/ Protección de datos personales: jurisprudencia internacional relevante en 2023

María Ignacia Ormeño Sarralde
Asociada
Alessandri Abogados 

 Teniendo presente el avance del proyecto de ley de datos personales, creemos oportuno comentarles de algunas infracciones y sanciones que tuvieron lugar en España, Reino Unido y Colombia. Se trata de casos que fácilmente podrían configurarse en Chile. Por ello, les recomendamos revisar los fundamentos que motivaron las sanciones. 

• La Agencia Española de Protección de Datos (AEPD) mediante la resolución 0048/2023 se pronunció sobre la captura de imágenes del Documento Nacional de Identificación español (DNI), y entregó instrucciones generales con la forma en que deben ser tratados tales datos personales. Según señala la AEPD, la captura de imágenes del DNI no es el instrumento idóneo cuando se pretende exclusivamente identificar a las personas, esto porque constituyen datos sensibles cuya filtración, no cuidado o uso indebido pueden acarrear efectos negativos para el titular de datos personales. En Chile nos piden el carné de Identidad para acreditar nuestra identidad en muchas circunstancias. Al hacerlo compartimos el número de serie, cuya información sabemos es confidencial y cuya filtración o uso indebido por terceros puede llevar aparejado delitos o fraudes, como, por ejemplo, la usurpación de identidad del titular de datos y perjuicios para el titular. Es por ello, que en caso de solicitar la captura de imágenes del DNI o carné de Identidad, tal como señala la AEPD, el tratamiento conjunto del número de DNI y los nombres y apellidos del titular, sobre todo a través de imágenes, requiere la adopción de estrictas medidas de seguridad por parte del responsable de datos personales. 

• La AEPD por resolución EXP202206735 sancionó a una empresa por el uso desproporcionado de cámaras de vigilancia en los comedores de sus trabajadores, desestimando que tales grabaciones se pudieran fundar por motivos de proteger la seguridad de la empresa y sus trabajadores. La multa fue por €50.000 por infringir la privacidad de sus trabajadores, y sostuvo que no existía fundamento para grabar a sus trabajadores mientras almorzaban o comían durante su horario libre. Con el objeto de mantener la seguridad, teniendo presente el principio de necesidad y proporcionalidad de la medida, es importante tener en consideración las grabaciones que hagan las instituciones públicas o privadas en Chile, respecto de sus trabajadores y las circunstancias en las que realmente se podría o deberían grabar.

• El Ministerio de Defensa británico (MOD) fue multado por la Oficina del Comisionado de Información (ICO) con 350 mil libras esterlinas por provocar imprudentemente una filtración de datos que expuso los datos personales de ciudadanos de Afganistán que intentaban huir del país después de que los talibanes tomaran el control, en 2021. 

En este caso, el MOD agregó las direcciones de correo electrónico de 245 personas que habían trabajado para o con el Gobierno de Reino Unido en Afganistán en el campo “Para” de un correo electrónico, donde podían ser leídos todos los destinatarios. Luego, dos personas que recibieron el correo electrónico presionaron “Responder a todos” y una de ellas proporcionó la ubicación de tales correos. Volviendo a lo que podría ocurrir en Chile, hasta el momento los organismos públicos no están exentos de la aplicación del Proyecto de Ley de datos personales, por lo que podrían ser sancionados, de acuerdo con el párrafo IV del proyecto de ley. 

• La AEPD sancionó a una empresa de reclutamiento y selección de personal por enviar mensajes spam con datos obtenidos a través de la red social LinkedIn. La empresa recopilaba datos de posibles candidatos a través de esta red social para luego enviarles un correo electrónico ofreciéndoles la incorporación de su Curriculum Vitae a su base de datos y la posibilidad de contar con este mismo para futuras ofertas laborales. En su resolución, la AEPD señaló que, aunque los datos de LinkedIn sean públicos, no significa que puedan utilizarse para cualquier finalidad y tampoco son datos de fuentes de libre acceso al público. Lo anterior, para Chile, sería un cambio radical respecto a las finalidades para las cuales se extrae información de fuentes de terceros, en este caso LinkedIn. 

• La Superintendencia de Industria y Comercio de Colombia multó a una empresa de telecomunicaciones por omitir implementar medidas adecuadas y suficientes para obtener de sus clientes mediante una campaña comercial de números telefónicos de referidos, sin la autorización previa, expresa e informada, para ofrecerles servicios de telecomunicaciones. La sanción impuesta por la Superintendencia se acompañó de un conjunto de órdenes dentro de las cuales se destacan las de (i) abstenerse de continuar utilizando las bases de datos recolectadas con ocasión de la campaña promocional, (ii) proceder con la eliminación de las bases de datos asociadas a esta campaña, (iii) cesar todo tipo de actividad en la que recolecten datos personales, sin la autorización de su titular, por medio de este tipo de estrategias comerciales, en las que se utiliza a terceros para la recolección de datos personales con fines comerciales. La multa ascendió a mil trescientos millones de pesos colombianos (alrededor de $303.307.382 pesos chilenos).