Vulneración de datos personales: lo privado, en público
06.05.2022
La publicación de datos de cerca de quince millones de personas por parte del Servel ha sido el más reciente de una extensa lista de incidentes que confirman lo que en Chile es una absoluta falta de protección en la materia. Comentan sobre el caso dos investigadores de la ONG Derechos Digitales en columna para CIPER: «La débil reacción de la autoridad, como en otras ocasiones, contribuye a naturalizar el ultraje de nuestra información personal, al punto que ya ninguna filtración parece llamar demasiado la atención.»
La semana pasada, supimos que el Servicio Electoral (Servel) había subido a su página web una base de datos con la información personal de casi quince millones de chileno/as, correspondiente al padrón de personas habilitadas para participar en la elección municipal de mayo de 2021 [ver nota en Ciper, del 28 de abril]. La información incluía los números de RUT asociados a cada nombre, su género, edad y dato de pertenencia a pueblos originarios.
La base de datos contenía además información referida a la militancia en partidos políticos, contraviniendo el artículo 19 número 5 de la Constitución vigente, que estipula el deber de registrar la nómina de los militantes en el Servel y la obligación de guardar reserva de esa información, con el propósito de proteger a las personas contra la discriminación por razones políticas. El caso representa por eso no solo una clara falta a los deberes del organismo, sino una directa vulneración de los derechos de cada persona afectada.
Se daban a conocer además los datos personales en torno a haber votado en las pasadas elecciones municipales y en qué día (15 ó 16 de mayo). Aunque no existe norma expresa que obligue al Servel a guardar reserva de esta información, esto no significa que darlo a conocer no constituya una vulneración a los derechos de los ciudadanos, como equivocadamente concluye Andrés Tagle, director del Servel. Una interpretación de ese tipo implica dejar al arbitrio de una autoridad la revelación sobre el comportamiento electoral específico de las personas, asociado al resto de su información personal.
Cabe recordar que a mediados de 2018 se incorporó a la Constitución el derecho a la protección de los datos personales. De esta manera, el carácter privado o público de la información carece de relevancia cuando concierne a personas, puesto que los datos personales solo pueden ser tratados en la forma y condiciones que determine la ley; esto es, cuando exista una disposición legal específica para ello o con consentimiento del o la titular de los datos. Evidentemente, Servel puede realizar el tratamiento necesario para el legítimo ejercicio del derecho a sufragio, pero ello en ningún caso le habilita para tratarlos con una finalidad o de una forma distinta, como ocurrió con su puesta a disposición pública.
LA DESPROTECCIÓN CRÓNICA DE LOS DATOS PERSONALES
Todo lo anterior es gravísimo, y estimamos no ha merecido el repudio generalizado y vehemente que algo así merecería, tratándose de un organismo público. Desde Servel asumieron el error como una vulneración de sus procedimientos internos, mientras que el Consejo para la Transparencia ofició al Servicio Electoral para que entregue los antecedentes del caso. Con todo, se trata de una reacción bastante discreta frente a la que podría ser la mayor vulneración de datos personales en la historia del servicio. La débil reacción de la autoridad, como en otras ocasiones ha contribuido a naturalizar el ultraje de nuestra información personal al punto que ya ninguna filtración parece llamar demasiado la atención.
Ciertamente, la falta de mecanismos de protección efectiva han creado un terreno fecundo para el florecimiento de todo tipo de prácticas reprochables e ilegales, amparadas en la impunidad que garantiza una ley más interesada en proteger los intereses económicos de los negocios dedicados al procesamiento de datos personales que a las personas. Desde el robo de la base de datos del Registro Civil en 2014 hasta los siempre inoportunos llamados telefónicos de políticos haciendo campaña electoral, la vulneración de datos personales se ha vuelto una cuestión cotidiana, que no amerita mayor asombro ni indignación.
Por lo mismo, que el gobierno le haya dado urgencia al proyecto que regula la protección y el tratamiento de los datos personales, tras casi una década de tramitación, es una buena noticia. Sin embargo, es necesario que la nueva normativa cuente con herramientas adecuadas para ejercer su propósito. Esto incluye sanciones verdaderamente disuasivas, en lugar de las multas irrisorias que contempla la ley actual, con un monto máximo de 50 UTM. Además, se requiere una autoridad encargada de velar por la protección de los datos personales, con facultades suficientes para sancionar por igual a actores públicos y privados, y con la independencia necesaria para ello.
EL PELIGRO DE LAS FUENTES DE ACCESO PÚBLICO
La publicación de información personal por parte de Servel demuestra, además, lo importante que es eliminar la autorización para el tratamiento de datos cuando estos se encuentren en una fuente de acceso público. Uno de los problemas con esta disposición es que la definición de «fuentes de acceso público» es tan amplia, que casi cualquier cosa califica bajo ese rótulo. Así, por ejemplo, es lícito utilizar la información disponible en una base de datos que haya sido robada y publicada en internet. Se trata de uno de los aspectos más criticados de la ley vigente, y es muy preocupante que el proyecto salido del Senado insista en mantenerlo.
Así, de aprobarse la versión actual del proyecto, no existiría un impedimento legal para que cualquier persona o empresa pudiera usar los datos publicados por Servel, con cualquier finalidad, tal como ocurre hoy.
Evidentemente, el carácter prioritario que le ha dado el Gobierno a la discusión sobre una nueva ley de datos personales es un paso importantísimo en la senda correcta. Al mismo tiempo, la Convención Constitucional ha dado una señal poderosa en la misma dirección, al aprobar la creación de una autoridad pública en materia de datos personales en la nueva Constitución.
De cualquier forma, son cambios que requieren tiempo para ser implementados. En el intertanto, a lo único que podemos aspirar es a que las autoridades actúen con un mínimo de responsabilidad en la gestión de datos personales, pues, lamentablemente, seguimos desprotegidos.
