Aplicación extraterritorial de la ley chilena a sistemas de tratamiento de datos personales

|


Estrategia 32924 1

Francisco Pinochet Cantwell 

Profesor Derecho Universidad Católica de Chile


Se encuentran en tramitación en el Congreso dos proyectos de Ley que regulan la protección y el tratamiento de los datos personales para suplir las graves deficiencias y omisiones que tiene nuestra antigua Ley Nº 19.628, sobre protección de la vida privada.


Una particularidad de los proyectos es que otorgan un efecto extraterritorial a la ley chilena, respecto de los responsables o encargados de sistemas de tratamiento de datos personales. 


La primera disposición está contenida en el Proyecto de Ley iniciado por mensaje de la Presidenta de la República, que regula la protección y el tratamiento de los datos personales y crea una “Agencia de Protección de Datos Personales”, organismo cuya existencia era indispensable en nuestro país, ya que la vulneración a nuestra vida privada realizada a través de nuestros datos personales era de difícil resguardo y se basaba sólo en la que decisión de las empresas prestan el servicio de registro y distribución de datos comerciales y financieros como DICOM- EQUIFAX. 


Aunque esta empresa tradicionalmente cumple con la ley, existen otras bases de datos que, en caso de negativa, o en caso de infracción a la ley en el tratamiento de nuestros datos, no es posible recurrir a alguna autoridad para una solución rápida y simple del problema. 


Existe una acción legal denominada “habeas data” que permite recurrir ante los tribunales civiles de justicia, pero este procedimiento, por su lentitud está prácticamente en desuso. Se recurre, en cambio, al recurso de protección, que probó, una vez más ser una herramienta procesal sumamente efectiva en la protección de derecho fundamental como el derecho a la privacidad.


El Proyecto de Ley que mejor aborda este tema es el iniciado por  moción de los Senadores señores Harboe, Araya, De Urresti, Espina y Larraín, el cual pretende derogar a la Ley Nº 19.628 y crear una nueva ley sobre protección de la vida privada.


El proyecto señala que la ley chilena se aplicará al tratamiento de datos personales independientemente de que el tratamiento tenga lugar en Chile o no. Asimismo, se aplicará al tratamiento de datos personales cuyos titulares residan en Chile por parte de un responsable o encargado no establecido en Chile, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos titulares en Chile, independientemente de si a éstos se les requiere su pago.  


Finalmente, señala el proyecto que “los responsables del tratamiento no residentes en Chile, deberán designar a un representante en Chile, que atienda, junto al responsable o al encargado, o en su lugar, a las consultas de los titulares, sobre todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en la presente ley. La designación de un representante, por el responsable o el encargado del tratamiento, se entenderá sin perjuicio de las acciones que pudieran emprenderse contra el propio responsable o encargado”.


De esta forma se podrá regular a cualquier empresa, aunque tenga sus servidores en el extranjero, incluso a aquellas redes sociales y motores de búsqueda de carácter gratuito que venden la información que recogen a través de nuestra navegación en Internet: preferencias de consumo.  Es el caso de Facebook y Google.


Se trata sin duda de una normativa que innova en la materia y que resulta del todo conveniente. En efecto, en la actualidad, debido a Internet, una de las características que presenta el flujo de datos personales -y de cualquier naturaleza- es su carácter esencialmente transfronterizo. Toda base tratamiento de datos puede estar ubicada tanto en Chile como en el extranjero y prestar desde ahí sus servicios de entrega de datos. Basta que una base de tratamiento de datos ubique sus servidores fuera de la jurisdicción territorial que desea eludir. 


Más aún en el caso de los proyectos en análisis, los cuales expresamente prevén el flujo de datos personales transfronterizo.


Creemos que toda legislación, desde su nacimiento, debe propender a que sus efectos regulen a los responsables del tratamiento de datos no residentes en su territorio.


Sin duda, se generarán conflictos para determinar cuál es la jurisdicción competente para conocer los incumplimientos e infracciones a esta normativa. Además, se intentará desconocer la competencia de nuestros tribunales. Pero estos no son impedimentos. El fallo del Tribunal de Justicia de la Unión Europea en el caso Google abrió nuevas fronteras en este ámbito. 


Igualmente importante aún es la búsqueda de soluciones a través de tratados internacionales. 


Un ejemplo de esto, es el Convenio sobre Ciberdelincuencia o Convenio de Budapest, del año 2001, el cual fue el primer tratado internacional que intenta hacer frente a los delitos en Internet, mediante la armonización de leyes nacionales, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones. En Chile, acaba de entrar en vigencia. Se deberán realizar esfuerzos análogos en materia de protección de datos.


Recomendamos decididamente seguir adelante con la regulación de la aplicación extraterritorial de la ley chilena a los responsables o encargados de sistemas de tratamiento de datos personales.