El Congreso chileno discute un proyecto de ley que modificará la normativa vigente en materia de protección de datos personales. El proyecto está inspirado en el Reglamento General de Protección de Datos de la Unión Europea, pero en algunas materias el legislador ha decidido innovar mediante modificaciones que lo alejan del modelo europeo. Este trabajo se enfoca en aquellos aspectos relacionadas con el cumplimiento del estándar de protección de datos personales que originalmente se proponía alcanzar. Se busca contribuir a la discusión legislativa y dar cuenta de algunas de las principales herramientas con que el legislador europeo ha querido dotar a los titulares de los datos personales para la protección de su derecho a la autodeterminación informativa.

Actualmente, el Congreso chileno discute la modernización de la normativa aplicable al tratamiento de datos personales, mediante la modificación sustancial de la Ley 19.628 sobre Protección de la Vida Privada, de 1999 ( Vergara Rojas, 2017 ; Benussi, 2020). El proyecto de ley 1 que Regula la Protección y el Tratamiento de los Datos Personales y crea la Agencia de Protección de Datos Personales (Boletín 11144-07 2 refundido con el Boletín 11092-07, 3 en adelante, el proyecto), 4 se encuentra fuertemente inspirado 5 en el Reglamento 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos 6 (GDPR por sus siglas en inglés). Esto se explica, en gran medida, por el interés de conseguir que la Unión Europea 7 declare que Chile garantiza un nivel de protección adecuado y, por tanto, autorice la transferencia internacional de datos personales sin requerir ninguna autorización específica (GDPR, artículo 94).

Con todo, el proyecto contiene disposiciones cuyo contenido se distancia profundamente del texto que le sirvió de inspiración, en algunos casos llegando a alterar sustancialmente el sentido y alcance de aquellas instituciones que buscaba replicar. Esto resulta especialmente preocupante en el caso de los derechos 8 que la normativa europea contempla para otorgar a los titulares un mayor control sobre sus datos personales y una protección efectiva de su derecho a la autodeterminación informativa.

En este artículo se revisan normas del proyecto de ley que afectan la efectividad y exigibilidad de derechos que resultan indispensables para hacer frente a las asimetrías de poder existentes entre los titulares de los datos y los responsables de su tratamiento (Ausloos, 2020) y, por tanto, la eficacia del derecho a la autodeterminación informativa. Se trata de disposiciones que requieren ser revisadas y enmendadas si lo que se busca es ofrecer un nivel de protección adecuado, equivalente en lo esencial al de la Unión Europea que, como mínimo, exige reconocer a los titulares de los datos derechos efectivos y exigibles (European Union Agency for Fundamental Rights y otros, 2019).

Conforme al artículo 15 del GDPR, el derecho de acceso permite al titular de los datos obtener del responsable del tratamiento confirmación de si se están tratando o no sus datos personales y, en tal caso, a acceder a ellos y a la demás información que se señala en dicha ley.

El derecho de acceso es considerado la salvaguardia más importante del derecho a la autodeterminación informativa ( OECD, 2013 ), lo que se explica por su carácter habilitante, en tanto posibilita el ejercicio de los demás derechos que se puedan otorgar a los titulares de datos personales 9 (European Union Agency for Fundamental Rights y otros, 2019), pues difícilmente podrían ser ejercidos sin tener, en primer lugar, noticias sobre la existencia del tratamiento de datos.

El carácter esencial de este derecho se ve reflejado en la Carta de los derechos fundamentales de la Unión Europea, primer instrumento internacional de derechos humanos que incorpora en su catálogo el derecho a la autodeterminación informativa como un derecho autónomo e independiente del derecho a la privacidad, 10 donde la facultad de acceso forma parte de su núcleo central ( Brkan, 2019 ; Leenes y otros, 2018).

El carácter esencial de este derecho se ve reflejado también en la forma en cómo este se encuentra consagrado en el GDPR, cuyo artículo 15 faculta a los titulares de los datos personales a obtener del responsable del tratamiento confirmación de si sus datos personales están siendo o no tratados, así como acceso a ellos (y a la demás información ahí señalada), sin excepciones de ningún tipo. 11

Dado lo anterior, es un grave error que el proyecto limite el ejercicio del derecho de acceso consagrando cuatro excepciones que permitirían al responsable del tratamiento limitarse a confirmar si los datos están siendo o no tratados, eximiéndolo de dar acceso a ellos. Estas excepciones son las siguientes: i) cuando el titular ya disponga de la información requerida; ii) cuando su comunicación resulte imposible o su entrega exija un esfuerzo desproporcionado; iii) cuando su entrega imposibilite u obstaculice gravemente un tratamiento de datos con fines históricos, estadísticos o científicos, para estudios o investigaciones que atiendan fines de interés público o vayan en beneficio de la salud humana; y iv) cuando lo disponga expresamente la ley.

Para el ordenamiento jurídico de la Unión Europea, una limitación de este tipo, que no respeta el contenido esencial de un derecho fundamental, no sería justificable bajo ningún respecto. «Si se lesiona el contenido esencial del derecho, la limitación deberá considerarse ilícita, sin necesidad de valorar si sirve a un objetivo de interés general y satisface los criterios de necesidad y proporcionalidad» (European Union Agency for Fundamental Rights y otros, 2019: 50).

Estas cuatro excepciones son prácticamente idénticas a aquellas contenidas en el artículo 14 del GDPR, que se refiere a la información que el responsable debe facilitar al titular de los datos cuando estos no hayan sido obtenidos directamente desde el titular (por ejemplo, desde una fuente accesible al público), con lo que pareciera que el legislador chileno confunde ambas instituciones. Sin embargo, los deberes de información que el GDPR impone al responsable en virtud de sus artículos 13 12 y 14 13 se originan por el solo hecho del tratamiento de los datos personales, con independencia de si el titular ejerce o no su derecho de acceso (European Union Agency for Fundamental Rights y otros, 2019).

Conforme la versión revisada del artículo 5 del proyecto, el responsable del tratamiento está obligado a informar:

los datos tratados y su origen; la finalidad o finalidades del tratamiento, las categorías, clases o tipos de destinatarios, o bien, la identidad de cada destinatario, en caso de solicitarlo así el titular, 14 el período de tiempo durante el cual los datos serán tratados y los intereses legítimos del responsable, cuando esta sea la base de licitud del tratamiento de datos.

Comparado el texto con el del artículo 15 del GDPR, la siguiente información quedaría fuera del ámbito de obligación del responsable: i) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento, o a oponerse a dicho tratamiento (GDPR, artículo 15, letra e); ii) el derecho a presentar una reclamación ante una autoridad de control (GDPR, artículo 15, letra f); iii) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22 del GDPR, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el titular (GDPR, artículo 15, letra h); y iv) las garantías adecuadas que se hubieren implementado en caso de haberse transferido los datos personales a un tercer país o a una organización internacional (GDPR, artículo 15, número 2). En síntesis, el legislador chileno, además de limitar el ejercicio del derecho de acceso mediante excepciones propias de otra institución, restringe también la información a cuya entrega tiene derecho el titular.

Si bien el proyecto contempla otros deberes de información en sus artículos 14 y 14 ter, el primero de estos solo obliga a informar sobre «los antecedentes que acrediten la licitud del tratamiento de datos que realiza», sin especificar cuáles serían esos antecedentes; y el artículo 14 ter, además de incompleto en comparación al GDPR, no impone al responsable un deber de transparencia activa, a quien solo le exige «mantener la información permanentemente a disposición del público», imponiendo sobre el titular la carga de buscar la información referida al tratamiento de sus datos.

Cabe destacar que, en su versión original, el artículo 14 solo imponía al responsable la obligación de informar en la medida que ello fuera requerido por el titular, cuestión que fue modificada mediante una indicación ingresada por el senador Harboe con la finalidad de incorporar en el proyecto tanto la dimensión activa como pasiva de la información. 15 Es preciso comentar que el texto original de la indicación obligaba a informar y poner a disposición del titular, permanentemente, los antecedentes que acreditaran la licitud del tratamiento, en orden a asegurar que los titulares contaran con información suficiente y actualizada, sin necesidad de realizar una solicitud previa. Lamentablemente esta idea fue resistida por el ejecutivo, cuya oposición a la introducción del verbo rector informar 16 finalmente derivó en la eliminación de la palabra permanentemente. Conforme a lo sostenido por la entonces coordinadora de Mercados de Capitales del Ministerio de Hacienda, Catherine Tornel, «una vez requerido el consentimiento inicialmente no sería tan necesario que se imponga la exigencia de informar periódicamente acerca de los cambios en la política de tratamiento de datos». 17 Pero entonces, ¿cómo llegaría el titular a enterarse de las nuevas condiciones bajo las cuales podría realizarse el tratamiento de sus datos?

Que el proyecto no contemple deberes de transparencia activa que obliguen al responsable a entregar información completa a los titulares sobre el tratamiento de sus datos (cuestión que sí hace el GDPR en sus artículos 13 y 14), se traduce en imponer al titular la carga de buscar la información sobre el tratamiento que terceros pudieran hacer de sus datos, incluso aquella información que resulta necesaria para el pleno ejercicio de su derecho a la protección de los datos personales ( Veronese, 2019 ), la que solo podría llegar a conocer mediante la consulta constante, de los sitios de cada uno de los responsables que pudieran estar tratando sus datos personales, como bien apuntó el senador Harboe durante la discusión de estos artículos. 18 Basta pensar en el tiempo promedio que demoran las personas en leer una política de privacidad, 19 además del número masivo de tratamientos distintos que se realizan a diario sobre sus datos personales 20 para concluir que una tarea como la descrita resulta, en la práctica, imposible de realizar.

Además, en aquellos casos en que los datos personales no se obtengan directamente desde su titular (por ejemplo, cuando se traten datos provenientes de una fuente de acceso público , para la satisfacción de los intereses legítimos del responsable), ¿cómo podrá el titular buscar la información relativa al tratamiento de sus datos si, en primer lugar, no tiene conocimiento de su existencia? En todos estos casos, la carga que el legislador chileno impone al titular vuelve imposible el pleno goce de su derecho a la autodeterminación informativa.

El GDPR, tanto en virtud del derecho de acceso como de los deberes de información activa que recaen sobre el responsable, exige explícitamente informar sobre la existencia de decisiones basadas únicamente en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles y, en tales casos, entregar —al menos— información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el titular. 21 El proyecto chileno, por su parte, no hace referencia expresa a la existencia de decisiones automatizadas como una categoría especial de información que deba ser entregada por el responsable del tratamiento, ni siquiera entre la información que debe ser puesta a disposición de los titulares.

Considerando que al menos tres artículos del GDPR incluyen esta clase de información entre aquellos antecedentes que el titular de los datos tiene derecho a conocer, 22 parece evidente que el legislador europeo da especial importancia a la existencia de esta clase de decisiones, así como al derecho de los titulares a oponerse a ellas, y a ser informados sobre la existencia de este derecho que les asiste. La omisión del proyecto de establecer una obligación de informar sobre la existencia de decisiones automatizadas y sobre el derecho a oponerse a ellas, se traduce en otro obstáculo más para el pleno ejercicio del derecho a la autodeterminación informativa.

El derecho de oposición es el derecho del titular de datos a solicitar y obtener del responsable que no se lleve a cabo un tratamiento de datos determinado, de conformidad a las causales previstas en la ley (Proyecto, artículo 2, letra s). A diferencia del derecho de cancelación, el ejercicio de este derecho no significa necesariamente la eliminación de los datos del titular. Esto es relevante, ya que en muchos casos el titular no querrá que sus datos sean eliminados, sino únicamente que no se lleve a cabo un determinado tratamiento. 23

De manera similar a lo ocurrido con el derecho de acceso, en este punto también pareciera que el legislador chileno confunde ciertas figuras de la normativa europea.

En el GDPR este derecho se encuentra consagrado en el artículo 21, donde se establecen tres hipótesis de procedencia. La primera, para oponerse al tratamiento de datos basado en el interés público o en el interés legítimo del responsable, incluida la elaboración de perfiles, «en cualquier momento, por motivos relacionados con su situación particular» (GDPR, artículo 21, número 1); la segunda, para oponerse al tratamiento con fines de mercadotecnia directa, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia (GDPR, artículo 21, número 2); y la tercera, cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con lo establecido en el artículo 89, número 1, del GDPR, en cuyo caso el interesado tendrá derecho a oponerse «por motivos relacionados con su situación particular» (GDPR, artículo 21, número 6).

En todos estos casos, por regla general el responsable deberá dejar de tratar los datos; y solo excepcionalmente podría continuar con su tratamiento, acreditando el cumplimiento de las condiciones establecidas en la ley, como se verá más adelante.

El proyecto, por su parte, también contempla tres casos que harían procedente el ejercicio de este derecho. A saber, cuando se trate de un procesamiento de datos específico o determinado y el mismo afecte los derechos ylas libertades fundamentales del titular (Proyecto, artículo 8, letra a); se realice exclusivamente con fines de mercadotecnia o marketing directo de bienes, productos o servicios (Proyecto, artículo 8, letra b); o sea realizado con respecto a datos obtenidos de una fuente de acceso público y no exista otro fundamento legal para su tratamiento (Proyecto, artículo, 8 letra c).

En el primero de estos casos, el ejercicio del derecho de oposición del titular se condiciona al cumplimiento de dos requisitos copulativos: la existencia de una afectación de derechos y libertades, por una parte; y su condición de fundamentales, por la otra. En el GDPR, en cambio, las causales de procedencia del derecho de oposición se relacionan exclusivamente con la base de licitud del tratamiento o su finalidad, sin importar si afecta o no los derechos y libertades del titular.

Estas condiciones que impone el legislador chileno para el ejercicio del derecho de oposición generan un grave desequilibrio entre la posición del titular y la del responsable. Mientras el legislador chileno permite al responsable tratar aquellos datos que sean necesarios para la satisfacción de sus intereses legítimos o de un tercero, exigiendo como única condición «que con ello no se afecten los derechos y libertades del titular» (Proyecto, artículo 13, letra e), al titular solo le permite oponerse a dicho tratamiento en la medida en que vea afectados sus derechos y libertades fundamentales, omitiendo cualquier referencia a una posible ponderación entre el derecho a la autodeterminación informativa del titular y el derecho del responsable a la satisfacción de sus intereses legítimos. 24

La referencia a una afectación de derechos fundamentales se traduce en un estándar que genera una inconsistencia insalvable en el proyecto al hacer imposible oponerse al tratamiento de datos basado en el interés público o para la satisfacción de los intereses legítimos del responsable. Dado que la satisfacción de los intereses legítimos del responsable o de un tercero solo podría configurar una fuente de licitud válida «siempre que con ello no se afecten los derechos y libertades del titular», ¿cómo podría el titular alegar que dicho tratamiento afecta sus derechos y libertades fundamentales? Dicho de otro modo, ¿cómo podrían afectarse los derechos y libertades fundamentales del titular mediante un tratamiento de datos que, por definición, no afecta sus derechos y libertades más generales?

A modo ilustrativo, piénsese por ejemplo en una empresa de delivery que tratara la información de las compras de sus clientes para —además de prestar sus servicios—elaborar perfiles y realizar publicidad personalizada, esto último sobre la base de la satisfacción de su interés legítimo consistente en la mejora de sus servicios. Al ser la propia ley la que reconoce esta fuente de licitud, no se podría alegar sin más la existencia de una vulneración de derechos y libertades y, para oponerse a este tratamiento, sería necesaria la concurrencia de otro factor que lo hiciera ilícito.

Difícilmente podría decirse que dicho tratamiento vulnera los derechos y libertades de los titulares, toda vez que es la propia ley la que lo autoriza, sin exigir ninguna clase de ponderación de derechos. En cambio, si bien en el GDPR la satisfacción de estos intereses también puede constituir una base de licitud, su validez está sujeta a la ponderación de que «sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales» (GDPR, artículo 6 letra f), cuestión que, en caso de oposición, tendría que ser probada por el responsable.

El proyecto contempla el derecho de oposición al tratamiento de datos obtenidos de una fuente de acceso público, sin embargo, el propio texto genera dudas sobre la eficacia de su aplicación, ya que solo sería procedente en la medida que «no exista otro fundamento legal para su tratamiento». ¿Qué pasaría, entonces, por ejemplo, si el responsable alegara como fundamento la satisfacción de sus intereses legítimos?

Por su parte, dado que el GDPR no contempla las fuentes de acceso público como una base de licitud para el tratamiento de datos personales, naturalmente tampoco contempla un derecho de oposición al mismo en el derecho de la Unión Europea al tratamiento de datos provenientes de una fuente de acceso público sin contar con una base de licitud para ello, configuraría un tratamiento ilegal, y ello habilitaría a su titular a pedir la cancelación del tratamiento, y —para el caso que no quisiera su eliminación—, a ejercer el derecho de limitación (GDPR, artículo 18), un derecho que —dicho sea de paso— nuestro proyecto no contempla.

El GDPR faculta al titular a oponerse al tratamiento de sus datos realizado

«con fines de investigación científica o histórica o fines estadísticos, en cuyo caso el interesado podría oponerse al tratamiento de datos personales que le conciernan, por motivos relacionados con su situación particular […] salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público» (GDPR, artículo 21, letra 6).

El proyecto no solo omite esta hipótesis como causal habilitante al ejercicio del derecho de oposición, sino que la trata derechamente como una excepción al mismo. Esto implicaría, por ejemplo, que aun cuando un titular de datos viera afectados sus derechos y libertades fundamentales por un tratamiento de datos específico, no podría oponerse al mismo si este fuera realizado con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público.

En el GDPR, ejercido en los casos en que resulta procedente, el derecho de oposición solo encuentra contadas excepciones: la existencia de «motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones» (GDPR, artículo 21 letra 1), en el caso del tratamiento basado en el interés público o en el interés legítimo del responsable; y que el tratamiento fuera «necesario para el cumplimiento de una misión realizada por razones de interés público» (GDPR, artículo 21 letra 6), en el caso del tratamiento realizado con fines de investigación científica o histórica o fines estadísticos.

En relación con la primera excepción, hay tres cuestiones que resulta importante destacar: primero, que el derecho del titular a oponerse al tratamiento de sus datos no está condicionado a la afectación de sus derechos (mucho menos que revistan el carácter de fundamentales); segundo, que la oposición tiene como efecto inmediato que el responsable deba abstenerse de continuar tratando los datos, pudiendo continuar con este únicamente tras acreditar la existencia de motivos legítimos, los cuales habrán de ser imperiosos para que puedan prevalecer por sobre los intereses del titular; y, tercero, que es sobre el responsable (y no sobre el titular) que pesa la carga de acreditar la concurrencia de los supuestos establecidos en la norma para que proceda la excepción ( Veronese, 2019 ).

Como se vio, en el proyecto el tratamiento de datos realizado con fines históricos, estadísticos o científicos y para estudios o investigaciones que atiendan fines de interés público configura una excepción al ejercicio del derecho de oposición, pero no es la única. Adicionalmente, el legislador chileno limita el ejercicio de este derecho con otras tres excepciones que no se contemplan en el GDPR, a saber:

cuando el tratamiento sea necesario para ejercer el derecho a las libertades de emitir opinión y de informar; cuando existan razones de interés público, especialmente en el ámbito de la salud pública; y cuando se requiera para la formulación, ejercicio o defensa de una reclamación administrativa o judicial.

Estas excepciones son idénticas a las contempladas por el proyecto para el derecho de cancelación que se analiza más adelante, lo que permite suponer que, en este punto, el legislador chileno también ha confundido instituciones distintas.

En los artículos 21 y 22 del GDPR, 25 se establecen determinados derechos en favor del titular, que dicen relación con la elaboración de perfiles. El primero de estos artículos faculta al titular a oponerse a la elaboración de perfiles realizada sobre la base de un interés público o del interés legítimo del responsable, así como a la elaboración de perfiles relacionada con la mercadotecnia, debiendo el responsable, en ambos casos, abstenerse de continuar con dicho tratamiento, salvo que concurra alguna de las excepciones analizadas precedentemente; el segundo, se refiere a las decisiones individuales automatizadas (entre las cuales se incluye la elaboración de perfiles), donde se establece como derecho básico el no ser objeto de una decisión basada únicamente en el tratamiento automatizado, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.

El proyecto, en cambio, no contempla la posibilidad de oponerse derechamente a la elaboración de perfiles, sino solo la facultad para oponerse a «decisiones basadas únicamente en automatización», contenida en su artículo 8 bis (derecho de oposición a valoraciones personales automatizadas). A diferencia de lo que ocurre en el GDPR, cuyo artículo 22 (decisiones individuales automatizadas, incluida la elaboración de perfiles) parte de la base que las personas tienen «derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar», 26 lo que ha sido interpretado como una prohibición general en contra de la toma de decisiones algorítmicas significativas ( Kaminski, 2019 ) sin necesariamente exigir una postura activa por parte del titular en orden a oponerse a ser dañada; en cambio, el proyecto es claro en establecer que este derecho se consagra únicamente como la facultad para oponerse a la «adopción de decisiones que le conciernan, basadas únicamente» en el tratamiento automatizado de datos, incluida la elaboración de perfiles.

Lo anterior hace suponer que aquí nuevamente el legislador confunde ciertas figuras del GDPR, en específico el derecho a oponerse a valoraciones personales automatizadas con el derecho a oponerse a la elaboración de perfiles, lo que pareciera ser confirmado por el hecho de que las excepciones contenidas en el artículo 22 del GDPR son prácticamente idénticas a las del artículo 8 bis del proyecto. Como consecuencia de esta confusión, de aprobarse el actual texto del proyecto, bajo la normativa chilena los titulares no tendrán derecho a oponerse directamente a la elaboración de perfiles sin más, sino únicamente en caso de que ellas sean el resultado de un proceso automatizado.

El proyecto define el derecho de cancelación como el derecho del titular de datos a solicitar y obtener del responsable, que suprima o elimine sus datos personales, de acuerdo con las causales previstas en la ley (Proyecto, artículo 2, letra r). Por su parte, el inciso primero del artículo 7 del proyecto establece que este derecho podría ser ejercido por su titular:

especialmente en los siguientes casos: a) cuando los datos no resulten necesarios en relación con los fines del tratamiento para el cual fueron recogidos; b) cuando el titular haya revocado su consentimiento para el tratamiento y este no tenga otro fundamento legal; c) cuando los datos hayan sido obtenidos o tratados ilícitamente por el responsable; d) cuando se trate de datos caducos; e) cuando los datos deban suprimirse para el cumplimiento de una sentencia judicial o de una obligación legal; y, f) cuando el titular haya ejercido su derecho de oposición de conformidad al artículo siguiente y no exista otro fundamento legal para su tratamiento.

La palabra especialmente fue agregada al artículo por la Comisión de Constitución del Senado durante el primer trámite constitucional a instancia del senador Harboe. 27 Esta decisión ha sido criticada por distanciarse del texto europeo en que este derecho encuentra causales taxativas. 28 Con todo, estas últimas resultan lo suficientemente amplias como para afirmar que, en términos generales, el titular de los datos podrá pedir su eliminación siempre que el tratamiento carezca de un fundamento jurídico válido que justifique una limitación a su derecho a la autodeterminación informativa.

En el caso chileno, de mantenerse en lo demás el texto actual del proyecto, volver a la formula taxativa del artículo 7 significaría dejar fuera del derecho a la cancelación el tratamiento de datos realizados sobre la base del interés público o a los intereses legítimos del responsable. Esto, porque el legislador chileno no contempla expresamente la posibilidad de solicitar la cancelación con respecto a este tipo de tratamiento, sino que, copiando el texto europeo, hace procedente el derecho de cancelación cuando «el titular haya ejercido su derecho de oposición de conformidad al artículo siguiente[artículo 8 Derecho de oposición] y no exista otro fundamento legal para su tratamiento» (Proyecto, artículo 7 inciso primero letra f). Pero, conforme al artículo 8 del proyecto, la única posibilidad que tiene el titular de oponerse al tratamiento de sus datos basado en el interés público o en la satisfacción de los intereses legítimos del responsable, es que este afecte sus derechos fundamentales, cuestión que resulta imposible si consideramos que, por definición, el tratamiento de datos basado en la satisfacción de intereses no afecta los derechos y libertades del titular. 29

En el análisis realizado se identifican determinados aspectos del proyecto que se traducen en un debilitamiento de aquellos derechos con que el ordenamiento jurídico suele dotar a los titulares de los datos para la protección de su derecho a la autodeterminación informativa, y que funcionan como mecanismos de mitigación de los desequilibrios de poder que existen entre los titulares y los responsables (Ausloos, 2020).Se trata, por tanto, de cuestiones relacionadas con la configuración de los derechos ARCO que resulta indispensable enmendar si lo que se busca es lograr una normativa que ofrezca un nivel adecuado de protección del derecho a la autodeterminación informativa de las personas. En otras palabras, considerando que para una decisión de adecuación la Unión Europea exige «garantías que aseguren un nivel adecuado de protección equivalente en lo esencial al ofrecido en la Unión, y, en particular, que el tercer país reconozca a los titulares derechos efectivos y exigibles» (GDPR, considerando 104), cada obstáculo al ejercicio de los derechos ARCO disminuye las posibilidades de ser considerado país adecuado.

Entre las enmiendas necesarias, la más urgente es eliminar toda limitación al derecho de acceso y establecer deberes de información que exijan un rol activo por parte del responsable con el fin de informar sobre sus actividades de tratamiento, de manera de asegurar que los titulares conozcan aquella información que resulta indispensable para el ejercicio de los demás derechos que contempla la ley y, por tanto, para la efectiva protección del derecho a la autodeterminación informativa(European Union Agency for Fundamental Rightsy otros, 2019).

Por su parte, el derecho de oposición debe ser modificado hasta dotarlo de eficacia. Para ello es indispensable eliminar la referencia a una afectación de derechos fundamentales como estándar habilitante para su ejercicio, así como las excepciones que no son propias de esta figura, sino del derecho de cancelación, desde donde fueron tomadas por el legislador. Asimismo, este derecho debiera ser ampliado hasta abarcar también la facultad para oponerse directamente a la elaboración de perfiles y el derecho de los titulares a no ser objeto de decisiones basadas únicamente en tratamientos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en ellos o les afecten significativamente de modo similar, como se contempla en el GDPR, pues la manera como lo consagra el proyecto resulta contraproducente tanto para los titulares como para los responsables.

Estas sugerencias no buscan limitar el derecho del responsable a tratar datos personales, pero sí exigen un rol más activo de su parte. Si se quiere alcanzar una normativa que ofrezca un nivel adecuado de protección de los datos personales, esta debe permitir una adecuada ponderación entre este derecho y el del responsable para tratar datos, de manera que, en caso de conflicto de derechos, y especialmente en aquellos casos en que la base de licitud sea la satisfacción de intereses legítimos, por regla general prevalezca la protección del derecho a la autodeterminación informativa, a menos que el responsable demuestre lo contrario.

Siendo este último un derecho fundamental, resulta injusto y desproporcionado que el legislador imponga esta y otras cargas sobre el titular, especialmente considerando que es el responsable, y no el titular, quien se beneficia del tratamiento de datos personales y quien toma las decisiones sobre el mismo. Con una normativa que no ofrece derechos exigibles y efectivos para la protección de los datos personales, o que obstaculiza su ejercicio, difícilmente Chile obtendrá una decisión de adecuación favorable por parte de la Unión Europea.