/ Opinión: Protección supletoria de datos
3 de Septiembre, 2018“El Ejecutivo y ambas Cámaras tienen la oportunidad de aprovechar el impulso que las circunstancias han impreso a esta materia y abocarse a superar tales desafíos. Contar con un estatuto de protección de datos personales eficaz y uniforme es una obligación en los tiempos que corren”.
Opinión de Felipe von Unger en El Mercurio Legal, sobre protección supletoria de datos. Para leer más has clic en el link
Fuente: El Mercurio Legal.
Protección supletoria de datos
A partir de junio de 2018, el artículo 19 N° 4 de la Constitución Política de la República asegura a todas las personas ya no solo el respeto a la honra y la vida privada, sino que adicionalmente prescribe que “el tratamiento y protección de estos datos (datos personales) se efectuará en la forma y condiciones que determine la ley”, establecido de este modo una reserva legal, concordante con lo indicado en el numeral 2 de artículo 63 de la Constitución, que enumera aquellas materia que son materia de ley.
En este campo el legislador ha venido haciendo algunos esfuerzos. En 1999 se publicó la que podríamos denominar “la” ley del ramo (Ley N° 19.628 sobre “Protección de Datos Personales”) que, además de haber nacido obsoleta en relación con la legislación comparada vigente en aquella época, ha quedado sobrepasada por las circunstancias actuales y por el estado del arte en países con los que participamos de la “economía digital”. Comparación que nos deja mal parados incluso cuando miramos lo que han hecho países de la región.
Producto de esta insuficiencia, y de la urgencia que han impuesto eventos de seguridad conocidos públicamente —y que seguramente se multiplicarán—, han ocurrido dos cosas a nivel normativo: por una parte el Congreso, el Ejecutivo y la opinión pública han redoblado su atención sobre los proyectos de ley que intentan, de manera sustantiva, mejorar la aludida Ley N° 19.628. Por otra, los reguladores sectoriales también han reclamado su lugar en esta mesa, publicando algunos de ellos normativas o servicios específicos sobre ciberseguridad y tratamiento de datos personales, con estándares de seguridad y responsabilidades más exigentes. Ejemplos de esto último son el capítulo 20-7, sobre externalización de servicios, dictado por la Superintendencia de Bancos e Instituciones Financieras, y la aplicación “¡No molestar!”, lanzada por el Sernac.
En relación con la regulación que se ha venido dictando, y a la reserva legal que rige en esta materia, se nos plantea un problema asociado a la eficacia supletoria que se pretende dar de la legislación sobre protección de datos personales. Se discute en la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado una indicación al proyecto que modifica la ley N° 19.628, propuesta por el Ejecutivo, que dice que el tratamiento de datos personales “deberá llevarse a cabo de acuerdo a lo dispuesto en las leyes especiales que los rijan. Respecto de los asuntos no regulados en dichas leyes, regirán supletoriamente las disposiciones de esta ley”.
Frente a esta supletoriedad se abren una serie de interrogantes que apuntan a elucidar la juridicidad de las leyes sectoriales y de su reglamentación infralegal, que hoy disciplinan el tratamiento de datos personales. Por ejemplo ¿qué ocurrirá, de prosperar tal indicación, con aquella regulación de carácter administrativo que no emana de una delegación de facultades normativas conforme con la referida reserva legal? ¿No debiéramos acaso darle rango legal a dicha normativa sectorial, para luego intentar darle eficacia especial? ¿Es recomendable establecer una preferencia por normas especiales, mediante una ley simple?
Entendemos que el Ejecutivo intenta, por medio de su indicación, evitar dejar vacíos en la regulación sectorial. Pero antes de establecer una eficacia como la planteada, y justamente para atender a la especificidad de los diversos sectores regulados, debiéramos al mismo tiempo que discutimos sobre las materias de fondo relacionada a la protección de datos personales, estar seguros de que tales leyes especiales, en conjunto con sus respectivas normas de ejecución, cumplen con las exigencias que emanan de la reserva legal que rige esta materia. Si lo hacen, tendrían entonces preferencia en su aplicación. Si no, entonces deberán discutirse las adecuaciones que se necesiten, y dar rango de ley a la normativa infra legal que se ha venido dictando, allí donde corresponda. Y dado que el artículo 64 de la Constitución prohíbe al Congreso autorizar al Presidente de la República para dictar decretos con fuerza de ley en materias comprendidas en las garantías constitucionales, deberá ser necesariamente el Congreso el que haga las modificaciones.
Sobre la conveniencia del establecimiento de una supletoriedad por medio de una ley simple, nos parece que si queremos que Chile de verdad sea visto como un destinatario seguro de datos, o safe harbour, debemos generar las condiciones de uniformidad que logren que todo nuestro ordenamiento refleje los derechos, obligaciones y principios fundamentales contenidos en la legislación sustantiva sobre protección de datos personales. Quizá dándole al proyecto el carácter de ley de bases, de conformidad al numeral 20 del artículo 63 de la Constitución, el cual indica que son materia de ley “toda otra norma de carácter general y obligatoria que estatuya las bases esenciales de un ordenamiento jurídico”. Con esa calidad, promovemos (aunque creo que no solucionamos completamente) que sea la norma de referencia al momento de regular, de integración en caso de lagunas, y que prime ante eventuales conflictos normativos.
El Ejecutivo y ambas Cámaras tienen la oportunidad de aprovechar el impulso que las circunstancias han impreso a esta materia, y abocarse a superar estos desafíos. Contar con un estatuto de protección de datos personales eficaz y uniforme es una obligación en los tiempos que corren.
Felipe von Unger
Asociado
Alessandri Abogados