Jessica Matus, fundadora y directora ejecutiva de Fundación Datos Protegidos, analizó con HN el panorama del proyecto de Ley de Protección de Datos Personales y su relación con el mundo digital.
“La protección de los datos personales me apasiona desde que ví cómo la tecnología estaba impactando al derecho”, señala Jessica Matus, co-fundadora y directora ejecutiva de la Fundación Datos Protegidos. Y es que la protección de los datos personales es la piedra angular de esta organización, que comenzó como un blog jurídico en 2008 y que se concretó con la creación de la fundación siete años más tarde, junto a la abogada Romina Garrido.
Jessica ha sido una de las principales impulsoras del proyecto de Ley de Protección de Datos Personales, que se encuentra en el Senado en revisión de 300 indicaciones que se presentaron por parte del Ejecutivo y parlamentarios, un proyecto que se tramita en paralelo al de delitos cibernéticos, dos materias que “tienen relación”, según la abogada, autora del libro La cesión de datos personales.
Y es sólo cosa de ver las cifras de la Policía de Investigaciones de Chile, que indican que los delitos informáticos aumentaron un 74% durante el año pasado, entre ellos el phishing o robo de datos para darse cuenta de aquello.
En Hostname conversamos con Matus, acerca de la situación de la protección de datos en el país, de los proyectos de ley en curso y de los cambios que deberían registrarse una vez aprobadas ambas normativas.
¿Cuál es el panorama actual que tenemos en relación a la protección de datos personales en el país?
Tenemos una legislación muy deficiente y antigua (1999), que además nunca tuvo mucha aplicación práctica. Una ley superada por la situación actual en que se encuentran las bases de datos y el tratamiento de la información por parte de empresas y del Estado.
Asimismo, nos vemos enfrentados a una crisis y necesidad en ciberseguridad, donde los datos personales terminan siendo parte de este marco. Nos vemos obligados a tomar las medidas necesarias para avanzar en las modificaciones de esas normativas, no sólo frente a los incidentes de seguridad, sino además ante los estándares internacionales. Chile requiere cambios urgentes.
¿Por qué no se ha llegado a puerto con la modificación a la Ley de Protección de Datos Personales?
Han sido diez años de discusión: el primer proyecto de ley para modificar la Ley de Protección de Datos Personales es de 2008, y 2 proyectos más. Uno de los factores que han influido son los cortos períodos presidenciales, cada gobierno ha presentado su propio proyecto.
Si uno lo mira bien, no hay muchas diferencias en cuanto a los principios, incluso a los catálogos de infracciones y sanciones, ya que en general, estamos todos de acuerdo en el contenido mínimo de una ley de estas características.
Sin embargo, la piedra de tope ha sido y sigue siendo la autoridad, esta Agencia de Protección de Datos que debe hacerse cargo de velar por el cumplimiento de la ley, con poder de fiscalizar y sancionar a todos aquellos controladores de datos que no cumplan con la normativa.
Esta Agencia de Protección de Datos ha sido la principal traba desde el punto de vista presupuestario, al implicar un gasto público importante, porque estás creando una nueva institucionalidad, pero también desde un punto de vista político, por la relevancia y poder que puede tener una agencia de este tipo.
¿La fiscalización y sanción serían las principales ventajas de modificar esta ley?
Sí, una de las principales ventajas. Muchos países en latinoamérica dictaron sus propias leyes de protección de datos y crearon una autoridad de datos. Chile tiene una normativa de datos, pero sin agencia, transformándola en una ley ineficaz. Frente a un incumplimiento o infracción el ciudadano titular de datos puede sólo reclamar judicialmente, con todo lo que ello implica.
Este proyecto busca cambiar este sistema, se fortalecen los derechos y se crean otros nuevos. Estaríamos en condiciones de cumplir estándares internacionales.
¿Esto tiene directa relación con la nueva normativa impulsada por la Unión Europea?
Claro, aunque los proyectos de ley anteriores también buscaban ajustarse a los estándares de Europa, el de la Directiva del año 1995, que también se vió un poco superada con el avance de las tecnologías.
Este nuevo reglamento aplica directamente a todos los países de la UE, es decir, no deben trasponer dichas normas a la legislación interna. Ahora, cualquier ciudadano de la Unión Europea que se vea afectado puede recurrir a cualquier Agencia de Protección de Datos de Europa para reclamar sus derechos.
En todo caso, existen también los estándares iberoamericanos de protección de datos, adoptados en Chile en 2017 por los países que conforman la Red Iberoamericana de Protección de Datos, que tienen el carácter de directrices orientadoras para contribuir con iniciativas regulatorias en los países que aún no cuentan con estos ordenamientos, o sirvan de referente para la modernización y actualización de las legislaciones existentes.
Lo cierto es que cada país debe resolver el tipo de legislación que se ajuste no solo a un estándar de protección, sino también a su realidad e intereses.
¿Qué organismo debería hacerse cargo de este tema?
El proyecto de ley que estaba tramitándose crea una agencia independiente de datos personales, sin embargo, el Ejecutivo en sus indicaciones al proyecto propone entregar las atribuciones de protección de datos a un órgano que ya existe, que es el Consejo para la Transparencia.
Junto con otras organizaciones de la sociedad civil, solicitamos al Ejecutivo mantener una agencia con esta facultad exclusiva e independiente. Es que en la actualidad, la protección de los datos y especialmente los personales, son piedra angular de la ciberseguridad, por lo tanto, necesitamos contar con una autoridad que sea altamente técnica y especializada porque el desafío es trascendental para el desarrollo de los derechos en entornos digitales, y debe fiscalizar y sancionar tanto a los privados como los públicos.
Sabemos que existe una conexión entre los datos personales y el acceso a la información pública o la transparencia, pero no son dos caras de una misma moneda, como erróneamente han sostenido algunos. Creo que hoy la protección de datos personales ha transitado hacia la ciberseguridad, el objeto de protección de este derecho se debe garantizar también a través de su seguridad.
En Europa, por ejemplo, el ecosistema de ciberseguridad considera a la protección de los datos uno de los pilares. Datos personales, delitos informáticos e infraestructuras críticas son los conceptos principales.
¿Esta ley abarca desde el uso de los datos en retail, como el RUT, hasta el uso de datos cuando ingresamos a redes sociales?
Efectivamente, el uso de los datos abarca todo, desde el almacenamiento por parte de empresas privadas como el retail, hasta las empresas dueñas de plataformas digitales. La creación de las redes sociales produjo que los datos también fueran compartidos y almacenados a través de Internet.
En este contexto, el titular del dato pierde un poco el control de su propia información, porque probablemente no tiene conciencia del valor de sus datos y no ha leído ni comprendido los términos y condiciones que ha aceptado. Y en eso consiste justamente la protección de los datos: mantener el control de la propia información.
Para una persona, ¿por qué es tan importante el cuidar y controlar sus datos?
Primero, porque es un derecho fundamental garantizado por la Constitución y por instrumentos internacionales. En Chile, recientemente una reforma constitucional lo contempló como un derecho distinto al derecho a la privacidad este derecho. Además, es importante porque el derecho a la protección de los datos es un derecho instrumental, porque permite el ejercicio de otros derechos.
Si se vulnera la protección de tus datos, podrían afectarse también otros derechos, como a la igualdad, no discriminación, el acceso al trabajo o a la salud, situación que puede darse cuando la informacuón almacenada es utilizada con una finalidad diferente al proposito inicial de la recolección.
¿Esta ley vendría a parar esta práctica de ventas de bases de datos de las personas?
La ley actual establece determinadas habilitantes para tratar la información. Puedes obtener tus datos por el consentimiento del titular, porque te lo permite la ley o de una fuente de acceso público. Probablemente, muchas de las bases de datos existentes y que se transan no se encuentran legitimadas.
Quizá el caso más común es del RUT, que uno lo da con una finalidad que suele ser un descuento, pero que luego se presta para otros fines…
La entrega del RUT es una práctica que se ha naturalizado por los chilenos hace algunos años. En la fundación presentamos la campaña #NoDoyMiRUT para concientizar a la ciudadanía y erradicar este hábito. Es que muchas empresas utilizan este número de identificación para recopilar información sobre ti: qué compraste, dónde, cada cuánto, con quién viajas, que te gusta, qué medicamentos consumes. Es perfilamiento de consumidores para efectos de marketing. El perfilamiento de personas podría ser peligroso, basta recordar el caso de Cambridge Analytics de Facebook y los electores en Estados Unidos.
Considerando este tránsito hacia la ciberseguridad, ¿la Ley de Delitos Cibernéticos que se está tramitando actualmente va de la mano con esta Ley de Protección de Datos Personales?
El proyecto que modifica la ley de delitos informáticos es una actualización necesaria luego de la adhesión de Chile al convenio de Budapest, un instrumento internacional del año 2001 de cooperación internacional en materia de ciberdelitos, que moderniza el catálogo de delitos informáticos de una ley de 1993- de apenas cuatro artículos.
Ambos proyectos se relacionan en el marco del sistema de ciberseguridad.
Toda la parte digital ha avanzado muy rápido en el país. De hecho, somos uno de los países con mayor conectividad en América Latina. Sin embargo, queda la sensación de que la educación a los usuarios no acompañó este avance. ¿Cuál es tu opinión al respecto?
Ese es uno de los problemas detectados. El uso de la tecnología en la sociedad ha ido en aumento en Chile, como ocurrió con Brasil también, pero nada de eso vino acompañado de una mínima educación. Existe una brecha importante en este sentido, determinados sectores de la sociedad podrían estar más tecnologizados, pero en general falta formación y conciencia de las personas y en las familias.
VER JORGE PAVEZ: “EL ACCESO A INTERNET ES FUNDAMENTAL PARA SER UN PAÍS DESARROLLADO”
¿Cómo impacta la tecnología en los derechos sobre los datos personales de las personas?
No existe una comprensión real y efectiva de lo que implica la tecnología, cómo funcionan las aplicaciones, las plataformas en general o las redes sociales.
El concepto de privacidad ha ido evolucionando y el derecho en general, también lo hace cuando surgen nuevas tecnologías. Cambia porque los derechos, a pesar de ser los mismos, se ven afectados de otra manera. Cambia la forma en que se interpretan. La tecnología impacta al derecho de forma profunda y la legislación tarda para ser modificada.
Cuando creas un producto, un servicio o una tecnología, debes evaluar el impacto en los derechos y libertades de las personas y en ese sentido, es necesario que el trabajo sea conjunto. Lo anterior se relaciona también con la privacidad desde el diseño y por defecto, que deben aplicarse con anterioridad al inicio del tratamiento y cuando se esté desarrollando. Estas son medidas para el control de los riesgos de los responsables o controladores de datos.
En todo esto hay responsabilidad del controlador de los datos, que están obligados asimimos a darte seguridad, de entregar las herramientas necesarias para que tu información esté segura, además de las propias medidas técnicas y organizativas que por ley están obligados a mantener.
Por otro lado, también es relevante el autocuidado, cómo me educo y formo para ser un ciudadano digital seguro. En educación el Estado tiene una obligación desde temprana edad. Por ejemplo, si a un niño le explicas desde pequeño que los juguetes que ve en televisión para Navidad son parte de una estrategia de marketing, y cómo funciona éste, más adelante comprenderá que es algo que tal vez no necesita.
Lo mismo ocurre con la información que se comparte de manera indiscriminada en internet, si enseñamos que las redes sociales no son gratuitas, sino que “pagas” con tu propia información, probablemente seríamos más conscientes de lo que hacemos.
¿Con esta nueva ley, las multas van a ser más altas para las empresas que no cumplan?
Es un nuevo catálogo de infracciones y sanciones, que distingue entre infracciones leves, graves y gravísimas. Nunca antes se ha multado a una empresa por incumplir la ley de datos.
Las multas del proyecto dependerán de la gravedad de la infracción, pero también se contemplan atenuantes a la responsabilidad, si el controlador de datos cuenta con un modelo de prevención, certificado. Dependerá además el tamaño de la empresa, y el tipo de datos que se vea afectado, su volumen, etc. Un punto clave es que mientras más datos tengan, mayor es el riesgo.
Acá recordar el caso de Equifax, en que se filtraron 143 millones de registros en 2017. El impacto financiero fue de 5,8 billones de dólares en pérdidas. La acción bajó de 141 a 89 dólares. Ellos después se dieron cuenta que el impacto habría sido cerca del 30% o el 35% menos si hubieran borrado la información que era innecesaria. Este es el principio de minimización de datos, conservar solo aquellos datos necesarios para el cumplimiento de la finalidad, ni más ni menos.
Con esta nueva Ley de Protección de Datos Personales las empresas deberán tener el doble de cuidado con tratamiento de la información…
Lo importante es que las empresas cumplan la ley. En general, existe un acuerdo del mundo empresarial en que esta ley es necesaria, para dar certezas y establecer reglas claras. El principio de libre circulación de los datos existe, pero cumpliendo las normas de protección de la información personal porque se trata de un derecho fundamental. En denitiva, el tratamiento de los datos es una práctica que se encuentra regulada, y ya varios años las empresas no se han visto obligadas a cumplir estándares y normas eficaces.
Las visiones más optimistas dicen que ya en 2019 podría entrar en vigencia esta nueva ley. ¿Son realistas estas opiniones?
Con la discusión del proyecto de delitos informáticos y el de datos, se estarían tramitando dos proyectos importantes en paralelo. Pero el presidente Piñera anunció que daría urgencia al proyecto de datos. Esperamos que el próximo año se tramite en la Comisión rápidamente.
