Con fecha 7 de octubre de 2021, el Gobierno presentó ante el Senado una indicación al proyecto de ley que reforma la ley de protección de datos personales. En ella, se sustituye todas las referencias al Consejo para la Transparencia por la mención a la denominada “Agencia de Protección de Datos Personales”.
En efecto, hasta ese momento toda la tramitación del proyecto entregaba lo que podríamos denominar la “Autoridad de Datos” a dicho Consejo, atendida su experiencia en la materia, enfocada principalmente en el sector público.
Existe una insistente preocupación de parte de los juristas ante la falta de una autoridad de control. Así, Carey y Alarcón señalaron, siendo en ese momento el Consejo para la Transparencia la autoridad de datos proyectada, que “El actual proyecto contempla una reforma completa del Consejo para la Transparencia para que, como órgano autónomo, tenga a su cargo el cumplimiento integral de la Ley de Protección de Datos Personales”. Asimismo, “No existen diseños regulatorios perfectos ni instituciones de control a la medida; sin embargo, el retardo en el establecimiento de una autoridad en materia de datos seguirá aumentando las enormes áreas grises que hoy existen respecto del manejo de nuestra información personal”.[1]
La doctrina ya estaba desde hace tiempo bregando por una entidad técnica y especializada. En este sentido, Renato Jijena habla de una entidad “similar a la de una Superintendencia, técnica, autónoma y descentralizada funcionalmente”. Asimismo, señala que, debido a sus funciones, que no son sólo económicas, “para que exista real descentralización funcional y autonomía, el único ente Ejecutivo cercano a la Autoridad de Control, podría ser el Ministerio de Justicia y Derechos Humanos”.[2]
La indicación, fuera de las normas de ajuste de referencias dentro del proyecto, consagra un nuevo servicio público denominado oficialmente como “Agencia de Protección de Datos Personales”. Podemos caracterizarla de la siguiente forma:
a) Desde un punto de vista orgánico, la describe como una “corporación autónoma de derecho público, de carácter técnico, descentralizado, con personalidad jurídica y patrimonio propio, que se relacionará con el Presidente de la República a través del Ministerio de Economía, Fomento y Turismo” (art. 30 propuesto).
Aunque la denomine como “autónoma”, resalta su calidad de descentralizada, o sea, es parte de la Administración del Estado y está sometida a la supervigilancia del presidente de la República. Su relación a través del Ministerio de Economía es cuestionable, tal como lo asevera Jijena, ya que, aunque el aspecto económico es relevante, involucra otros ámbitos y derechos sin contenido económico. Desde ese punto de vista, debió quedar bajo la supervigilancia, o bien, del ministerio del Interior; o del proyectado ministerio de Seguridad Pública, por la importancia de los datos en general o, en opinión de Jijena, del Ministerio de Justicia y Derechos Humanos.
b) Su jefatura superior estará en manos de un Consejo Directivo compuesto por tres consejeros designados por el Presidente de la República con el acuerdo de los dos tercios de los miembros en ejercicio del Senado, durando seis años es sus puestos, no renovables inmediatamente. Los consejeros se renovarán en forma individual por dos años. El consejo tendrá un presidente y vicepresidente que serán designados por el presidente de la República, durando tres años en sus funciones (art. 33 quáter propuesto).
Podemos observar que se ha tomado como referencia al Consejo para la Transparencia para establecer una autoridad superior colegiada, pero con tres miembros en vez de cinco. Además, hay un aspecto interesante: el presidente y el vicepresidente son elegidos por el presidente de la República, y no entre ellos, en una fórmula muy parecida a lo que sucede con el Banco Central. No obstante, no parece ser una entidad autónoma de la misma jerarquía del Banco Central.
Otro aspecto relevante en este caso: los estatutos de la Agencia y sus modificaciones serán propuestos por la entidad al presidente de la República y su aprobación se hace por decreto supremo expedido por el Ministerio de Economía, Fomento y Turismo (art. 30 octies propuesto). Esto no corresponde a las características de un organismo autónomo como el Banco Central, Servicio Electoral o la Controlaría, que, dentro de su marco constitucional y legal, dictan de forma independiente su propia normativa interna. Por lo tanto, no es un organismo autónomo propiamente tal y lo aproxima mucho al caso del Consejo para la Transparencia que tiene una norma similar en su ley (Ley Nº 20.285, art. 41).
c) Su norma sobre la cesación en funciones de los consejeros (art. 30 sexies propuesto) es idéntica a la establecida en el artículo 38 de la ley Nº 20.285 para el Consejo para la Transparencia, es decir, mecanismo mixto donde quien adopta la decisión de remoción es la Corte Suprema, a petición del presidente de la República, la Cámara de Diputados por acuerdo de simple mayoría, o diez diputados e invocando causales específicas como incapacidad, mal comportamiento o negligencia manifiesta en el cumplimiento de sus funciones.
Lo señalado en esta letra junto con la anteriores hace evidente que el modelo es el Consejo para la Transparencia, pero también que no es un organismo constitucionalmente autónomo como se pretendía por algunos.
Aquí vemos como se comienza a aplicar la idea “autoridades independientes”, en una versión más de avanzada de los servicios públicos descentralizados, pero que no alcanza a ser una autonomía constitucional.
d) Con respecto al objeto de la Agencia, el artículo 30 propuesto lo describe como “velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales, de conformidad a lo establecido en la presente ley, y fiscalizar el cumplimiento de sus disposiciones”. Sin perjuicio de esto, en el inciso final del artículo 10 propuesto, señala que “La Agencia velará por el efectivo ejercicio y cumplimiento de los derechos que esta ley reconoce al titular de datos, en conformidad a lo dispuesto en esta ley”.
De los enunciados transcritos, podemos comentar que hace un énfasis a la vida privada de las personas como derecho afectado enlazándolo con los datos personales, cuando en verdad hablamos de un nuevo derecho, la protección de datos personales, esto es, la facultad que tiene una persona de controlar la información que se tiene de ella.
e) La norma más trascendente dentro de la indicación es el artículo 30 bis propuesto, donde establece en sus primeros literales una serie de atribuciones relevantes entre las que destacamos: dictar instrucciones y normas generales y obligatorias con el objeto de regular las operaciones de tratamiento de datos personales; aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de protección de los datos personales y las instrucciones y normas generales que dicte la Agencia; fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos y las instrucciones y normas generales que se dicten respecto de los tratamientos de datos personales; determinar las infracciones e incumplimientos en que incurran quienes realicen tratamiento de datos personales; y, finalmente ejercer la potestad sancionadora sobre las personas naturales o jurídicas que traten datos personales.
Estas disposiciones son relevantes para el funcionamiento de la entidad, en especial, las facultades de fiscalizar la actividad, determinar infracciones y sancionar administrativamente, llegado el caso. Sin ellas, no tendrá ningún objeto el establecer a la Agencia de Protección de Datos Personales.
Aunque esto parezca una obviedad, está todavía presente la experiencia del proyecto de ley que pretendió incrementar las facultades del Servicio Nacional del Consumidor, que fue declarado inconstitucional por el Tribunal Constitucional en los artículos que pretendieron reforzar las facultades sancionatorias de la entidad y que la dejó muy por debajo del papel que se le quería entregar por el legislador.
f) Otro aspecto relevante es el relativo a la coordinación regulatoria. En efecto, cuando el Consejo para la Transparencia o la Agencia de Protección de Datos deban dictar instrucciones generales y obligatorias sobre regulaciones que invadan el ámbito de actuación de la otra, deberán emitir informe con el objeto de evitar conflictos de tipo normativo o de otra índole y asegurar coordinación, colaboración y cooperación entre ambas entidades.
Es una norma obvia, dada la creación de una nueva entidad en vez de concentrar la función en una sola, como lo contemplaba el proyecto original.
La creación de la autoridad de datos es un paso imprescindible dadas las actuales circunstancias, donde los datos personales fluyen cada vez más y deben ser controlados por sus titulares y, en el caso chileno, donde existe un riesgo cierto de regulación dispersa y desarticulada que puede provocar más problemas que la sola falta de regulación.
*Las opiniones expresadas en este artículo son del autor y no reflejan necesariamente el punto de vista de los administradores del blog The Crypto Legal ni de la asociación Lawgic Tec
[1] Protección de datos personales y la deuda institucional. El Mercurio Legal. 21 de julio de 2021.
[2] Una nueva autoridad para proteger los datos personales. Sitio web Diario Financiero, específicamente https://www.df.cl/noticias/opinion/columnistas/una-nueva-autoridad-para-proteger-los-datos-personales/2021-09-09/182523.html (revisado el 10.9.2021).
