Por Hernán Calderón, presidente de Conadecus y Camila Huispe, abogada de Conadecus
Gran revuelo han causado las modificaciones que introducirá el proyecto de ley que regula la protección y el tratamiento de los datos personales, creando la Agencia de Protección de Datos Personales, despachado el pasado 27 de agosto al Ejecutivo para su promulgación como ley. La mayoría, correspondiente al sector privado, se centra en criticar el esquema de multas que se establecen en caso de infracción, por considerarlas altamente desproporcionadas, pudiendo –según sostienen– producir efectos adversos en la inversión y afectar al desarrollo de las pymes.
No obstante, ningún sector se ha pronunciado sobre la regulación del consentimiento del titular y el tratamiento de datos sensibles a los cuales, de igual forma, tendrá acceso el responsable de datos.
En efecto, el proyecto de ley dispone como regla general que el tratamiento de los datos personales será lícito cuando el titular otorgue su consentimiento de manera previa, libre e informada y persiga una finalidad específica. Sin embargo, también se encarga de regular excepciones a requerir el consentimiento, cuando los datos provengan de otras fuentes de licitud.
El responsable no requiere la autorización del titular cuando quiera acceder a información relativa al incumplimiento de las obligaciones de carácter económico, financiero, bancario o comercial provenientes de la contratación de mutuos hipotecarios y otros créditos de consumo –cuestión que ya se encontraba contemplada en la Ley N° 19.628– ni tampoco la requerirá para acceder a la información sobre el cumplimiento de dichas obligaciones, lo que se conoce como la información positiva del titular.
Esto cobra relevancia, puesto que quienes se dedican a tratar los datos personales para ponerlos a disposición de entidades financieras y el mercado, como lo hacen los burós de créditos como Dicom, Equifax, Sinacofi, etc., finalmente tendrán acceso a toda la información crediticia del titular, positiva y negativa, saltándose la barrera del consentimiento. Acá no debemos olvidar el esmero con que se reguló el consentimiento para acceder a la información financiera con ocasión de la creación del Registro de Deuda Consolidada y que pasarían por alto en este nuevo proyecto.
Ahora bien, el proyecto también contempla que los responsables puedan acceder a los datos del titular que se refieran a su situación “socioeconómica” sin requerir su consentimiento. Cuestión que resulta contradictoria, toda vez que la misma normativa cataloga dicha información como un “dato sensible” al estar directamente relacionada con la esfera privada del titular. Básicamente, se está concediendo el acceso a los aspectos relacionados con el estrato social del titular, basado en su nivel de educación, ingresos y empleo sin requerir su consentimiento.
Y es que el tratamiento de datos sensibles también se encuentra regulado, pero las excepciones planteadas consideran situaciones mucho más extremas y legítimas que el tratamiento de datos relativo al nivel social.
Lo anterior puede tener como correlato que el tratamiento de datos personales no se diferencie de la información contenida en el Registro Social de Hogares u otros registros similares, permitiendo que dichas entidades manejen información relativa al porcentaje o nivel de vulnerabilidad de los titulares de datos, con la abierta discriminación que se traducirá al momento de requerir productos financieros.
El proyecto terminó su tramitación en el Congreso, por lo tanto, solo queda el veto presidencial como una forma de solucionar estos problemas que acarrea en relación con el consentimiento de las personas. De transformarse en ley tal como está, mañana existirá un acceso ilimitado por parte de los burós de crédito a los datos más sensibles y discriminatorios de las personas: su deuda positiva y negativa y su información socioeconómica.