Una autoridad de control para la protección de datos en Chile

Por Emilio Oñate. Decano de la Facultad de Derecho y Humanidades de la UCEN

El Presidente de la República, recientemente, ha anunciado que enviará indicaciones al proyecto de ley que crea una nueva institucionalidad para la protección de datos en Chile donde propone la creación de una Agencia Autónoma para la Protección de Datos, descartando la idea que el propio gobierno había sostenido de radicar la función de regular la protección de datos en el Consejo para la Transparencia (CPLT). Este anuncio ha generado inquietud en algunos sectores, en especial entre aquellos que promovían entregar al CPLT esta función. Si bien son varios los aspectos que habrá que analizar de la respectiva indicación del Ejecutivo, conviene hacer un repaso sobre la experiencia comparada en la materia, en especial sobre aquellos países que antes que nosotros establecieron una entidad o autoridad de control para resguardar el derecho a la protección de datos de carácter personal, en el sentido de si son entidades que conjuntamente con la protección de datos regulan la transparencia y el acceso a la información pública, lo que se denomina sistema mixto, o exclusivamente se abocan a la regulación de la protección de datos, lo que se denomina sistema único.

Considerando los 27 países que integran la Unión Europea más el Reino Unido y que cuentan con agencias encargadas para la protección de datos, 22 países de la Unión estructuran sus agencias para la regulación de la protección de datos bajo el sistema único. En contrapartida, solo seis países del bloque estructuran sus entidades de control bajo el sistema mixto, son el caso de Alemania, Reino Unido, Hungría, Eslovenia, Estonia y Malta. Es importante consignar que con la entrada en vigor del Reglamento Europeo de Protección de Datos 2016/679 RGPD (a medidos del año 2018), los países debieron adaptar sus legislaciones internas para armonizarlas con esa normativa general, no obstante, no alteraron la forma en que se estructuraron sus agencias de control, por cuanto ambos sistemas, el único y el mixto, aseguran el estándar de cumplimiento exigido por el RGPD.

Entre los 36 países que integran la OCDE, se observa una prevalencia del sistema único, considerando incluso los países europeos que integran o no dicho bloque. De los 27 países europeos 22 adoptan un sistema único, lo que porcentualmente representa un 81.4% versus un 19.6% que opta por el sistema mixto. Por su parte, en el caso de los países de América integrantes de la OCDE y que cuentan con autoridades de control en la materia, Canadá adopta un sistema único, mientras México uno mixto, a los que se suma Colombia con su reciente incorporación al bloque OCDE, donde la Superintendencia de Industria y Comercio, que, si bien regula otras materias tales como protección del consumidor o propiedad industrial, para estos efectos es un sistema único. En el caso de Oceanía, Australia opta por un sistema mixto y Nueva Zelanda por un sistema único. En el caso de Asía, Corea y Japón adoptan un sistema mixto por lo que todos los países de ese continente que integran la OCDE tienen entidades de control que abordan conjuntamente acceso a la información pública y protección de datos.

En la Red Iberoamericana de Protección de Datos se observa que entre los países que la integran, cuatro adhieren a un sistema único, como es el caso de Andorra, España, Colombia y Costa Rica, y también cuatro países estructuran sus autoridades de control bajo el sistema mixto, como es el caso de Argentina, México, Perú y Uruguay. Por consiguiente, se muestra un equilibrio en el diseño institucional a diferencia de lo que ocurre en la UE y en la OCDE. Sin embargo, pereciera que la adhesión a un modelo mixto a nivel iberoamericano ha sido una tendencia en los últimos años. En efecto, México desde el año 2010 mediante la Ley Federal de Protección de Datos Personales en posesión de particulares, agregó a las funciones que hasta ese entonces desarrollaba el Instituto Federal de Acceso a la Información las de protección de datos personales. De igual forma, Argentina en el año 2016, creó la Agencia de Acceso a la Información Pública a quien atribuyó conjuntamente las funciones de garantizar el acceso a la información pública y la protección de datos personales. También Costa Rica en el año 2011 crea la autoridad de control. España en el año 2013 mediante la Ley de Transparencia y Acceso a la Información Pública creó el Consejo de Transparencia y Buen Gobierno, manteniendo las funciones en protección de datos que desde el año 1994 desempeña la Agencia Española de Protección de Datos de forma exclusiva.

En definitiva, de la revisión realizada a la configuración de las autoridades de control en Europa, en la OCDE e Iberoamérica, si bien es difícil establecer un patrón común en su forma de estructuración, es posible colegir algunas consideraciones iníciales las que deben ser complementadas por diversos factores, tales como idiosincrasia, sistema jurídico (romanista o common law), régimen de gobierno, aspectos demográficos e incluso económicos. Estas consideraciones preliminares son:

a) Evidentemente son mayoritarios los sistemas únicos en que la autoridad de control se estructura exclusivamente para regular la protección de datos de carácter personal.

b) Si bien los sistemas únicos son mayoritarios, países que ejercen una importante influencia, tanto económica como política en sus respectivos bloques, han optado por sistemas mixtos. Tal es el caso de Alemania y Reino Unido en Europa y, México y Argentina en Latinoamérica.

c) En la mayoría de los países en que existe un sistema mixto, las entidades o agencias de control primero han regulado exclusivamente la protección de datos personales y luego a través de reformas institucionales han asumido la función de tutelar también el derecho de acceso a la información pública. Ese es el caso por ejemplo de Australia con la Office of the Australian Information Comissioner OAIC, cuya ley de 1998 le asignó competencias en materia de protección de datos personales y luego en el año 2010 se le asignaron funciones en materia de derecho de acceso a la información pública. Lo mismo ocurre con el Reino Unido, ya que la Information Commissioner´s Office ICO, asume la protección de datos personales en el año 1998 con la Data Protection Act, la que es modificada en el año 2004 por la Freedom of Information Act and data protection Act asumiendo el sistema mixto. A nivel latinoamericano ocurre algo similar, Argentina primero crea en el año 2001 la Dirección Nacional de Protección de Datos y luego en el año 2016, crea la Agencia de Acceso a la Información Pública que se configura en un sistema mixto. Así también ocurre en Perú que primero crea la Dirección de Protección de Datos y luego la Dirección de Transparencia y Acceso a la Información, adscribiendo ambas al Ministerio de Justicia-Dirección General de Transparencia, Acceso a la información y Protección de Datos.

Es de esperar que este reciente anuncio de instalar una Autoridad de Control en Protección de Datos considere la experiencia mundial acumulada y sobre todo avance en generar un mecanismo que tutele adecuadamente uno de los derechos fundamentales más trascendentales del siglo XXI como es el de la autodeterminación informativa, a fin de cuentas, los ciudadanos y ciudadanas, titulares de los datos, no podemos seguir en la indefensión.