domingo, 25 de julio de 2010

Listados de beneficiarios y datos sensibles

No es poco frecuente recibir solicitudes de acceso a bases de datos personales, algunas de las cuales se refieren a información personal sensible. Pensemos, por ejemplo, en las peticiones de listados de beneficiarios de programas dirigidos a personas en situación de indigencia, enfermedades o discapacidades. Uno de esos casos se ha dado a propósito de los beneficiarios de la llamada beca Valech, beneficio educacional destinado a reparar a personas que fueron víctimas de prisión política y tortura.


Como en estos casos de bases de datos personales es necesario conocer la relación entre la Ley de Transparencia y la Ley de Protección de la Vida Privada, veremos algunas ideas.

1. Sobre la naturaleza de los datos de beneficiarios

Los datos personales sensibles indudablemente forman parte de la esfera íntima de su titular. Recibir un beneficio motivado por hechos o circunstancias íntimas como el haber sido víctima de prisión política y tortura, lo otorga al dato “beneficiario” un carácter personal sensible.

Ahora bien, las peticiones mencionan datos aparentemente inocuos, como los nombres o las direcciones, datos que en otros contextos no serían calificados como sensibles. No obstante, en el caso de esos beneficiarios, los nombres no sólo permiten identificarlos, sino también asignarles necesariamente la calidad de víctima de esos apremios.

Por lo tanto, como primera conclusión, se trata de datos concernientes a personas naturales identificadas o identificables que emanan de un registro de beneficiarios conformado por víctimas de prisión política o tortura, es decir, hechos o circunstancias de su vida privada o intimidad, que revisten la naturaleza de dato personal sensible.

2. Sobre la regulación de los datos personales sensibles

El tratamiento de datos personales sensibles contenidos en bancos de datos se rige específicamente por la Ley N°19.628, que dispone un régimen de circulación bastante más acotado que para otros datos personales. El legislador establece, como regla general, que los datos sensibles no pueden ser objeto de tratamiento, lo que impide su comunicación a terceros, salvo cuando la ley lo autorice o exista consentimiento escrito del titular.

Así, cuando no existe ni autorización escrita de los beneficiarios ni una ley específica que autorice al solicitante a recabar datos personales sensibles en poder de la Administración, o que habilite al órgano público para entregarlos a terceros, los datos solicitados cuentan con una prohibición legal de acceso a terceros.

3. Sobre el eventual conflicto normativo entre la Ley N° 20.285 y la Ley N° 19.628

La existencia de dos cuerpos legales válidos y vigentes que contienen reglas y procedimientos de acceso a información, esto es, la Ley N° 20.285 (tratándose de información pública en poder de la Administración del Estado) y la Ley N° 19.628 (respecto de datos de carácter personal sometidos a tratamiento en registros o bancos de datos), ocasiona un eventual conflicto sobre la normativa a aplicar.

Sin embargo, los criterios doctrinales de resolución de antinomias permiten identificar el cuerpo legal que resulta aplicable en el caso en que se solicita acceso a datos personales contenidos en bases de datos de un órgano público, pero ejerciendo el derecho regulado para la información pública.

La Ley N° 20.285 ha contemplado una legislación general para el acceso a información pública en poder de los órganos de la Administración del Estado, ha interpretado en términos amplios la documentación que constituye información pública y ha establecido un procedimiento expedito de acceso a favor de terceros, quienes no deben demostrar ningún interés especial en lo solicitado, ni señalar su motivación o los fines y usos que dará a la información. Ello porque al referirse a información pública, sus titulares son precisamente quienes solicitan acceso.

En cambio, la Ley N° 19.628, en lo que interesa, contiene la regulación específica para el tratamiento de datos personales sensibles en poder de los órganos públicos, señalando requisitos y reglas especiales para su difusión. Tales normas son más exigentes que el procedimiento general de comunicación que esa misma ley contempla, ya que disponen la prohibición de tratar datos sensibles, salvo excepciones.

Pero la mayor diferencia se aprecia respecto del régimen de acceso contenido en la Ley de Transparencia, ya que la Ley N°19.628 contiene un régimen de garantía de derechos de los titulares de datos, reconociendo sólo a estos un derecho de acceso sobre sus propios datos y estableciendo obligaciones de cuidado y límites a la comunicación, respecto de los responsables de los bancos de datos. En ese sentido, los datos personales en registros de un órgano público no constituyen información pública, aún cuando obra en poder del Estado, ya que sus titulares son únicamente las personas naturales a quienes conciernen y no la comunidad en general o el órgano público.

A partir de lo anterior, es posible resolver el eventual o aparente conflicto normativo gracias al criterio de especialidad, de manera que si un tercero solicita acceso a datos personales de otro, contenidos en bancos de datos administrados por el órgano público, en estricto rigor no resulta aplicable el régimen general de la Ley N°20.285, sino la normativa especial de la Ley N°19.628.

4. Sobre la afectación de derechos de los titulares de datos personales

En relación con el argumento precedentemente señalado, creemos que las solicitudes de acceso a información bajo la Ley de Transparencia, pero que soliciten comunicación de datos personales regidos por la Ley N°19.628, deben ser respondidas a través de una denegación fundada en la causal de afectación de derechos de las personas.

En efecto, sin perjuicio de indicar expresamente que la naturaleza personal de la información solicitada está sujeta a un régimen especial distinto de la regulación general de la Ley N°20.285, la denegación se ajusta a la causal constitucional de excepción a la publicidad recién mencionada.

La Ley N° 19.628 desarrolla un régimen de garantía de derechos de las personas titulares de los datos que les conciernen. Para ello se regula la forma en que puede efectuarse un tratamiento de este tipo de datos, incluyendo el procedimiento para comunicarlos a terceros. Finalmente, establece un conjunto de obligaciones para los responsables de los bancos de datos con el objeto de resguardar los derechos individuales de los titulares, garantizándoles un cierto control sobre su información.

Por lo tanto, desconocer las reglas, procedimientos y obligaciones que impone la Ley N° 19.628 y que restringen la comunicación de datos personales a terceros, afectaría no sólo el derecho a la vida privada o intimidad de su titular, sino el libre ejercicio de otros derechos fundamentales, más aún si los datos solicitados tienen naturaleza sensible, con lo cual su revelación o difusión puede atentar contra la dignidad y provocar que esa persona sufra estigmatización y discriminaciones arbitrarias.

5. Sobre la obligación legal de cuidado de los datos y la ausencia de habilitación legal para comunicarlos

También hay que considerar que los órganos públicos son responsables del registro que contiene los datos personales y, en tal calidad, están legalmente obligados a resguardar la seguridad y cuidado de esa información, como garante de los derechos de los titulares de los datos que administra.

Entonces, si a ello se suma la falta de una habilitación legal expresa para entregarlos a terceros, no podría interpretarse –bajo un criterio hermenéutico finalista y sistémico del Derecho Público- que el legislador de la Ley N° 20.285 ha pretendido que un órgano público deje de cumplir otras normas legales que le imponen exigencias para velar por los derechos de las personas. Ello ocurriría si, pese a la regulación especial de la Ley N°19.628 y las particulares exigencias frente al tratamiento de datos sensibles, estuviera obligado a entregarlos a terceros de acuerdo al procedimiento de acceso de la Ley de Transparencia.

6. Sobre la distinción entre acceso y confidencialidad del dato personal

Como último comentario, quisiera referirme al caso en que se alegue que datos sensibles no son datos privados, si ya se han hecho públicos en otros medios. Hasta ahora, únicamente he centrado la argumentación en la naturaleza de dato personal y, por consiguiente, en la existencia de una regulación especial con procedimiento restringido para su comunicación, tratándose de datos sensibles como éstos.

De esta forma, resulta relevante por el sólo hecho de ser una información concerniente a una persona natural, que es objeto de tratamiento en registros del órgano público y que, adicionalmente, tiene un contenido sensible. Ello, independiente de su confidencialidad, es decir, si esos datos se encuentran o no en una esfera de conocimiento público o privado.


Reafirma lo anterior el hecho que la Ley N°19.628 no atribuye una naturaleza privada –en el sentido de confidencial- para el dato personal, ni establece una regulación de secreto para su tratamiento, sino que dispone normas dirigidas a armonizar o equilibrar intereses a favor de la libre circulación de datos personales, pero con suficientes garantía para sus titulares que eviten la conculcación de sus derechos. Eso explica que contenga mayores exigencias para ciertos datos personales –los sensibles- y menos para otros –los contenidos en fuentes accesibles al público-.


Eso explica que la divulgación de los datos solicitados y publicados por otros medios, influye en el grado de confidencialidad que desee plantearse sobre esa información, ya que mientras más expuestos públicamente los datos, se encuentran más alejados de la esfera íntima de su titular, quien difícilmente podrá alegar su confidencialidad, máxime si voluntariamente los entregase a terceros. 


Finalmente, la puesta a disposición del público no transforma la naturaleza de dato personal sensible y, por consiguiente, no exime de cumplir con la regulación legal dispuesta para su tratamiento. Por ese motivo, si el órgano público cuenta con esos datos en sus registros, no puede dejar de cumplir las normas sobre tratamiento y comunicación, basándose en que la información no es confidencial.


(Estas opiniones son exclusivamente personales y no representan necesariamente la postura de las instituciones con las que me vinculo)

No hay comentarios:

Publicar un comentario