Noticias

/ Las fuentes accesibles al público en el proyecto de ley de datos personales

19 de Enero, 2024

Jaime Urzúa
Asociado
Alessandri Abogados 

 

Las fuentes accesibles al público (FAP) han sido una de las causas de mayor cuestionamiento al referirnos al tratamiento de datos personales. Estas son definidas por la ley 19.628 sobre protección a la vida privada (LPVP) como “los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes” y son consideradas una excepción al consentimiento y a las finalidades. Esto significa que cuando no exista un consentimiento que autorice expresamente el tratamiento de datos personales por parte de su titular, es lícito tratar dichos datos si provienen o se recolectan de FAP. 

El artículo 4° de la LPVP indica que el tratamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público no requiere dicha autorización. Esta es una disposición legal muy controvertida, puesto que, junto con las bajas multas por infracción y la casi inexistente fiscalización, es la causante de que en Chile los datos personales circulen libremente y sin mayores limitantes. Actualmente se cree que el tratamiento de los datos recopilados de estas fuentes no estaría regido por el principio de finalidad. Esto implica que los datos podrían utilizarse para cualquier propósito, incluso si no tienen relación con el designio original de la fuente consultada. 

El proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (boletín 11.144-07) (PDL) cambia las reglas del juego. Primero, reemplaza la definición de FAP llamándolas “fuentes de acceso público” (que para estos efectos las seguiremos llamando FAP), y agrega como ejemplos al Diario Oficial, medios de comunicación o los registros públicos que disponga la ley. 

El artículo 13 del borrador del PDL crea otras fuentes de licitud del tratamiento de datos distintas al consentimiento, dentro de las cuales la letra b) corresponde a la ley, esto es, es lícito tratar datos sin consentimiento siempre que dicho tratamiento esté autorizado por ley o sea necesario para la ejecución o el cumplimiento de una obligación legal. 

El cambio más relevante está en las obligaciones del responsable de datos. El artículo 14 del PDL establece que el responsable está obligado a asegurar que los datos personales se recojan de fuentes de acceso lícitas con fines específicos, explícitos y lícitos, y que su tratamiento se limite al cumplimiento de estos fines. Esto implica que la obtención de datos desde las FAP ya no es una mera fuente de licitud, sino que ahora se requiere que (1) el tratamiento de datos tenga base de licitud -no todo lo público es lícito-; y (2) el tratamiento debe limitarse a las finalidades para las cuales dichas fuentes fueron creadas (pensemos en los datos de contacto disponibles en sitios web públicos: habrá que atenerse a la finalidad de dichos sitios, prohibiéndose que dichos datos sean recolectados para enriquecer otras bases de datos con finalidades distintas). En esta materia el PDL sigue al GDPR, en cuyo caso, el tratamiento datos provenientes de FAP se enmarca en el interés legítimo, que es esencialmente excepcional y requiere un análisis detallado que lo justifique, debidamente respaldado. 

Una de las áreas que con seguridad se verá afectada con el PDL es el web scrapping. Este se refiere a un proceso que permite la extracción de datos a gran escala desde páginas web por medio del uso de herramientas automatizadas. Obviamente el cambio normativo significará una gran transformación del modelo de negocios de muchas empresas que actualmente operan en base a esta técnica (pensemos en fintech, burós, suscriptores digitales, entre otros), ya que se les restringirá legalmente la forma en que podrán tratar los datos que extraen continuamente. 

En resumen, (1) las FAP dejarán de ser una fuente de licitud; (2) los datos provenientes de FAP requerirán de una fuente de licitud, en los que ya no bastará que la fuente de origen no tenga restricciones de acceso, sino que también sea lícita (existen casos en que la información reside públicamente y sin restricciones por un simple descuido o desconocimiento de quienes tienen a su cargo el tratamiento de datos); y (3) las FAP dejarán de ser una excepción al principio de finalidad. Asimismo, el tratamiento de los datos tendrá que sujetarse a las finalidades propias de la fuente desde la que aquellos serán extraídos. 

Aunque el desarrollo de estas interrogantes requerirá de mayor discusión y serán zanjadas por la autoridad de datos, es tiempo de pensar en nuevas formas de desarrollar negocios basados en datos y que cumplan con las normas que regulan su tratamiento.