El 16 de junio de 2018 se publicó, y entró en vigencia, la reforma constitucional que concede reconocimiento y protección a los datos personales como derecho fundamental autónomo en el numeral 4 del artículo 19 de la Constitución de la República Chile.
Tristemente un número de casos recientes –desde la instalación programas masivos de vigilancia en espacios públicos, hasta la vulneración del secreto estadístico al obligar al Instituto Nacional de Estadísticas (INE) la entrega de un dato aislado de la Encuesta de Presupuestos Familiares (EPF)– dan cuenta de que algunos órganos del Estado que parecen no encontrarse suficientemente informados de que la protección constitucional garantizada a los datos personales implica obligaciones concretas para su proceder, y una aplicación más estricta en su quehacer de la Ley Nº19.628, que regula desde hace 20 años la materia.
Uno de estos casos que parece haber pasado bajo el radar de la opinión pública se refiere a la orden emitida por la Subsecretaría de Telecomunicaciones (Subtel) a las concesionarias de servicios telefónicos, en el mes de mayo de 2018, para que éstas proporcionaran información respecto de su base de clientes para ser entregada a la empresa CADEM en el marco de un estudio de satisfacción de los usuarios que la repartición pública buscaba desarrollar. En concreto, Subtel solicitó a las empresas la siguiente información respecto de toda su base de datos de clientes: a) Número telefónico móvil; b) Tipo de plan de pre o post pago; c) Comuna y región del suscriptor; d) Si registra o no tráfico de dato y/o voz durante los últimos 30 días; y, e) Si se trata de un cliente que cuenta con multiservicio.
Varias de las empresas concesionarias si bien cuestionaron la solicitud, atendieron al requerimiento de la autoridad bajo el temor de resultar multadas de no hacerlo, sin embargo la empresa ENTEL reclamó de la solicitud invocando la normativa legal y constitucional de protección de datos que le impide proporcionar la información de sus clientes sin el consentimiento de éstos. Incluso a pesar de su reclamo, la empresa proporcionó a Subtel una base con todos los números móviles de sus clientes, pero sin otra información solicitada que permitiese su identificación.
Subtel muestra en este caso una preocupante ignorancia y confusión como servicio público a la hora de determinar si la información solicitada se trata de datos personales o no. Falla en reconocer que el conjunto de información solicitada permitiría la identificación de usuarios con poco esfuerzo durante el ejercicio de la encuesta para la cual se argumenta que los datos han sido solicitados.
Cabe recordar que la definición de dato personal abarca mucho más que el nombre o el apellido de una persona -como parece defender la autoridad en los cargos que formula a la empresa-, y se extienden a cualquier información concerniente a personas identificadas o identificables. La base de datos solicitada por la autoridad permitiría a ésta -o al tercero al que se le encomendará la realización de la encuesta de satisfacción- la identidad de quienes son titulares de los números informados a través de un simple llamado, además de poder perfilarlos por nivel socioeconómico, mediante análisis de sus gastos y comuna de residencia, así como obtener información de sus hábitos a través de la utilización de servicios, todo lo cual califica como dato personal conforme a la definición de la ley.
Por lo demás, así ha sido reconocido por el Consejo para la Transparencia en la causa c-611-2010 en la cual señaló que: “(…) desde el punto de vista de la protección de los datos personales, en tanto el número telefónico se encuentre asociado o sea susceptible de asociarse al nombre de una persona natural, dicha información constituye un dato personal, por lo que quienes trabajen en su tratamiento están obligados a guardar secreto sobre los mismos, cuando estos provengan o hayan sido recolectados de fuente no accesibles al público”.
No se trata en este caso de una fuente accesible al público, no existe en este caso consentimiento que haya sido recabado de parte de los titulares de los datos, ni una autorización legal a Subtel para requerir esta información, que excede con creces la información estadística que puede resultar útil con fines de política pública, como es invocado para fundar sus facultades.
Subtel insistió en la solicitud indicando que “la información sólo será utilizada para fines propios del servicio”. Tal afirmación vulnera el principio de finalidad establecido en el art. 9 de la Ley Nº 19.628, conforme al cual “los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido recolectados, salvo que provengan o se hayan recolectado de fuentes accesibles al público”. Los datos recogidos por una empresa de sus usuarios con la finalidad de prestarle el servicio, deben regirse por el principio de finalidad en su tratamiento y no pueden ser entregados a terceros sin el consentimiento de sus titulares o mediando otra autorización legal.
Adicionalmente, los datos que Subtel solicitó a las concesionarias, no fueron recogidos por Subtel, por tanto no puede ampararse su solicitud en el art. 20 de la Ley 19.628, que autoriza el tratamiento de datos personales sin consentimiento del titular por parte de un organismo público “respecto de las materias de su competencia”.
La vulneración del principio de finalidad no es siquiera disimulada por la autoridad, que reconoce directamente en el oficio en que solicita los datos personales que éstos serán proporcionados a la empresa CADEM, sin que provea certeza de ningún tipo de las medidas técnico administrativas que se adoptarán para la seguridad de tales datos, y para cautelar el cumplimiento del principio de finalidad, en un contexto en que la citada empresa realiza estudios de distinta índole, incluyendo las encuestas de tendencias políticas y categorización socioeconómica de la población.
No compete a las empresas concesionarias asumir frente a sus clientes que les han confiado sus datos personales en el marco de una relación contractual el riesgo sobre una eventual falta de reserva de la autoridad en la custodia de los datos, es la autoridad la que debe acreditar que satisface los requisitos legales para acceder a los datos personales de los usuarios y adoptará las medidas adecuadas para su protección, lo cual es difícil de creer que se hará si de entrada la autoridad niega la categoría de datos personales de la información que solicita.
No se atiende tampoco en este caso por la autoridad al principio de proporcionalidad en la recogida de datos, que mira a la necesidad de minimizar la recogida de datos a aquello que resulta estrictamente necesario para la finalidad legítima que se persigue con su recogida, por cuanto la encuesta de satisfacción no se realizará a la totalidad de la base sino sólo a una muestra, y sin embargo se exige la base completa, con el consiguiente riesgo que ello representa para los titulares de tales datos.
Desde 2017, Derechos Digitales ha desarrollado el reporte ¿Quién Defiende Tus Datos? en el cual evaluamos el comportamiento de las empresas de Telecomunicaciones en la cautela de la información de sus usuarios frente a requerimientos de la autoridad que no satisfacen las exigencias legales, así como la transparencia y claridad en las condiciones de privacidad que ellas ofrecen a sus usuarios. Ad portas de una nueva entrega de nuestro informe que se realizará el próximo 23 de julio, celebramos la defensa legal que Entel está realizando hoy ante la Corte Suprema de los datos personales de sus usuarios al reclamar de la multa que le fue impuesta por su negativa a entregarlos.
Este episodio nos llama a poner las cosas en perspectiva: es deber del Estado defender los derechos fundamentales de los ciudadanos, hasta que los organismos públicos no se tomen en serio este mandato en materia de protección de datos personales, la reforma constitucional no se materializará en más que tinta sobre un papel.