Prologo
Por Pablo A. Palazzi
Prólogo: pro y logos. Literalmente significa “antes del discurso". La RAE dice que es un escrito que antecede al cuerpo de una obra. Su función es anticipar algo acerca de lo que prosigue y hacerlo apetecible al lector: finalidad, anécdotas, motivaciones… Me toca prologar otro libro del Profesor Renato Jijena Leiva, gran amigo y especialista chileno en protección de datos, tema que nos une desde hace varias décadas. La obra es muy completa y seguidamente presentaremos al autor, a la obra y hacemos un breve introito.
Presentación del autor
El profesor Jijena Leiva, con su amplia formación y experiencia, tanto en el Derecho Informático como en el Derecho a la Protección de los Datos Personales, nos presenta un análisis meticuloso y profundamente informado sobre un tema de creciente importancia global.
Renato Jijena Leiva es abogado, licenciado en Ciencias Jurídicas por la Pontificia Universidad Católica de Valparaíso, y diplomado en Derecho Informático por la Universidad de Zaragoza (España) en la época del despertar de la protección de datos española. Asimismo es magíster en Gobierno Electrónico por la Universidad Tecnológica Metropolitana, Chile. Es autor de varios libros de temas de derecho informático y profesor de la misma materia. Un libro que quiero destacar por ser de los primeros en la región es su obra sobre protección de datos y delitos informáticos, escrita en el año 1992 con el título “La protección penal de la intimidad y el delito informático” y publicada por la Editorial Jurídica de Chile. El autor es también Profesor visitante en el Diplomado Internacional de Protección de datos personales de la Universidad de San Andrés en Buenos Aires.
Presentación de la obra
El libro titulado “Datos Personales en el Estado. Administrados, Contribuyentes y funcionarios públicos" del Profesor Renato Jijena Leiva ofrece un análisis detallado y exhaustivo sobre la protección de datos personales en Chile, abordando desde fundamentos jurídicos hasta implicaciones prácticas en la administración del Estado y el tratamiento de los datos personales en diversos contextos. El autor es frontal en su escritura y sus opiniones, no se guarda nada, es un gusto ver una obra donde alguien dice lo que piensa sin temor a lo que pase. En Protección de datos en la región nos hace falta más sinceridad con nosotros mismos y el autor logra mucho de eso.
Comenzando con un enfoque en la influencia del Tribunal Constitucional español en Chile, el libro resalta la importancia de entender el Derecho a la Protección de Datos personales como un derecho fundamental interconectado con el derecho a la vida privada, pero distinguiéndose por su relevancia y autonomía de este último. Esta distinción se profundiza con la exploración del principio de autodeterminación informativa y el instrumento procesal del "Habeas Data" para materializar la protección de datos personales, recurso bien propio de la región latinoamericana.
El análisis continúa con la configuración legal y constitucional del "Habeas Data" en Chile, así como las complejidades alrededor de datos públicos como el RUT (nuestro CUIT argentino), subrayando el delicado equilibrio entre acceso público y protección de datos.
El segundo capítulo se adentra en las bases legales del tratamiento de datos personales por parte de la administración del Estado, destacando conceptos esenciales, la aplicación legal de la teoría de las esferas en datos públicos y privados, y los principios específicos en la gestión de datos personales. Este tema es importantísimo porque uno podría pensar que la cosa es simple: el Estado tiene siempre una base legal partiendo del interés público siempre presente. Pero a veces el tema puede ser debatible cuando entra a jugar el principio de finalidad del uso de datos personales, o las cesiones entre diferentes agencias con otros fines como lo ha resaltado la jurisprudencia argentina en el caso “Torres Abad” resuelto por un tribunal argentino de apelaciones con fundado voto de los jueces Guillermo Treacy, Pablo Gallegos Frediani y Jorge F. Alemany, caso que está a la espera de un fallo de la Corte Suprema (con dictamen favorable del procurador general).
El tercer capítulo se enfoca en las acciones y recursos de tutela disponibles para la protección de datos personales. A mi modo de ver, este tema es muy importante, ya que como decían los romanos, "Ubi ius, ibi remedium", es decir "donde hay derecho, hay acción". Si solo hay derecho sin acción, el derecho sería un mero adorno jurídico. La cuestión no resulta ser tan fácil como lo evidencia la jurisprudencia argentina y las respuestas (o silencios) que el Estado nacional brinda frente a los incidentes de seguridad, donde se les niega a los ciudadanos el derecho a saber sobre el incidente o las medidas adoptadas para remediar el mismo. La excusa que da el Estado es que no es la vía correcta: porque cuando se va por habeas data se le indica al actor que debe acudir a la vía de acceso a la información; cuando se acude a esta última se le dice que tampoco es la via correcta, porque habilita a conocer cuestiones de seguridad, cuando se acumulan ambas vías, se le dice al actor que no se pueden acumular. Claro ejemplo de que existe un derecho sin remedio judicial.
En este tercer capítulo se incluyen el análisis de legislaciones tanto nacionales como internacionales (el caso de la reciente LOPDYGDD española), y proyecta cómo se modelarán los derechos de los titulares de datos personales en la futura ley chilena de protección de dato personales y las acciones derivadas de recursos administrativos del contribuyente (tema por demás interesante y donde existen casos en Argentina, que el autor cita en su obra y que tuvimos el gusto de litigar).
Los capítulos subsiguientes examinan la responsabilidad de los Órganos de la Administración del Estado (OAE) en el tratamiento de datos personales bajo la ley vigente de datos personales (ley Nº 19.628) y normativas tributarias, abarcando desde la obligación de confidencialidad hasta la gestión de la seguridad de la información y ciberseguridad.
Este último es un tema muy actual en nuestro país dada la cantidad de incidentes que se sufren a diario tanto por empresas como por agencias estatales (¡a ambos lados de la cordillera, nadie está a salvo!) y que tienen por efecto afectar el funcionamiento de servicios públicos y esenciales del Estado, y donde muchas veces los datos de los ciudadanos (nuestros datos) son sustraídos y re-comercializados en la deep web o dark web.
No se trata de un tema menor, sino de una cuestión que atañe al funcionamiento nada menos que de los propios Poderes del Estado, como lo evidencia el incidente de seguridad que tuvo la empresa IFX y que afectó por semanas al sistema de Compre Nacional de Chile y al Poder Judicial de Colombia, ambos comprometidos por un malware sin poder operar por un tiempo serio.
En septiembre de 2023, la empresa IFX Networks anunció en un comunicado que algunas de sus máquinas virtuales habían sido afectadas por un ataque tipo ransomware, que provocó fallos en “algunos” sitios web. Esta empresa de servicios de telecomunicaciones en la nube, con sede en Bogotá, opera en 17 países de Latinoamérica y almacena grandes cantidades de datos, por lo que las páginas de entidades como la Superintendencia Nacional de Salud, la Superintendencia de Comercio (que incluye la agencia de protección de datos de Colombia) y toda la rama judicial de Colombia se vieron afectadas. Este ciberataque afectó a más de 762 entidades públicas y privadas en países como Colombia, Chile y Panamá. El Poder Judicial de Colombia tuvo que declarar feriado judicial por más de una semana. Aquí es dable advertir el efecto “en cadena” que tiene un ataque informático a una entidad privada. Es evidente que la seguridad estatal no es un tema solo público sino también que concierne a las empresas privadas como lo evidencia el caso de IFX. Pero no hay mal que por bien no venga: a raíz de este incidente, Chile aprobó recientemente una ley de ciberseguridad, que es pionera en la región.
En este capítulo el autor presta atención especial al cumplimiento del principio de finalidad, el tratamiento de datos personales en el sitio web de la agencia tributaria chilena (abreviado SII), y los desafíos de la identidad digital y la confidencialidad.
Finalmente, el libro concluye con una discusión sobre las responsabilidades, procedimientos, y sanciones para los órganos de la administración del estado en el marco de la ley modificada Nº 19.628, y la necesidad de una estructura orgánica para las leyes de protección de datos personales, incluyendo la creación de una Agencia Chilena de Protección de Datos Personales, sus posibles funciones, y la criticada actuación “de facto” en materia de protección de datos que realizó el Consejo para la Transparencia. Este último capítulo es relevante dada la importancia que tienen las agencias de protección de datos para el control de los datos personales en poder del Estado. Si alguna duda cabe nos remitimos a la reciente condena a Colombia por la Corte Interamericana de Derechos Humanos por no respetar el derecho de acceso a los datos personales. Resaltamos asimismo del capítulo la necesidad de la independencia de las agencias de datos personales del poder estatal al cual deben controlar.
En mi opinión, este libro es un recurso invaluable para comprender el marco legal y las implicaciones prácticas de la protección de datos personales en Chile, ofreciendo una guía clara para administrados, contribuyentes, y profesionales del derecho interesados en este campo.
Valoración
Hay mucho positivo del libro, pero vamos a rescatar un par de asuntos porque comentar todo lo analizado por el autor sería muy extenso e impropio de un prólogo que solo debe tener carácter introductorio.
En primer lugar, valoro como muy positivo que aparezcan en la región obras especializadas sobre temas concretos y puntuales de protección de datos. Esto muestra que la región está madurando en el análisis de los temas sobre privacidad y protección de datos. Se sube un escalón más, respecto de las obras de carácter general que tratan en forma somera todos los temas y se remiten mágicamente al derecho europeo pero sin detenerse en algún aspecto concreto local. Tratar un tema concreto como es el caso de los datos en poder del Estado y sus reglas y sus limitaciones suma al desarrollo regional del Derecho a los Datos Personales porque el enfoque es más específico.
Escribir y estudiar los datos personales en poder del Estado y cuáles son sus límites requiere por otra parte de un blend de Derecho Administrativo, Derecho Constitucional y por supuesto, también del Derecho a la protección de datos personales, temas que autor maneja, como decimos por acá, “de taquito”. En el caso particular hay mucho también de Derecho tributario y procedimental tributario, porque la obra está concentrada en ese aspecto peculiar de la relación administración-contribuyente y los funcionarios. Todo ello entronca una rama nueva como es el Derecho a la Protección de datos personales con áreas del derecho tradicionales. Pero tampoco podemos olvidar la mirada del derecho internacional de los Derechos Humanos, que de a poco nos va marcando líneas directrices como lo hizo recientemente la Corte Interamericana de Derechos Humanos en el caso “Colectivo de Abogados: JOSÉ ALVEAR RESTREPO v Colombia”. En este caso se reconoce la existencia del derecho a la autodeterminación informativa contra el Estado.
Otro aspecto valioso de la obra, es que el autor, sabiendo que está por aprobarse una nueva ley de protección de datos en Chile, se tomó el trabajo de incluir los textos casi definitivos de la misma. Mientras escribo esto, el congreso chileno está dando los últimos retoques a la ley de protección de datos personales. Es un paso muy importante para América Latina porque no podemos olvidar que Chile fue el primer país de la región en aprobar una ley de protección de datos en el año 1999.
Soy de la opinión que necesitamos análisis similares en otros países de América Latina para comenzar a comprender lo que el Estado puede y no puede hacer con los datos personales. Es que si el Estado sanciona una ley de datos que se aplica a ambos sectores (público y privado por igual), lo primero que debería hacer el Estado en cada rincón de América Latina es “dar el ejemplo” pero como podemos apreciar del caso de Argentina, sucede todo lo contrario: el Estado exige algo a los particulares (e incluso los sanciona) que no cumple en similar manera dentro de su propia esfera. También necesitamos que se realicen este tipo de estudios desde el punto de vista constitucional y del derecho de la protección de los derechos humanos, no solamente de los datos personales.
En mi opinión, lo que distingue a este libro es su capacidad para no solo recorrer la teoría, sino también para sumergirse en las aplicaciones prácticas de las leyes de protección de datos en las actividades cotidianas de la administración del Estado (el autor trabajó como asesor del SSI y de ahí su gran conocimiento de la materia). El profesor Jijena Leiva utiliza ejemplos concretos y estudios de casos para ilustrar cómo se aplican estas leyes en situaciones reales, haciendo que el libro no solo sea educativo, sino también inmediatamente relevante para los profesionales que trabajan en el campo.
En resumen, "Datos Personales en el Estado" es una obra que no solo informa y educa, sino que también inspira a sus lectores a considerar profundamente las implicaciones de la protección de datos en el entorno moderno del Derecho Público. Es un recurso esencial para cualquier persona interesada en el derecho, la administración pública, y la interacción entre tecnología y privacidad. El profesor Jijena Leiva ha creado no solo un texto académico, sino una guía práctica que será relevante durante años en Chile y más allá. Deseo fervientemente que tenga imitadores en toda América Latina.
Pablo A. Palazzi
Director del CETyS, UDESA.
Buenos Aires, 13 de mayo 2024.-
