En el contexto del Proyecto de ley que Establece medidas para incentivar la protección de los derechos de los consumidores Boletín N°12409-03, el cual se encuentra en sus etapas finales de discusión ante el legislador, se ha dado una importante discusión respecto a si otorgarle o no al SERNAC ciertas atribuciones para fiscalizar temas relacionados a la protección de los datos personales, lo anterior en virtud al eventual art. 15 bis que propone el proyecto.
En efecto, la discusión legislativa no ha sido menor, y ha hecho que en el último tiempo se hayan propuesto tres versiones respecto a este artículo [Revisar tabla]. Así, el pasado 30 de junio de 2021 la Comisión Mixta aprobó el Informe para someterlo a ambas Cámaras del Congreso Nacional, proponiendo como eventual contenido del artículo 15 bis el siguiente:
“Artículo 15 bis.- Las disposiciones contenidas en los artículos 2 bis letra b), 58 y 58 bis de la presente ley, serán aplicables respecto de los datos personales de los consumidores, en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos artículos se encuentren en el ámbito de competencias legales de otro órgano“.
| Cámara de Diputados | Senado | Comisión Mixta (Indicaciones Presidente) |
| “Artículo 15 bis.- Los proveedores que realicen el tratamiento de datos personales o comerciales de los consumidores y sus operaciones tendrán la obligación de informarles de todo tipo de violación de seguridad de sus bases de datos o de aquellas de las que se sirvan y que contengan información de sus clientes o usuarios, sin dilación indebida y desde el momento en que hayan tomado conocimiento del hecho. La comunicación de estos hechos deberá efectuarse a través de cualquier medio físico o digital que resulte más idóneo y que garantice su celeridad, dentro de un plazo máximo de setenta y dos horas desde que ocurrió la violación de seguridad. Si el proveedor cuenta con servicio de atención a los clientes, dispondrá y canalizará a través de este las consultas y reclamos de los consumidores afectados. Los consumidores podrán solicitar a los proveedores el historial de violaciones de seguridad digital al contratar un servicio o adquirir un producto. El proveedor no podrá negarse a proporcionar esta información cuando sea requerida por el consumidor”. | “Artículo 15 bis.- Las normas relativas al tratamiento de cualquier tipo de datos personales de los consumidores, incluyendo especialmente los de carácter comercial, contenidas en la ley N° 19.628, sobre protección de la vida privada, en especial en el Título III “De la utilización de datos personales relativos a obligaciones de carácter económico, financiero, bancario o comercial”, y demás normas legales relacionadas, se considerarán normas especiales de protección de los derechos del consumidor, especialmente para los efectos de lo dispuesto en los artículos 2° bis, 58 y 58 bis de la presente ley. Los proveedores que realicen el tratamiento de cualquiera de los datos mencionados en el inciso anterior, deberán dar estricto cumplimiento a las normativas que allí se señalan. Para estos efectos, deberán implementar las medidas necesarias para garantizar la seguridad y la reserva en el tratamiento de datos, con especial resguardo respecto de los fines para los cuales fueron autorizados por su titular. En el supuesto de que los proveedores reporten una violación de seguridad de sus bases de datos o de aquellas de las que se sirvan y que contengan información de sus clientes o usuarios, será mandatoria la entrega de información a los consumidores de lo ocurrido, dentro de 24 horas contadas desde el referido reporte. Esta comunicación se deberá efectuar de forma digital e incluirá las medidas de seguridad adoptadas en momentos previos y posteriores a la ocurrencia del hecho. En caso de no prosperar esta vía de contacto, esta misma información se pondrá en conocimiento del consumidor a través de medios físicos, telefónicos u otros idóneos que garanticen celeridad, dentro de un plazo de 72 horas contado desde el reporte señalado en el inciso anterior. Las consultas y reclamos suscitadas con ocasión de este tipo de incidentes, se canalizarán a través del servicio de atención a los clientes que disponga cada proveedor. Sin perjuicio de lo consagrado en los incisos anteriores, el responsable tendrá la obligación de informar, a petición del consumidor, la fuente de legitimidad del tratamiento de sus datos y de respetar, en todo caso, la finalidad para la cual fueron recolectados o almacenados”. | “Artículo 15 bis.- Las disposiciones contenidas en los artículos 2 bis letra b), 58 y 58 bis de la presente ley, serán aplicables respecto de los datos personales de los consumidores, en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos artículos se encuentren en el ámbito de competencias legales de otro órgano”. |
De esta manera, con la redacción que hoy se propone, el SERNAC sería competente para fiscalizar el cumplimiento normativo, interpretar administrativamente la normativa, ejercer acciones colectivas, entre otras facultades, sólo en aquellos casos que se trate dentro del marco de las relaciones de consumo, y que dichas facultades no se encuentren en el ámbito de competencias legales de otro órgano, como podría ser una futura autoridad específica para el cuidado de los Datos Personales, entidad que también fuera objeto de menciones en la discusión dentro de la Comisión Mixta.
Ahora bien, de forma especial se ha hecho mención a las potestades para que tanto el SERNAC como las organizaciones de consumidores se encuentren habilitadas para actuar en defensa del interés colectivo o difuso de los consumidores cuando los datos personales de estos últimos hayan sido vulnerados en el marco de una relación de consumo.
En este sentido, cabe dar cuenta que el proyecto de ley que Regula la protección y el tratamiento de los datos personales y que crea la Agencia de Protección de Datos Personales (boletines 11.144-07 y 11.092-07, refundidos) no contemplan un procedimiento para la protección del interés difuso o colectivo de los titulares de datos personales.
Lo anterior es un tema no libre de discusión, pero sí hay argumentos para sostener que la llamada “Group Privacy” es una herramienta importante a la hora de enfrentar los efectos de las nuevas tecnologías, especialmente en consideración a aquellas dedicadas a la creación de perfiles y aprendizaje automático, las cuales muchas veces se encuentran dirigidas a nivel de grupo de personas, toda vez que funcionan a escala y permiten a sus usuarios dirigirse no sólo al individuo, sino también al colectivo.
Si bien resulta claro que las materias a las que nos referimos –tanto Derecho del Consumo como Protección de Datos Personales– son distintas, y en consecuencia se exige una especialidad y preparación propia, debemos tener presente que estas se comunican y en alguna medida se conectan en determinados puntos.
Por lo anterior, es beneficioso que el artículo propuesto contemple la salvedad respecto a las competencias que podrían ser propias de la próxima autoridad en materia de protección a los datos personales. No obstante, queda aún esperar para ver cómo aquello se desarrolla en la práctica y en las atribuciones fiscalizadora de dichos organismos.
Para obtener más información sobre estos temas, puede contactar a:
Eugenio Gormáz | Socio | egormaz@az.local
Daniela Hirsch | Directora AZ Compliance | dhirsch@az.local
Antonio Rubilar | Director Derecho Público y Mercados Regulados | arubilar@az.local
Andrea Céspedes | Asociada | acespedes@az.local
Gonzalo Bravo | Asociado | gbravo@az.local
