-
http://datos.bcn.cl/recurso/cl/documento/654820/seccion/akn654820-ds56-ds59
- dc:title = "DOCUMENTOS DE LA CUENTA"^^xsd:string
- bcnres:tieneTramiteConstitucional = http://datos.bcn.cl/recurso/nulo
- bcnres:tieneMateria = http://datos.bcn.cl/recurso/tema/derecho-a-la-privacidad
- bcnres:esParteDe = http://datos.bcn.cl/recurso/cl/documento/654820
- bcnres:esParteDe = http://datos.bcn.cl/recurso/cl/documento/654820/seccion/akn654820-ds56
- bcnres:tieneTramiteReglamentario = http://datos.bcn.cl/recurso/nulo
- rdf:value = " Moción del diputado señor Navarro.
Modificacion a la ley Nº 19.628 sobre “Protección de datos de carácter personal” para introducir el concepto de uso indebido o abusivo de datos. (boletín Nº 3095-07)
“Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia”.
Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.
Diariamente, las personas estamos entregando nuestros datos personales. Ya sea cuando llenamos un formulario para adquirir la tarjeta de crédito de una tienda de ropa, cuando ingresamos a alguna institución, o bien, cuando buscamos trabajo. Posteriormente, estos datos pueden utilizarse para otros fines o comunicarse a terceros. Los datos personales pueden ser cualquier dato que permita identificar a una persona física, como un nombre, número de teléfono o el correo electrónico. Los avances de la informática, junto con las nuevas redes de telecomunicaciones, permiten la transferencia de los datos personales con mayor rapidez; esto hace necesario una regulación sobre la materia, sobre todo, a la luz del uso indebido o abusivo de dichos datos personales, y específicamente frente al fenómeno denominado Spam.
El correo Spam es una modalidad de correspondencia electrónica que se utiliza para el envío de publicidad no solicitada. De esta manera, un usuario de internet está expuesto a recibir correos con ofertas comerciales, copia de correos originales enviados a terceros o simplemente correos de personas desconocidas; todo lo anterior, en virtud de encontrarse los datos del usuario disponibles en la red.
En este sentido, debemos mencionar el caso de la empresa norteamericana Geocities, que ofrecía albergue gratuito de página web, y que llegó a un acuerdo por el que se puso fin a un procedimiento iniciado por la Federal Trade Commission (FTC), en el que lo acusaba de utilizar los datos personales de sus usuarios con una finalidad distinta a la indicada inicialmente.
En el acuerdo, Geocities se obligó a publicar en su página web un aviso sobre intimidad, explicando a los usuarios qué información está siendo obtenida de los mismos y con qué propósito, a quién será transmitida y cómo pueden los afectados acceder a dichos datos y exigir su cancelación.
Además, Geocities deberá conseguir el consentimiento paterno antes de obtener información de usuarios menores de 13 años.
Según la FTC, esta información permitía generar perfiles de usuarios y ceder ficheros de datos segmentados a diversos anunciantes. Ello implicaba una disposición no autorizada de los datos, ya que los afectados facilitaban dicha información conscientes de que el contenido de los campos obligatorios podía ser utilizado para remitir ofertas específicas que ellos solicitaban, y que el contenido de los campos opcionales no sería cedido a terceros.
La Federal Trade Commission norteamericana (FTC) publicó hace algunos años un informe sobre “Intimidad on line” en el que se describe cómo se obtienen los datos personales de los usuarios que visitan los webs comerciales de las empresas americanas y se analiza la política de las mismas respecto a la información al usuario sobre la recogida de dichos datos.
El informe de la FTC ofrece las siguientes conclusiones:
Webs comerciales visitados que obtienen información relativa a personas identificables: 90%
Webs comerciales visitados que informan al usuario sobre dicha obtención de datos: 14%
Webs comerciales visitados que informan al usuario sobre su política en materia de intimidad: 2%
Webs destinados al público infantil que obtienen información personal de los visitantes: 89%
Webs destinados al público infantil que informan sobre dicha obtención de datos: 54%
Al final del informe, la FTC recomienda al congreso norteamericano que regule la forma en que las empresas obtienen información personal a través de sus sedes web en internet, especialmente, respecto al público menor de 13 años.
¿Quiénes son los interesados en que esta materia se regule por ley?
Los interesados somos todos. A la hora de reservar un vuelo, buscar un trabajo o emplear una tarjeta de crédito o navegar por internet las personas están comunicando datos personales.
En este sentido, los responsables del tratamiento y almacenamiento de datos personales, deberían observar varios principios, que no sólo buscan proteger a los interesados, sino que son también una declaración de buenas prácticas comerciales que contribuyen a un tratamiento de datos fidedigno y eficaz.
Estos principios son los siguientes:
a)Los datos deben tratarse de manera leal y lícita.
b)Deben recogerse con fines explícitos y legítimos y emplearse de la misma forma.
c)Los datos deben ser pertinentes y no excesivos con relación a los fines para los que se traten.
d)Los datos deben ser exactos y, cuando sea necesario, actualizados.
e)Los responsables del tratamiento deben proporcionar a los interesados medidas razonables cada vez que puedan rectificar, suprimir o bloquear los datos incorrectos sobre su persona.
f)Los datos que permitan la identificación de los interesados no se deben mantener durante un período superior al necesario.
g)Como norma general, todos los responsables del tratamiento deberían notificar a las autoridades respectivas, si están tratando datos personales.
Casos en que pueden tratarse datos personales
El tratamiento y almacenamiento de datos personales sólo debería efectuarse si:
*El interesado ha dado su consentimiento de forma inequívoca, es decir, si ha aceptado libre y específicamente tras haber sido informado adecuadamente;
*El tratamiento de datos es necesario para la ejecución de un trato o la celebración del mismo a petición del interesado como, por ejemplo, el tratamiento de datos para redactar una factura o el tratamiento de datos relativos al solicitante de un puesto de trabajo o de un préstamo;
*El tratamiento es una obligación jurídica;
*El tratamiento de datos es necesario para proteger el interés vital del interesado. Tenemos un ejemplo cuando se produce un accidente de circulación y el interesado está inconsciente.
En tal caso, se podría efectuar análisis de sangre si se considera fundamental para salvar la vida del interesado;
*El tratamiento es necesario para cumplir una misión de interés público o inherente al ejercicio del poder público (gobierno, autoridades fiscales, policía, etc.);
*Finalmente, los datos pueden tratarse para satisfacer el interés legítimo del responsable del tratamiento o de un tercero. No obstante, este interés no debería prevalecer sobre el interés o los derechos y libertades fundamentales del interesado, especialmente el derecho a la intimidad.
Datos sensibles
Se deberían aplicar normas muy estrictas al tratamiento de datos sensibles: los referentes al origen racial o étnico, ideología, creencias religiosas o filosóficas, afiliación sindical, salud o vida sexual. Como norma, estos datos no deberían tratarse.
Se tolerarán excepciones en circunstancias muy concretas. Entre éstas, el tratamiento de datos con el consentimiento explícito del interesado, el tratamiento obligatorio de datos debido a la normativa laboral, en casos en los que el interesado no pueda dar su consentimiento (por ejemplo, análisis de sangre de la víctima de un accidente de circulación), tratamiento de datos anunciados públicamente o el tratamiento de datos sobre afiliados por parte de sindicatos, partidos políticos o iglesias.
Menores de edad
El caso de los menores de edad es un tema muy sensible, a la luz de los graves delitos que es posible cometer, generalmente al amparo del desconocimiento y falta de experiencia de niños y adolescentes. Esta situación se acentúa con el uso de redes informáticas, en donde se han creado verdaderas redes telemáticas de tráfico de menores, pedofilia y abusos sexuales. Es por esto que los padres deben asumir un rol más protagónico al momento del uso de los datos personales de sus hijos y la ley debe buscar los instrumentos para protegerlos.
El caso internet
Es bastante ilógico y carecería de justificación jurídica excluir una herramienta de transferencia tan importante como internet del ámbito de aplicación de las leyes, específicamente la ley Nº 19.628 sobre “Protección de datos de carácter personal”.
Por el contrario, el vertiginoso aumento del volumen y la naturaleza múltiple de los datos personales transferidos mediante internet por todo el mundo, incluso a países que carecen de la protección adecuada, requiere especial atención. La ley Nº 19.628 sobre “Protección de datos de carácter personal” debería ser aplicable con independencia de los medios tecnológicos empleados en el tratamiento de datos personales.
A título de muestra, la señalada ley se aplica al almacenamiento o tratamiento de datos, lo cual incluye la recogida invisible de datos personales de internet (por ejemplo: los “cookies” que se emplean para rastrear los hábitos personales de navegación en internet). Por otro lado, si los datos personales se recogen de forma “visible”, cabría señalar que una persona que transfiere sus propios datos o consiente tal transferencia, sea a condición de que esté suficientemente informada sobre los riesgos que esto implica.
Una persona tiene derecho a oponerse al tratamiento de sus datos con fines de publicidad o comunicaciones comerciales de respuesta directa; comercialización o venta directa de bienes y servicios, ya sea en forma presencial; por medio de redes de telecomunicaciones, cualquiera sea su modalidad, por ejemplo: análogas, digitales, inalámbricas o satelitales; por internet o por correo electrónico.
Derechos del titular de datos personales
Los responsables del tratamiento y almacenamiento deberían informar al titular cuando recojan datos personales que le afecten, a menos que ya se le haya informado previamente. Debería tener derecho a ser informado de: la identidad del responsable, la finalidad del tratamiento, los receptores de los datos y los derechos específicos a los que éstos tienen derecho en calidad de interesados. El titular debería tener derecho a recibir esta información con independencia de que los datos se hubieran obtenido directamente, o de forma indirecta mediante terceros.
Además, debería poder acudir a cualquier responsable del tratamiento para saber si está tratando o no datos personales que le afecten, también tendrá derecho a recibir una copia de los datos de forma inteligible y a recibir cualquier información disponible sobre sus fuentes. Si los datos personales son inexactos o se han tratado ilegalmente, podría pedir su corrección o supresión. En este caso, el interesado también podría solicitar al responsable del tratamiento que lo notifique a los terceros que hubieran recibido previamente los datos incorrectos, a menos que esto sea imposible.
Determinadas decisiones, que afectan significativamente al interesado, tales como la de conceder un préstamo o suscribir un seguro, pueden tomarse sobre la única base de un tratamiento de datos automatizado. Por consiguiente, el responsable del tratamiento debería adoptar precauciones adecuadas, tales como brindar al interesado la oportunidad de discutir la lógica que subyace a los datos recogidos o denunciar las decisiones basadas en datos incorrectos.
Excepciones y limitaciones
El derecho a la intimidad a veces puede entrar en conflicto con la libertad de expresión y, en particular, con la libertad de prensa y de otros medios de comunicación. Por consiguiente, es necesario establecer excepciones en sus normas de protección de datos con objeto de lograr un equilibrio entre estos derechos distintos, pero igualmente fundamentales.
La ley debería contemplar excepciones si son necesarias por motivos de seguridad nacional, defensa, investigación de delitos, aplicación del derecho penal, o para proteger a los interesados o los derechos y libertades de los demás. Además, debería concederse una excepción al derecho a acceder a aquellos datos tratados por motivos científicos o estadísticos.
Transferencias de datos personales en forma transnacional
En casos de transferencia de datos a otros países, podría ser necesario adoptar precauciones especiales si el nivel de protección de datos del país no es suficiente, habida cuenta de la facilidad con que pueden circular los datos en las redes internacionales.
El principio debería ser que los datos personales sólo pueden transferirse a los países que garanticen un nivel adecuado de protección. En este sentido, debería analizarse las leyes de protección de datos de los principales socios comerciales de Chile, dialogándose con los mismos con objeto de decidir qué países puede considerarse que ofrecen una protección adecuada. Cuando un tercer país no garantiza un nivel de protección adecuado, debería exigirse el bloqueo de determinadas transferencias.
Alternativas por uso indebido o abusivo de datos personales desde el extranjero
Una de las soluciones más extremas es el bloqueo de transferencias de datos personales. Existen otras maneras de garantizar una adecuada protección de los datos sin entorpecer los flujos internacionales de datos y las transacciones comerciales a los que estos van asociados. Por ejemplo, si las empresas dudan acerca de la protección que pueda ofrecer la legislación o los sistemas autorreguladores de un país, sería prudente que se dotaran ellas mismas de esa protección. Esto podría lograrse mediante un contrato entre la empresa que envía los datos y la empresa que los recibe. El objeto de este contrato sería el de ofrecer garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. Si se aplican salvaguardias correctas, un Estado no debería tener ningún motivo para bloquear cualquier transferencia de datos sobre sus ciudadanos.
Atendiendo estas consideraciones, se presenta a la honorable Cámara de Diputados, el siguiente:
PROYECTO DE LEY
Artículo 1º. Introdúcense las siguientes modificaciones a la ley Nº 19.628 sobre “Protección de datos de carácter personal”:
1.Modifícase el artículo 1º del Título Preliminar “Disposiciones Generales” de la señalada ley en el siguiente sentido:
a)Intercálase en el inciso 1º después del término “tratamiento” la expresión “o almacenamiento”.
b)Intercálase en el inciso 2º después del término “tratamiento” la expresión “o almacenamiento”.
2.Modifícase el artículo 2º del Título Preliminar “Disposiciones Generales” de la señalada ley en el siguiente sentido:
a)Reemplázase la letra o) por la siguiente: “Tratamiento de los datos, cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, sea que se utilice la recogida invisible de datos personales de internet (por ejemplo: los “cookies” que se emplean para rastrear los hábitos personales de navegación en internet), sea que se utilice la recogida de forma “visible”, y que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, confrontar, disociar o cancelar datos de carácter personal”.
b)Agrégase como letra p) la siguiente: “p) Comercialización de datos, cualquier acto o contrato que tenga por objeto comprar, vender, arrendar, permutar y/o ceder datos personales, así como cualquiera otra modalidad de transferencia o transmisión de los mismos, sean éstos de fuentes accesible al público o no; y que permita adquirir su dominio, uso o goce en forma permanente o temporal o a lo menos ofertar éstos para su posible adquisición”.
3.Introdúcense las siguientes modificaciones en el artículo 4º del Título I “De la utilización de datos personales”, de la señalada ley:
a)Modifícase el inciso 1º, por el siguiente: “El tratamiento o comercialización de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. En el caso de menores de edad, la autorización sólo podrá ser dada por sus padres de común acuerdo y mediante escritura pública”.
b)Modifícase el inciso 2º, por el siguiente: “La persona que autoriza debe ser debidamente informada respecto del propósito del tratamiento, almacenamiento de sus datos personales, comercialización de los mismos y su posible comunicación al público o la utilización de otro procedimiento similar. El o los responsables del uso de datos personales en alguna o todas las formas mencionadas, deberán informar al titular cuando recojan datos personales que le afecten, a menos que ya se le haya informado previamente. El titular de datos personales tiene derecho a ser informado de: la identidad del responsable, la finalidad del tratamiento o almacenamiento de datos o de otro procedimiento similar, los receptores de los datos y los derechos específicos a los que éstos tienen derecho en calidad de interesados. El titular tiene derecho a recibir esta información con independencia de que los datos se hubieran obtenido directamente, o de forma indirecta mediante terceros. Además, el titular de datos personales podrá acudir a cualquier responsable del tratamiento, almacenamiento u otro procedimiento similar para saber si está tratando o no datos personales que le afecten, también tendrá derecho a recibir una copia de los datos de forma inteligible y a recibir cualquier información disponible sobre sus fuentes. Si los datos personales son inexactos o se han tratado ilegalmente, podría pedir su corrección o supresión. En este caso, el titular de datos personales también podrá solicitar al responsable que informe a terceros que hubieran recibido previamente los datos incorrectos.
c)Agrégase el siguiente párrafo inmediatamente después del inciso 3º del artículo 4º, pasando el punto aparte a ser punto seguido, a saber el siguiente: “En el caso de menores de edad, la autorización sólo podrá ser dada por sus padres de común acuerdo y mediante escritura pública”.
d)Agrégase el siguiente párrafo inmediatamente después del inciso 4º del artículo 4º, pasando el punto aparte a ser punto seguido, a saber el siguiente: “En el caso de menores de edad, la revocación podrá realizarse por cualquier medio que otorgue fe”.
e)Reemplázase el inciso 5º del artículo 4º por el siguiente: “No requiere autorización el tratamiento o almacenamiento de datos personales que provengan o que se recolecten de fuentes accesibles al público, cuando sean de carácter económico, financiero, bancario o comercial, se contengan en listados relativos a una categoría de personas que se limiten a indicar antecedentes tales como la pertenencia del individuo a ese grupo, su profesión o actividad, sus títulos educativos, dirección o fecha de nacimiento. En todo caso, se requerirá autorización cuando los datos personales sean necesarios para publicidad o comunicaciones comerciales de respuesta directa; comercialización o venta directa de bienes y servicios, ya sea en forma presencial; por medio de redes de telecomunicaciones, cualquiera sea su modalidad, por ejemplo: análogas, digitales, inalámbricas o satelitales; por internet o por correo electrónico.
g)Agrégase el siguiente párrafo inmediatamente después del inciso 6º: “No podrá en caso alguno, utilizarse para tratamiento, almacenamiento u otra operación similar los datos personales referidos al origen racial o étnico, ideología, creencias religiosas o filosóficas, afiliación sindical, salud o vida sexual, salvo cuando la propia ley o por resolución judicial así lo permita y sólo para el uso exclusivo de la persona o entidad autorizada. Excepcionalmente, podrán utilizarse datos personales cuando sea necesario por motivos de seguridad nacional, defensa, investigación de delitos, aplicación del derecho penal, o para proteger a sus titulares o los derechos y libertades de los demás. Además, se hace extensiva esta excepción por motivos científicos o estadísticos, previamente comprobable.
4.Modifícase el párrafo 1º del artículo 6º del Título I “De la Utilización de datos personales” de la señalada ley, en el siguiente sentido:
a)Intercálase antes del término “almacenamiento” la expresión “tratamiento o”.
b)Remplázase el término “carezca” por “carezcan”.
5.Agrégase en el artículo 8º del Título I “De la Utilización de datos personales” de la señalada ley, el siguiente párrafo como párrafo final, en los siguientes términos: “En el caso de menores de edad, se estará a lo señalado párrafo 1º del artículo 4º de la presente ley”.
6.Modifícase el párrafo 1º del artículo 12º del Título II “De los derechos de los titulares de datos” de la señalada ley, en el siguiente sentido:
a)Intercálase después del término “tratamiento” la expresión “o almacenamiento”.
b)Intercálase antes del término “almacenamiento” la expresión “tratamiento o”.
7.Modifíquese el párrafo 4º del artículo 12º del Título II “De los derechos de los titulares de datos” de la señalada ley, en los siguientes términos: “Igual exigencia de eliminación, o la de bloqueo de los datos, en su caso, podrá hacer cuando sus datos personales se usen para publicidad o comunicaciones comerciales, ya sea en forma presencial; por medio de redes de telecomunicaciones, cualquiera sea su modalidad, por ejemplo: análogas, digitales, inalámbricas o satelitales; por internet o por correo electrónico y no desee seguir figurando en el registro respectivo, sea de modo definitivo o temporal”.
8.Agréguese como Título VI de la señalada ley el siguiente:
Título VI Del uso indebido o abusivo de datos personales.
Artículo 23A. El uso indebido o abusivo de datos personales en su almacenamiento, tratamiento, publicidad, comercialización o cualquiera otra forma de utilización, sean de fuentes accesibles al público o no, sea que se efectúe cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello, será sancionado en la forma que establece la presente ley.
Artículo 23B. “El titular de datos personales que vean afectos sus derechos por el uso indebido o abusivo de los mismos, podrá exigir de la o las personas naturales o jurídicas responsables que le indemnicen el daño patrimonial y moral que le causare. Para estos efectos, será aplicable lo señalado en el Título V “De la responsabilidad por las infracciones a esta ley”.
Artículo 23C. Sin perjuicio de lo señalado anteriormente, el titular de datos personales que vean afectos sus derechos o los de su familia a la vida privada y pública por el uso indebido o abusivo de los mismos, podrá ejercer una acción penal privada para la sanción del culpable, en iguales términos que los señalados en el artículo 161B del Código Penal. Lo anterior se aplicará especialmente cuando el uso de datos personales se utilice para publicidad o comercialmente respecto del mismo titular o de terceros, ya sea en forma presencial; por medio de redes de telecomunicaciones, cualquiera sea su modalidad, por ejemplo: análogas, digitales, inalámbricas o satelitales; por internet o por correo electrónico.
Artículo 23D. Se entenderá por uso indebido o abusivo de datos, para los efectos de la presente ley, cualquier privación, restricción o perturbación del legítimo ejercicio de los derechos garantizados por la Constitución o las leyes, que se produzca como consecuencia del tratamiento de los mismos, aun cuando haya autorización por parte de su titular.
Artículo 23E. En casos de transferencia electrónicas de datos personales a otros países, sólo pueden transferirse a los países que garanticen un nivel adecuado de protección y seguridad informática. Cuando un país no garantice un nivel de protección adecuado, podrá exigirse el bloqueo de aquellas transferencias electrónicas.
"
- bcnres:tieneProyectoDeLey = http://datos.bcn.cl/recurso/cl/proyecto-de-ley/3095-07
- rdfs:label = "Moción del diputado señor Navarro. Modificacion a la ley Nº 19.628 sobre “Protección de datos de carácter personal” para introducir el concepto de uso indebido o abusivo de datos. (boletín Nº 3095-07)"^^xsd:string
- bcnres:tieneReferencia = http://datos.bcn.cl/recurso/persona/3688
- bcnres:tieneTerminoLibre = http://datos.bcn.cl/recurso/tema/proteccion-de-datos-de-caracter-personal
- rdf:type = bcnses:SeccionDocumentoCuenta
- rdf:type = bcnres:MocionParlamentaria
- rdf:type = bcnres:SeccionRecurso
- frbr:creator = http://datos.bcn.cl/recurso/persona/3688
