Se aprueban a esta fecha modificaciones legales en el marco jurídico chileno sobre el tratamiento de datos personales, y dentro de los cambios más relevantes y paradigmáticos de la nueva Ley N° 19.628, para el año 2026 se suprimirá el concepto amplísimo de las llamadas “fuentes o bases de datos públicas de datos personales”. En estricto rigor, se suprimió en el modelo normativo europeo del año 2016 y se modifica el concepto –para restringirlo a su naturaleza correcta- en Chile. ¿Y esto porqué?.
En nuestro país existen “datos personales” o nominativos que le pertenecen a sus titulares y que son “tratados” manual o automatizadamente, tanto por órganos públicos como por empresas o personas particulares, a quienes la ley califica como “responsables del registro o banco de datos”, o “responsable de datos o responsable” desde el año 2024; en concreto, toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.
La regla general formalmente declarada por el texto legal (vigente a esta fecha) es que dicho “tratamiento de datos personales” solo puede hacerse en virtud de autorización legal o del consentimiento del titular de los datos. La gran excepción o la verdadera regla general, para que el tratamiento se posibilite sin consentimiento previo, se fundamenta en un concepto hoy vigente de fuentes públicas, a saber, “las que no sean de acceso secreto o reservado”. Como estas últimas son específicas, como sólo leyes particulares determinan –por ejemplo- un secreto bancario, tributario, estadístico o de salud, no se requiere de autorización ni de causal de legitimación para el tratamiento o procesamiento de un enorme caudal de datos, que no serán –en derecho o en la norma- secretos o reservados.
La real regla general vigente entonces es propia de una “ley lírica” (sólo declara cosas y se desvirtúa ella misma) y, en base a este concepto de fuentes públicas, se traduce realmente en una habilitación legal para las actividades de realizar tratamientos -como cesiones y compra ventas de bases de datos-, sin el consentimiento de los deudores o de los titulares de los datos.
Determinar esta calidad de “fuentes públicas” no ha sido fácil conforme a la legislación chilena de PDP de antes del 2024. La definición no es clara y es diversa a las de la legislación extranjera, donde son tales y de manera muy restringida aquellas que obviamente y por su naturaleza posean tal calidad, como los diarios oficiales, los Registros de Comercio, el Conservador de Bienes Raíces, los medios de prensa y las páginas de Internet.
Por cierto, el tema de las páginas de Internet tampoco es pasivo; por un lado, están los que afirman que si un antecedente nominativo está disponible on line implica la existencia de un consentimiento tácito para su tratamiento; por el otro, quienes afirman que la decisión de publicar el antecedente nominativo, para un fin concreto, no exime de que sea requerida cuando se use para otros fines diversos.
¿Qué dice en concreto la legislación extranjera sobre el tema?. Lo mismo que se aprobó en la nueva ley para Chile que regirá desde el año 2026.
El real sentido de la categoría debe ser y siempre considera contextos de manifiesta y lógica publicidad. La ley española anterior al RGPD, por ejemplo, regulaba las fuentes accesibles al público solamente con el objeto de establecer que de esta clase de registros o bancos de datos pueden obtenerse datos patrimoniales positivos, dejando fuera de su alcance a los demás datos, especialmente a los sensibles. En tal ley y las normas complementarias dictadas por la Agencia de protección de Datos se entendía por “datos accesibles al público” aquellos que se encontraban a su disposición en forma general y no impedidos por cualquier norma limitativa (por ejemplo, datos de censos, anuarios, repertorios de jurisprudencia, archivos de prensa, guías telefónicas, etc.).
El que durante el debate parlamentario en Chile que originó la Ley N° 21.719, de manera radical, se quisiera suprimir la categoría de fuentes públicas que proponía la modificación a la ley de protección de datos, habría sido un cambio drástico, cultural, económica y jurídicamente muy relevante y conflictivo.
La nueva letra i) del artículo 2° define como fuentes de acceso público a todas aquellas bases de datos o conjuntos de datos personales, cuyo acceso o consulta pueda ser efectuada en forma lícita por cualquier persona, “tales como” (es ejemplar y numerus apertus) el Diario Oficial, medios de comunicación o los registros públicos que disponga la ley. Se agrega o precisa que el tratamiento de datos personales provenientes de fuentes de acceso público se someterá a las disposiciones de la ley.
El nuevo estándar, en definitiva, será que bajo apercibimiento de fuertes multas (hasta 20.000 UTM) sólo se podrán ceder comercialmente bases de datos con consentimiento previo o porque lo permite la ley, es decir, que se demuestre tener el consentimiento para su tratamiento de parte los miles de titulares indexados en una base de datos o que, al extremo, que se justifique por los tratadores alguna hipótesis de interés legítimo (no comercial) como base de licitud para comercializar bases de datos sin consentimiento.
