N° 7 - Protección de Datos Personales by LegalPublishing

LA SEMANA JURÍDICA www.legalpublishing.cl

AÑO I

Nº 7

semana del 6 al 10 de agosto de 2012

PROTECCIÓN DE DATOS PERSONALES LA PROTECCIÓN DE DATOS PERSONALES EN CHILE: ESTADO DEL ARTE Y DESAFÍOS ..........................................................................

VIDA PRIVADA EN CHILE: PRECISANDO LOS LÍMITES .......................................................................... Daniel Álvarez Valenzuela

Enrique Petar Rajevic Mosler

Profesor de Privacidad y Tecnología

Director Jurídico Consejo para la Transparencia

Universidad de Chile

VIDA PRIVADA, DATOS PERSONALES Y TRANSPARENCIA

Sobre las necesarias modificaciones a la Ley N° 19.628 .......................................................................... RENATO JIJENA LEIVA Profesor Derecho Informático Pontificia Universidad Católica de Valparaíso

1. LA LEY Nº 19.628

La mutabilidad del concepto de vida privada es esencial para comprender la evolución de los límites de su protección.

Desde su promulgación en 1999 han pasado 13 años de vigencia de la ley Nº 19.628, “sobre protección de la vida privada”, garantía fundamental afectada tanto en cuanto se procesen o se traten indebida y electrónicamente datos personales o nominativos. El Boletín Nº 6120 que apuntaba a cambios radicales de sus aspectos dogmáticos, orgánicos, procedimentales y administrativos, y ahora el nuevo Boletín Nº 8143 vinieron a demostrar lo que argumentamos desde antes de su entrada en vigencia: que sus errores de forma y de fondo, fruto de no haberse recogido idóneamente la legislación comparada –especialmente por la carencia de una Autoridad de Protección de Datos, de un registro obligatorio de responsables y de sanciones fuertes–, harían no idónea en Chile la ley Nº 19.628.

En sus primeros tiempos, el derecho a la vida privada era concebido como una extensión de la protección del espacio privado (ya sea el hogar, la correspondencia o las relaciones familiares), oponiéndose al concepto de espacio público, en el cual todo sujeto podía legítimamente ser objeto de escrutinio. (ver p. 6)

Un cambio fundamental es el actual mayor grado de sensibilización con la necesidad de proteger los datos que identifican las características y realidades de las personas, que requieren ser tutelados para evitar su tráfico ilícito y no autorizado, tanto en el sector público como –y especialmente– en el sector privado. (ver p. 3)

Como usted muy bien sabe, la Constitución Política asegura a todas las personas, “el respeto y protección a la vida privada” (art. 19, Nº 4), concediendo amparo a una esfera específica de la vida de las personas pero sin referencia alguna sobre el alcance o contenido específico de dicha protección. El contenido del derecho, entonces, ha de ser determinado por el legislador y la jurisprudencia, dado su carácter cultural y dinámico, mutable en el tiempo y en el espacio en que se desarrolle y ejerza.

...........................................................................

SUMARIO Legislación al día Modifica la Ley General de Pesca y Acuicultura en materia de Fondo de Fomento para la pesca artesanal, crea la Comisión Nacional de Acuicultura y los Consejos Zonales de Pesca que indica, y modifica otros cuerpos legales (Pág. 2) Jurisprudencia al día DERECHO DEL TRABAJO UNIFICACIÓN DE JURISPRUDENCIA DERECHO PÚBLICO RESPONSABILIDAD EXTRACONTRACTUAL DEL ESTADO DERECHO PENAL RECURSO DE PROTECCIÓN ART. 19 N° 8 C.P.R.

Para suscribir LA semana jurídica

.......................................................................................................................................................................................

ingrese a www.lasemanajuridica.cl o contáctenos al 510 5000, opción 2

Contraloría General de la República Empresa pública

(Págs. 4 y 5)

Editorial

Semana del 6 al 10 de agosto de 2012

..........................................................................................

Proyectos de ley BOLETÍN Nº: 7765-07 FECHA DE INGRESO: 6.07.2011 PROYECTO: Comunicación de órdenes de apremio en juicios de alimentos.

.........................................................................................

Cuando en 1999 se dictó la Ley de Protección de la Vida Privada (Nº 19.628), buena parte de la doctrina estaba de acuerdo que con su establecimiento se avanzaba en cubrir una deuda regulatoria en materia de datos personales, pues las posibilidades de almacenamiento y tratamiento de dichos datos sin el consentimiento de los interesados estaba afectando seriamente la privacidad de las personas. La implementación de dicha ley no estuvo exenta de problemas, especialmente a consecuencia de las materias que se referían a datos comerciales, que dieron origen a distintas iniciativas de reforma. Cuando el año 2009 entró en vigencia la Ley de Acceso a la Información Pública (Nº 20.285), a consecuencia de la reforma constitucional de 2005 que elevó a la Constitución la publicidad de los actos y procedimientos de los organismos del Estado, el debate sobre los datos personales y la privacidad dio un cambio de giro. A consecuencia de la aplicación de dicha ley, bastaba que los datos estuvieran en manos de algún organismo de la Administración del Estado para que por esa sola circunstancia fuera pública. La norma legal que presume que si no hay oposición del afectado existe consentimiento para su entrega, es el mejor símbolo de la orientación de la ley. La práctica del Consejo para la Transparencia ha revelado la cantidad de conflictos que se pueden suscitar en ese contexto, a consecuencia de la tensión entre publicidad y datos o información privada. Fichas médicas, exámenes psicológicos, correos electrónicos son algunos de los debates más conocidos en este tiempo. Mal que mal los casos que está resolviendo en la actualidad el Tribunal Constitucional están vinculados en parte a estos aspectos. Los profesores que trabajan en nuevas tecnologías han expresado de un modo bastante diáfano las amenazas que se ciernen sobre la privacidad. Algunos sostienen que es necesario modular nuestras convenciones interpretativas y otros derechamente afirman que resulta indispensable releer el derecho a la privacidad. Para muchos el anonimato, tan esencial en el derecho a la privacidad, a consecuencia del uso cotidiano de las tecnologías, es prácticamente imposible. En estos últimos meses hemos vuelto a la discusión sobre datos personales, privacidad, tecnologías y publicidad. La dictación de la Ley Dicom, las reformas perseguidas para la Ley de Transparencia, la tensión pública de algunas decisiones jurisdiccionales del último tiempo, son ejemplos inevitables de que la discusión sigue vigente. En este número de La Semana Jurídica encontrarán parte de esas distintas percepciones, de lo que pareciera constituye todavía un asunto por resolver entre nosotros.

ESTADO: Primer trámite constitucional (Senado) Segundo Informe de Comisión de Constitución, Legislación y Justicia.

MATERIA: Fortalece y perfecciona la ley de donaciones culturales, ampliando la base de donantes, aumentando el universo de beneficiarios, reduciendo las restricciones a la ejecución de los proyectos y simplificando los procedimientos, cuestión que se traducirá en una mayor promoción de las Donaciones Culturales, ampliando tanto el número de donantes como el ámbito de los beneficiarios de las mismas. ESTADO: Primer trámite constitucional (Senado) Boletín de indicaciones.

Legislación al día

Leyes

.....................................................................................................................................................................................................................

........................................................................................

editorial

MATERIA: Pretende crear un registro en la PDI, de quienes tengan órdenes de apremio por no pago de pensiones de alimentos, que permitirá que las órdenes no sólo sean diligenciadas en el domicilio del obligado, sino en cualquier lugar en que se encuentre. La PDI y Carabineros, en los controles de identidad en que se percaten de la presencia del alimentante, deben requerirlo para el cumplimiento de la orden de arresto.

BOLETÍN Nº: 7761-24 FECHA DE INGRESO: 5.07.2011 PROYECTO: Modifica la Ley sobre Donaciones con Fines Culturales, contenida en el artículo 8º de la ley Nº 18.985.

NORMA: Decreto Nº 174 FECHA PUBLICACIÓN DO: 27.07.2012 ORGANISMO: Ministerio de Transportes y Telecomunicaciones. MATERIA: Modifica Decreto N° 33, de 2004, que determina valor de servicios que presta el Centro de control y certificación vehicular (3CV). Para cumplir con los métodos normalizados de medición de emisiones para vehículos motorizados, establecidos por los decretos supremos Nº 211 de 1991, Nº 54 de 1994, y Nº 104 de 2000, el Ministerio de Transportes y Telecomunicaciones actualizó el equipamiento e instalaciones del laboratorio de emisiones del Centro de Control y Certificación Vehicular. Los costos para la ejecución de las actividades de cada servicio que realiza el Centro de Control y Certificación Vehicular han variado respecto de los que permitieron definir las tarifas vigentes.

NORMA: Ley N° 20.597 FECHA PUBLICACIÓN DO: 3.08.2012 ORGANISMO: Ministerio de Economía, Fomento y Turismo. MATERIA: Modifica la Ley General de Pesca y Acuicultura en materia de Fondo de Fomento para la pesca artesanal, crea la Comisión Nacional de Acuicultura y los Consejos Zonales de Pesca que indica, y modifica otros cuerpos legales. Modifica el Fondo de Fomento para la Pesca Artesanal, estableciendo que la coordinación de los proyectos se ejecuta por la Subsecretaría de Pesca. Para fomentar la actividad pesquera artesanal, se crea el Departamento de Pesca Artesanal y se funda la Comisión Nacional de Acuicultura, asesora en materias de política y regulación sectoriales. El número de los Consejos Zonales de Pesca se aumenta, asegurando una participación efectiva de las comunidades relacionadas.

TRIBUNA

Semana del 6 al 10 de agosto de 2012

VIDA PRIVADA, DATOS PERSONALES Y TRANSPARENCIA SOBRE LAS NECESARIAS MODIFICACIONES A LA LEY Nº 19.628

RENATO JIJENA LEIVA

Profesor Derecho Informático Pontificia Universidad Católica de Valparaíso 1. LA LEY Nº 19.628 Desde su promulgación en 1999 han pasado 13 años de vigencia de la ley Nº 19.628, “sobre protección de la vida privada”, garantía fundamental afectada tanto en cuanto se procesen o se traten indebida y electrónicamente datos personales o nominativos. El Boletín Nº 6120 que apuntaba a cambios radicales de sus aspectos dogmáticos, orgánicos, procedimentales y administrativos, y ahora el nuevo Boletín Nº 8143 vinieron a demostrar lo que argumentamos desde antes de su entrada en vigencia: que sus errores de forma y de fondo, fruto de no haberse recogido idóneamente la legislación comparada –especialmente por la carencia de una Autoridad de Protección de Datos, de un registro obligatorio de responsables y de sanciones fuertes–, harían no idónea en Chile la ley Nº 19.628.

“Lamentamos cada vez más la intención oculta que había para transformar a este órgano esencial en una Autoridad de Protección de Datos que velara por el cumplimiento de la ley Nº 19.628 incluso en el sector privado”. Un cambio fundamental es el actual mayor grado de sensibilización con la necesidad de proteger los datos que identifican las características y realidades de las personas, que requieren ser tutelados para evitar su tráfico ilícito y no autorizado, tanto en el sector público como –y especialmente– en el sector privado. Exclusivamente para el sector público, los conflictos entre “acceso a la información pública”, que regula la ley Nº 20.285, y la necesidad de resguardar los datos personales de los ciudadanos que les ha tocado resolver al Consejo de Transparencia, a las Cortes de Apelaciones y al Tribunal Constitucional estimulan el debate jurídico. Y para el sector privado, diversos casos de tráfico indebido y de uso no autorizado por parte de Isapres, farmacias, AFP y otros hicieron que el tema se pusiera en el tapete. La garantía fundamental involucrada, a pesar de no estar –aún– explicitada en el artículo 19 N° 4 de la Constitución, consiste en que las personas controlen, autodeterminen y accedan a todos aquellos datos personales o nominativos que les afecten por referirse a ellos, a su intimidad o privacidad, sea que sean procesados –o “tratados” dice la ley Nº 19.628– tanto por órganos públicos como por empresas particulares.

En Chile el artículo 12 consagra el Derecho de Acceso, Habeas Data o Habeas Scriptum, una acción sólo de rango legal y procesal que vino a desarrollar la garantía del respeto y protección de la vida privada. Por su intermedio cada titular puede requerir a quien sea “responsable de una base o banco de datos” conocer y corregir, modificar o actualizar la información computacional, tratándose de datos personales, nominativos, o relativos, a cualquier información concerniente a personas naturales, identificadas o identificables, particularmente si son los sensibles o referidos a características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

Libro destacado .........................................................................................

SINDICATOS Y NEGOCIACIÓN COLECTIVA Gabriela Lanata Fuenzalida

La presente obra otorga una visión general y actualizada de la regulación en la legislación chilena de las materias propias del Derecho Colectivo, analizadas desde una perspectiva positivista, destacándose el análisis de jurisprudencia judicial y administrativa que han ido confiriéndole un singular carácter esencialmente normativo. Se abordan los temas relativos a la libertad sindical y a su reconocimiento en la legislación chilena, dejando en evidencia las falencias existentes en la materia, destacándose el análisis de su aplicación en el nuevo proceso laboral. Se presenta de manera ordenada y sistematizada la legislación nacional que regula las diferentes formas de organizaciones sindicales, el procedimiento de negociación colectiva y los aspectos propios de los instrumentos colectivos del trabajo.

2. PROTECCIÓN DE DATOS PERSONALES Y EL ACCESO DE LA LEY Nº 20.285 La modificación a la Constitución Política contempló la incorporación de un nuevo artículo 8°, en cuya virtud se estableció que el ejercicio de las funciones públicas en Chile obliga a sus titulares a dar estricto cumplimiento al principio de probidad en todas sus actuaciones, y se declaró perentoriamente que son públicos los actos y las resoluciones de los órganos del Estado, sus fundamentos y los procedimientos utilizados. Esto fortaleció el llamado “Derecho de Acceso a la Información” relacionada con los actos y documentos de la Administración Estatal, y aclaró que sólo el Parlamento y no los propios entes públicos sería el llamado a establecer excepciones a la publicidad cuando ella afectare el cumplimiento de las funciones públicas, “los derechos de las personas” –como la privacidad–, la seguridad de la nación o el interés nacional. Legamente se estableció como causal de reserva o de no entrega de antecedentes a los relacionados con la protección de datos personales, pero lo realmente novedoso fue que, sin fundamento jurídico válido, la ley Nº 20.285 contempló una nueva función para el Consejo de Transparencia. Al ente que debe promover la transparencia de la función pública, fiscalizar el cumplimiento de las normas sobre transparencia y garantizar el derecho de acceso a la información, se le encomendó además la tarea de “velar” por el cumplimiento de la ley Nº 19.628 en los órganos de la Administración del Estado. Lamentamos cada vez más la intención oculta que había para transformar a este órgano esencial en una Autoridad de Protección de Datos que velara por el cumplimiento de la ley Nº 19.628 incluso en el sector privado. Y por cierto, igual crítica vale para quienes –en el Ejecutivo y mediante el Boletín Nº 8143 de futuro debate–, creen ahora que el Sernac debiera poseer competencia en este ámbito. 3. EL PROYECTO DE MODIFICACIÓN DE LA COMISIÓN DE ECONOMÍA DEL SENADO DE LA REPÚBLICA El año 2010 la Comisión de Economía trabajó al margen de sus sesiones ordinarias, originando un proyecto

Destaca la exposición de la regulación legal de las prácticas antisindicales y desleales en el proceso de negociación colectiva, así como las tendencias jurisprudenciales en la materia.

de ley rígido para regular todo el sistema chileno de tratamiento de datos personales, incluyendo a Internet o a sus servidores en Chile, frenando el tráfico de bases de datos, creando una institucionalidad idónea y contemplando aplicar fuertes multas a empresas en casos de negligencia en materia de seguridad de sistemas que permitieran violar los datos personales de sus clientes1. La sala del Senado lo declaró formalmente inadmisible porque se contempla la creación de una Superintendencia de Bases de Datos, pero como técnica legislativa, de inmediato, por unanimidad, se ofició al Gobierno para que lo patrocinara, cosa que no ocurrió. Vale calificar como una novedad inédita en la política chilena la elaboración de un anteproyecto de ley para proteger los datos personales o nominativos, privados y sensibles de las personas naturales y jurídicas, en forma transversal y por los cinco miembros –”del oficialismo y de la oposición…” dijo la prensa– de la Comisión. Durante tres meses avanzaron en el análisis y estudio de casos reales de abusos, del contenido de normas extranjeras (Francia, España y Argentina especialmente) y del articulado específico de las leyes vigentes en Chile a esta fecha, todo en pos de la formulación de una política pública clara y de un nuevo marco general normativo para la protección de todo tipo de datos personales de los chilenos.

Algunas explicaciones pueden leerse acá: http://www.habeasdataorg. cl/2010/08/17/un-nuevo-norte-para-la-proteccion-de-los-datos-personales-en-chile/.

Jurisprudencia AL día

Semana del 6 al 10 de agosto de 2012

CORTE SUPREMA ...................................................................................................................................................................................................................................................................................................................................

DERECHO DEL TRABAJO

UNIFICACIÓN DE JURISPRUDENCIA Régimen de subcontratación. Despido de trabajador. Prestaciones. Responsabilidad solidaria de empresa principal. Imposibilidad de aplicar sanciones establecidas para contratista. Hechos El actor interpone denuncia de tutela de vulneración de derechos fundamentales con ocasión del despido y conjuntamente demanda de nulidad del mismo y cobro de prestaciones en contra del contratista, y solidariamente o subsidiariamente en contra de la empresa principal, solicitando el pago de las indemnizaciones y prestaciones correspondientes. La sentencia de primer grado acogió la pretensión deducida. La demandada solidaria interpuso recurso de nulidad, el cual fue rechazado por la Corte de Apelaciones. Contra esta resolución se interpuso recurso de unificación de Jurisprudencia, el cual fue acogido por la Corte Suprema, quien en su sentencia de reemplazo acogió el recurso de nulidad deducido en autos. Antecedentes del fallo Tipo: Recurso de Unificación (acogido) Rol: 9669-2011, de 1 de agosto 2012 Partes: Víctor Munizaga Morales con Factor Seguridad Ltda. y Pre-unic Ministros: Gabriela Pérez P., Guillermo Silva G., Rosa Egnem S., Arturo Prado P. y Cecily Halpern Doctrina La empresa principal es responsable solidaria o subsidiariamente, sin duda, del pago de las remuneraciones de los trabajadores y del entero, en el organismo pertinente, de las cotizaciones previsionales retenidas de dicha remuneración, entre otras, además de las indemnizaciones sustitutiva del aviso previo y por años de servicio, con su incremento y de la compensación de feriados, las que surgen con motivo de la terminación de la relación laboral, sin perjuicio de cualquiera otra prestación que pueda ser calificada como obligación laboral y/o previsional de dar o como indemnización legal por término de la relación laboral.

DERECHO PÚBLICO

RESPONSABILIDAD EXTRACONTRACTUAL DEL ESTADO Distinción entre falta personal y falta de servicio. Cúmulo de responsabilidad y cúmulo de faltas. Derecho de repetición contra el funcionario. Hechos El actor interpone demanda de indemnización de perjuicios por responsabilidad extracontractual por falta de servicio, debido a que ingresó a un servicio de urgencia donde, aprovechándose de su condición de salud, el doctor que lo atendió practicó actos de significación sexual. Posteriormente, el profesional fue condenado por sentencia penal como autor del ilícito. La sentencia de primer grado acogió la pretensión deducida, condenando al fisco a pagar indemnización por concepto de daño moral. El demandado interpuso recurso de apelación ante el tribunal de alzada, quien confirmó la sentencia impugnada. Contra esta resolución se dedujo casación en la forma y en el fondo, siendo rechazados ambos recursos. Antecedentes del fallo Tipo: Recurso de Casación en la forma y fondo (rechazado) Rol: 1121-2012, de 31 de julio de 2012 Partes: Víctor Fuenzalida García con Fisco Ministros: Sergio Muñoz G., Héctor Carreño S., Sonia Araneda B., Carlos Cerda F. y Alfredo Prieto B. Doctrina Tratándose de falta de servicio, responde el Estado y no el funcionario. Cuando existe falta personal responde el funcionario, pero cuando esta falta personal se encuentra vinculada con el servicio, ya sea porque se ha cometido en el desempeño de la función o con ocasión de la misma o con los medios proporcionados por el servicio, el Estado también responde, sin perjuicio de poder repetir posteriormente contra el funcionario por la totalidad del monto que el Estado ha debido desembolsar. Se dice que aquí existe cúmulo de responsabilidad sin cúmulo de faltas, por cuanto tanto el Estado como el funcionario son responsables, cúmulo de responsabilidad, pero únicamente hay una falta personal y no una falta de servicio; o sea, no existe cúmulo de faltas. Sin perjuicio de que las situaciones señaladas constituyen las más frecuentes en esta materia, también existen casos en que hay cúmulo de responsabilidad con cúmulo de faltas, en que el daño proviene de una falta personal y también de una falta de servicio de la Administración.

DERECHO AMBIENTAL RECURSO DE PROTECCIÓN. ART. 19 N° 8 C.P.R.

I. Principio preventivo. Dominio. Evasión de evaluación de impacto ambiental II. Envergadura de la obra. No procede ingreso a sistema de evaluación ambiental. Hechos Los actores interponen recurso de protección por decisión de la recurrida consistente en el cierre del perímetro para acceder a un campo dunar, predio que le pertenece en una extensión de 45 hectáreas y dentro del que se emplaza un santuario de la naturaleza, que es el hábitat de decenas de especies animales y vegetales. La Corte de Apelaciones rechazó la acción deducida. Contra esta resolución se interpuso recurso de apelación ante la Corte Suprema, quien revocó la sentencia impugnada, acogiendo el recurso deducido en autos. Antecedentes del fallo Tipo: Recurso de protección (acogido) Rol: 2138-2012, de 27 de julio de 2012 Partes: René González Torres, Diputado por Viña del Mar y Concón y otros con Sociedad Urbanizadora Reñaca Concón S.A. Ministros: Sergio Muñoz G., Sr. Juan Araya E., Sonia Araneda B., Emilio Pfeffer U. y Alfredo Prieto B. Doctrina I. El principio preventivo, a diferencia del precautorio que actúa bajo supuestos ya comprobados, solamente requiere de un riesgo racional y evidente previamente demostrado, que sea verosímil de producirse sobre la base de estudios especializados que lo demuestren, es el fumusbonis iuris, para luego determinar la gravedad del mismo acontecimiento, que exista la posibilidad de sufrir un perjuicio importante, la alteración o el agravamiento de una determinada situación que, en el evento que ocurra, afectaría un interés legítimo (periculum in mora) (considerandos 4º y 6º de la sentencia de la Corte Suprema).

La distinción entre responsabilidad del Estado con cúmulo de faltas y sin cúmulo de faltas tiene importancia por la repetición que el Estado puede hacer contra el funcionario, que será total cuando no exista falta del Estado y sólo parcial cuando también concurra la falta de servicio (considerando 11 de la sentencia de la Corte Suprema).

II. El cercar el Santuario de la Naturaleza en la parte que corresponde sólo a la parte que limita con el Camino Reñaca a Concón, no requiere de autorización del Servicio de Evaluación Ambiental para su ejecución, según se indica en informe del Servicio de Evaluación Ambiental de Valparaíso: “5. El cierre perimetral en este caso es considerado una obra de menor envergadura, más aún si éste implica el borde sólo de una parte del Santuario y no la totalidad del mismo. 6. Por lo tanto, considerando lo instruido mediante ordenanzas e instructivos sobre ‘Áreas Protegidas en el Sistema de Evaluación de Impacto Ambiental’, el cierre de predio que contiene al Santuario de la Naturaleza Campo Dunar no debería ingresar al Sistema de Evaluación de Impacto Ambiental, sin perjuicio del cumplimiento de la normativa ambiental vigente.” (considerando 4º del voto disidente).

Cita online: CL/JUR/1576/2012

Cita online: CL/JUR/1541/2012

Cita online: CL/JUR/1525/2012

Normativa relevante citada Arts. 183 B), C) y 162 del C. de T.

Normativa relevante citada Art. 42 de la ley 18.575.

Normativa relevante citada Art. 10 de la ley Nº 19.300 y art. 19 N° 8 de la CPR.

Es del todo ajeno al actual régimen de subcontratación y, por ende, al ámbito de responsabilidad del dueño de la obra, la sanción o punición que el artículo 162 –ubicado en el Título V del Libro Primero del Código del Trabajo relativo a la función del contrato de trabajo y estabilidad en el empleo– estableció específicamente para el empleador que procede al despido de un trabajador en las condiciones allí descritas, toda vez que –además de lo dicho en relación a la naturaleza y aplicación de una norma sancionatoria– la propia ley de subcontratación explicitó y acotó aquellos efectos del despido que alcanzaban al dueño de la obra o faena, aludiendo expresamente a las eventuales indemnizaciones legales, y no incluyó la norma sancionatoria en análisis (considerandos 7º y 8º de la sentencia de reemplazo).

Jurisprudencia AL día

Semana del 6 al 10 de agosto de 2012

CORTE de Apelaciones

Tribunal Constitucional

......................................................................................................

....................................................................................................

DERECHO PENAL

INAPLICABILIDAD POR INCONSTITUCIONALIDAD

HOMICIDIO CULPOSO

Valoración de los medios probatorios. Ausencia de argumentos concluyentes. Relación de causalidad entre actuaciones y resultado final. Hechos Los imputados son formalizados y, posteriormente, acusados por delito de homicidio culposo de una serie de personas producido por el derrumbe de una construcción durante un terremoto, la cual no habría cumplido con la normativa relativa al coeficiente sísmico correspondiente al tipo de suelo sobre el que se edificó. La sentencia del Tribunal Oral en lo penal condenó a los acusados como autores del ilícito. Contra esta resolución, las defensas de algunos de los acusados interpusieron recursos de nulidad, los cuales fueron acogidos por la Corte de Apelaciones. Antecedentes del fallo Tipo: Recurso de Nulidad (acogido) Rol: 257-2012, de 31 de julio de 2012, Corte de Apelaciones de Talca Partes: Ministerio Público con Ricardo Ambrosio Aránguiz Gallardo y Óscar Castro González Ministros: Rodrigo Biel Melgarejo y Hernán González García, y Abogado Integrante don Ruperto Pinochet Olave Doctrina No hay en la decisión un argumento que establezca que el desplome fue consecuencia directa y necesaria del acto u omisión atribuible al acusado, y no a otros motivos diferentes o concurrentes. Es cierto que la misma incerteza por la que se absuelve a los demás acusados, es la que lleva a condenar a los recurrentes, lo que es del todo improcedente. Los argumentos dados para condenar –que deben ser claros, precisos, concordantes y concluyentes– no se condicen con la afirmación que hacen los jueces de haber absuelto únicamente por no haber alcanzado la convicción respecto de la inexistencia de la memoria de cálculo y mecánica de suelos. A mayor abundamiento y dentro de la posibilidad que ofrece a esta Corte la parte final del inciso segundo del artículo 379 del Código Procesal Penal, es dable consignar que los hechos de la causa tienen el carácter de múltiples y complejos, se desarrollaron en distintos lugares y épocas, por diferentes personas y entidades, en cuyo devenir las actuaciones de los acusados constituyen una más de una serie de intervenciones profesionales, por lo que no se ajusta a las circunstancias la afirmación contenida en el fallo de que la relación de causalidad fluye evidente, y tampoco es efectiva la ejecución inmediata y directa que la sentencia les atribuye, pues ninguna de esas conclusiones se aviene con la coherencia que debe existir, respecto del resultado final (desplomes más muertes) (considerando 12º de la sentencia de la Corte de Apelaciones). Cita online: CL/JUR/1543/2012 Normativa relevante citada Arts. 297 y 379 del Código Procesal Penal.

Recurso de inaplicabilidad de la ley. Tribunal Constitucional. Código Civil. Código de Procedimiento Civil. Cuestión de Legalidad. Recursos. Hechos Con fecha 11 de julio de 2012, el requirente solicitó al Tribunal Constitucional la declaración de inaplicabilidad por inconstitucionalidad de los artículos 1444, 1466 y 1796 del Código Civil y artículo 384 Nº 2 del Código de Procedimiento Civil, en el marco de un juicio ordinario sobre nulidad absoluta de contratos y reivindicación, seguidos ante el Décimo Juzgado Civil de Santiago, y del que estaba conociendo la Corte de Apelaciones de Santiago por recurso de casación en la forma y en el fondo. El Tribunal declaró inadmisible el requerimiento. Antecedentes del fallo Tipo: Requerimiento de inaplicabilidad por inconstitucionalidad Rol: 2261-2012, de Partes: Autotécnica BCW S.A. y otros con Hurtado Fuentes Nelson y otros Ministros: Marcelo Venegas Palacios, Iván Aróstica Maldonado y Domingo Hernández Emparanza, y el Suplente de Ministro señor Christian Suárez Crothers Doctrina Como lo ha señalado esta Magistratura, no es función de esta jurisdicción constitucional aclarar el sentido que tienen determinados preceptos legales, dado que esto último importa “una cuestión de legalidad cuya resolución es propia de los jueces de fondo”, conflicto que no se encuentra dentro del marco de atribuciones de este órgano de jurisdicción constitucional. A mayor abundamiento, se ha razonado por esta Magistratura en las sentencias de inadmisibilidad Roles Nºs. 1344, 1942 y 2084, que “no es competencia de esta Magistratura resolver acerca de la eventual aplicación incorrecta o abusiva de un determinado precepto que pudiere efectuar un tribunal, la que corresponderá corregir a través de los diversos recursos que contemplan las leyes de procedimiento”, pues, “la acción de inaplicabilidad es un medio inidóneo para impugnar resoluciones de órganos jurisdiccionales, ya que la salvaguarda del imperio de la ley en el conocimiento, resolución y ejecución de lo juzgado en causas civiles y criminales corresponde exclusivamente a los tribunales establecidos por la ley, a través de los medios procesales que el legislador establezca mediante los Códigos de Enjuiciamiento” (considerando 8º). Cita online: CL/JUR/1556/2012 Normativa relevante citada: Artículo 93 inciso primero Nº 6 e inciso decimoprimero de la Constitución Política de la República; artículos 79, 80, 82, 84 Nº 6 de la Ley Nº 17.997 Orgánica Constitucional del Tribunal Constitucional.

Contraloría General de la República

....................................................................................................

Empresa pública Alianza estratégica entre empresa pública y empresa extranjera. Empresa pública no puede desprenderse de función entregada por ley. Hechos Se consulta por legalidad de alianza entre Empresa Nacional de Aeronáutica de Chile (Enaer) con socio extranjero para adjudicarse un área de producción de la empresa pública señalada. Contraloría señala que la pretensión de entregar el área de fabricación y mantenimiento comercial a persona jurídica distinta de la empresa importa un desprendimiento de algunas de las funciones que la ley le entrega, lo que resulta contrario a derecho. Doctrina Dictamen Nº 45.717, 30 de julio de 2012 De conformidad con el art. 1º de Ley Nº 18.297, Orgánica de Empresa Nacional de Aeronáutica de Chile, en relación con el art. 1º de ley Nº 18.575, aquel organismo es una empresa del Estado, razón por la cual forma parte de su Administración y debe someter su acción a la Constitución y normas dictadas conforme a ella, según sus arts. 6º y 7º. El art. 16 de ley Nº 10.336, incluye dentro de las entidades sometidas a fiscalización de Contraloría, a las empresas del Estado, no viendo disminuidas sus potestades en relación al control de legalidad de sus actos, por el hecho de que normas de diversas preceptivas aplicables a tales entidades, circunscriban a materias determinadas la vinculación de estas últimas con el organismo fiscalizador. El art. 3º de ley Nº 18.297, preceptúa que el objeto de Enaer será diseñar, construir, fabricar, comercializar, vender, mantener, reparar y transformar cualquier clase de aeronaves, sus piezas o partes, repuestos y equipos aéreos o terrestres asociados a las operaciones aéreas, ya sean estos bienes de su propia fabricación, integrados o de otras industrias aeronáuticas, para la Fuerza Aérea o para terceros; efectuar estudios e investigaciones aeronáuticos o encargarlos a terceros; otorgar asesorías y proporcionar asistencia técnica, pudiendo para tales efectos establecer plantas industriales, arsenales y maestranzas y, en general, ejecutar y celebrar toda clase de actos y contratos. El art. 10, letra j) establece que dentro de las atribuciones del Director Ejecutivo de Enaer se encuentra la de constituir o formar parte de sociedades públicas o privadas, ya sean nacionales o extranjeras, con acuerdo del Directorio. Si bien la ley autoriza a Enaer a constituir o formar parte de sociedades, tal facultad no puede significar que dicha empresa pública deje de realizar, en forma principal y directa, el objeto que a su respecto ha definido la ley, para ser sustituida en tal cometido por las referidas sociedades, las que deben circunscribirse a complementar los fines propios de Enaer. Cita online: CL/JADM/946/2012 Normativa relevante citada Artículos 1º, 3º, 10 y 15 de ley Nº 18.297; Artículos 1º de ley Nº 18.575; artículos 6º y 7º de la Constitución Política. 5

TRIBUNA

Semana del 6 al 10 de agosto de 2012

Vida privada en Chile: precisando los límites

Daniel Álvarez Valenzuela Profesor de Privacidad y Tecnología Universidad de Chile

Desde hace ya algunos años, la discusión sobre los límites de la vida privada ha ido adquiriendo mayor relevancia en la jurisprudencia nacional, tanto ante tribunales ordinarios –preferentemente a través del conocimiento de la acción de protección–, como ante el Tribunal Constitucional, a través del control preventivo de leyes y del ejercicio de la acción de inaplicabilidad. Como usted muy bien sabe, la Constitución Política asegura a todas las personas, “el respeto y protección a la vida privada” (art. 19, Nº 4), concediendo amparo a una esfera específica de la vida de las personas, pero sin referencia alguna sobre el alcance o contenido específico de dicha protección. El contenido del derecho, entonces, ha de ser determinado por el legislador y la jurisprudencia, dado su carácter cultural y dinámico, mutable en el tiempo y en el espacio en que se desarrolle y ejerza. La mutabilidad del concepto de vida privada es esencial para comprender la evolución de los límites de su protección. En sus primeros tiempos, el derecho a la vida privada era concebido como una extensión de la protección del espacio privado (ya sea el hogar, la correspondencia o las relaciones familiares), oponiéndose al concepto de espacio público, en el cual todo sujeto podía legítimamente ser objeto de escrutinio. La distinción solía hacerse teniendo únicamente en consideración el espacio en que desarrollara su actividad un sujeto: aquellas que se verificaban al interior del hogar, por ejemplo, eran unívocamente privadas. Como prueba de ello, la Constitución de 1925 protegía únicamente ámbitos espaciales de la vida privada: la inviolabilidad del hogar y de la correspondencia, siendo desechada esta concepción limitada por la Constitución de 1980, que consideró a la “vida privada” como un objeto especial de protección distinto a la tradicional institución de la inviolabilidad.

Esta concepción amplia ha sido recogida por la jurisprudencia del Tribunal Constitucional, que ya en sus primeras sentencias identificó el vínculo estrecho que existe en este derecho y la dignidad de la persona humana, fundamento último del sistema de protección de los derechos fundamentales1 . Ha sostenido el TC que el derecho a la vida privada es un derecho personalísimo, expresión de la dignidad y la libertad humana y que, como todo derecho fundamental, no es un derecho absoluto sino que está sujeto a las limitaciones que se realicen mediante leyes que cumplan con finalidades constitucionales y que hayan sido dictadas conforme las reglas que ella misma determina. Con todo, el Tribunal Constitucional reiteradamente ha señalado que las limitaciones legales no pueden en caso alguno afectar en su esencia el derecho a la vida privada ni imponer condiciones que impidan su ejercicio. Hoy es posible identificar a lo menos tres dimensiones o aspectos de la vida de las personas que se encuentran bajo el amparo del derecho a la vida privada. En primer lugar, una dimensión territorial o espacial, donde resulta fácil identificar al hogar y cualquier otro espacio físico que no sea de acceso público, como espacios donde las personas actúan con la inequívoca voluntad de no quedar sometidas a escrutinio público alguno. Asimismo, también es posible identificar hipótesis en las cuales las personas tienen una legítima y razonable expectativa de privacidad en el espacio público. Es el caso, por ejemplo, de las conversaciones privadas que se verifican en la calle o en establecimientos Las principales sentencias que ha pronunciado el Tribunal Constitucional sobre el derecho a la vida privada son los roles 198/1995, 389/2003, 433/2005, 521/2006, 1800-1732/2010 (acumuladas), 1894/2011 y 1990/2011, estando pendiente la publicación de la sentencia 2153/2011 sobre publicidad de los correos electrónicos de funcionarios públicos.

abiertos al público u otras acciones que los titulares del derecho ejecuten “(…) con la inequívoca voluntad de sustraerlos a la observación ajena”2, como recientemente sostuvo el Tribunal Constitucional, recogiendo así la doctrina que, ya en 1979, planteó el destacado jurista nacional, don Eduardo Novoa Monreal. En segundo lugar, desde una dimensión corporal, es posible identificar como objeto de protección constitucional la integridad física de una persona como extensión de su vida privada, protección que restringe las intromisiones que se verifiquen a través de registros corporales, ya sean éstos físicos, químicos o biológicos o cualquier otra clase de procedimientos invasivos. Esta dimensión ha sido escasamente desarrollada por la doctrina y jurisprudencia nacional, no obstante su importancia, atendido el desarrollo de la biotecnología y la utilización creciente de herramientas de control biométrico en diversos espacios de la vida cotidiana. Por último, desde una dimensión informacional, el derecho a la vida privada permite que las personas puedan libremente decidir qué información o antecedentes relativos a su persona pueden ser conocidos o accedidos por terceros, información sobre la cual cada persona tendría un cierto poder de control, el que se manifestaría a través de la posibilidad de consentir directamente, por ejemplo, el tratamiento de su información personal de carácter privada. Es precisamente el deficiente sistema nacional de protección de datos personales, una de las fuentes de innumerables, y cada vez más frecuentes conflictos, atendido, por una parte, las intensas prácticas de tratamiento de datos que se realizan a través de los múltiples sistemas de información personal que operan en el comercio y la prestación de servicios de cualquier naturaleza y, por otra, las dificultades propias que las plataformas tecnológicas, como internet y las redes sociales, suponen para el resguardo de la vida privada de sus usuarios que voluntaria (y quizás inconscientemente) exponen sin mayor cuidado. Son estas últimas dimensiones de la vida privada las que más han evolucionado en la doctrina y jurisprudencia comparada, razón por la cual urge dedicarles un poco más de nuestra atención. 2

STC Rol Nº 1.894/2011, considerando vigésimo tercero.

TRIBUNA

Semana del 6 al 10 de agosto de 2012

LA PROTECCIÓN DE DATOS PERSONALES EN CHILE: ESTADO DEL ARTE Y DESAFÍOS

Enrique Petar Rajevic Mosler Director Jurídico Consejo para la Transparencia

Desde 1999 Chile cuenta con una la Ley sobre Protección de Datos Personales (en adelante, LPDP), la Nº 19.628, que regula su tratamiento. Datos personales son aquéllos relativos a cualquier información concerniente a personas naturales, identificadas o identificables —a diferencia de los datos estadísticos que no pueden ser asociados a una persona concreta—, y que se califican como sensibles cuando se refieren a características físicas o morales, la vida privada o la intimidad de una persona natural (p. ej., datos raciales, políticos, religiosos, de salud o sexuales). Tratamiento de datos es, según la ley, casi cualquier utilización posible (“…recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar…”). ¿Por qué legislar en esta materia? La respuesta es simple. Los avances informáticos permiten procesar enormes volúmenes de datos y transferirlos con gran facilidad, especialmente desde la creación de Internet, lo que si bien ofrece enormes oportunidades también pone en evidente riesgo la intimidad de las personas. De allí que en el entorno comparado, este tipo de normas cuenta con importantes precedentes, como la Privacy Act de EE.UU. (1974) o el Convenio 108 (1981) y la Directiva 95/46/CE, en el caso de Europa. Aunque pueda parecer algo abstracto termina siendo, por el contrario, absolutamente cotidiano. Todos hemos entregado datos personales de los que somos titulares, a veces obligados por la ley para registrar bienes, ser identificados con certeza o permitir la fiscalización del cumplimiento de nuestras obligaciones (p. ej., en materia tributaria). Otras veces lo hacemos voluntariamente, porque perseguimos un beneficio: un descuento, sacar dinero de un cajero automático, obtener crédito con una tarjeta o, simplemente, sumarnos a una red social. Como es obvio, para las empresas tener información de sus clientes o potenciales clientes es especialmente valioso. El problema es que el uso de esos datos puede también perjudicarnos, por ejemplo, cuando se emplean para fines comerciales diferentes a los que nos llevaron a entregarlos (por ejemplo, conocer nuestras pautas de comportamiento para enviarnos ofertas comerciales o evaluar nuestros “riesgos”), su difusión nos estigmatiza (el registro de una condena o de un incumplimiento comercial) o se entregan a terceros que podrían discriminarnos arbitrariamente (p. ej., por orientaciones políticas o sexuales, enfermedades, etc.). Ello nos deja en un estado de vulnerabilidad que muchas veces no advertimos hasta que es demasiado tarde, y que la regulación debe impedir. De allí que se hable de un derecho de las personas a la autodeterminación informativa, esto es, a controlar sus datos personales, incluso si éstos no se refieren a su intimidad. En otras palabras, no es sólo una noción negativa o abstencionista (excluir a otros) sino también positiva (controlar mis datos). Se trata, en definitiva, de aprovechar los beneficios que brindan las nuevas tecnologías informáticas de una manera compatible con los derechos de las personas.

“A casi una década de vigencia de la ley N° 19.628, la práctica y la doctrina han puesto de relieve sus insuficiencias. Entre ellas puede destacarse la ausencia de un órgano especializado y efectivo de fiscalización; la escasa utilización del habeas data judicial; sanciones que, por lo mismo, tampoco se aplican y, en cualquier caso, carecerían de un real efecto disuasorio; y un talante tolerante con los tratamientos que realizan algunos agentes privados en materia comercial. ”. Para lograr esto, la ley establece una serie de principios en el tratamiento (licitud, información, veracidad, finalidad, seguridad y confidencialidad) y reconoce un conjunto de derechos —la doctrina habla de un habeas data— a los titulares de datos personales (acceso, rectificación, cancelación y bloqueo), cuyo ejercicio es irrenunciable (art. 13), pero que no cabe respecto de los órganos públicos cuando impida o entorpezca sus funciones fiscalizadoras (art. 15, entre otras hipótesis). También por ello proscribe el tratamiento de los datos sensibles salvo que la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares (art. 10), y permite acudir al juez de letras en lo civil (o la Corte Suprema, en ciertos casos) en caso de infringirse estos derechos, el que puede aplicar multas de hasta 50 UTM. Además, se reconoce el derecho a indemnización por el daño patrimonial y moral que causare el tratamiento indebido de los datos (art. 23). Existen ciertas especificaciones para los organismos públicos (que deben registrar los bancos de datos que lleven ante el Registro Civil), destacando el art. 21 de la LPDP que les impide comunicar sanciones penales o administrativas una vez prescrita la acción o cumplida o prescrita la sanción o la pena. Es el llamado “derecho al olvido”, que favorece la reinserción de las personas (y no impide, por cierto, que puedan acceder a estos datos los tribunales u otros organismos públicos dentro del ámbito de su competencia). A casi una década de vigencia de la ley N° 19.628, la práctica y la doctrina han puesto de relieve sus insufi-

ciencias. Entre ellas puede destacarse la ausencia de un órgano especializado y efectivo de fiscalización; la escasa utilización del habeas data judicial; sanciones que, por lo mismo, tampoco se aplican y, en cualquier caso, carecerían de un real efecto disuasorio; y un talante tolerante con los tratamientos que realizan algunos agentes privados en materia comercial. Casos recientes y muy publicitados han puesto de relieve estos problemas, al igual que la aplicación de la LPDP por parte del Consejo para la Transparencia, que debe velar por la protección de datos en el ámbito de la Administración del Estado por encargo de la Ley N° 20.285. Lo anterior no sólo arriesga los derechos de las personas, también hace que no cumplamos integralmente con los estándares internacionales sobre protección de datos, ni los de la OCDE ni los que exige la UE para autorizar la transferencia de datos desde sus Estados miembros (cosa que logró Argentina en 2006), pues este es un fenómeno de carácter global. Es preciso, por lo tanto, corregir este estado de cosas a la brevedad. Hace pocos meses el Ejecutivo ingresó al Parlamento un Proyecto de Ley que modifica sustantivamente la LPDP (Boletín N° 8143-03), y que viene a sumarse a otras iniciativas legislativas en tramitación. Su discusión es una magnífica oportunidad para corregir las imperfecciones de nuestro marco legal y ponernos al día, ahora sí, con las necesidades de una sociedad respetuosa del control que cada persona debe tener respecto de la información que le atañe.

Control Judicial de la Resolución de Calificación Ambiental Osvaldo de la Fuente Castro

Esta obra analiza el problema que enfrenta el juez al momento de conocer la impugnación de una resolución de calificación ambiental, acto administrativo terminal del procedimiento administrativo de evaluación de impacto ambiental. Con este propósito, se caracteriza el Sistema de Evaluación de Impacto Ambiental para así demostrar que este problema no es otro que el control del ejercicio de potestades discrecionales, asumiendo una posición crítica frente a la remisión al conocimiento técnico y proponiendo como alternativa un enfoque jurídico. Este enfoque se construye en base a dos elementos: en primer término, se desarrolla una concepción del imperio de la ley donde el control judicial de la actividad de la Administración es esencial. Y, en segundo lugar, se sostiene que la certeza, como fundamento del control del poder público, impide dejar áreas exentas de control, de manera que los límites del control judicial de la discrecionalidad administrativa sólo dicen relación con su resultado.

ACTUALIDAD

Semana del 6 al 10 de agosto de 2012

CLOUD COMPUTING VS. PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL* ....................................................................................................................................................................................................................

Yolanda Adsuar

Abogada. Especialista en Protección de Datos y nuevas Tecnologías Si bien es cierto que no existe una definición única y comúnmente aceptada del término, para la cuestión que aquí nos ocupa podemos definir el cloud computing como un sistema de computación en virtud del cual los datos de carácter personal generados como consecuencia de la utilización de una aplicación informática bajo esta modalidad, se almacenan directamente en los servidores del prestador de servicios. La definición de cloud computing que generalmente sirve de base para dotar de contenido este concepto tan sucinto es la que nos dio el NIST (Instituto Nacional de Estándares y Tecnologías, organismo del Departamento de Comercio de EE.UU.) de julio del 2009. Según esta definición, hay 5 características que definen el cloud computing: a) Autoservicio: el usuario puede utilizar más capacidades de procesamiento o almacenamiento de la información, sin pedirlo expresamente al proveedor del servicio. b) Amplio acceso a la Red: se puede acceder a ésta desde diferentes dispositivos y redes. c) Agrupación y reserva de recursos: hay un conjunto de recursos compartidos por los usuarios, de acuerdo con sus necesidades puntuales, que implica que en cada momento los recursos reservados puedan ser diferentes. d) Rapidez y elasticidad: se puede acceder a los nuevos recursos de manera inmediata y aparentemente ilimitada. e) Servicio medible y supervisado: se controla el uso y en todo momento se puede conocer, de manera transparente, el nivel de recursos utilizado. Como vemos, en la prestación de un servicio de cloud computing, el cliente dispone de servicios compartiendo recursos con otros usuarios, con independencia de la localización exacta de dichos recursos. Por otro lado, se puede acceder a la red desde diferentes dispositivos (PC, móvil, PDA…) de una forma rápida y, aparentemente, sin límites. Estas ventajas junto a la creciente tendencia al outsourcing que presentan las empresas, hacen que podamos afirmar que la tecnología cloud se convertirá, en un futuro no tan lejano, en uno de los principales impulsores de la creación de negocio, competitividad y crecimiento económico del tejido empresarial. No debemos olvidar, además, como el uso de esta solución tecnológica supone y supondrá, la reducción de costes netos acumulativos de las entidades que decidan contratarla. No obstante, también se nos presenta un claro inconveniente que toma forma en todas las organizaciones que se plantean pasar sus sistemas y bases de datos al cloud, que es la preocupación por la falta de confidencialidad de los datos: con la suscripción de estos servicios, casi de manera automática, desaparece o se difumina el conocimiento por parte de la empresa sobre la ubicación física exacta de la información, así como de las condiciones de procesamiento, sin ignorar que de esta manera pueden quedar afectadas las garantías de confidencialidad y de seguridad de la información situada en el cloud. A pesar de que tanto la Directiva 95/46/CE (LCEur 1995, 2977), relativa a la protección de las personas físicas en cuanto al tratamiento de datos personales y a la libre circulación de estos datos, como la Ley Orgánica 15/99 (RCL 1999, 3058) de Protección de Datos prevén las circunstancias que supone una prestación de servicios de este tipo, (encargo de tratamiento junto, posiblemente, con transferencia internacional de datos, conceptos que luego analizaremos) su planteamiento con relación al tratamiento de la información es anterior a la “era Internet”. Es decir, que si la normativa vigente en dicha materia parte de una situación donde las bases de datos están centralizadas,

Extracto del comentario publicado en Actualidad Jurídica Aranzadi núm. 846/2012. Editorial Aranzadi, SA, Pamplona. 2012.

tanto física como lógicamente, y situadas en los centros de procesamiento de datos instalados en los locales de la propia organización responsable del tratamiento, es misión de los juristas y legisladores modernos plantearse la incidencia de esta nueva forma de tratamiento. La cuestión básica que surge en las empresas cuando se plantea la contratación de un servicio bajo la modalidad de cloud computing es conocer hasta qué punto es legal “colgar” en Internet los datos personales de nuestros clientes o de nuestros trabajadores. Es más, se preguntan cuál debe ser el nivel de seguridad de los servicios ofrecidos a través del cloud computing, cómo se garantizan esos niveles de seguridad, qué instrumentos tenemos para ello y a qué riesgos nos exponemos. Para poder dar respuesta a esta disyuntiva “cloud computing vs. Protección de Datos” que nos hemos planteado, debemos tener en cuenta algunos aspectos de la normativa de protección de datos; siguiéndolos, siendo diligentes en la contratación de los servicios cloud y manteniendo una buena política de confidencialidad y protección de la información, intentaremos resolver todas estas cuestiones. En primer lugar, debemos tener muy en cuenta que el alquiler de plataformas o aplicaciones on-line por parte de los prestadores de los servicios de cloud computing no se considera una cesión de datos personales, según la legislación, sino que se encuadra como un “acceso a datos por cuenta de terceros”, que, como sabemos, encuadra al prestador del servicio en la figura del Encargado del tratamiento, una situación regulada en el art. 12 de la LOPD. La obligación principal que exige esta disposición legal, como sabemos, es la existencia de un contrato formal entre la empresa responsable de los datos (cliente que contrata el servicio cloud computing) y el encargado del tratamiento. Debe existir, necesariamente, una relación jurídica que vincule al responsable y al encargado de tratamiento y que delimite, de manera precisa, cuál será su actividad con relación al tratamiento de datos personales que realiza el encargado por cuenta del responsable del tratamiento. En estos casos, debe aplicarse, en toda su extensión, lo previsto en el RD 1720/2007 (RCL 2008, 150), desarrollador de la LOPD, en cuanto al clausulado que debe tenerse en cuenta en ese contrato: las condiciones de acceso a los datos, las medidas de seguridad que deberá implementar el proveedor de servicios, las condiciones de devolución de los datos una vez cumplido el servicio, las circunstancias de subcontratación con terceros, etc. Además, una de las obligaciones que establece el RDLOPD en el art. 20.2 es que el responsable del tratamiento debe velar porque el encargado del tratamiento cumpla con lo que prevé el reglamento, por lo tanto, hay que articular mecanismos de supervisión, incluso, en aquellos casos especialmente difíciles cuando el encargado del tratamiento tenga una posición dominante en el mercado. Un segundo aspecto a tener en cuenta, que debe aparecer siempre que nos planteamos un tratamiento o uso específico respecto a la información de carácter personal, es el principio de calidad de los datos personales. Dicho principio (artículo 4º LOPD) establece que el uso de los datos personales, únicamente, será el correspondiente a las finalidades para las que se obtuvieron dichos datos. Esta norma implica un control constante para evitar posibles usos ilegítimos, por eso es imprescindible proceder a enumerar y desarrollar en el contrato con el prestador del servicio cuales serán los usos, accesos y, en definitiva, tratamientos que realizará con la información que coloquemos en el cloud. Además, el principio de calidad señala que los datos deben ser cancelados cuando hayan dejado de ser necesarios para su finalidad, por ello, debemos asegurarnos que cuando el responsable de los

datos cancele o bloquee los datos, esta acción es efectuada, también, por el encargado del tratamiento, ya sea mediante un clausulado en este sentido en el contrato o bien a través del derecho a realizar auditorías periódicas al prestador del servicio. En tercer lugar, debemos atender al nivel de seguridad que se aplicará en el tratamiento de los datos, ya que no podrá exigir el mismo nivel de seguridad un responsable cuyos datos se configuran de nivel básico, como un responsable con ficheros de nivel medio o alto. La implantación de medidas técnicas debería ser un aspecto en el que podemos sentirnos más relajados, pues es de esperar que un proveedor de servicios cloud computing ponga todo su conocimiento, experiencia e interés al servicio de un entorno seguro, que constituye la base de su negocio. No obstante, esta confianza no nos exime de exigir unas determinadas garantías. En primer lugar, mediante la redacción de unas cláusulas técnicas que definan las medidas de seguridad que el proveedor debe aplicar y exigiendo su cumplimiento durante la ejecución del servicio. Algunas formas de asegurarnos este cumplimiento, que ha señalado la propia Agencia Española de Protección de Datos en algunos artículos y conferencias realizados al respecto, podrían ser fijar en el contrato la potestad para realizar auditorías técnicas, la imposición de penalizaciones por incumplimiento o bien la exigencia de contratación de un seguro de responsabilidad civil. El cuarto y último aspecto a analizar, pero no por ello el menos es importante, bien al contrario, está conectado con algo tan básico como conocer cuál es el destino concreto de los datos personales que vamos a subir al cloud, el lugar en el que se ubicará el servidor que contiene dichos datos. Aunque parezca obvia esta cuestión, la realidad demuestra que existen algunos servicios cloud computing que no ofrecen información sobre la localización del centro de proceso de datos, e incluso ofrecen ventajas económicas o descuentos a cambio de que el proveedor de servicios decida en cada momento dónde residenciar las plataformas o servicios contratados. Conocido el lugar, conditio sine qua non de la contratación de estos servicios, se nos plantea la circunstancia, más que probable, de que, consecuencia del uso de servicios cloud computing, se pueda llegar a producir lo que la normativa denomina una Transferencia Internacional de Datos. […] En definitiva, la contratación de un proveedor de servicios de “cloud computing” constituye un supuesto más de los existentes en la empresa de tratamiento de datos de carácter personal por cuenta de terceros y corresponde al Responsable del Fichero, en todo caso, dar cumplimiento a aquellos aspectos de la normativa de protección de datos que le sean exigibles conforme a la legislación española y, en particular, la relativa a la formalización de un contrato por escrito y el cumplimiento de las reglas que rigen las Transferencias Internacionales de Datos, de haberlas, habiéndonos, previamente, informado con exactitud de la ubicación de los servidores que contendrán nuestra información. Ciertamente, queda un largo camino hasta alcanzar el punto en que los propios proveedores de servicios de cloud computing incorporen las exigencias y requisitos en materia de protección de datos a su catálogo de servicios. Mientras tanto, tal como advierte la Agencia Española de Protección de Datos, debe ser la empresa, como Responsable del Fichero y del tratamiento, que es quien se preocupa por garantizar la más absoluta confidencialidad de la información que maneja y el rigor en los encargos de tratamiento que contrate, para ello, deberá ejercer diligentemente su posición de responsable ante los titulares de los datos, deberá conocer y negociar las garantías exigibles en el contrato que le vincule con el prestador del servicio cloud y dotarse de las medidas necesarias para conocer y auditar que el encargado cumpla con el clausulado pactado. De esta manera, y hasta que el legislador nos indique otro camino a seguir, cualquier empresa u organismo que quiera beneficiarse de la tecnología cloud computing, podrá hacerlo siendo respetuoso, asimismo, con la protección de sus datos de carácter personal.

Director: Luis Cordero Vega / Representante Legal: Fulvio Santarelli – Claudio Busson / Equipo Editorial LegalPublishing - THOMSON REUTERS: Verónica Barrera M.; Belén Caneiro D.; Francesca De Ferrari M.; Rosa Muñoz E.; Alejandra Ochoa D-R.; Pamela Patiño M.; Pablo Valladares L.; Tamara Vives G. / Diseño: Aníbal Serrano J. – Olaya Fernández A. Teléfono: 510 5000 Fax: 510 5252 Dirección: Miraflores 383, piso 10, Torre Centenario, Santiago, Chile. Sitio web: http://www.lasemanajurídica.cl Las opiniones vertidas por colaboradores, como cualquier texto firmado, sólo comprometen la responsabilidad de sus autores y no representan necesariamente la opinión de La Semana Jurídica.