y una red denominadas SITA la realización de los tratamientos de datos de sus pasajeros, no puede a priori declarar eximirse de responsabilidad por el hackeo que afectó al servidor de la empresa en EEUU si no demuestra –como mínimo- suma diligencia en las condiciones exigidas para el tratamiento antes de compartirle los datos de los chilenos a una empresa extranjera; (iii) las clínicas de salud, que son las que prestan los servicios y a las cuales el titular le entrega sus datos personales con un fin muy específico, no pueden obligar –consentimiento no libre o una base jurídica no legítima- a que so pretexto de autenticarlas –en paralelo, con el hecho de que se capture una huella dactilar- se le confiera una autorización y se realice una cesión de datos biométricos a una tercera empresa extranjera, a la cual la mandataria/“encargada” local le ha vendido sus activos[iii]; y, (iv) los bancos que autentican on line y biométricamente la identidad de sus nuevos cuenta correntistas no pueden no restringir y dejar de controlar el posterior uso (o posible mal uso) que se haga por un tercero, prestador de servicios, de datos personales sensibles o, como los denomina el GDPR, “especialmente protegidos”.
3. Conceptualmente, entre un responsable y encargado no existirá una cesión de datos personales, a saber, una revelación de ellos a un tercero o destinatario distinto del titular y propietario de la información nominativa. Más temprano que tarde Chile también tendrá un estatuto específico sobre los “encargados” de tratamiento, prestadores de servicios respecto a los cuales el responsable opta por delegarles determinadas operaciones, por cierto, lo que en Europa se consagró en 1995 y que la ley chilena de 1999 pudo haber recogido. Requisito esencial: que los tratamientos se hagan por cuenta y riesgo y bajo las instrucciones expresas del responsable, lo que significa que mediando el encargo contractual los datos personales siempre se mantienen bajo la esfera de control del responsable[iv].
Para identificar al responsable se ha dicho que decide sobre la finalidad y los medios del tratamiento de forma exclusiva, autónoma e independiente; que tiene una relación directa (por ejemplo, un contrato) con los afectados; que actúa frente a estos en nombre propio; y que tiene obligaciones directas de conservación de los datos o que cumple una obligación legal al tratar los datos. En cuanto al encargado y diferenciando, se ha señalado que obedece las órdenes del responsable, aunque puede tomar decisiones operativas con cierta autonomía; que cuando interactúa con los afectados lo hace en nombre del responsable; que es un prestador de servicios; que sigue las instrucciones del responsable; y que también debe mantener un registro de actividades de tratamiento y determinar (de la mano de garantías suficientes) las medidas de seguridad aplicables a los tratamientos que realiza.
Lo esencial es entender que al tratarse de un tratamiento de datos realizado por delegación en la normativa europea se pensó en una ficción jurídica, en cuya virtud los datos personales, a pesar de ser tratados por un tercero, no dejan de estar bajo la esfera de control del responsable. En segundo lugar, que al responsable le cabe la necesidad de escoger y estudiar las condiciones de seguridad que ofrecen los encargados de tratamiento, de tal manera que sólo se han de elegir aquellos que puedan demostrar que cumplen con medidas técnicas y organizativas idóneas. En tercer lugar, como se establece expresamente, que el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable que ha solicitado la prestación de sus servicios. Y en cuarto lugar, atendido que sólo una de las partes tiene la calidad de responsable de tratamiento, no estaremos en el ámbito de una transmisión, cesión o comunicación de datos.
4. Un caso de estudio, para tensionar los conceptos. En el marco de los tratamientos en el Data Center de una corporación chilena, externalizado y ubicado en Canadá y por ejemplo en modalidad de cloud, se está primero frente a una transferencia o transmisión internacional de datos personales de sus clientes desde Chile a los sistemas o servidores administrados por la empresa Canadiense; ¿contenido, naturaleza y resguardos del contrato de encargo de tratamiento en esa plataforma?; ¿existencia de algún impedimento normativo –expreso o no- para que viajen los datos personales al entorno del servidor ubicado fuera de Chile, desde el cual además del almacenamiento se realizarán acciones de elaboración de perfiles?; ¿ideoneidad de las exigencias legales genéricas de autorización previa -en Chile- para el tratamiento/envío y su posterior almacenamiento, sobre todo de confidencialidad y de diligencia en materia de seguridad, que deben ser resueltas por el responsable del tratamiento que contrata, encarga y externaliza su almacenamiento y sus tratamientos?.
5. Hace unos meses la aerolínea Latam envió un comunicado a sus clientes, informando de “un ataque cibernético” (generador de una brecha de seguridad) a la empresa SITA, que manejaba por encargo y mediando contrato información sobre los socios del programa LATAM Pass, resultando afectados datos como nombre, apellido, numero de socio, de tarjeta de crédito o de débito y su categoría. Cabe reflexionar entonces sobre si hubo consentimiento válido de los consumidores para el tratamiento de sus datos personales por un tercero ubicado fuera de Chile y sobre la responsabilidad de la empresa LATAM.
La ley 19.628 establece normas sobre la protección y tratamiento de datos personales. En su artículo 4 señala que el tratamiento de datos solo puede efectuarse en virtud de la ley o el consentimiento expreso del titular, por lo cual, la habilitación o la base jurídica de legitimación para recoger estos datos es la autorización que presta el propio cliente en el marco de su adhesión a un club o programa de fidelización de Latam. Agrega el artículo 9 que los “los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido recolectados”, lo cual, la finalidad tenida en vista, no podría cuestionarse en el caso de la transferencia realizada desde Chile a la empresa SITA, porque todo se daba en el contexto de la administración de la data nominativa para la reserva de viajes y pasajes.
Empero, la configuración contractual del principio de finalidad era muy amplia, casi genérica, y eso no es acorde con los requisitos de la protección de datos y con el resguardo de un Derecho Fundamental consagrado en el artículo 19 N°4. En efecto, los términos y condiciones del programa LATAM Pass aluden a una recolección de datos para “los beneficios que el programa otorga a sus socios”, al disponer que por el simple hecho de completarse el formulario de inscripción, el postulante al programa o el socio acepta que LATAM Airlines disponga de los datos ingresados en el formulario en beneficio del programa…”. Pero agrega (una cuestión de hecho que califica unilateralmente) que también podrá ser en beneficio de terceros que cuenten con acuerdos comerciales asociados a LATAM Pass”. ¿Y si lo hacen con un fin diverso?; ¿los titulares, consumidores y clientes están aceptando cualquier tratamiento de datos?; ¿existe un límite?. Nuestra legislación deja claro –a esta fecha- que deben ser solo los necesarios para conseguir el fin específico y que justifico la recolección.
Para efectos de establecer responsabilidad de la empresa LATAM y SITA respecto a la protección y tratamiento de datos, debe considerarse la distinción entre responsables y encargados de datos, que efectúa expresamente el RGPD del año 2016 y a la que a esta fecha puede llegarse en Chile si tenemos presente la relación existente entre mandantes y mandatarios que tratan los datos personales por cuenta del responsable, a la espera de las modificaciones legales a la institucionalidad vigente en curso.
Si la ley 19.628 dispone que el responsable de los registros o bases con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños, ¿desaparece esta obligación por externalizar su tratamiento fuera de Chile y en una empresa extranjera, al punto de declarar -para deslindar responsabilidades- al informar de la brecha de seguridad, que los hechos ilícitos no ocurrieron en sus sistemas sino en los servidores de la empresa –si se quiere incluso “subcontratada” (lo que sería otra perspectiva jurídica actual de análisis)- o mandataria?.
Y si el proyecto modificatorio de la norma nacional en estudio establece ciertos parámetros que debe tener en consideración el responsable para implementar medidas de seguridad, entre ellos evaluar la «probabilidad de los riesgos y la gravedad de sus efectos en relación con el tipo de datos tratados»[v], en esta exigencia perfectamente cabe incluirse el tener que considerar el riesgo de la tarea encomendada al encargado de tratamiento, sin que el responsable pueda eximirse de la responsabilidad al no haberlo establecido con anterioridad y definido -para su encargado- medidas preventivas para evitar los posibles perjuicios en caso de una brecha de seguridad[vi].
¿Y qué pasa con las exigencias del artículo 5 de la ley 19.628, cuando señala que el responsable del registro o banco de datos personales podrá establecer un procedimiento automatizado de transmisión, siempre que se cautelen los derechos de los titulares y la transmisión guarde relación con las tareas y finalidades de los organismos participantes?; ¿cómo podría acreditarlo Latam si –por ejemplo- no hizo a priori exigencias concretas de diligencia y confidencialidad, como le exigen los artículos 11 y 23 de la ley 19.628?. (Santiago, 16 de octubre 2021)
[i] Es legalmente en Chile “cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”.
[ii] La legislación en estudio incorpora expresamente la categoría de encargados de tratamiento.
[iii] ¿Alguien ha intentado negarse a poner la huella dactilar al ir a una consulta médica?.
[iv] Entonces, «el responsable es quien decide sobre los usos y fines de esos datos y el encargado es el que tiene que cumplir las directrices sobre el adecuado tratamiento de datos que le indica quien le encarga un determinado servicio»; y, «para fijar esas directrices que el encargado del tratamiento debe cumplir respecto a la protección de los datos personales a los que tiene acceso debe firmarse un contrato entre este y el responsable del tratamiento».
[v] Esto, en la misma línea normativa del RGPD, que exige al responsable que cuente con encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas adecuadas para el tratamiento de datos encargado.
[vi] Desde otra perspectiva, siempre «un responsable de tratamiento deberá realizar un análisis de riesgos para establecer las adecuadas medidas de seguridad que garanticen los derechos de los interesados y la protección de la información que va a tratar», más el mismo análisis debe hacerlo el encargado del tratamiento.
Artículos de Opinión
Responsables y encargados de tratamiento de datos personales.
Sólo un análisis muy parcial entendería que obtenida una autorización de tratamiento –amplísima, como se configura en Chile- el responsable tiene carta blanca para hacer cualquier cosa con la información nominativa, porque desde el año 2018 está en juego un Derecho Fundamental.