.png)
Diversos actores consideran que si bien la repartición no ha hecho una solicitud expresa de datos sensibles, información como el número telefónico, el tipo de plan, la comuna y región del suscriptor, y si registra o no tráfico, son datos personales que podrían hacer a su titular un sujeto identificable o determinable.
En mayo de 2018, la Subsecretaría de Telecomunicaciones (Subtel) ordenó a las concesionarias de servicios telefónicos proporcionar información respecto de la base de datos de sus clientes (número telefónico, tipo de plan, comuna y región del suscriptor, si registraba o no tráfico de datos y/o voz durante los últimos 30 días; y si se trataba de un cliente con multiservicio). La información sería entregada a la empresa CADEM, en el marco de un estudio de satisfacción de los usuarios que la repartición pública buscaba desarrollar.
El año pasado, la mayoría de las compañías entregó los datos solicitados, excepto una: Entel. Este año se consultó a las operadoras y solo Telefónica y Wom han acatado la solicitud de la Subtel. Para el cierre de esta edición, Entel, Claro y VTR aún no enviaban la información.
Este año, las empresas recibieron una nueva solicitud de la Subtel para proveer la misma información, con el mismo objetivo; sin embargo, expertos en la materia afirman que este accionar no es oportuno.
En Chile, lo que constituye un dato personal está definido por la Ley 19.628. La misma establece que los "datos de carácter personal o datos personales (son) los relativos a cualquier información concerniente a personas naturales, identificadas o identificables". A su vez, "la persona natural a la que se refieren los datos de carácter personal" se denomina titular.
María Paz Canales Loebel, directora ejecutiva de Derechos Digitales, señala que si bien en este caso no estamos ante datos sensibles, aun así estamos frente a datos personales, debido a que esta información hace a su titular un sujeto identificable o determinable.
Desde esa perspectiva, cae de lleno dentro de lo que está protegido por la normativa vigente.
La ley 19.628 cita tres formas en que cualquier entidad, pública o privada, puede recoger y procesar datos personales: ¨cuando la ley lo autorice, (cuando) exista consentimiento del titular o (cuando) sean datos necesarios para la determinación u otorgamiento de beneficios de salud¨ de sus titulares.
La experta asegura que, en este caso, no existe consentimiento, ya que la información fue entregada por los titulares de los datos a las compañías en virtud de un contrato para la previsión de un servicio.
Esto se vincula con el principio de finalidad, que indica que información de este tipo no puede ser utilizada con fines distintos para los que fue recopilada. Si se quiere utilizar con un fin distinto, es necesario recabar el consentimiento específico del titular de los datos.
¨Cuando las compañías de teléfonos recaban esta información, en ninguna parte se le informa a los clientes que podría llegar a ser entregada a la autoridad para desarrollar una encuesta de satisfacción, ¨ apunta.
Por lo anterior, la directora ejecutiva de Derechos Digitales considera cuestionable el accionar de la Subtel.
¨En un inicio, las compañías se resistieron porque no querían quebrantar la ley; pero las dejaron en un entredicho, poniéndolas entre la espada y la pared, con la autoridad regulatoria exigiendo algo que hacia incumplir sus obligaciones con los clientes, y bajo la amenaza de ponerles multas y sanciones administrativas. La Subtel, a través de esta exigencia, está obligando a las empresas a infringir el principio de finalidad en la recolección de los datos personales¨ destaca.
¿QUIEN DEFIENDE A LOS USUARIOS?
Canales Loebel, explica que, en este caso, las que debían ejercer acciones para limitar la acción ilegal de la autoridad eran justamente las compañías en protección de sus usuarios.
¨Fue lo que hizo Entel cuando se resistió a entregar la información, aun cuando le impusieron un proceso sancionatorio. Las empresas también podrían haber puesto en conocimiento a los usuarios de lo que estaba sucediendo, para que pudieran ejercer acciones si encontraban que esto afectaba el ejercicio de sus derechos¨ indica.
Andrés Pumarino, abogado especializado en derecho y tecnología y socio de la oficina informática Legal Trust, señala que el problema es que nuestra ley de protección de datos adolece de un organismo autónomo, como ocurre en varios países del mundo, y eso nos deja en una posición débil como ciudadanos para resguardar nuestros derechos en protección de datos.
¨Estamos viviendo en la sociedad del algoritmo. Los negocios avanzan para allá. La inteligencia artificial toma cada vez más relevancia y las empresas utilizan datos, pero ¿de dónde vienen y cuáles son los riesgos del mal uso de estos? No son pocas las dudas que aparecen en este tipo de proyectos,¨ indica el experto en seguridad informática.
Según María Paz Canales Loebel, de la impresión de que la Subtel hizo un análisis superficial del alcance de la ley, escudándose en potestades fiscalizadoras.
¨La Subtel hace una interpretación poco fina, poco juiciosa, y que revela su poco conocimiento en materia de protección de datos personales. El Articulo 20 de la Ley 19.628 establece que los órganos de la administración pública pueden hacer procesamiento de datos en el ámbito de sus competencias; el tema es que la Subtel no recogió estos datos en dicho ámbito. Por ende, no se cumplen los requisitos¨ destaca.
Juan Luis Castro, diputado de la Republica, coincide con lo anterior.
Considera que lo que estaría haciendo la Subtel excede el marco legal y, por lo tanto, constituye una infracción a la ley.
EJERCICIO DEL PRINCIPIO DE PROPORCIONALIDAD
El principio de proporcionalidad no está recogido de manera explícita en la ley, y es justo uno de los aspectos que se busca mejorar en el proyecto que se está discutiendo actualmente. El mismo está ligado con el principio de finalidad: cuando uno se enfrenta a la utilización de datos personales para conseguir determinados objetivos que puedan ser legítimos, la manera de proceder es tratar de minimizar la recogida de datos a aquello estrictamente imprescindible.
¨Desde un punto de vista de protección de datos personales, habría sido más adecuado notificar a las compañías para que estas, a su vez, solicitaran a los suscriptores su autorización para utilizar los datos como muestra representativa de cada compañía. (En su defecto), se solicitó la base de datos completa,¨ explica María Paz Canales Loebel.
Por su parte, Juan Luis Castro hace un llamado a ser mucho más exigentes respecto de la forma en que el Estado y las empresas manejan grandes bases de datos de personas, verificando si lo hacen apegándose a la normativa vigente.
¿QUE DICEN DESDE LA SUBTEL?
Pamela Gidi, subsecretaria de Telecomunicaciones, señala que, dado su rol fiscalizador, la Subtel constantemente solicita a las operadoras información sobre sus ofertas comerciales, canales de atención y estándares de calidad de servicio.
¨Las empresas de telecomunicaciones son responsables de informar a sus clientes que sus datos podrían eventualmente ser solicitados por el órgano regulador, ¨ indica.
Con respecto a solicitar la base de datos completa en lugar de una muestra, Gidi indica que ¨se solicitan las bases de datos completas para que Subtel analice cual es la muestra precisa que necesita¨.
Finalmente, tras ser consultada acerca de si este accionar va en contra de la protección de los datos titulares, Gidi es enfática en que ¨no, porque los datos que solicita Subtel son anónimos y no se identifica al usuario (...). Tratar los datos para esas finalidades no supone un daño o vulneración de estos¨.
