Tratamiento de Datos Personales
En el marco de las Leyes N°19.628 y 21.719.
Primero
Toda organización, empresa o servicio público debe proteger sus activos de información, asegurando su integridad, disponibilidad y confidencialidad . Esta obligación es relevante tratándose de los datos personales o nominativos –que identifican o hacen identificable a una persona natural– de clientes, consumidores o ciudadanos en general, y en especial de los deudores a los cuáles –por encargo de los acreedores que nos mandatan para la cobranza– apoyamos en el pago de sus deudas pendientes.
Segundo
TechLex entiende y asume, proactivamente, que en su calidad de encargado, mandatario o controlador de los datos personales (en adelante DP) que recibe, sin que le sean cedidos en propiedad, el tratamiento que realiza debe ajustarse al marco jurídico de la Ley N°19.628 referida a la Protección de Datos Personales (en adelante PDP). Y que la información nominativa referida a las cobranzas judiciales o extrajudiciales, que no es sólo la contenida en la factura o en el título de deuda que entrega el acreedor mandante, son -por regla general- DP no calificables de disponibles en fuentes públicas, salvo cuando consten en carpetas o sistemas de procesos judiciales.
Tercero
Principios relevantes. TechLex considera de especial relevancia, primero, el principio “de licitud y lealtad”, en cuya virtud los datos personales solo pueden tratarse de manera lícita y leal, debiendo ser capaz de acreditar la licitud del tratamiento de datos personales que realiza. Del mismo modo, en cumplimiento del principio “de finalidad”, sólo los tratará con fines específicos, explícitos y lícitos y limitándose al cumplimiento de los mismos.
Cuarto
La información personal del deudor que sea gestionada, sobre todo cuando dichos datos se entregan o comunican a terceros como las empresas de gestión de cobro (o también a los burós de insolvencia patrimonial -mora y protestos-), será un tratamiento de DP regido por la ley.
La entrega que se realiza a TechLex de la base de datos de clientes en situación de mora para que asuma los servicios de cobranza (jurídicamente no es cedida en propiedad y no es el objeto del contrato), es per se un tratamiento de DP. También se considera tratamiento si las empresas de cobranza gestionan desde un sistema discador para hacer llamados o usan los datos.
TechLex siempre recibirá de parte de los clientes la base de datos de sus deudores en situación de mora, en calidad de mero tenedor y con el único fin de asumir las gestiones de cobranza contratadas. Este tratamiento/cesión de datos personales no implica una cesión en propiedad de los antecedentes sino sólo la disponibilización para cumplir el encargo, y al gestionarlos internamente, tanto para usarlos en su sistema discador como para confeccionar las demandas, TechLex resguardará la confidencialidad, la integridad y la disponibilidad de la información.
Quinto
Roles en materia de DP: (i) responsables del tratamiento , (ii) titulares o deudores y (iii) mandatarios o “encargados” –del tratamiento de DP y sólo para la cobranza-. Sólo un artículo de la ley N°19.628 vigente admite la existencia de mandatarios , que serán las empresas de cobranza.
En la ley vigente no se define lo que es un encargado, y en el texto que la reemplaza aprobado por la Ley N° 21.719 para modificarla se le conceptualiza como tercero mandatario, para aludir a la persona natural o jurídica que trate datos personales, por cuenta del responsable de datos . TechLex funcionará como empresa intermediaria entre el acreedor y el deudor, sin tener titularidad de la deuda e intercede en representación del acreedor para poder cobrar al deudor. Se define al tercero mandatario o encargado como la persona natural o jurídica que trate datos personales, por cuenta del responsable de datos. Primero, se establece expresamente que en caso de pérdida o de uso ilegal de los DP las empresas de cobranza responden en conjunto con los responsables ; y se les regula expresamente.
Sexto
Sujetos pasivos de eventuales solicitudes. TechLex entiende, valora y asume el que un titular (deudor) cuyos datos se pierden o usan de mala forma puede acudir directamente ante el encargado de tratamiento. El deudor afectado siempre tiene el derecho de saber cuándo y a quién se transfieren sus datos personales con motivo de una deuda y para el cobro de la misma.
Un deudor puede alegar que por error se le está reclamando una deuda que no es suya, y podrá presentar un derecho de acceso/supresión ante su acreedor o ante la empresa de cobranza, y posteriormente incluso ante la futura Agencia de Protección de Datos si estima conculcados sus derechos. La rectificación de los datos personales debe solicitarse a esta fecha mediante escrito dirigido al responsable del tratamiento de la entidad de que se trate , o también ante el encargado si ya se ha encomendado la cobranza y ella está en curso, para lo cual TechLex se manifiesta disponible en la forma que más abajo se indica.
Hoy sólo puede solicitarlo judicialmente , si previamente el responsable no accede a la entrega de los fundamentos para el cobro o a la supresión.
Séptimo
Finalidades del tratamiento. TechLex, tercero mandatario o encargado realizará siempre el tratamiento de datos personales conforme al encargo y a las instrucciones que le imparte el responsable y acreedor de los deudores, quedando prohibido su tratamiento para un objeto distinto del convenido con el responsable, así como su cesión o entrega en los casos en que el responsable no lo haya autorizado de manera expresa y específicamente para cumplir con el objeto del encargo. Frente al evento improbable de que se traten los datos con un objeto distinto del encargo convenido o se cedan o entregan a terceros sin haber sido autorizado por el acreedor y mandante, TechLex se constituye en un responsable de tratamiento de datos de acuerdo a la ley. Cumplida la prestación del servicio de cobranza y por ende el tratamiento que ello implica, los datos que obren en poder de TechLex serán suprimidos o anonimizados para fines estadísticos.Octavo
Causales contractuales y legales de legitimación del tratamiento o bases de licitud para TechLex. En Chile son sólo dos: el consentimiento del titular o la ley. En el primer caso, el titular accede a que sus datos sean tratados; en el segundo, el legislador ha determinado que los datos pueden ser tratados con independencia de la voluntad del titular. Un acreedor impago acciona en contra de sus deudores comercialmente, y ello conlleva el tratamiento de sus datos personales; si lo hace mediante empresas de cobranzas es un derecho que le asiste respecto a quienes se obligan contractualmente con él.
En cuanto a causales de legitimación legales y específicas, la ley 19.496 menciona los datos personales en su artículo 37, en materia de cobranza de créditos que se otorgan directamente al consumidor, cuando dispone que se indicará si el proveedor la realizará directamente o por medio de terceros y, en este último caso, se identificarán los encargados, los horarios en que se efectuará y la eventual información sobre ella (mora e insolvencia) que podrá proporcionarse (comunicarse) a terceros de conformidad al Título III de la ley Nº19.628, sobre protección de datos de carácter personal.
Además de lo anterior, en conformidad al artículo 8° de la Ley N° 19.628 no será necesario el consentimiento del titular de los datos para que TechLex (el mandatario que sólo actúa por encargo del acreedor) pueda acceder a los datos personales de los titulares y/o deudores.
Cuando el acreedor con el que un deudor mantiene una deuda pendiente de pago, entrega información nominativa a TechLex, esa comunicación de datos personales se valida y legitima (base de licitud) por el contrato de prestación de servicios firmado entre ambas partes. Así, la base legitimadora para el tratamiento de datos personales por parte de TechLex será, además de las normas legales citadas, el contrato de prestación de servicios de encargo de tratamiento firmado con las empresas acreedoras.
Noveno
Principales deberes para el tratamiento y la protección de datos personales por TechLex.
1. Deber de finalidad de tratamiento exclusivo, declarado al recopilarse o tenido en vista al celebrarse el contrato de cobranza.
2. Deber de confidencialidad o secreto de los datos contenidos y almacenados en sus sistemas. Por lo anterior, dichos datos no pueden ser revelados a terceros. Esta obligación (7°/19.628) complementa la obligación y la exigencia de que la empresa de cobranza deberá resguardar que la información dispuesta sólo sea de conocimiento del deudor, evitando cualquier acción que haga pública esta información.
3. Deber de diligencia y seguridad. La Ley vigente (artículo 11) y su modificación en curso, hacen necesario considerar que, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, el mandatario deberá aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado.
4. Una de las obligaciones más importantes, junto al encargado y a elección del titular, es permitir proactivamente a los deudores el ejercicio del derecho de acceso del artículo 12 de la Ley N°19.628 y sus derivados. Por lo anterior, TechLex asume el compromiso de siempre y proactivamente facilitar el ejercicio de los Derechos ARCOP.
