Privacidad a la suerte de la olla

Registro Civil


Marcelo Drago es abogado y expresidente del Consejo para la Transparencia.

Una vez más nos encontramos ante una polémica que involucran el tratamiento masivo de datos personales. Antes fueron los datos en empresas de distribución eléctrica, ahora es la licitación del servicio de impresión de documentos de identificación, carné de identidad y pasaporte, que lleva adelante el Registro Civil. Nuevamente se encendieron las alarmas sobre nuestra privacidad en manos ajenas y la debilidad de la normativa que regula su tratamiento.

Es muy delicado. Hablamos de los datos biométricos más importantes, literalmente de todos los chilenos: fotografías faciales, huellas dactilares, firmas, eventualmente codificaciones de reconocimiento facial, de iris, además de direcciones, números de RUN, fechas de nacimiento, teléfonos, profesiones, en fin.

En esta área hay un récord que no se puede ignorar. Las bases de datos de reconocimiento facial con que cuenta el estado chino prácticamente abarcan la totalidad de los 1400 millones de habitantes de ese país, y la tecnología que permite el reconocimiento facial tuvo un explosivo desarrollo en buena parte gracias a que el propio gobierno de ese país entregó la base de datos de su registro civil a empresas tecnológicas, con el fin de alimentar la inteligencia artificial que permite el reconocimiento facial.

Mientras fui presidente del Consejo para la Transparencia intenté poner este tema en el centro. Hacerse cargo del reconocimiento constitucional del derecho a la protección de datos personales (PDP) en el Estado. Crear conciencia de que no es un derecho del consumidor, ni mera seguridad informática, sino un derecho fundamental porque entra en el terreno del control, de la manipulación, del abuso, de la explotación de las personas de las más distintas formas, a gran y masiva escala. Creo que se avanzó mucho, tanto en la toma de conciencia como en medidas prácticas. También han habido retrocesos lamentables, como la entrega por parte del Estado de 15 millones de números telefónicos, con direcciones y otros datos personales, a una empresa de estudios de opinión.

Demás está decir que la actual ley 19.628 de protección a la vida privada es ineficaz y no representa una verdadera protección cuando se trata de datos personales en manos de privados. Tiene veintiún años de vigencia, y durante sus últimos 11 ha sido objeto de al menos tres intentos sustantivos de reforma. El último intento, una reforma iniciada en la segunda administración de la presidenta Bachelet, con una extensa indicación de la actual administración del presidente Piñera, creo yo, cumple con lo que el país necesita. Toma los elementos centrales del Reglamento Europeo de Protección de Datos Personales (GDPR), crea un estatuto de sanciones robusto, y establece un órgano autónomo como autoridad responsable de hacer cumplir la ley tanto en el ámbito público como en el privado.

En el caso que nos ocupa, aparentemente algunas medidas se tomaron. Es un avance que en esta licitación se establezca que el responsable del tratamiento de los datos personales de los chilenos es el Registro Civil y no la empresa prestadora de servicios. En el actual contrato, con una empresa de origen francés, eso no tiene nada de claro. También se señala que se puede dar por terminado el contrato unilateralmente si se divulga, sustrae o revela la información capturada. Yo lo hubiera escrito distinto, pero es un comienzo. También se obliga a mantener un programa de seguridad siguiendo estándares. Aquí hubiera incorporado también un modelo de cumplimento en PDP, pero es un avance. Finalmente, el hecho de que la empresa china que ofertó un precio de pasaportes y cédulas más barato concurra en un consorcio con una empresa alemana, puede, una vez más, servir de puente para que la regulación de europea se aplique.

Aún hay dudas que responder, sobre todo relacionadas a la operatoria en la transmisión, consulta de los datos, el rol de la empresa alemana y el control del Registro Civil. Creo que la próxima licitación de esa entidad debe ser para la contratación de auditorías técnicas y evaluaciones en materia de PDP permanentes para este contrato, con el fin de prevenir cualquier fuga o tratamientos irregulares de información personal. Se debe establecer un modelo de cumplimiento estricto que de tranquilidad a todos. Y por cierto también, sin duda, hay que revisar lo que ya sucedió, se debe auditar a la empresa actual y establecer la integridad en el tratamiento de los datos durante estos 10 años de pasaportes a 90 mil pesos.

Al final hay un gran elefante en la habitación. El último proyecto que actualiza la ley de PDP lleva 17 meses en la Comisión de Hacienda del Senado prácticamente sin movimiento. Varias veces con urgencias simples y sumas, pero nada. No podemos seguir pidiendo prestada la regulación europea para proteger los derechos de los chilenos. El GDPR es indudablemente el estándar de oro, con un fuerte efecto transfronterizo. Pero no podemos estar cruzando los dedos de que haya involucrada una empresa perteneciente a la UE cada vez que hay situaciones que involucran masivamente datos personales de los chilenos. No podemos dejar la protección de los derechos fundamentales de los chilenos a la suerte de la olla, o a la suerte de una licitación, el país necesita ya una ley que verdaderamente proteja los derechos de los chilenos.