Pablo Viollier: »Hoy no tenemos una institucionalidad de control en materia protección de datos personales»

Estos últimos meses han surgido una serie de discusiones sobre la importancia de la recopilación de datos personales y qué se hace con ellos, esto en medio de la crisis sanitaria. Conversamos con Pablo Viollier, abogado de la ONG Derechos Digitales, quien nos comentó su punto de vista sobre la nueva ley de datos personales y la relación con la ciberseguridad.

Las compañías de telecomunicaciones, Claro, Entel, GTD-Telsur, Movistar y VTR, confirmaron que están aportando datos “agregados y anónimos de movilidad clave para políticas públicas en la actual pandemia”. Esto tras la solicitud del Ministro de Salud, Enrique Paris, quien a partir de la necesidad de limitar la movilidad de las personas para reducir los contagios por Covid-19, a las compañías telefónicas para que monitoreen de forma anónima el movimiento de los ciudadanos a través de sus dispositivos móviles.

Las universidades analizan la información recolectada y la entregan a la Mesa de Datos del Gobierno, como antecedente para la confección de políticas públicas. El presidente del Consejo para la Transparencia, Jorge Jaraquemada, recalcó que este tipo de operación merece un detalle
más exhaustivo, pues por normativa no existe habilitación legal que autorice a ningún órgano a recopilar y tratar datos personales y sensibles –como la geolocalización- sin autorización expresa del titular.

La recolección de datos por parte de las compañías de telecomunicaciones se realiza en un escenario donde la protección de datos personales todavía se encuentra en trámite legislativo.

Con respecto a esta normativa y al rol que cumple la ciberseguridad, nos entrega su mirada el docente de la UDP y abogado de la ONG Derechos Digitales, Pablo Viollier.

¿A qué se debe la demora en la tramitación de la ley sobre protección de datos?

Creo que la demora en el proyecto de ley de datos personales es algo que se arrastra desde hace mucho tiempo, primero porque han existido muchos proyectos de reforma a la Ley de 19.628.

El primer gobierno de Michelle Bachelet tuvo uno, el primer gobierno de Sebastián Piñera tuvo otro, en el segundo gobierno de Michelle Bachelet en vez de continuar con el proyecto de Piñera o de retomar su proyecto original comenzó un proyecto desde cero. Afortunadamente el segundo gobierno de Piñera decidió mantener la tramitación de este proyecto de ley.

Por lo demás, es un proyecto de ley complejo que requiere harto análisis y que se ha visto entrampado en distintas etapas de tramitación, y a raíz del estallido social de octubre, y ahora con el Coronavirus, las demandas y las prioridades legislativas han estado en esas dos áreas y
esto ha quedado un poco en suspenso.

De acuerdo con el estudio que desarrollaste »Rendición de cuentas de Facebook y otros negocios en Chile: la protección de datos personales en la era digital», podrías explicarnos un poco sobre cómo el proyecto de ley no otorga al perfilamiento la categoría de dato personal sensible.

El principal debate que se ha dado en el proyecto de ley ha sido sobre si considerar explícitamente los hábitos personales como datos personales sensibles. Hoy día en nuestra ley vigente, la 19.628, considera los hábitos personales como un dato personal, lo agrega a lista ejemplar de datos que
deben ser considerados como datos sensibles y por tanto requieren un mayor nivel de protección y tienen requisitos más amplios para su procesamiento.

En cambio en el proyecto de ley se eliminó esa referencia, y hoy se está discutiendo sobre volver a incorporarla, el problema de eso es que eventualmente uno podría interpretar que los hábitos personales y la rutinas, que tienen un valor importantísimo en aquellas plataformas, cuyo modelo negocio justamente es perfilar el usuario, no se han considerado como dato personales y por tanto se pueden utilizar excepciones al consentimiento al momento de recolectar y procesar esos datos, como por ejemplo, que esos datos sean obtenidos de fuentes accesibles al público; si tu obtienes un dato personal de una fuente accesible al público puedes procesarlo sin consentimiento cuando se trata sólo de un dato personal, pero si se trata de un dato personal sensible solamente lo puedes procesar si estas habilitado por una ley o si tienes el consentimiento expreso.

Respecto de la institucionalidad, ¿consideras una buena iniciativa la creación de la Agencia Nacional de Protección de Datos Personales?

El principal objetivo del proyecto de ley es cumplir con los compromisos que tiene Chile cuando se unió a la OCDE, entonces queremos cumplir con ese compromiso y tratar de cumplir con los estándares europeos; el gran problema de nuestra legislación hoy día es que no tenemos una
institucionalidad de control en materia protección de datos personales.

Actualmente, las personas afectadas tienen que recurrir a tribunales, lo que es una barrera de entrada excesivamente onerosa y finalmente significa que las personas no hacen valer sus derechos. Por tanto, el consenso es que tiene existir una agencia de control, pero esa agencia de control tiene que ser de carácter administrativo, independiente y técnico.

Y la gran discusión es sobre las dos opciones que se han barajado, por una parte crear una especie de agencia dependiente del Ministerio de Hacienda con independencia funcional, teniendo si el problema de que no es completamente independiente o por otra parte, entregarle esa labor al Consejo para la Transparencia, que es la decisión por la cual se está inclinando el gobierno de Piñera, que tiene la ventaje de que si es independiente, pero que no tiene necesariamente la especialidad técnica en esa materia.

¿Hacia dónde debería avanzar el país en materia de protección de datos y qué rol tiene para ti la ciberseguridad en este sentido?

Yo creo que en materia de protección de datos personales lo más importante es aspirar a tener una aproximación al fenómeno desde la perspectiva de derechos fundamentales, es decir, tener una legislación cuyo pilar fundamental sea consagrar y proteger el ejercicio de la autodeterminación informativa por parte de las personas, y en ese sentido creo que nos deberíamos aproximar a una perspectiva más parecida a la europea, es decir, una perspectiva que busque proteger a los individuos.

La protección de datos personales y la ciberseguridad tienen una relación muy estrecha porque finalmente muchas de las veces en que existe un ataque informático, el objetivo de ese ataque es hacerse de datos personales, y al mismo tiempo y al revés muchas veces se utiliza la
recolección y procesamiento de datos personales como un insumo para realizar ataques informáticos.

Entonces, por ejemplo, se habilita la utilización del phishing porque es posible recolectar de manera masiva correos electrónicos en Internet, o muchas veces cuando hay ciertos tipos de fraude o ataques a instituciones se hizo porque fue posible perfilar a ciertos individuos de esas organizaciones a través de la recolección de sus datos personales.

Cuéntanos un poco más sobre la labor de Derechos Digitales, particularmente en el trabajo qué están haciendo sobre privacidad, entendida como un derecho fundamental de las personas.

Derechos Digitales es una organización no gubernamental dedicada a la defensa, promoción y desarrollo los derechos fundamentales en el entorno digital y por tanto nos dedicamos a todo lo que tenga que ver con derechos humanos relacionado con el uso de la tecnología.

Tenemos tres grandes pilares de trabajo uno es acceso al conocimiento, es decir contar con un sistema de propiedad intelectual balanceado, que proteja los intereses de los usuarios, la libertad de expresión en particular en los entornos digitales, y privacidad, y es desde el punto de vista de la
privacidad vemos el tema de la protección de datos personales.

Últimamente hemos estado trabajando en el tema del proyecto de ley de datos personales, pero también en materias de los sesgos que pueden existir en el uso de algoritmos, en inteligencia artificial, y hemos estado trabajando en temas relacionados con biometría con vigilancia; por tanto siempre estamos pendientes de los últimos acontecimientos del mundo académico y
también del mundo de las políticas públicas, justamente con el interés de cautelar los derechos de las personas en cualquier ámbito relacionado con la tecnología.