Las empresas
Cuando lanzamos la primera versión de este informe hace un año, la principal conclusión fue que a la industria de las telecomunicaciones le preocupaba poco o muy poco la protección de datos y la privacidad de los usuarios. Nuestra segunda conclusión fue que las empresas controladas por capitales extranjeros fueron levemente mejor evaluadas que sus pares, probablemente por cumplir con estándares fijados por su casa matriz.
Un año después, la versión 2018 pinta un panorama un poco más auspicioso. Un sector de la industria (en particular Claro y WOM) parece haber reaccionado ante los cuestionamientos del informe y avanzó sustantivamente en sus condiciones de privacidad y prácticas en pos de la defensa de los usuarios. Por otra parte, VTR y Movistar parecen haberse dormido en los laureles de su evaluación relativamente positiva del año pasado, y no avanzaron sustantivamente. Por último, Entel y Manquehue se mantienen al fondo de la tabla, no habiendo mostrado mayor interés en mejorar.
Una de las principales mejoras, y que resulta particularmente positiva a la luz de la polémica por la aprobación del llamado Decreto Espía, es que un número importante de empresas anunció públicamente que exige orden judicial previa, no solo cuando la autoridad solicita interceptar comunicaciones, sino para entregar acceso a los metadatos del usuario.
También resulta llamativo que las dos empresas que más avanzaron (Claro y WOM), son justamente las empresas más presentes en el segmento móvil del mercado, que hoy presenta mayores niveles de competencia. Esto puede indicar que el bajo nivel de competencia que enfrentan las empresas más afianzadas en el mercado entrega pocos incentivos para que estas ofrezcan mejoras en las condiciones de privacidad de sus usuarios.
La sociedad civil
Cuando nos preguntamos quienes recolectan, tratan y abusan de nuestros datos, los dardos generalmente apuntan al Estado y las empresas. Sin embargo, muchas organizaciones de la sociedad civil, como ONGs, partidos políticos, sindicatos y otros cuerpos intermedios también manejan grandes bases de datos personales, los que por un interés activo o por negligencia pueden ser mal utilizados.
Por su volumen, las bases de datos que los partidos políticos manejan al momento de desplegar sus campañas electorales son de particular importancia. Este año, nos enteramos que el mal uso de nuestros datos personales por parte de los partidos políticos va más allá de la compra de bases de datos y de mensajes de texto no solicitados.
En un extenso reportaje, CIPER dio a conocer que distintos partidos políticos han contratado los servicios de la empresa Instagis. A través de su software, la empresa permitiría identificar el RUT, domicilio y preferencia política de una persona, y de esta forma entregar publicidad personalizada durante las campañas políticas. Cabe recordar que las preferencias políticas de una persona constituyen un dato personal sensible, y por tanto su tratamiento no puede ampararse en haberse obtenido los datos de una fuente accesible al público. En otras palabras, estos partidos políticos están haciendo campaña a través de una herramienta que abusa de nuestros datos personales y está al margen de la legalidad.
Aun así, al igual que en el caso de las empresas de telecomunicaciones, hay un sector de los partidos políticos que ha decidido avanzar en la materia. Recientemente, el Frente Amplio ha buscado asesoría entre distintos expertos, con el fin de que su plataforma de participación no solo cumpla con la legislación, sino que entregue términos de privacidad que promuevan los derechos de sus participantes.
El Estado
Lamentablemente, y como hemos expresado en el pasado, los organismos público no solo no están cumpliendo con su deber de proteger los datos personales de los ciudadanos, sino que muchas de las iniciativas del gobierno activamente los exponen innecesariamente, o incluso como una forma de castigo.
De esta forma, la Ley Electoral todavía mandata que nuestros datos personales estén públicamente disponibles en el sitio web del SERVEL. Por otro lado, el próximo 5 de junio entrará a regir el denominado “DICOM del Transantiago”, una iniciativa que busca combatir la evasión del transporte público a través de un registro abierto cuyo objetivo es que los datos personales de los infractores sean expuestos, y así se vean discriminados en su acceso al trabajo, crédito y otros beneficios estatales.
¿El camino a seguir?
Si bien muchas de las mejoras antes descritas pueden resultar loables, lo cierto es que no bastan las iniciativas individuales. Necesitamos de una nueva legislación que impulse una cultura de la protección de datos a nivel transversal en nuestra sociedad.
El proyecto que hoy se encuentra actuamente en tramitación en el Senado se presenta como una oportunidad necesaria para mejorar nuestro estándar de protección y poder contar con una legislación cuyo objetivo sea proteger a las personas y no solo legitimar el tráfico de datos personales.
Sin embargo, para ello el proyecto debe modificar sustancialmente varias de sus disposiciones. Como hoy está contemplada, la futura Agencia de Protección de Datos Personales no cuenta con la autonomía e independencia necesaria del gobierno de turno para asegurar que sus decisiones sean de carácter exclusivamente técnico. Del mismo modo, resulta imperioso volver a incorporar los hábitos de las personas en la definición de dato personal sensible y restringir sustantivamente la figura del “interés legítimo” como causal para el tratamiento de datos personales sin el consentimiento del titular. Por último, es necesario aumentar el monto de las multas en casos graves o reincidentes, de forma tal que resulte un real desincentivo para las empresas de mayor tamaño. Tal vez emular la fórmula adoptada por la nueva versión Reglamento General de Protección de Datos, pronto a publicarse este mes, y que las multas asciendan hasta un 4% de los ingresos anuales de la empresa infractora resulte una buena idea a emular.
Los senadores tienen plazo hasta el 7 de junio para ingresar indicaciones al proyecto de ley, esperamos que las mejoras antes descritas puedan ser incorporadas a la discusión y debatidas, y de esta forma que sea la protección de los derechos de las personas el principal objetivo de nuestra legislación. Solo de esta forma podremos asegurar que la protección de los datos personales se transforme en la regla general en Chile, y no esté sujeta simplemente a la buena voluntad de los distintos actores involucrados.