El 2020 será un año inolvidable en muchos sentidos. A la pandemia generada por el COVID-19 y al confinamiento parcial de las personas para intentar detener su propagación —parcial porque todavía una buena parte de la población, al menos en Chile y América Latina, debe salir de sus hogares para buscar el sustento diario— debemos sumar, en lo que al derecho y la tecnología le compete en este contexto, un embate fuerte y la instalación —a veces fallida y otras tantas exitosa— de una supuesta tensión entre los derechos a la privacidad y a la protección de datos personales con el valor de la seguridad, en este caso, en su acepción seguridad sanitaria. En el plano normativo, en junio de 2020 se cumplieron dos años de la entrada en vigencia de la reforma constitucional que consagró el derecho a protección de los datos personales en Chile, al incorporarla expresamente en el numeral 4 del artículo 19 de la Constitución vigente.

El 2020 será un año inolvidable en muchos sentidos. A la pandemia generada por el covid-19 y el confinamiento parcial de las personas para intentar detener su propagación —parcial, porque todavía una buena parte de la población, al menos en Chile y América Latina, debe salir de sus hogares para buscar el sustento diario—, debemos sumar, en lo que al derecho y la tecnología le compete en este contexto, un embate fuerte y la instalación —a veces fallida y otras tantas exitosa— de una supuesta tensión entre los derechos a la privacidad y a la protección de datos personales con el valor de la seguridad, en este caso, en su acepción de seguridad sanitaria.

En el caso de Chile, esta tensión se ha visto agravada por la ausencia de una autoridad pública de control del tratamiento de datos personales, tanto en el sector público como privado, que tenga por misión —entre otras— la promoción del sistema constitucional y legal de protección de datos personales, así como la fiscalización y sanción de los tratamientos indebidos, abusivos e ilegales.

En otras latitudes, las autoridades de control han servido de contrapeso o han puesto límites a las pretensiones de ciertas autoridades de incrementar los niveles de control y vigilancia de las personas so excusa de controlar la propagación del covid-19; promover el uso de aplicaciones de dudosa utilidad, poco respetuosas de la privacidad de los usuarios y desproporcionadas en la recolección de datos personales; o solicitar accesos indebidos a datos de fichas clínicas de personas contagiadas. En el caso de Chile, el Consejo para la Transparencia ha intentado cumplir, con las competencias legales con que cuenta, esta función, pero el escenario habría sido más propicio si ya estuviese aprobado el proyecto de ley que reforma la Ley sobre Protección de la Vida Privada (Boletín 11.144), que encomienda a esa institución pública la función de autoridad nacional de protección de datos personales.

En el plano normativo, en junio de 2020 se cumplieron dos años de la entrada en vigor de la reforma constitucional que consagró el derecho a protección de los datos personales en Chile, al incorporarla de manera expresa en el numeral 4 del artículo 19 de la Constitución, que reza:

La Constitución de 1980 asegura a todas las personas: […] 4. El respeto y protección a la vida privada y a la honra de la persona y su familia, y asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley.

Desde esa fecha, la protección de datos personales se consagró como un nuevo derecho fundamental explícito de la Constitución, sumándose a la tendencia regulatoria comparada, principalmente de países de América Latina y Europa, que habían constitucionalizado el denominado derecho a la autodeterminación informativa desde hace ya algunos años.

La reforma constitucional era un anhelo de la doctrina desde la entrada en vigor de la Ley 19.628 sobre Protección de la Vida Privada, norma que no obstante su ambicioso nombre, solo regula el tratamiento de datos personales, y que ha sido criticada en forma transversal desde su aprobación por la falta de protección efectiva que otorgaba a los derechos de las personas.

El derecho a la autodeterminación informativa es resultado de un doble proceso de transformación social y jurídica. Por una parte, la creciente utilización de tecnologías informáticas y digitales por parte de órganos del Estado, del sector privado y de la propia ciudadanía para la captura, procesamiento y transmisión de información personal, levantó varias alarmas respecto del impacto que este tipo de herramientas podía tener en la protección de los derechos fundamentales de las personas.

Esto llevó a la doctrina y jurisprudencia comparada y, en consecuencia, a la doctrina nacional, a identificar cuál era la respuesta que se podría ofrecer desde el derecho para controlar o dar legitimidad al proceso de captura, procesamiento y transmisión de datos personales, que permitiera, por una parte, el flujo de información imprescindible para el funcionamiento de una sociedad moderna e informatizada; y, por otra, garantizara la no afectación de los derechos fundamentales de las personas.

Sobre su contenido más preciso, lamentablemente no hay literatura disponible desde la entrada en vigor de la reforma constitucional que nos ayude a identificarlo, pero sí nos es posible hacer el ejercicio de caracterizar sus principales elementos.

La norma constitucional reconoce como derecho fundamental la «protección de los datos personales» de todas las personas y luego construye una reserva legal especial cuando señala que «el tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley».

Una diferencia ostensible entre la regla constitucional contenida en la primera parte del numeral 4 —esto es, el derecho a la vida privada propiamente tal— dice relación con la omisión de la expresión «respeto» al momento de consagrar el derecho fundamental a la protección de datos personales, lo que parece más bien resultado de la técnica legislativa utilizada y no una decisión ex profeso del legislador. En la historia de ley, sólo es posible encontrar una intervención del senador Harboe, en la que argumentó sobre la necesidad de mantener la palabra «protección» en el texto aprobado —que un diputado consultaba eliminar porque aparecía reiterada en la reforma constitucional— señalando que

el tratamiento constitucional lo consagra como el derecho a la protección de los datos personales y no derecho a los datos personales, lo cual generaría eventual discusión en cuanto al alcance de este derecho, agregando que en el derecho comparado siempre se habla de derecho a la protección de datos personales. Es por ello que descarta hacer tal modificación. 1

El segundo elemento característico del nuevo derecho a la autodeterminación informativa es que la Constitución creó una reserva legal especial que se suma a la reserva legal general de las normas que regulen o complementen garantías constitucionales, establecida en el numeral 26 del artículo 19, relacionada con la regla del numeral 2 del artículo 63 sobre materias de ley, ambos de la Constitución Política.

En aplicación de la reserva legal especial y general, la regulación sobre el «tratamiento» y la «protección» de datos personales deberá siempre adoptar la forma de una ley, por lo que se excluyen las formas infralegales de regulación, ya sea que se hagan por la vía reglamentaria, por decreto con fuerza de ley o por otras normas menores como las ordenanzas municipales. Esto resultará en particular importante respecto de aquellas medidas que se han adoptado en el contexto de pandemia, las cuales usualmente adquieren la forma de reglas infralegales, por lo que podrían resultar inconstitucionales.

Desde un punto de vista sustancial, la reforma constitucional impone diversos mandatos a diversos poderes que conforman el Estado y a los particulares, por aplicación del principio de eficacia horizontal de los derechos fundamentales.

El primero de estos mandatos tiene como destinatario al legislador, quien deberá establecer la «forma» y las «condiciones» que regularán el «tratamiento» y la «protección» de datos personales. Esto supone que el núcleo protector del derecho estará determinado por estas acciones. La ley deberá regular el tratamiento, esto es, cualquier operación que se ejecute sobre un dato personal, teniendo por objeto central otorgarle «protección», esto es, adoptar las medidas que sean necesarias para que el dato personal y los derechos de su titular no sean afectados en forma ilegítima.

El segundo mandato tiene como destinatario al Poder Judicial y a los órganos de la Administración del Estado que ejercen algún tipo de jurisdicción, ya sea judicial o administrativa, quienes en el ejercicio de sus funciones deberán considerar el nuevo derecho constitucional a la autodeterminación informativa y dar amparo efectivo a la protección de datos personales en cada caso que se les presente. Así, por mencionar sólo algunos ejemplos, las Cortes de Apelaciones y la Corte Suprema deberán revisar la tutela efectiva que están otorgando en casos en que se han planteado asuntos sobre la protección de datos personales relacionados con la utilización masiva a indiscriminada del número único de identificación nacional (RUN o RUT) o con el ejercicio del derecho de cancelación (usualmente conocido de manera impropia como «derecho al olvido»); también deberá actualizar sus criterios decisorios el Consejo para la Transparencia en aquellos casos en que el ejercicio del derecho de acceso a la información pública considere alguna dimensión de protección de datos personales o en el ejercicio de la función de velar por el tratamiento de datos personales que se haga en los órganos de la Administración del Estado, conforme dispone el literal m) del artículo 33 de su ley orgánica.

Por último, cabe consignar que la constitucionalización del derecho a la autodeterminación informativa implica no solo incrementar el nivel de resguardo de los datos personales, sino que también contribuye a fortalecer las normas del sistema constitucional de protección de la privacidad. Esto, por ejemplo, resulta en especial relevante en aquellos casos en que la protección de la vida privada resultaba insuficiente o derechamente no alcanzaba para proteger información personal que pudiera ser pública, por aplicación de reglas generales de la Ley 19.628 o por reglas especiales, como la Ley 20.568 sobre inscripciones electorales. Ahora, el análisis del texto introducido por la reforma constitucional nos llevará necesariamente a sostener que, incluso cuando los datos personales sean públicos, seguirán siendo objeto de protección constitucional mediante el derecho a la autodeterminación informativa, en una posición jerárquica mayor en el sistema de fuentes constitucionales. Esta es una novedad en nuestro sistema constitucional.