Twitter Facebook-f Instagram Youtube Linkedin Spotify
SUSCRÍBETE
0
SUSCRÍBETE
0
Twitter Facebook-f Instagram Youtube Linkedin Spotify

CONGRESO APRUEBA NUEVA LEY DE DATOS PERSONALES

  • Compartir en:

El 26 de agosto la Cámara de Diputados aprobó el informe de la Comisión Mixta constituida para resolver las discrepancias surgidas con ocasión de la tramitación del proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales. A diferencia del Senado, que aprobó previamente el informe, en la Cámara de Diputados no se reunió el quórum para aprobar el artículo 55 del proyecto, relativo a la forma en que los órganos públicos dotados de autonomía constitucional deberían implementar la normativa.

Salvo aquel punto, donde el Gobierno debe resolver si insiste en el texto aprobado por la Cámara de Diputados o le formula observaciones para reponer la norma. Otra opción es que el proyecto se promulgue sin la norma rechazada.

Con todo, el proyecto es en términos generales adecuado y viene a regular la garantía constitucional contenida en el numeral 4º del artículo 19 de la Constitución Política de la República[1]. Para ello, se establece una completa regulación de fondo a la vez que se crea una institucionalidad para hacerla efectiva.

Respecto de lo primero, esto es, la regulación de fondo, se introducen numerosas modificaciones a la ley Nº19.628, sobre protección de la vida privada, teniendo como orientación el Reglamento General de Protección de Datos, dictado por la Unión Europea. Cabe hacer presente que, en el Derecho de la Unión Europea, los reglamentos son normas jurídicas vinculantes, cuya aplicación es directa e íntegra para todos los estados miembros, sin perjuicio de estas normas reserven ámbitos de desarrollo legislativo para cada estado miembro, a fin de recoger las particularidades de cada uno. En términos generales, se trata de la mayor reforma a la ley Nº19.628, sobre protección de la vida privada, desde su publicación en 1999 y pone a nuestra legislación al día en la materia.

En términos generales, la regulación de fondo apunta a precisar qué es un dato personal y cómo los diversos actores que realizan el tratamiento de estos deberán realizarlo, cuáles son los derechos específicos de las personas frente a los terceros que tratan sus datos y las herramientas para resguardarlos y establece las sanciones por el incumplimiento de la normativa así como las medidas tendientes a restaurar el imperio del Derecho cuando hay vulneración.

Por otra parte, desde el punto de vista de la institucionalidad, se crea como organismo a cargo del cumplimiento de la normativa, así como de velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales a la Agencia de Protección de Datos Personales (en adelante, “la Agencia”). Dicha agencia será una corporación autónoma de Derecho Público, de carácter técnico, descentralizada, con personalidad jurídica y patrimonio propio, y se relacionará con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo.

En cuanto a su gobernanza, la Agencia será dirigida por un Consejo Directivo de tres integrantes, los cuales serán nombrados por el Presidente de la República, con acuerdo del Senado, por acuerdo adoptado por dos tercios de sus miembros en ejercicio. Los consejeros durarán seis años en sus cargos, se renovarán en forma individual cada dos años y no podrán ser designados para un nuevo periodo. Dicho cargo exigirá dedicación exclusiva, sin perjuicio de poder realizar hasta doce horas semanales de docencia. En cuanto a su remoción, cabe hacer presente corresponderá a la Corte Suprema removerlos, previa solicitud del presidente de la República o de la Cámara de Diputados, mediante acuerdo de simple mayoría o a petición de quince diputados.

Por último, el personal de la agencia estará sujeto al Código del Trabajo, sin perjuicio de someterse a diversas normas propias del régimen laboral del sector público, especialmente en materia de probidad.

El proyecto aprobado cuenta con dos materias que no fueron abordadas adecuadamente:

  • Fuentes de acceso público

El tratamiento de datos personales siempre requiere del consentimiento del titular, salvo que se cuente con una base de licitud para su tratamiento, es decir, razón expresamente señalada en la ley. En el proyecto aprobado por el Senado, en primer trámite constitucional, se aprobó como base de licitud el que los datos se encontraran en una fuente de acceso público. Las fuentes de licitud están contenidas en el actual artículo 13 del proyecto.

La Comisión Mixta eliminó las fuentes de acceso público como bases de licitud de dicho artículo. El motivo de ello es que se temió que datos puestos a libre disposición por error o de manera dolosa fueran “blanqueados” y tratados sin consentimiento del titular, como podría ocurrir con los datos robados que son puestos a disposición, por ejemplo, en un foro de internet.

El efecto de dicha supresión es que solo se podrán tratar datos personales que provengan de fuentes de acceso público en los casos en que haya una razón válida distinta de haber sido obtenidas de una fuente de acceso público. Tales razones están expresadas en los literales b) a f) (actuales literales a, b, c, d y e del artículo 13). De ellas, la que correspondería a la formulación más general es el tratamiento de datos en virtud de un interés legítimo.

El problema de lo anterior es que todo tratamiento que se haga por esta vía resulta incierto, porque la legitimidad del interés es una cuestión de hecho y puede ser ampliamente controvertida en sede administrativa y judicial. Y si bien es correcto afirmar el interés legítimo como forma genérica del tratamiento de datos, no basta para afirmar que se resuelve de manera precisa el problema respecto a que las fuentes de acceso público son evidentemente una base de licitud en sí misma. Nadie requiere de una razón adicional para tratar datos personales publicados en periódicos, otros medios de comunicación social o diversos registros públicos. Si se han disponibilizado de manera lícita, es decir, que la licitud proviene de la causa de su publicación, deberían poder ser tratados sin consentimiento del titular.

  • Sanciones

Otro punto cuya regulación fue deficiente es el régimen de las sanciones administrativas. En términos generales, ellas son desproporcionadas respecto del mal causado. La Comisión Mixta aprobó un régimen sancionatorio que posee la siguiente escala de sanciones (art. 35):

  • Las infracciones leves serán sancionadas con amonestación escrita o multa de hasta 5.000 unidades tributarias mensuales[2] ($329.505.000);
  • Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales ($659.010.000); y
  • Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales ($1.318.020.000).

En materia de reincidencia, se aprobaron las siguientes reglas (Arts. 35 y 36):

  • La reincidencia está reglada en la letra a) del inciso segundo del artículo 36, en los siguientes términos, como circunstancia agravante:

“a) La reincidencia. Existe reincidencia cuando el responsable ha sido sancionado en dos o más ocasiones, en los últimos treinta meses, por infracción a esta ley. Las resoluciones que aplican las sanciones respectivas deberán encontrarse firmes o ejecutoriadas.”

  • En caso de que exista reincidencia, de acuerdo al artículo 35, la Agencia podrá aplicar una multa de hasta tres veces el monto asignado a la infracción cometida. Es decir, las multas podrían llegar hasta:
  • Infracciones leves: 15.000 UTM: $988.515.000;
    • Infracciones graves: 30.000 UTM: $1.977.030.000; e
    • Infracciones gravísimas: 60.000 UTM: $3.954.060.000.
  • Adicionalmente, se contempla una regla especial para aquellas empresas que no sean calificadas como “de menor tamaño”, de acuerdo a la ley Nº20.416, es decir, para aquellas cuyos ingresos anuales por ventas, servicios y otras actividades del giro sean superiores a 100.000 unidades de fomento en el último año calendario ($3.757.447.000[3] / US$3.966.560[4]).
  • Dicha regla consiste en que a las empresas señaladas en el punto anterior, cuando reincidan en sanciones graves o gravísimas, se les podrá multar con el triple de la multa prevista o hasta el monto correspondiente al 2% o 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, según se trate de una reincidencia en una infracción grave o gravísima, respectivamente. La opción, según manda la ley, debe ser por el monto más gravoso.

La propuesta aprobada es inconveniente por las siguientes razones:

  • Tanto la sanción de reincidencia mediante porcentajes de facturación como la regla de la sanción por reincidencia del triple de la multa son manifiestamente desproporcionadas en relación a la afectación concreta de derechos que buscan cautelar. Cabe recordar que estamos hablando de multas que son a beneficio fiscal y que no constituyen por sí mismas reparación del daño a los afectados.
  • En perspectiva comparada, el régimen de sanciones es desproporcionado ni incide en la calificación de país adecuado frente a la Unión Europea:

Los países que se describen a continuación han sido considerados como adecuados para transferencias de datos por la Unión Europea[5] y poseen sanciones muy inferiores a las establecidas por la Comisión Mixta:

  • En Uruguay, no se distingue por gravedad de sanción, sino que se impone una multa de hasta Multa de hasta 500.000 UI (unidades indexadas)[6]. El valor de la unidad indexada al 7 de agosto es de 6,0836 pesos uruguayos[7], de lo cual resulta una multa expresada en pesos uruguayos de $3.041.800. De acuerdo a información del Banco Central (paridades de monedas por dólar)[8], al 7 de agosto, un dólar corresponde a $40,4233 pesos uruguayos. En consecuencia, el máximo de la multa administrativa en el país corresponde a US$75.249 ($71.274.348).
  • En Argentina, las multas se contemplan entre $1.000 a $100.000 pesos argentinos[9]. De esta manera, con el tipo de cambio pesos argentinos/dólar conforme a la información del Banco Central al 7 de agosto de 2024, asciende a $936,1250 pesos argentinos. En consecuencia, las multas que se pueden imponer en dólares, van desde US$1 a US$107. Cabe hacer presente que la ley es del año 2.000 y desde esa fecha hasta ahora, el tipo de cambio se ha devaluado significativamente. Además, al año 2.000, seguía vigente la conversión paritaria peso-dólar, por lo que dichas sanciones podrían interpretarse, en dólares de hoy, como entre US$1.000 a US$100.000, es decir, $947.180 a $94.718.000
  • En Japón, las multas llegan hasta 100 millones de yenes[10] (art. 184 (i)). En consecuencia, de acuerdo a la información de paridades dólar del Banco Central, al 7 de agosto de 2024, el monto de la multa en dólares alcanza los US$689.037, es decir, $652.642.066.
  • En Nueva Zelanda, las multas, que están dispersas a través de varias normas, alcanzan los NZ$10.000[11]. De acuerdo a la información de paridades dólar del Banco Central al 7 de agosto de 2024, el monto de la multa en dólares es de US$5.960, es decir, $5.645.193.

En conclusión, se aprecia un sistema sancionatorio desproporcionado en sus sanciones respecto de los bienes jurídicos que protege, mal estructurado, carente de sentido regulatorio para servir eficazmente como desincentivo a la infracción y, sobre todo, con un sentido contrario a la competitividad: un sistema poco claro, sin mirada de hacer del país un centro de desarrollo digital.

[1] Artículo 19. La Constitución asegura a todas las personas:

4º.- El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley;

[2] Valor UTM agosto: $65.901.

[3] Valor UF al 31 de agosto: $37.754,45.

[4] Con dólar observado al 7 de agosto, según información del Banco Central: $947,18.

[5] Disponible en https://www.aepd.es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/garantias-transferencias-datos-personales.

[6] Ley Nº18.331, artículo 35. Texto disponible en: https://www.impo.com.uy/bases/leyes/18331-2008.

[7] Datos disponibles en https://www.gub.uy/direccion-general-impositiva/datos-y-estadisticas/datos/unidad-indexada.

[8] Información disponible en: https://si3.bcentral.cl/indicadoressiete/secure/ListaSerie.aspx?param=VQB3AE4ASwBDAHcAagBRACMALQBHAGEAUQBtAGkAaQBaAGEAbgA3AEwAdgAkAHIAcwBCAHkAVgB6AFYAbwB6AGwAXwBzAG0AbQBSAFMAOABFAHQAaAAxAHIAZAAtAHkAaQAtAGIARQBaAF8A.

[9] Artículo 31 de la ley Nº25.326. Texto disponible en https://servicios.infoleg.gob.ar/infolegInternet/anexos/60000-64999/64790/norma.htm.

[10] Texto disponible en https://www.japaneselawtranslation.go.jp/en/laws/view/4241/en#je_ch8.

[11] Texto disponible en https://www.legislation.govt.nz/act/public/2020/0031/latest/whole.html#LMS23223.

otras publicaciones

LA ELEVADA INFLACIÓN DE MARZO MUESTRA LOS EFECTOS DEL ALZA DEL PETRÓLEO EN LOS DISTINTOS PRECIOS DE LA ECONOMÍA

Ver más

SE DEBILITAN LOS SECTORES QUE EMPUJABAN EL DINAMISMO DE LA ACTIVIDAD

Ver más

BAJO CRECIMIENTO DEL EMPLEO IMPULSADO POR LA INFORMALIDAD Y DESTRUCCIÓN DE EMPLEO ASALARIADO PRIVADO FORMAL

Ver más