Las sociedades modernas necesitan buenos sistemas de inteligencia. Pero eso no puede significar que las agencias que la realizan se manden solas o dependan de un poder de turno o que tengan acceso a nuestra vida sin ningún límite. Estos importantes temas se discuten hoy en el Congreso y esta columna los aborda desde la protección de los datos personales. Los autores sostienen que modernizar el sistema de inteligencia es “incorporar mecanismos de autorización judicial previa para acceder, procesar y comunicar datos personales” y, entre otras cosas, “prohibir expresamente el procesamiento de datos personales de niños, niñas y adolescentes”. Modernizar también debiera ser prohibir el acceso a bases de datos completas, de modo que sólo se acceda a datos de personas específicas, siempre con orden judicial previa.
La polémica no duró mucho. La divulgación pública del convenio de colaboración suscrito en febrero por el Servicio Nacional de Menores (Sename) y la Agencia Nacional de Inteligencia (ANI) que comprendía el intercambio de información sobre niños, niñas y adolescentes (NNA) que están bajo el resguardo del Sename fue dejada sin efecto, por orden del ministro de Justicia y Derechos Humanos, aparentemente con la opinión en contra del ministro del Interior y Seguridad Pública.
¿Por qué está polémica debe interesarnos desde la perspectiva de la protección de datos personales? Hasta ahora nadie había cuestionado públicamente los requerimientos de información que la Agencia Nacional de Inteligencia suele realizar a los diversos organismos públicos, alguno de los cuales constan en convenios bastante similares al defenestrado documento suscrito con el Sename y varios contienen cláusulas extremadamente ambiguas respecto a la recolección y tratamiento de datos personales (que se define en la ley como “cualquier operación” con los datos, incluyendo recolectarlos, guardarlos y procesarlos).
De una simple búsqueda en internet es posible encontrar copias de convenios con el Registro Civil, la Unidad de Análisis Financiero, el Servicio de Impuestos Internos, por mencionar algunos, los cuales permiten o habilitan la entrega de datos personales a la Agencia Nacional de Inteligencia, con el “fin de producir inteligencia y de efectuar apreciaciones globales y sectoriales, de acuerdo con los requerimientos efectuados por el presidente de la República”, como rezan la ley Nº19.974 sobre el sistema nacional de inteligencia y el texto de los convenios mencionados.
Desde el punto de vista del derecho a la protección de datos personales (reconocido constitucionalmente en agosto de 2018) y teniendo presente las reglas contenidas en la Ley Nº19.628 sobre protección de la vida privada (LPVP), se pueden formular diversos reparos de legalidad y de constitucionalidad a esta práctica institucional, como veremos a continuación.
LA FALTA DE HABILITACIÓN LEGAL DE LA AGENCIA PARA TRATDATOS PERSONALES
En el caso de la Agencia Nacional de Inteligencia, es posible constatar que no hay autorización en su ley orgánica que les habilite recolectar, procesar y comunicar datos personales en el ejercicio de sus funciones. En la Ley Nº19.974 que regula el funcionamiento del sistema de inteligencia del Estado (LSIE) —a cuya cabeza, aunque con escaso mando— se encuentra la Agencia, no hay norma que habilite a ésta ni a las instituciones que forman parte del sistema a recolectar, solicitar ni procesar datos personales. De esta manera, carecen de la habilitación requerida por la ley, lo que afecta el principio de legalidad en la actuación de los órganos del Estado.
¿Cómo lo hace entonces la Agencia y las instituciones de inteligencia para recolectar información para el cumplimiento de sus funciones y objetivos necesarios en una democracia? La ley les habilita distintas formas, pero vamos a identificar las más importantes:
– la recolección de información de fuentes abiertas,
– los procedimientos especiales de obtención de información,
– y la solicitud de informes a organismos públicos.
Respecto del primer tipo (fuentes abiertas), se trata de la información que puede ser recolectada a través de medios de comunicación social, investigaciones académicas, redes sociales abiertas como Twitter o similares. En este caso, si bien no cuentan con autorización expresa en su ley para capturar y procesar los datos personales que contenga la información recolectada, se podría argumentar que caen en la hipótesis del artículo 20 de la LPVP que autoriza a los organismos públicos a tratar datos personales sin consentimiento sólo “respecto de las materias de su competencia” pero respetando las reglas contenidas entre los artículos 1 y 19 de esa misma ley, que reconocen ciertos derechos de los titulares, como el derecho de cancelación, y algunas limitaciones especiales, como las reglas sobre datos personales sensibles. En la actualidad, un particular podría solicitar que la Agencia elimine la información personal que eventualmente tenga de ella, pero la misma ley le permite negarse aduciendo razones de seguridad nacional.
En aquellos casos donde la Agencia requiera información “estrictamente indispensable” para el cumplimiento de sus objetivos y que no pueda ser obtenida de fuentes abiertas, la ley establece un catálogo específico de procedimientos especiales de obtención de información, sujetos a autorización judicial previa a cargo de un ministro de Corte de Apelaciones. Estas normas han permitido, por ejemplo, algunas de las interceptaciones de comunicaciones de periodistas que investigaban casos de corrupción en el Ejército o aquellas realizadas en la operación Huracán, cuya legalidad de fondo es discutida en tribunales.
Para el caso particular de la información recolectada desde organismos públicos, la letra e) del artículo 8 de la LSIE permite a la Agencia solicitar a éstos los “antecedentes e informes” que estime necesarios para el cumplimiento de sus objetivos pero en ningún caso la habilita para solicitar datos personales, ya que la norma derechamente no lo dice. La entrada en vigor de la reforma constitucional que introdujo el derecho a la protección de datos personales en el numeral 4 del artículo 19 de la Constitución sólo vino a confirmar esta falta de autorización legal.
Finalmente, cuando se trata de datos personales sensibles —como en el caso del convenio con Sename— la situación es un poco más grave. La naturaleza jurídica de los datos personales de NNA —conforme a lo dispuesto en la LPVP—, es de datos personales sensibles, que cuentan con un estatuto especial de protección que señala que este tipo de datos no pueden ser objeto de tratamiento, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. Resulta evidente que ninguna de estas condiciones se cumplía en el caso del Sename y, de haberse pronunciado la Contraloría sobre el convenio, lo habría realizado este sentido, teniendo presente su reciente jurisprudencia sobre tratamiento de datos personales sensibles por órganos del Estado.
RESERVA LEGAL ESTRICTA DEL DERECHO A LA PROTECCIÓN DATOS PERSONALES
Desde agosto de 2018 se encuentra vigente la reforma constitucional que incorporó en el texto del numeral 4º del artículo 19 de la Constitución la siguiente regla:
“«Art. 19. (…) 4o.- El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley.»
La reforma constitucional incorporó una reserva legal especial en virtud de la cual las normas que regulen el “tratamiento” y la “protección” de datos personales deberá hacerse “en la forma y condiciones que determine la ley”.
De esta manera, y con especial énfasis en el tratamiento que realizan los organismos públicos, la habilitación debe constar en un texto de rango legal. Esto excluye, por tanto, las formas infralegales de regulación, ya sea que se realicen por la vía reglamentaria o por decreto con fuerza de ley u otras normas menores como las ordenanzas municipales o meros actos administrativos como la resolución que aprobó el convenio entre Sename y la ANI.
Esto también implica que las actividades que lleve a cabo la Agencia para procurarse información, ya sea mediante procedimientos especiales de obtención de información o a través de los requerimientos a organismos públicos deben estar expresamente autorizados en las leyes orgánicas respectivas, tanto respecto de la Agencia o las instituciones que conforman el sistema de inteligencia como los organismos públicos requeridos.
EL DEBATE LEGISLATIVO
Si se llega a la conclusión que la Agencia debiese contar con información de esta naturaleza, atendida la especial protección de los datos personales, se debiese realizar una reforma legal a la LSIE para determinar los casos y las formas en que dicha información pueda ser requerida, estableciéndose estándares normativos respecto a la necesidad de obtener autorización judicial previa, asimilándolo a los procedimientos especiales de obtención de información que requieren de autorización judicial previa. Asimismo, se debieran incorporar mecanismos de control jurisdiccional continuos y mucho más estrictos de la actividad de inteligencia mientras se desarrollan y no sólo una habilitación especial al inicio del procedimiento de obtención de información, sancionando severamente las utilizaciones indebidas y estableciendo límites a las actividades de recolección.
En el debate legislativo, no sólo se deben incorporar mecanismos de autorización judicial previa para acceder, procesar y comunicar datos personales, sino que también se debe prohibir expresamente el procesamiento de datos personales de niños, niñas y adolescentes y cualquier otro tipo de datos personales sensibles, como identificación biométrica, datos de salud o datos de geolocalización, por mencionar los más relevantes. Asimismo, se debe prohibir el acceso a bases de datos completas, sino que limitarse las solicitudes a personas específicas y determinadas, siempre con orden judicial previa.
Finalmente, el defenestrado convenio entre la ANI y el Sename da cuenta de la necesidad de avanzar en la tramitación del proyecto de ley sobre datos personales —actualmente en discusión en la Comisión de Hacienda del Senado— para contar de una vez por todas con un régimen fuerte de protección legal de este derecho y con una autoridad pública que se haga cargo de fiscalizar y sancionar ante eventuales incumplimientos, tanto respecto del sector público como del sector privado. Es responsabilidad, entonces, del Congreso avanzar en esta discusión.
Este artículo es parte del proyecto CIPER/Académico, una iniciativa de CIPER que busca ser un puente entre la academia y el debate público, cumpliendo con uno de los objetivos fundacionales que inspiran a nuestro medio.
CIPER/Académico es un espacio abierto a toda aquella investigación académica nacional e internacional que busca enriquecer la discusión sobre la realidad social y económica.
Hasta el momento, CIPER/Académico recibe aportes de cinco centros de estudios: el Centro de Estudios de Conflicto y Cohesión Social (COES), el Centro de Estudios Interculturales e Indígenas (CIIR), el Instituto Milenio Fundamentos de los Datos (IMFD), el Centro de Investigación en Comunicación, Literatura y Observación Social (CICLOS) de la Universidad Diego Portales y el Observatorio del Gasto Fiscal. Estos aportes no condicionan la libertad editorial de CIPER.
Concordando con la necesidad de que la justicia autorice determinadas actuaciones que vulneren garantías, no entiendo, si no pueden procesar, ni acceder a información como lo plantea el periodista como quieren que se llame "inteligencia".
