2 3 23 23 911 Consulta en línea por whatsapp 9 673 400 76Contacto Contacto Buscar


ARTÍCULO

Protección de datos personales y Big Data Compliance
Asesoría Normativa

Tratamiento de Datos Personales y Big data Compliance | Asesoría normativa

Introducción

El presente trabajo se ha centrado en torno a cómo ciertas tecnologías de la información y comunicación, se vienen aplicando al Compliance y su relación con la disciplina de protección de datos personales ante la libertad de tratamiento en la empresa.
Estas tecnologías, avanzan rápidamente haciendo cada vez más vulnerable la esfera privada e intimidad, amenazando la dignidad humana en la medida que pareciera extenderse la brecha entre la regulación positiva y la gama de progresiones que ofrecen las formas de explotación de la información.
En este sentido, los dispositivos físicos y lógicos aumentan sus capacidades, entregando la posibilidad de monitorizar una amplia gama de datos del entorno de forma autónoma y ubicua, creando los denominados entornos o ambientes inteligentes. 1
De esta manera, Milanes en cuanto al Big Data y otras tecnologías sostiene que ponen en jaque elementos fundantes del sistema de protección de datos y la noción de consentimiento, 2 y yendo, más allá, Davara Rodríguez, ha llegado a sostener que potencialmente los nuevos sistemas pueden controlar e interferir la vida de una persona sin que llegue a enterarse. 3
Entonces, para la responsabilidad social corporativa y el cumplimiento normativo, uno de los puntos que cobra mayor relevancia, desde los derechos fundamentales y activos, es el uso de estas tecnologías para el tratamiento y protección de datos personales, que se necesitan recabar, desde el grupo de interés, para el desarrollo del negocio4.
Ahora bien, la regulación positiva que se ha venido implementando en Europa no está exenta de críticas como la de Orza Pablo, quién, en defensa de la privacidad, sostiene que,
'a lo que estamos asistiendo es a un creciente aumento de los instrumentos legales para controlar la vida privada de los ciudadanos. Aumento de estos instrumentos legales que viene acompañado de un incremento de las tecnologías e incluso normas legales que la hacen posible.' 5
Por otra parte, sin entrar a analizar la crítica que hace el autor anteriormente referido, el Big Data viene mejorando para aumentar eficazmente las grandes cantidades de datos que puede tratar en busca de patrones y predicciones, lo que aplicado al compliance promete asistencia de especial relevancia.
En lo operativo, todos estos continuos procesos informáticos se enfrentan a la necesidad de seguir mejorando, pudiendo enrobustecerse con el autoaprendizaje de eventos, las actualizaciones ante las nuevas y continuas amenazas; entre otras dinámicas que van especializando la seguridad en la materia.
Sin perjuicio de lo anterior, el Legislador en el Mensaje Nº 395-359, señala la necesidad de acomodar las materias de datos a las nuevas tecnologías, argumentando la pérdida de eficacia de la norma; 6 sin perjuicio que, con anterioridad a este proyecto, pronunciándose administrativamente sobre la privacidad e intimidad laboral, la Dirección del Trabajo resolvió en consulta que la vigilancia directa y permanente, por medio de programas computacionales, es 'invasiva', pues provoca en el individuo un estado de tensión o presión incompatible con la dignidad humana; 7 y en el mismo sentido, nos referiremos a lo sostenido por Lucela Isabel, esto es, que la vigilancia también impacta negativamente en la libertad, espontaneidad y en el desarrollo personal, 8lo cual involucra naturalmente al resto del grupo de interés.
Así las cosas, cabe preguntarnos si, puede el Big Data asistir eficazmente al Compliance, sin trastocar la protección del dato personal y privacidad.

Generalidades

La teoría más aceptada en cuanto al máximo interés de la empresa, hace referencia a la obtención de utilidad financiera, que operativamente ha sido buscada por medio de la optimización de los recursos y contemporáneamente con aplicación del ciclo de mejora continua de procesos, que orienta la producción hacia la eficiencia, y calidad ante la competitividad de los mercados9.
En esta dinámica, la empresa, va influyendo en los agentes con los que interactúa, considerados como su grupo de interés, involucrando accionistas, trabajadores, consumidores, proveedores y comunidad; fenómeno por el cual se viene reconociendo cierta 'Responsabilidad Social Empresarial o Responsabilidad Social Corporativa', por medio de la cual se busca afectar positivamente, además de lo interno, aquello económico, social y ambiental, asumiendo ciertos estándares10 que pueden ir más allá de las exigencias legales como es la participación activa en la comunidad11, sin perjuicio de la regulación positiva de materias que la comprenden, como es, la responsabilidad penal de las personas jurídicas, la creación del tribunal ambiental, el perfeccionamiento constante de la legislación laboral, la protección del consumidor, entre otros ejemplos.

Big Data

La tecnología del Big Data hace referencia al almacenamiento masivo de datos, sin embargo, en la actualidad ha ido considerado, incluso una forma de pensar. 12 Ahora bien, dentro de este, se integra el Data Mining; que consiste en una técnica para descubrir patrones y relaciones previamente desconocidas y válidas desde multitud de datos.13
En este sentido el Big Data contempla 'por una parte, la ingente capacidad de datos disponibles y, por otra al conjunto de herramientas y sistemas informáticos que analizan los datos buscando patrones recurrentes y correlaciones dentro del conjunto de aquellos',14 tratamiento que resulta elemental para tecnologías como el machine laerning y la inteligencia artificial.

Modelo de Prevención del Delito

El Compliance como sistema de prevención del delito tiene su fuente directa en la Ley de Responsabilidad Penal de las Personas Jurídicas15, norma que establece elementos básicos del modelo de prevención, como es la identificación de actividades o procesos, establecimiento de protocolos y procedimientos de programación y ejecución de tareas y labores orientadas a la prevención del ilícito, identificación de los procedimientos de administración y auditoria financiera 16, entre otros; todo lo cual, es sin perjuicio que el sistema de prevención del delito se viene desarrollando ampliamente como un sistema orientado a la prevención del incumplimiento de toda la regulación de la empresa, como contratos, autoregulación, normativa interna, ética, estándares y leyes. 17
Íntimamente relacionado con lo anterior, el Data Compliance consiste en un sistema de procesos permanentes que garantizan la adherencia de los datos a las reglas comerciales de la empresa, requisitos legales, entre otros.18
En este sentido, en Europa, se implementó, la 'responsabilidad proactiva' del encargado, llamada también accountability19 , según la cual este, deberá reducir los riesgos y maximizar el cumplimiento normativo a través de los sistemas, debiendo demostrarlo mediante el soporte documental suficiente de su diligencia,20 lo cual lógicamente no solo se refiere a las actuaciones procedimentales, sino que también a sus resultados y elementos.

Regulación del Tratamiento de Datos

El tratamiento de datos personales en Chile se encuentra regulado principalmente por la Ley 18.628 sobre Protección de Datos Personales, la que es considerada una expresión de la garantía señalada en el número 4º del artículo 19 de la carta magna,21 y que ha sido expresamente incorporada a las garantías constitucionales por la Ley 20.05022; sin perjuicio de otras normas que regulan el tratamiento, dispersas en otros cuerpos normativos, como es el artículo 154 sobre secreto bancario de la Ley General de Bancos.
Como hay una acentuada dicotomía de excepciones y contra excepciones en la Ley 18.628, en donde se enfrenta constantemente la libertad de tratamiento de datos23, la autodeterminación informativa24 y los derechos fundamentales; se forma un amplio espectro autoregulatorio, que deberá considerar un Código Deontológico, conforme al cual la recogida de datos, pueda realizarse con licitud, exactitud, finalidad, proporcionalidad, transparencia, participación individual y seguridad.25

Libertad de Tratamiento de Datos y Uso Exclusivo Corporativo

Establece el inciso final del artículo 4º de la Ley 19.628 que no se requiere autorización en el tratamiento de datos para uso exclusivo de personas jurídicas privadas, de sus asociados y entidades afiliadas, para fines estadísticos, de tarificación u otros de beneficio general de aquéllos, lo cual es expresión de lo dispuesto en el artículo 1º, según señala que cualquier persona puede efectuar el tratamiento de datos personales, de modo concordante con la Ley, para los fines permitidos y respetando el ejercicio de los derechos fundamentales.
Sin perjuicio de ello, el objeto de protección de la normativa de datos es el dato,26 lo que está conforme con el mismo título de la Ley, y sus disposiciones sobre el consentimiento del titular, desde donde se desprenderse que la potestad de exclusión del titular está dada por defecto, cautelando la vida privada por medio del impedimento directo de la creación del dato personal27
Por otra parte, respecto de los datos estadísticos28, encontramos un vínculo esencial con el principio de mejora continua de procesos, puesto que estos "son necesarios para identificar las variables críticas y procesos o áreas a ser mejoradas"29, no obstante, a que, aún sobre este tipo de datos, la libertad de recolección de datos en los hechos y procesos en que participan personas puede verse restringida, condicionando la obtención de su materia prima, puesto que son el resultado final de los procedimientos de disociación30, lo que relacionado con lo señalado en el inciso 2º del artículo primero y atendida la autorización dispuesta por el artículo 4º, permite aseverar que de cualquier forma en esta primera etapa el tratamiento quedaría subsumido a las constancias de control y exclusión de la esfera íntima y privada del titular, lo cual es también aplicable a los datos obtenidos para uso y beneficio general y exclusivo del corporativo relativos al modelo de prevención del ilícito penal.
En este sentido, para Cea Egaña vida privada es aquella que "entiende aquella zona que el titular del derecho no quiere que sea conocida por terceros sin su consentimiento..."31, y para Barros Bourie la privacidad es aquella que:
"...se expresa en el derecho a definir por nosotros mismos quiénes tienen acceso por amistad, amor, respeto o simplemente por interés, a un ámbito sujeto a nuestro control exclusivo..."32.
De esta manera, la privacidad comprende el ámbito físico de intangibilidad33, el deber de reserva; exclusión de publicidad de ciertos hechos relativos a la vida ordinaria, inclinaciones físicas o morales, comportamiento, modos de ser y obrar habitual, como también hechos personales que afectan el pudor; expresión del derecho moral y patrimonial respecto aspectos externos de su personalidad como imagen, voz, huellas dactilares, formas corporales, geolocalización, nombre, información sobre la salud, secretos de la vida privada, así como información relativa al ejercicio de profesión o comercio y a las relaciones entre las personas.34

Recolección en Ejercicio Legítimo de un Interés y en Cumplimiento de una Obligación Legal

En nuestro Sistema Positivo el interés legítimo no ha sido reconocido expresamente en materia de datos, por lo que no habilita para efectuar tratamiento, no obstante, en lo referente a la comunicación de datos establecida en la Ley de Bancos35, y sin perjuicio que el Consejo para la Transparencia, inspirándose en el Reglamento Europeo de Protección de Datos Personales propone incorporar a Ley 18.628, lo siguiente:
"El interés legítimo sólo podrá ser una fuente lícita para el tratamiento de datos personales, en la medida que no prevalezcan sobre éste los derechos y libertades del titular de los datos. Por lo tanto, a efectos de resguardar los derechos de este último..."36
En efecto, el Reglamento General de Protección de Datos europeo, en adelante el RGPD, estableció en su Considerando 47:
"El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable."37

[...]

1 AGUILAR JOYANES, Luis. Big Data, Análisis de grandes volúmenes de datos en organizaciones. p. 33
2 MILANES, Valeria. Desafíos en el debate de la protección de datos para Latinoamérica. Transparecia & Sociedad. p. 19.
3 DAVARA , Miguel, Manual de Derecho Informático. p. 51
4 THOMSON Y REUTERS. Sector bancario. Guía Corporate Compliance y Protección de Datos. Cap 2, Apartado I, número 1.
5 ORZA LINAREZ, Ramón. La defensa de la privacidad en la era de la ciberseguridad. p.30.
6 Chile. Proyecto de Ley Que Introduce Modificaciones a la Ley 19.628 Sobre Protección de la Vida Privada y Protección de Datos de Caracter Personal,25 de Noviembre de 2011. Mensaje Nº 395-359.
7 DIRECCIÓN DEL TRABAJO, Ordenanza nº 3441/072 del 20/08/2008.
8 LUCENA, Isabel. El Concepto de Intimidad en los Nuevos Contextos Tecnológicos. p. 44.
9 GUILLÓN, María de la Paz. Las herramientas estadísticas para la Mejora Continua en la Matriz de Hoerl. p. 1.
10 BALMACEDA, Gustabo, Compliance: Visión Genreal desde una Perspectiva Penal y Comercial. p. 52.
11 NCh-ISO 26000, Guía de Responsabilidad Social, 2010. p. 66 y ss.
12 MIRANDA RAYA, Antonio. Big Intelligence. p. 50.
13 DUA SUMEET & XIAN DU. Data Mining and Machine Learning in Cybersecurity. p. 5.
14 GARRIGA, Ana. Nuevos Retos para la Protección de Datos Personales. p. 28.
15 18 Chile. Ley 20.393. Artículo 3º Inciso 3º.
16 19 Chile. Ley 20.393. Artículo 4º numeral 3º.
17 SÁIZ PEÑA, Carlos y otros. Compliance Cómo gestionar los riesgos normativos en la empresa. sp. Bloque I, título 4.3.
18 The CASRAI Dictionary.
19 Europa.Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de Abril del año 2016. Art.5º, Número 2.
20 PALAZZI, Pablo. Compliance y protección de datos personales. p. 406.
21 RAJEVIC MOSLER, E. Protección de Datos y Transparencia en la Administración Pública Chilena. p. 142.
22 Chile. Ley 19.039, Art. 86 y siguientes sobre el Secreto Empresarial, Ley General de Bancos Art. 14 sobre datos de deudores, Ley 19.223 sobre Delitos Informáticos, Código del Trabajo Art. 2º Inciso 7º sobre el uso de la información de obligaciones pendientes del trabajador y 154 bis respecto de la reserva de los datos del trabajador, otros.
23 VIOLLIER, Pablo. El Estado de La Protección de Datos en Chile. p. 20.
24 JARA AMIGO, R. Régimen de los Datos de Carácter Económico, Financiero, Bancario o Comercial en la Ley Nº 19.628. p. 71.
25 ARRIENTA CORTÉS, R. Autorregulación y protección de datos personales. Marzo de 2011. Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile. Santiago: Andros Impresores. p. 17.
26 DE LA SERNA BILBAO, M. La institucionalización de la Protección de Datos de Carácter Personal. Marzo de 2011. Reflexiones Sobre el Uso y Abuso de los Datos Personales en Chile. Santiago: Andros Impresores. p. 61.
27 Chile. Ley 19.628. Art. 2º Letra f)
28 Chile. Ley 19.628. Art. 2º Letra e).
29 GUILLÓN, María de la Paz. Las Herramientas Estadísticas para la Mejora Continua en la Matriz de Hoerl. pag. 2.
30 ISO/IEC 17799. Tecnología de la Información. Técnicas de seguridad. Código para la práctica de la gestión de la seguridad de la información de seguridad. Código para la práctica de la gestión de la seguridad de lainformación. p. 14.
31 CEA EGAÑA, José. El sistema constitucional de Chile, Santiago: Universidad Austral de Chile. 1999. p. 94.
32,33 BARROS BOURIE, Enrique; Tratado de Responsabilidad Extracontractual. Santiago: Editorial Jurídica de Chile. 2006. p. 542.
34 GARRIGA, Ana. Nuevos Retos para la Protección de Datos Personales. Madrid: Dykinson. 2016. p. 102.
35 Chile. D.F.L. Núm. 3. Santiago, 26 de noviembre de 1997. Ley General de Bancos. Publicada el 19 de Diciembre del año 1999. Art. 154 Inc. 2º .
36 CONSEJO PARA LA TRANSPARENCIA, DJ/UNR/10.05.2018.
37 Europa.Parlamento Europeo y Consejo. Reglamento General de Protección de Datos (EU) 2016/679. 27 de Abril del año 2016.