BIG DATA COMPLIANCE Y PRIVACIDAD
Asesoría Normativa Adlerhorst

Soluciones Jurídicas en Línea: Ética, Calidad y Compromiso en Cada Paso

BIG DATA COMPLIANCE Y PRIVACIDAD

BIG DATA COMPLIANCE Y PRIVACIDAD

Comentarios, Artículos y Consultas Frecuentes

Introducción

El presente trabajo se ha centrado en torno a cómo ciertas tecnologías de la información y comunicación, se aplican y proyectan al Compliance y su relación con las normas de protección de datos personales y privacidad ante la libertad de tratamiento en la empresa. Las Tecnologías de la Información, en adelante TI, avanzan rápidamente haciendo cada vez más vulnerable la esfera privada e intimidad de las personas, amenazando la dignidad humana en la medida que se extiende la brecha entre su regulación y progresión al aumento de las capacidades de los dispositivos físicos y lógicos, entregando la posibilidad de monitorizar una amplia gama de datos del medio de forma autónoma y ubicua, creando los denominados entornos o ambientes inteligentes. Se refieren a estas tecnologías Milanes, sosteniendo que el Big Data pone en jaque elementos fundantes del sistema de protección de datos y la noción de consentimiento, y yendo, más allá, Davara Rodríguez, ha llegado a sostener que potencialmente los nuevos sistemas pueden controlar e interferir la vida de una persona sin que llegue a enterarse usando técnicas de la información y comunicación entre computadoras. Ahora bien, en Chile el Legislador en el Mensaje Nº 395-359, señala la necesidad de acomodar las materias de datos a las nuevas tecnologías, argumentando la pérdida de eficacia de la norma; sin perjuicio que, con anterioridad a este proyecto, pronunciándose administrativamente sobre la privacidad e intimidad laboral, la Dirección del Trabajo resolvió en consulta que, la vigilancia directa y permanente por medio de programas computacionales es invasiva, pues provoca en el individuo un estado de tensión o presión incompatible con la dignidad humana; lo que podemos complementar, además en cuanto a otros integrantes del grupo de interés, con aquello sostenido por Lucena Isabel, quien reitera que la vigilancia también impacta negativamente en la libertad, espontaneidad y en el desarrollo personal. Entonces, para la responsabilidad social corporativa, uno de los puntos que cobra mayor relevancia es el cumplimiento normativo relativo al tratamiento y protección de los datos personales que se necesitan recabar, desde el grupo de interés, para el desarrollo del negocio. Por otra parte, el Big Data viene avanzando para aumentar las grandes cantidades de datos que puede tratar para buscar patrones y prever desde sus análisis, ciertos hechos futuros; lo que aplicado al Compliance promete la representación a priori y virtual de incidentes, anticipándose a conductas que se enmarquen dentro de los elementos del tipo legal o meramente regulatorio. Así las cosas, cabe preguntarnos si puede el Compliance, por medio del Big Data, prevenir delitos corporativos sin vulnerar la privacidad y la protección del dato personal.

El Big Data

La tecnología del Big Data hace referencia al almacenamiento masivo de datos, sin embargo, en la actualidad es considerado por algunos, incluso una forma de pensar, siendo elegido, por sobre el concepto de Data Mining; que es una técnica para descubrir patrones y relaciones previamente desconocidas y válidas desde multitud de datos. En este sentido el Big Data contempla "por una parte, la ingente capacidad de datos disponibles y, por otra al conjunto de herramientas y sistemas informáticos que analizan los datos buscando patrones recurrentes y correlaciones dentro del conjunto de aquellos."

Modelo de Prevención del Delito

El Compliance como sistema de prevención del delito tiene su fuente directa en la Ley de Responsabilidad Penal de las Personas Jurídicas, norma que establece elementos básicos del modelo de prevención, como es la identificación de actividades o procesos, establecimiento de protocolos y procedimientos de programación y ejecución de tareas y labores orientadas a la prevención del ilícito, identificación de los procedimientos de administración y auditoría financiera, entre otros; todo lo cual, es sin perjuicio que el sistema de prevención del delito se viene desarrollando ampliamente como un sistema orientado a la prevención del incumplimiento de toda la regulación de la empresa, como contratos, autoregulación, normativa interna, ética, estándares y leyes. Así, el crecimiento del compliance hacia una compleja disciplina, envuelve las normas de protección de datos en lo que podemos llamar Data Compliance, el cual ha sido definido como un sistema de procesos permanentes que garantizan la adherencia de los datos a las reglas comerciales de la empresa, requisitos legales, entre otros. En este sentido, en Europa, en búsqueda del apego a la normativa de protección de datos, se implementó la responsabilidad proactiva del encargado de estos, llamada también accountability, según la cual este, deberá reducir los riesgos y maximizar el cumplimiento normativo a través de los sistemas, debiendo demostrarlo mediante el soporte documental suficiente de su diligencia.

Regulación del Tratamiento de Datos

El tratamiento de datos personales en Chile se encuentra regulado principalmente por la Ley 19.628 sobre Protección de Datos Personales, la que fue considerada desde su vigencia como una expresión de la garantía constitucional del número 4º del artículo 19 de la carta magna, hasta antes de la Ley 20.050 que incorporó expresamente la protección de datos personales a las garantías referidas; sin perjuicio de otras contenidas en normas como la Ley General de Bancos, en donde se regula el secreto bancario. Pues bien, como hay una acentuada dicotomía de excepciones y contra excepciones para el tratamiento, en donde se enfrentan la libertad de tratamiento de datos, la autodeterminación informativa y derechos fundamentales como la protección del dato personal y la privacidad; se forma un amplio espectro de autoregulación, subsumido a los principios de legitimidad, participación, calidad, finalidad, seguridad, transparencia y proporcionalidad.

Libertad de Tratamiento de Datos y Uso Exclusivo Corporativo

Establece el inciso final del artículo 4º de la Ley 19.628 que no se requiere autorización en el tratamiento de datos para uso exclusivo de personas jurídicas privadas, de sus asociados y entidades afiliadas, para fines estadísticos, de tarificación u otros de beneficio general de aquéllos, lo cual es expresión de lo dispuesto en el artículo 1º, según señala que cualquier persona puede efectuar el tratamiento de datos personales, de modo concordante con la Ley, para los fines permitidos y respetando el ejercicio de los derechos fundamentales. Sin perjuicio de ello, el objeto de protección de la normativa de datos es el dato, lo que está conforme con el mismo título de la Ley 19.628, y sus disposiciones sobre el consentimiento del titular, desde donde se puede desprenderse que el control de exclusión del titular está dada por defecto en esta, cautelando la vida privada por medio del impedimento directo de la creación del dato personal. Para Cea Egaña vida privada es aquella que "entiende aquella zona que el titular del derecho no quiere que sea conocida por terceros sin su consentimiento..." y para Barros Bourie la privacidad se expresa en el derecho a definir por nosotros mismos quiénes tienen acceso por amistad, amor, respeto o simplemente por interés, a un ámbito sujeto a nuestro control exclusivo. De esta manera, la privacidad comprendería el ámbito físico de intangibilidad; el deber de reserva; exclusión de publicidad de ciertos hechos relativos a la vida ordinaria, inclinaciones físicas o morales, comportamiento, modos de ser y obrar habitual, como también hechos personales que afectan el pudor; expresión del derecho moral y patrimonial respecto aspectos externos de su personalidad como imagen, voz, huellas dactilares, formas corporales, geolocalización, nombre, información sobre la salud, secretos de la vida privada, así como información relativa al ejercicio de profesión o comercio y a las relaciones entre las personas. Por otra parte, respecto de los datos estadísticos, encontramos un vínculo esencial con el principio de mejora continua de procesos, puesto que estos son necesarios para identificar las variables críticas y procesos o áreas a ser mejoradas, no obstante, a que, aún sobre este tipo de datos, la libertad de recolección de datos en los hechos y procesos en que participan personas puede verse restringida, condicionando la obtención de su materia prima, puesto que pueden ser resultado de los procedimientos de disociación, lo que relacionado con lo señalado en el inciso 2º del artículo primero y atendida la autorización dispuesta por el artículo 4º, permite aseverar que de cualquier forma en esta primera etapa el tratamiento quedaría subsumido a las constancias de control y exclusión de la esfera íntima y privada del titular, lo cual es también aplicable a los datos obtenidos para uso exclusivo y beneficio general del corporativo.

Recolección en Ejercicio Legítimo de un Interés y en Cumplimiento de una Obligación Legal

En nuestro Sistema Positivo el interés legítimo no ha sido reconocido expresamente en materia de datos, por lo que no habilita para efectuar el tratamiento, no obstante, a la comunicación de datos establecida en la Ley de Bancos, y sin perjuicio que el Consejo para la Transparencia, inspirándose en el Reglamento Europeo de Protección de Datos Personales, propone incorporar a Ley 19.628 que el interés legítimo sólo podrá ser una fuente lícita para el tratamiento de datos personales, en la medida que no prevalezcan sobre éste los derechos y libertades del titular de los datos. En efecto, el Reglamento General de Protección de Datos europeo (RGPD) estableció en su Considerando 47 que el interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable. El interés legítimo se analiza y pondera en cada caso para determinar si prevalece o no por sobre las libertades y derechos fundamentales del titular, no obstante, a que desde los artículos 19 al 27 de la LOPDGDD se enuncian casos en que se presume la prevalencia del interés legítimo, como es aquel con fines de prevención del fraude, el tratamiento de mercadotecnia y la video vigilancia. El artículo 24 de la misma norma, regula el tratamiento relativo a los Sistemas de información de denuncias internas en la empresa a fin de prevenir el fraude corporativo, en donde se imprime el principio de finalidad en el que se contempla que los empleados y terceros, deberán ser informados acerca de la existencia de estos sistemas de información de prevención del fraude corporativo; y cabe señalar la facultad de mantener los datos contra excepción de borrado o supresión si la finalidad de su conservación es dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica. El RGPD establece otros casos de prevalencia del interés legítimo para garantizar la seguridad de redes y de la información, así como a la transmisión de datos entre grupos de empresas bajo la necesariedad de fines administrativos legítimos en sectores de actividad relacionados. Ahora bien, no obstante, a que estas causas habilitantes no se encuentran reconocidas por la Ley en Chile, la asimetría entre los poderes negociadores y de conformidad a la necesidad de realizar el tratamiento de datos, el consentimiento se ha vuelto condición de acceso a las contraprestaciones y disfrute de servicios, por lo que en general el tratamiento basado en un interés legítimo o el cumplimiento de una obligación legal exigible que no sea en la especie un tratamiento de datos, se aplica a consecuencia de la autorización del titular.

Seguridad de la información

A saber, el concepto de seguridad comprende los elementos de riesgo y la inexistencia de la seguridad absoluta, por lo que la seguridad en el tratamiento de datos implica generar todas las actividades necesarias para evitar su comunicación y uso desautorizado mediante medidas técnicas y organizativas, como el establecimiento de políticas de privacidad, resguardos ante cesiones y transferencias de datos, así como aplicar las medidas de privacidad por defecto. En este sentido, a fin de proteger los datos es forzoso para la empresa determinar las Políticas de Seguridad y el Sistema de Gestión de Seguridad de la Información, el que es considerado como una parte del sistema gerencial general, basada en un enfoque de riesgo comercial; para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad, adoptando medidas necesarias para proteger la integridad, confidencialidad y disponibilidad de la información, así como también su autenticidad, la responsabilidad, la no repudiación y la confiabilidad.

Ofuscación de Datos

Dentro de las medidas lógicas para propender a la protección de los datos personales encontramos los procedimientos de anonimización o disociación, los cuales comprenden la anonimización y la seudoanonimización o anonimización relativa, los que sirven como medio para eliminar las posibilidades de identificación de las personas y proteger su privacidad. Siendo así, la finalidad de la anonimización es eliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados manteniendo la veracidad de los resultados del tratamiento de los mismos, aplicado de forma proactiva y no reactiva, conforme a un índice de riesgo residual de reidentificación, todo lo cual debe garantizar la utilidad del dato anonimizado. El Consejo para la Transparencia propone como concepto de anonimización o disociación de datos personales el siguiente: procedimiento en virtud del cual los datos personales no pueden asociarse al titular ni permitir su identificación, por haberse destruido el nexo con toda información que lo identifica; porque dicha asociación exige un esfuerzo no razonable, entendiendo por tal el empleo de una cantidad de tiempo, gasto o trabajo desproporcionados, o porque se ejercieron medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona natural identificada o identificable. Un dato anonimizado deja de ser un dato personal. Por otra parte, la seudoanonimización es un proceso de disociación reversible que consiste en asociar los datos de una persona a un código sin que pueda ser asociada a una persona sin utilizar información adicional, siempre que estas medidas adicionales figuren por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar la inidentificabilidad de la persona física. Ejemplo de norma que regula la anonimización es el número 4 del artículo 24 relativo al tratamiento basado en el interés legítimo del responsable para la prevención del fraude o ilícito corporativo, según señala que se pueden almacenar de forma anónima los datos de las denuncias a que no se les haya dado curso.

Decisiones Automatizadas

La decisión automatizada de sistema y sus efectos en materia de tratamiento de datos no fue contemplada expresamente por el legislador, sino que por analogía queda comprendida donde hace referencia al tratamiento automatizado; sin perjuicio de ciertos estándares ya reconocidos por la Unión Europea, que pueden funcionar como medidas de seguridad sobre ficheros en distintos niveles, como por ejemplo a través de autorizaciones automatizadas, análisis de eventos y restricción de accesos a autorizados, registros y escalamiento de niveles de seguridad automatizados, entre otras muchas posibilidades. Por otra parte, la toma automática de decisiones es recogida expresamente por el legislador europeo en la formación de perfiles, puesto que le reconoce el derecho al titular de no ser objeto de este tipo de tratamiento si la decisión pudiera tener efectos jurídicos o significativos similares, comprendiendo ejemplo de este último la discriminación; todo lo cual es sin perjuicio de la contra excepción, que si permitiría la toma de decisiones automatizadas en la etapa de ejecución de un contrato y preacuerdo, si fuera necesario y evidentemente si el titular ha consentido expresamente en esta forma de toma de decisiones.

Proporcionalidad en el Tratamiento

Ante la necesidad de recolectar datos personales a fin de ejercer la dirección y vigilancia empresarial, en el cumplimiento de otro contrato, o para la mejora continua de procesos, y en general para prevenir el incumplimiento normativo, una vez requerida la exclusión del titular luego de su autorización, mediante oposición al tratamiento o revocación de la autorización respectiva, cabe despejar la interrogante acerca de hasta dónde el tratamiento afectaría sus derechos fundamentales; lo que se ha intentado satisfacer mediante la aplicación de un examen de proporcionalidad, conforme al cual se indaga la medida entre la seguridad de la empresa y la restricción de ciertos derechos elementales a través del análisis de la razonabilidad entre los medios conforme a los cuales se pueda cumplir con el fin propuesto, su legitimidad, y la equivalencia entre el beneficio proveniente de la restricción con la lesión que produce al derecho.

Conclusión

El Compliance de datos es elemental en la empresa, su función interrelacionada con el Big Data, trata en proteger, vigilar, administrar y disponer los datos recolectados de las tareas y labores que figuran en los distintos procesos corporativos; todo, con arreglo a la normativa, como efectos de autoregulación y disposiciones legales de protección de datos personales y vida privada. En este sentido, en Chile, el legítimo tratamiento de datos procede en la medida que exista autorización legal o del titular, permitiendo la primera de estas el tratamiento para uso exclusivo y en beneficio general del corporativo; sin perjuicio que, aun así, este tratamiento requeriría autorización cuando pueda afectar derechos fundamentales, lo que puede suceder, con la aplicación del Big Data, en su etapa de recolección; sin perjuicio que, el dato, pueda luego ser disasociado para hacerlo objeto de la libertad de tratamiento. Siendo así, esta autorización resguarda la vida privada y el dato personal del titular frente a la necesidad de tratamiento que surge como interés legítimo, el cual no prevalece ante los derechos fundamentales de su titular; por ende, estos, no se verían vulnerados por un racional Big Data Compliance.


Consultar →