SciELO - Scientific Electronic Library Online

 
vol.9 número1El delito de fraude informático: concepto y delimitaciónValoración algorítmica ante los derechos humanos y el Reglamento General de Protección de Datos: el caso SyRI índice de autoresíndice de materiabúsqueda de artículos
Home Pagelista alfabética de revistas  

Servicios Personalizados

Revista

Articulo

Indicadores

Links relacionados

  • En proceso de indezaciónCitado por Google
  • No hay articulos similaresSimilares en SciELO
  • En proceso de indezaciónSimilares en Google

Compartir


Revista chilena de derecho y tecnología

versión On-line ISSN 0719-2584

Rev. chil. derecho tecnol. vol.9 no.1 Santiago jun. 2020

http://dx.doi.org/10.5354/0719-2584.2020.55021 

Informes

¿Abriendo la caja de Pandora? El interés legítimo en la reforma a la Ley 19.628, sobre protección de la vida privada

Is Pandora’s box opening? Legitimate interest in the amendment of Law 19,628, On the Protection of Privacy

Pablo Contreras Vásquez1 
http://orcid.org/0000-0002-1131-182X

Pablo Trigo Kramcsák2 
http://orcid.org/0000-0003-2385-4722

1Universidad Autónoma de Chile. Chile

2Abogado independiente. Chile

Resumen:

El texto examina la inclusión del interés legítimo en la reforma a la legislación sobre protección de datos personales en Chile. Primero, describe los elementos básicos del interés legítimo como base de licitud para el tratamiento de datos personales. Luego, revisa cómo el proyecto de ley que reforma la Ley 19.628, Sobre Protección de la Vida Privada, busca incluir el interés legítimo. A partir de ello, se analizan cuatros factores relevantes que deben ser atendidos en la reforma de la ley, con el objeto de converger con los estándares internacionales en materia de interés legítimo. El texto concluye con recomendaciones para la regulación del interés legítimo en la tramitación legislativa de la reforma a la Ley 19.628.

Palabras clave: Interés legítimo; principio de licitud; datos personales; Chile

Abstract:

The paper examines the inclusion of legitimate interest in the reform of personal data protection legislation in Chile. First, it describes the basic elements of legitimate interest as a basis for lawful processing of personal data. Next, it reviews how the bill amending Law 19,628, On the Protection of Privacy, seeks to include legitimate interest. Based on this, four relevant factors that must be considered in the reform of the law are analyzed to converge with international standards in matters of legitimate interest. The text concludes with recommendations for the regulation of legitimate interest in the legislative reform to Law 19,628.

Keywords: Legitimate interest; lawfulness of processing; personal data; Chile

Introducción

Uno de los pilares fundamentales del derecho a la protección de los datos personales es el principio de licitud, en virtud del cual el tratamiento de cualquier dato concerniente a una persona natural requiere el consentimiento del titular de dicha información u otra de las fuentes de licitud contempladas en la ley. Diferentes tradiciones legales y esquemas regulatorios del derecho a la privacidad o el derecho a la protección de los datos de carácter personal, según sea el caso, han asignado al consentimiento un rol habilitante preminente, lo que queda reflejado en la doctrina constitucional desarrollada en torno al derecho a la autodeterminación informativa ( Ferretti, 2014 : 13). En este sentido, se ha entendido que el criterio del consentimiento asegura a los individuos un control efectivo sobre sus datos personales, lo que les permite limitar el uso y circulación de dicha información. Esta idea se sustenta en la premisa de que los individuos adoptan decisiones conscientes, racionales y autónomas en lo que respecta al tratamiento de sus datos personales ( Schermer, Custers y van der Hof ,2014 : 171).

Hoy, dicho rol preferente del consentimiento ha sido cuestionado, por cuanto no constituiría necesariamente evidencia de una real protección de los datos personales. Este problema podría ser denominado como el «paradigma del control del usuario» (Balboni y otros, 2013: 244), en el que la autorización del titular viene a sustentar operaciones de procesamiento de datos que carecen de niveles adecuados de protección. Los riegos aparejados a este dilema se han ido acentuando con el creciente desarrollo y penetración de los entornos digitales, caracterizados por una asimétrica distribución del control sobre la información. En la actualidad, los usuarios se ven expuestos a patrones transaccionales en los que no existe una efectiva negociación respecto del uso de sus datos personales, producto de la concentración del mercado y los bloqueos sociales y tecnológicos relacionados ( Mantelero, 2014 : 645).

En los últimos años, las legislaciones sobre privacidad han avanzado de manera decidida hacia modelos sistémicos de protección de datos personales, construidos sobre la base de un conjunto de derechos, obligaciones y requisitos para el tratamiento de datos, y en los que los deberes de información y el principio de rendición de cuentas (accountability) vienen cobrando un rol cada vez más preponderante. Esta aproximación integral vendría, de algún modo, a reconocer que el consentimiento del titular no constituye en sí mismo una medida de protección. Así, estos nuevos esquemas, más comprehensivos y robustos, han admitido que la legitimidad del tratamiento de datos personales también puede descansar en otros criterios o bases habilitantes, como la necesidad de ejecutar un contrato en que el titular de datos es parte o la existencia de intereses legítimos de terceros. 1

Elementos configurativos y características relevantes del interés legítimo

El interés legítimo, como hipótesis de licitud para el tratamiento de datos personales, está directamente vinculado al principio de finalidad o propósito, esto es, la razón u objetivo concreto que justifica la recopilación, almacenamiento y posterior procesamiento de uno o más datos específicos. Con todo, existe un matiz relevante, por cuanto este interés se identifica más precisamente con la utilidad concreta que el tratamiento de cierta información de carácter personal reporta al responsable del tratamiento, a otro tercero o, incluso, a la sociedad. 2

No obstante constituir un concepto jurídico ambiguo ( Ferretti, 2014 : 23), las ideas centrales a partir de las cuales se concibe esta fuente de licitud pueden identificarse de la siguiente forma: la concurrencia de un interés tutelado por el derecho; que este interés pueda ser satisfecho mediante el procesamientos de ciertos datos personales; que estos tratamientos concretos reporten una utilidad legítima al responsable del tratamiento o a otro tercero; y que los referidos procesamientos no importen una afectación relevante en la esfera jurídica del titular de los datos ( Contreras Vásquez y Trigo Kramcsák ,2019 : 74).

Entendido como una construcción del derecho de protección de datos personales europeo, el interés legítimo, en su concepción inicial, era considerado una excepción a la regla preferente de habilitación para el procesamiento de datos, esto es, la aquiescencia de su titular ( Contreras Vásquez y Trigo Kramcsák ,2019 : 76). 3 El posterior desarrollo jurisprudencial y doctrinal de esta base de licitud la fueron dotando de un estatuto propio y distintivo, por lo que resulta hoy indudable que el interés legítimo constituye una base habilitante independiente, con un estatuto jurídico de derechos y obligaciones diferenciado, que busca darle cierta flexibilidad al sistema de protección de datos personales (Balboni y otros, 2013: 247).

A nivel comparado, el interés legítimo fue incorporado al catálogo de fuentes de licitud para el tratamiento de datos de carácter personal a partir de la adopción, en 1995, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de la Unión Europea, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Disponía la Directiva, en su artículo 7, letra f), que el tratamiento de datos puede efectuarse cuando sea necesaria para «la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado». De este modo, la Directiva daba cuenta de los elementos que, hasta hoy, configuran jurídicamente a esta fuente habilitante, los que se identifican con la denominada «prueba de tres pasos» (three-step test):

Determinar la existencia de un interés legítimo del responsable del tratamiento o de un tercero.

Efectuar una prueba de necesidad, con miras a determinar si el tratamiento resulta imprescindible para la satisfacción del referido interés.

Efectuar una prueba de ponderación, para establecer, de manera comparativa, la prevalencia del interés legítimo invocado respecto de los intereses o derechos y libertades del titular de los datos (Kamara y De Hert, 2018: 12 y ss.). 4

Como puede apreciarse, la aplicación del interés legítimo descansa en un sistema de balance entre distintos intereses y derechos en conflicto, centrado en dos elementos fundamentales: la necesidad del tratamiento y la prevalencia del interés legítimo, según las circunstancias particulares de cada caso concreto.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo de la Unión Europea, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), aprobado en abril de 2016, configura el interés legítimo, en el apartado 1, letra f) de su artículo 6 en términos similares a la Directiva, esto es, sobre la base de la prueba de tres pasos. Además, el Reglamento contempla, en sus considerandos 47.º y siguientes, a título ejemplar, situaciones en las que podría concurrir el interés legítimo del responsable del tratamiento, como el «tratamiento de datos de carácter personal estrictamente necesario para la prevención del fraude», o aquel «realizado con fines de mercadotecnia directa», o «transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados». 5

En vista a la inherente flexibilidad de esta hipótesis, la que radica en su formulación a partir de los conceptos indeterminados ( Guasch Portas y Soler Fuensanta ,2015 : 438), se entiende que esta base de licitud es la única que de manera explícita requiere de interpretación. Si bien los cuerpos normativos sobre protección de los datos personales no cumplen con entregar directrices claras acerca de cómo entender el interés legítimo (Balboni y otros, 2013: 247), 6 las instancias jurisdiccionales y administrativas han asumido la labor de llenar el contenido de los conceptos abstractos que componen esa base habilitante. Cabe señalar que el Tribunal de Justicia de la Unión Europea no tuvo muchas ocasiones para interpretar los fundamentos del artículo 7, letra f) de la Directiva, y en las pocas ocasiones en que existió la oportunidad de hacerlo, dicha posibilidad no fue totalmente explotada (Kamara y De Hert, 2018: 21). De mayor relevancia ha sido la labor exegética lleva a cabo por el Grupo de Trabajo del Artículo 29, 7 mediante el Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. El Dictamen aborda y desarrolla en detalle los elementos que componen la prueba de tres pasos, al establecer, por ejemplo, un conjunto de reglas o criterios claves que debiesen tenerse presente al efectuar la prueba de ponderación, lo que permite sopesar intereses contrapuestos e identificar aquel que es prevalente. 8

El interés legítimo en la reforma a la Ley 19.628

La moción y el mensaje de la reforma

En la Ley 19.628, sobre Protección de la Vida Privada, la licitud del tratamiento de datos personales descansa sobre un esquema basado exclusivamente en el consentimiento del titular y la autorización legal, sin contemplar la posibilidad de que los procesamientos se fundamenten en los intereses legítimos del responsable del tratamiento o de un tercero.

La reforma a la Ley que se encuentra en tramitación en el Congreso Nacional da cuenta de un cambio sustancial en esta materia, al ampliar el catálogo de fuentes de licitud para el tratamiento de datos personales, incorporando específicamente la satisfacción de intereses legítimos de terceros distintos del titular del dato personal.

Durante la tramitación de esta reforma, el interés legítimo ha sufrido importantes cambios. En este apartado se describen las principales características de la propuesta de regulación del interés legítimo para nuestro país.

Hay que partir anotando que solo uno de los dos proyectos de ley originales contenía una referencia al interés legítimo. En efecto, en el Gobierno anterior se presentaron dos proyectos de ley para reformar la Ley 19.628, a saber: una moción, que corresponde al Boletín 11.092-07, y un mensaje, el Boletín 11.144-07. Hoy, ambos proyectos están refundidos y se encuentran en discusión en particular, en el primer trámite legislativo, ante la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado. 9

La moción parlamentaria incluía la siguiente regla respecto de la licitud del tratamiento de datos personales:

Artículo 4. Licitud del tratamiento. El tratamiento de los datos personales sólo puede efectuarse con sujeción a las normas de la presente ley.

El tratamiento sólo será lícito si se cumple, al menos, una de las siguientes condiciones: […] f) el tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que los datos hubiesen sido obtenidos de una fuente de acceso público, y sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales de los titulares de los datos que requieran la protección de datos personales, en particular cuando los titulares sean niños.

Esta formulación, si bien seguía los elementos claves que configuran a la institución del interés legítimo en la normativa europea —contenidos tanto en la Directiva como en el Reglamento—, incorporaba un requisito adicional: que los datos figuren en fuentes accesibles al público. Así, esta propuesta seguía un modelo de interés legítimo similar al contenido en la normativa española, concretamente en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en el Real Decreto 1720/2007. 10 A su vez, la moción proponía crear una obligación de efectuar evaluaciones de impacto en materia de tratamiento de datos personales (artículo 33 del proyecto), que, dentro de sus exigencias, establecía la carga del responsable de describir y fundar el interés legítimo que invoque como título habilitante para el tratamiento, si fuere el caso.

En la vereda opuesta, el mensaje del Ejecutivo seguía una línea más tradicional y no se refería al interés legítimo.

Al debatirse en general el proyecto de ley, las referencias relativas al interés legítimo fueron escasas y promovidas principalmente por la industria. La representante de Google, por ejemplo, criticó que la «única base legal del tratamiento» fuese el consentimiento y «que no se incluya de manera expresa y clara a los intereses legítimos». 11 Según su criterio, las «nuevas realidades» del big data o del internet de las cosas requerirían que las legislaciones se ajusten y, en virtud de ello, sostuvo que «los intereses legítimos constituyen una base legal tan imprescindible como el consentimiento». 12 Su inclusión en el proyecto haría que Chile, a su juicio, fuese «pionero en América Latina y podría sentar un precedente de innovación en la región». 13 Si bien sugirió que se incorporase una lista ejemplar de supuestos de intereses legítimos —basados en los considerandos 47.º, 48.º y 49.º del Reglamento—, no justificó mayormente el fundamento de su inclusión.

Una línea idéntica planteó el representante de la Asociación Latinoamericana de Internet, que reúne a empresas como Amazon, Google y Facebook, entre otras. 14 Por ejemplo, repitió las tres ideas expuestas por su par de Google: equiparar consentimiento con interés legítimo como fuentes igualmente válidas para el tratamiento; que su inclusión legislativa haría que Chile fuese «pionero» en la región; y que los considerandos del RGPD pueden servir para un catálogo no exhaustivo de hipótesis de interés legítimo. 15

Por otro lado, el representante de Equifax planteó que «establecer un mecanismo que por la vía administrativa dirima las controversias [relativas al interés legítimo del responsable y los intereses, derechos y libertades fundamentales de los titulares de datos] le restará efectividad a la ley». 16 Lo que no se explicita, bajo tal opinión, es la consecuencia de restarle competencia a la autoridad de protección de datos personales de conocer los conflictos en casos de licitud o ilicitud del tratamiento fundado en el interés legítimo, lo que aumenta los costos de transacción de los titulares de datos, que tendrían que recurrir a la justicia en casos en que el responsable esgrima ilegalmente un interés legítimo como base de legitimidad para el tratamiento de datos.

La fusión de los proyectos de reforma

En marzo de 2017, la Sala del Senado acordó refundir ambos proyectos de ley. Una vez que el Presidente de la República presentó su indicación, un grupo de asesores de los senadores y del Ejecutivo discutieron en extenso los artículos de ambas iniciativas para llegar a un texto único que fue votado por la Comisión. De las discusiones de este grupo no existen registros o actas que puedan ser públicamente consultadas, lo que conspira contra la transparencia del proceso legislativo. 17

Al momento de la votación en general, se incluyó el interés legítimo por unanimidad en diversas disposiciones. En primer lugar, se recogió el artículo 4 de la moción parlamentaria, que estableció como base de licitud del tratamiento de datos personales los intereses legítimos perseguidos por el responsable. Además, se estableció un nuevo artículo 13, que explicitaba fuentes de licitud distintas al consentimiento del titular, que incluía el interés legítimo; un nuevo artículo 15, que permitía la cesión de datos fundado en tal interés; una regla más exigente cuando sean tratamientos de datos sensibles sobre la base del interés legítimo (artículo 16); y la obligación de explicitar el interés legítimo del responsable en la evaluación de impacto referida al tratamiento de datos personales (artículo 33).

El texto del artículo 13, letra e), que fue aprobado en general por el Senado, difería de manera sustancial de aquel propuesto en un principio en el proyecto Boletín 11.092-07, por cuanto no hacía alusión alguna a la prueba de balance o ponderación entre intereses y derechos, el que en la norma europea se configura mediante el empleo del término prevalencia. Por el contrario, la disposición aprobada en general por el Senado establecía que era lícito el tratamiento de datos personal, sin el consentimiento del titular: «e) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o un tercero, siempre que con ello no se afecten los derechos y libertades del titular».

De esta forma, podía sostenerse que la literalidad del texto aprobado en general excluía la necesidad de efectuar una prueba de ponderación entre eventuales intereses en conflicto, dado que la propia ley resolvería esta colisión: en caso que el tratamiento de datos personales que se pretende hacer sobre la base de la existencia de un interés legítimo afecte de los derechos y libertades del titular, no será posible invocar dicha base de licitud. Esta afectación puede verificarse, técnicamente, a partir de algún perjuicio que se derive de las operaciones de tratamiento de datos y que incidan en desmedro de la posición inicial del titular de los datos, esto es, cualquier agravio a los derechos e intereses de dicha persona, que bien podría ser traducido como la privación, perturbación o amenaza a sus intereses o al legítimo ejercicio de sus derechos ( Contreras Vásquez y Trigo Kramcsák ,2019 : 103). Por consiguiente, bastaría constatar la mera afectación de estos derechos e intereses en un caso concreto, sin importar su extensión o intensidad, para hacer improcedente esta fuente de licitud.

En esta materia, destacan las indicaciones formuladas por el Ejecutivo en julio de 2018, ya que planteaban reconfigurar significativamente el alcance del interés legítimo del proyecto de ley, al enmendar el nuevo artículo 13, letra e). En primer término, se propuso reformular la definición de esta fuente de licitud, de forma tal que sería licito el tratamiento de datos necesarios para la satisfacción de intereses legítimos del responsable o de un tercero

siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del titular, en particular cuando el titular sea un niño o niña. Se entenderá que existe interés legítimo en las actividades de prevención de fraude, seguridad de redes informáticas, en el tratamiento de datos realizado exclusivamente con fines históricos, estadísticos, científicos y de estudios o investigaciones, en el reporte de actividades criminales a las autoridades competentes, y en el marketing directo. Para actividades de marketing directo que impliquen envío de comunicaciones publicitarias deberá otorgarse al titular, de manera clara, una opción expedita para dejar de recibir tales comunicaciones.

Se trata de una definición que sigue el modelo del Reglamento (la fórmula «prevalecer», junto con un listado a titular ejemplar de procesamientos en que existe o podría existir un interés legítimo, contemplado en sus considerandos 47.º y 49.º), pero que plantea dudas respecto de si las actividades de tratamiento que menciona constituyen un catálogo abierto o cerrado. En este sentido, se puede sostener que esta definición buscaba darle cierto contenido al interés legítimo, con el objeto de revestirlo con mayores niveles de certeza.

Además, el Ejecutivo propuso fortalecer el derecho de acceso a los propios datos personales, contemplado en el artículo 5 del proyecto, al incorporar la obligación del responsable de informar sobre los intereses legítimos que invoque para justificar el procesamiento de datos. No obstante, no ha hecho lo mismo con el derecho de oposición, establecido en el artículo 8 del proyecto, al no regular de manera expresa la oposición del titular en caso de que se efectúen tratamientos de datos personales fundados en el interés legítimo. 18 En esto, el proyecto se aleja de la regulación del Reglamento, que precisa esta cuestión para evitar dudas sobre el alcance de los derechos de los titulares (artículo 21.1).

Por último, el texto del artículo 13, letra e), aprobado en particular por la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado en octubre de 2019, volvió a la fórmula que fue aprobada en general por el Senado, al expresar:

Artículo 13: Otras fuentes de licitud del tratamiento de datos. […] e) Cuando el tratamiento sea necesario para la satisfacción de intereses legítimos del responsable o de un tercero, siempre que con ello no se afecten los derechos y libertades del titular. En todo caso, el titular podrá exigir siempre ser informado sobre el tratamiento que lo afecta y cuál es el interés legítimo en base al cual se efectúa dicho tratamiento.

Análisis de la inclusión del interés legítimo en la reforma a la Ley 19.628

Concepto de interés legítimo

A continuación, analizamos en detalle la redacción del artículo 13, letra e) del proyecto, que fue aprobado en particular por la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado, desglosando cada una de sus partes para establecer los elementos que conforman esta figura.

En primer lugar, y en consonancia con la normativa europea, se exigiría la existencia de un interés reconocido por el derecho 19 del responsable del tratamiento o de un tercero, el que se identifica con el «beneficio que el responsable del tratamiento obtenga —o que la sociedad pueda obtener— del tratamiento» (Dictamen 06/2014, p. 29). El responsable que esgrime un interés legítimo debiese estar siempre en condiciones de establecer y demostrar los supuestos a partir de los cuales surge o se funda dicho interés ( Contreras Vásquez y Trigo Kramcsák ,2019 : 102).

Luego, y también en línea con el three-step test, este interés legítimo debe ser sometido a una prueba de necesidad, con miras a determinar si las operaciones de procesamiento de datos específicas que se pretende llevar a cabo resultan, más que idóneas, imprescindibles para la satisfacción del referido interés; por consiguiente, si dicho interés puede ser razonablemente satisfecho de otra manera menos intrusiva, esta base habilitante no podría ser invocada ( Contreras Vásquez y Trigo Kramcsák ,2019 : 78).

Por último, el texto propuesto tiene una diferencia sustantiva con la norma europea, ya que prescindiría de la prueba de balance o ponderación de derechos e intereses. Aquí se debe tener presente, como señalamos en acápites anteriores, que el término afectar, a diferencia del verbo prevalecer, no requeriría de una prueba de balance o ponderación entre los derechos y libertades del titular de datos, por una parte, y los intereses del responsable del tratamiento o de un tercero, por la otra. En este sentido, el texto aprobado en particular resulta más restrictivo, por cuanto su tenor literal implicaría la exigencia de que el procesamiento de datos personales no ocasione daño alguno a su titular, lo que debiese ser determinado a través de una mera prueba de afectación. Dicha circunstancia obstaría a esta hipótesis de licitud a alcanzar los niveles de flexibilidad que caracterizan al interés legítimo en el derecho europeo.

Sólo a través de una labor de interpretación podría llegar a establecerse que la «afectación» a la que se refiere el artículo 13, letra e) debe poseer cierta cualidad o entidad como para comprometer en algún grado significativo la posición del titular de los datos personales que se pretenden tratar, y para cuya determinación será necesario recurrir a la prueba de ponderación. Así, tocaría a los tribunales de justicia y a la autoridad administrativa garante del derecho a la protección de datos ilustrar los criterios bajo los cuales se configuraría una eventual afectación de los derechos y libertades del titular de datos. 20

Alcances del interés legítimo

La regla aprobada en particular por la Comisión retoma la formulación más simple del interés legítimo, sin especificar su contenido. En consecuencia, ha rechazado incluir una definición o catalogación de hipótesis —taxativas o enunciativas— que pudieren conformar el interés legítimo.

El detalle regulatorio contempla menciones relevantes del interés legítimo, además de su inclusión en el catálogo de fuentes de licitud parta el tratamiento de datos personales. En primer término, hay una expresa mención respecto de la facultad de un responsable para ceder datos personales, sin consentimiento del titular, «cuando exista un interés legítimo del cedente o del cesionario, en los términos previstos en la letra e) del artículo 13, y cuando lo disponga la ley» (artículo 15 del proyecto de ley). Esta regla se encuentra en conformidad con el considerando 47.º del Reglamento, que amplía la habilitación para reclamar el interés legítimo como base de licitud a terceras partes distintas del responsable del tratamiento, al reconocer la posibilidad de invocar como base de licitud el interés legítimo de un tercero responsable al que se puedan comunicar datos personales.

En segundo término, en materia de datos sensibles, el proyecto contempla una regla general que autoriza el tratamiento sólo con el consentimiento expreso del titular, pero admitiendo algunas hipótesis específicas de autorización legal. En consecuencia, de manera excepcional, el artículo 16 del proyecto autoriza un tratamiento en nombre de un interés legítimo, cuyos requisitos y condiciones están establecidas especialmente:

Es lícito el tratamiento de datos personales sensibles, sin el consentimiento del titular, en los siguientes casos: […]

b) Cuando el tratamiento se basa en un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan las siguientes condiciones:

i. Su finalidad sea política, filosófica, religiosa, cultural, sindical o gremial;

ii. El tratamiento que realice se refiera exclusivamente a sus miembros o afiliados;

iii. El tratamiento de datos tenga por objeto cumplir las finalidades específicas de la institución;

iv. La persona jurídica otorgue las garantías necesarias para evitar filtraciones, sustracciones o un uso o tratamiento no autorizado de los datos, y

v. Los datos personales no se comuniquen o cedan a terceros.

Cumpliéndose estas condiciones, la persona jurídica no requerirá el consentimiento del titular para tratar sus datos, incluidos los datos personales sensibles. En caso de duda o controversia administrativa o judicial, el responsable de datos deberá acreditar su concurrencia.

Cuando un integrante de la persona jurídica deje de pertenecer a ella, sus datos deberán ser anonimizados o cancelados.

Así, el proyecto de ley autoriza, sobre la base de un interés legítimo, el tratamiento de datos sensibles por un determinado grupo de responsables: personas jurídicas de derecho público o derecho privado, sin fines de lucro, con el objeto de tratar datos con finalidades políticas, filosóficas, religiosas, culturales, sindicales o gremiales. Respecto de personas jurídicas de derecho público, la regla está pensada para brindar licitud al tratamiento de datos que efectúan las iglesias y los partidos políticos, pero no queda claro si excluye a organismos públicos que forman parte del Estado, como sí lo hace el Reglamento (artículo 6.1) ( Fernández-Samaniego y Fernández-Longoria ,2019 : 185). Respecto de las personas jurídicas de derecho privado, la finalidad es amplia (filosófica, cultural, sindical o gremial) y esta autorización podría tener problemas de aplicación, al facilitar a múltiples instituciones el sustraerse del régimen tutelar de los datos sensibles, en función de un interés legítimo tasado específicamente por la ley.

En tercer lugar, el texto propuesto reconoce, en el artículo 16 sexies, la existencia de un interés legítimo

en el tratamiento de datos personales que realicen las personas naturales o jurídicas, públicas o privadas, incluidos los organismos públicos, cuando el tratamiento se realiza exclusivamente con fines históricos, estadísticos, científicos y para estudios o investigaciones que atiendan fines de interés público.

Si bien la normativa europea no dispone en forma explícita que esta clase de tratamientos pueden estar legitimados por un presunto interés legítimo, 21 el Dictamen 06/2014 del Grupo de Trabajo del Artículo 29 reconoce a los tratamientos con fines históricos, científicos, estadísticos, o de investigación (incluida la investigación de mercado) dentro de «los contextos más comunes en los que puede surgir la cuestión del interés legítimo» (p. 30).

En cuarto término, es necesario tener presente la regulación específica del tratamiento de datos de niños, niñas y adolescentes, con la consiguiente limitación del alcance del interés legítimo en estos casos. El proyecto propone una regla que podría ser resumida de la siguiente forma. Primero, se prohíbe el tratamiento de datos personales de niños. Esa prohibición sólo tiene por excepción dos hipótesis: i) el consentimiento de sus padres o representantes legales, o quien tiene a su cargo el cuidado personal del niño; y ii) autorización o mandato legal (artículo 16 quinquies, inciso segundo del proyecto). Esta regla prohíbe el tratamiento de datos de niños basado en el interés legítimo del responsable o un tercero. En segundo lugar, el proyecto permite el tratamiento de datos de los adolescentes, con las mismas reglas de autorización de los adultos, salvo cuando se trate de sus datos sensibles, caso en el cual, nuevamente, se requiere el consentimiento de padres, representantes o personas a cargo del cuidado personal o la autorización legal (artículo 16 quinquies, incisos tercero y cuarto del proyecto). En consecuencia, es posible tratar datos personales de adolescentes basado en el interés legítimo del responsable o un tercero, salvo cuando se trate de sus datos sensibles. Este marco normativo es más exigente que el establecido en el artículo 6.1.f) del Reglamento, que en principio permitiría el tratamiento de datos de menores de edad basado en el interés legítimo, y le daba especial consideración al interés protegido del menor. Por ejemplo, según el Information Commissioner’s Office del Reino Unido (ICO), se puede tratar estos datos sobre la base del interés legítimo, pero es necesario extremar el cuidado y diligencia en dicho tratamiento, con el objeto de que los intereses de los menores se encuentren protegidos. 22

Por último, estimamos que el alcance o contenido del interés legítimo que propone incorporar el proyecto de ley podría ser entendido en función de las especificaciones que ha dispuesto el Reglamento en sus considerandos, siempre y cuando se mejore el ecosistema normativo de derechos de los titulares de datos y las obligaciones de los responsables (que se trata en el siguiente apartado). En particular, el Reglamento especifica los siguientes alcances de este interés:

Para la prevención del fraude, pero en concordancia con el principio de minimización en el tratamiento de datos personales (considerando 47.º).

Para el marketing directo, pero con un reforzamiento del derecho de oposición y de cancelación por parte de los titulares de datos personales (considerando 47.º) ( Ortiz, 2019 : 743).

Para el tratamiento de datos al interior de un grupo de empresas, para materias administrativas, lo que incluiría el tratamiento de datos de clientes y de trabajadores (considerando 48.º).

Para el tratamiento de datos necesarios para garantizar la seguridad de las redes, lo que incluye los equipos de respuesta en materia de emergencias informáticas (considerando 49.º).

Derechos de los titulares de datos personales y obligaciones de los responsables en casos de tratamiento bajo interés legítimo

Una de las cuestiones más relevantes en la configuración del interés legítimo es la determinación de los derechos de los titulares de los datos personales y las obligaciones de los responsables de tratamiento de dichos datos. Esa configuración determina los pesos y contrapesos regulatorios respecto del tratamiento de datos sin autorización del titular, preservando las facultades del derecho a la autodeterminación informativa frente a quien trata los datos. Como han señalado algunos autores, se trata de «salvaguardas al tratamiento basado en interés legítimo» ( Fernández-Samaniego y Fernández-Longoria ,2019 : 175). Por lo tanto, no basta con reconocer el interés legítimo como base habilitante para el tratamiento, sino también regular el modelo de tutela de derechos que dicha base, en vista a sus particularidades, supone.

Para evaluar la suficiencia del proyecto de ley en esta materia, es conveniente contrastar el marco regulatorio del Reglamento. Dado que se trata de una innovación en el régimen jurídico chileno, el referente europeo brinda una vara de comparación elemental para evaluar los derechos de los titulares y las obligaciones de los responsables, cuando se tratan datos en nombre de un interés legítimo.

Desde el punto de vista de los derechos de los titulares de datos, el Reglamento estableció, sin ambigüedades, los derechos de acceso, información, oposición y cancelación ante tratamientos de datos personales sobre la base del interés legítimo. En efecto, en materia de acceso e información, el responsable debe facilitar la información referida a los intereses legítimos, de forma de asegurar un tratamiento de datos leal y transparente respecto del interesado (artículos 13.1.d y 14.2.b).

En materia de cancelación, el Reglamento dispone el derecho del titular a obtener «sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan» (artículo 17.1). La cancelación, en el caso de tratamientos fundados en el interés legítimo, procede cuando el titular se oponga al tratamiento «y no prevalezcan otros motivos legítimos para el tratamiento» (artículo 17.1.c). Por último, el Reglamento establece un derecho de limitación del tratamiento de datos, por parte del titular, cuando el interesado «se haya opuesto al tratamiento […], mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado» (artículo 18.1.d). 23 Esta regla invierte la carga probatoria a favor del titular de datos, puesto que es el responsable el que debe acreditar los «motivos» o razones legítimas, de carácter «imperioso», que pueden prevalecer frente a la oposición del interesado (en concordancia con el considerando 69.º) ( Contreras Vásquez y Trigo Kramcsák ,2019 : 88-89; Fernández-Samaniego y Fernández-Longoria ,2019 : 177).

Desde el punto de vista de las obligaciones del responsable, y en adición a los deberes que tiene como correlato del ejercicio de derechos de acceso, cancelación y oposición, el Reglamento prevé exigencias en materia de evaluación de impacto relativa a la protección de datos. Esta evaluación se debe efectuar cuando se empleen «nuevas tecnologías [que], por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas» (artículo 35). El texto obliga a que, como mínimo, la evaluación incluya «una descripción sistemática de las operaciones de tratamiento previstas y de los fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable del tratamiento» (artículo 35.7.a). La evaluación de impacto es una parte central para demostrar la prevalencia del interés legítimo del responsable respecto del titular y debiese considerar factores como el impacto del tratamiento mismo, la naturaleza de los datos en cuestión, la forma en que son tratados, las expectativas del titular y la relación entre responsable y titular ( Fernández-Samaniego y Fernández-Longoria ,2019 : 189).

Como contrapartida, el proyecto de ley, respecto del procesamiento de datos basados en un interés legítimo, se limita a abordarlo expresamente en lo que respecta al derecho de acceso (artículo 5, letra e), en que establece el derecho de los titulares de datos a solicitar y obtener del responsable información sobre sus intereses legítimos; y el deber de información y transparencia (artículo 14 ter, letra d), que obliga al responsable a mantener en forma permanente a disposición del público, en su sitio web o en cualquier otro medio de información equivalente, información sobre los tratamientos que se basan en la satisfacción de intereses legítimos.

Cómo se revisó en la sección anterior, el reconocimiento del interés legítimo como base habilitante para el tratamiento de datos personales no ha sido acompañado de la densidad regulatoria que el Reglamento exige. Esta omisión de salvaguardas podría poner en jaque la autodeterminación del titular de datos personales cuando su información personal sea tratada sin su autorización y sobre la base del interés legítimo.

Relación entre el interés legítimo y las fuentes accesibles al público

Un aspecto que no puede soslayarse al analizar el ámbito de aplicación y la configuración del interés legítimo es su rol dentro de un esquema comprehensivo de protección del derecho a la autodeterminación informativa, que contempla diversas hipótesis habilitantes para el tratamiento de datos. Al tener especialmente presente el hecho de que el interés legítimo es concebido como un factor de equilibrio, que tiende a garantizar un cierto grado de flexibilidad en el sistema de tutela de los datos personales, corresponde referirse a su extensión y relevancia de cara a otras fuentes de licitud que han sido del mismo modo diseñadas sobre la idea de incorporar un enfoque regulatorio balanceado. En particular, surge la necesidad de poner atención a los tratamientos de datos personales recolectados de fuentes accesibles al público.

Si bien la normativa vigente aborda el tratamiento de datos que provengan o se recolectan de fuentes accesibles al público como una excepción a la regla general habilitante contenida en el inciso primero del artículo 4 de la Ley 19.628, en virtud a la cual se requiere del consentimiento —o, más bien, la autorización— del titular de los datos, el proyecto de ley propone reconocer explícitamente, en el literal a) del artículo 13, al tratamiento de datos recolectados de una fuente de acceso público, per se, como una fuente de licitud independiente.

Al ser entendida esta clase de tratamientos como una hipótesis habilitante singular, resulta relevante determinar su interacción con el interés legítimo del responsable del tratamiento o de terceros. A pesar de incidir ambas instituciones en el balance del modelo de protección sopesando otros intereses (sean generales o individuales), el tratamiento de datos obtenidos de fuentes de acceso público se encuentra sujeto a un régimen más laxo, en el que no resultan aplicables los principios de finalidad y de confidencialidad, así como gran parte de los deberes que la normativa impone al responsable del tratamiento. Este mecanismo se concibe exclusivamente a partir de la definición de ciertas bases de datos que revisten la calidad de fuentes de acceso público, limitándose a establecer que la información que contienen puede ser utilizada libremente para cualquier tratamiento ( Alvarado, 2014 : 207). Como contrapartida, el estatuto aplicable al interés legítimo, en vista a su evolución en el derecho europeo (a nivel reglamentario e interpretativo), resulta más estricto, tanto en lo que respecta a la ponderación de sus elementos constitutivos y evaluación de sus requisitos, como a las obligaciones especiales que recaen sobre el responsable del tratamiento.

Cabe tener presente que el modelo de la Unión Europea de protección de datos personales (sea la Directiva o el Reglamento) no contempla dentro de su normativa una base de licitud o una regla de excepción basada en el concepto de fuente accesible al público. Con todo, se debe advertir que, en el marco de la Directiva, la Ley Orgánica 3/2018 de Protección de Datos Personales española 24 incluía entre los criterios habilitantes para el tratamiento de datos, en su artículo 6, apartado 2, aquellos casos en que los datos figuren en fuentes accesibles al público. 25 Además de contemplar un listado cerrado de esta clase de fuentes, establecía como condición adicional para invocar este criterio que el tratamiento fuera «necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado».

Es posible concluir que la Ley Orgánica 3/2018 confundía ambas fuentes de legitimidad, al configurar una hipótesis para el tratamiento de naturaleza híbrida, en que la existencia de un interés legítimo constituía un requisito indispensable para proceder, sin el consentimiento del titular, al tratamiento de los datos contenidos en fuentes accesibles al público. Esta formulación resulta ilustradora de una manera de comprender estas fuentes de licitud, en cuanto a que ambas cumplirían una función similar dentro del sistema de protección de datos personales y tienden a un mismo objetivo, esto es, incorporar ciertos niveles de flexibilidad al marco normativo, de modo de posibilitar tratamientos que prescinden del permiso del titular o de una habilitación legal específica, lo que evita una dependencia excesiva de otros fundamentos jurídicos más estrictos.

En vista de lo anterior, un marco normativo del derecho a la protección de datos personales que busque incorporar ambas hipótesis dentro de su catálogo de fuentes de licitud debiese contemplar en su diseño un enfoque complementario. Así, por ejemplo, una concepción restrictiva de las fuentes accesibles al público —a través de un listado taxativo de estas bases, fijada por ley— y sometida a los principios orientadores de la ley de protección de datos personales, podría justificar una concepción menos restrictiva del interés legítimo, en particular respecto de sus verbos rectores.

Con todo, creemos que debe evitarse la generación de un modelo enrevesado y la proliferación de elementos disonantes que afecten la efectividad de las bases de licitud, de cara a asegurar la debida protección de los derechos de los titulares de datos. En este sentido, se debe prestar atención al fundamento que justifica y amerita la incorporación al sistema jurídico de una nueva fuente habilitante, escrutando si los objetivos perseguidos no pueden ser alcanzados de mejor forma mediante otro criterio de licitud. Así, en caso de que concurran diversas bases habilitantes a satisfacer una misma finalidad, debiese priorizarse aquellas hipótesis que resguarden de mejor manera los derechos de los titulares de datos, por ejemplo, mediante una ampliación de los derechos de acceso, rectificación, cancelación y oposición, la incorporación de un régimen reforzado de deberes respecto de los responsables del tratamiento, o asegurando la efectiva aplicación de los principios orientadores de la ley. A este respecto, puede sostenerse que la institución del interés legítimo, en su concepción europea, «presenta garantías complementarias en comparación con otros motivos de legitimación», que impiden considerarlo como «el vínculo más débil o una puerta abierta para legitimar todas las actividades de tratamiento de datos que no estén comprendidas en cualquiera de los demás motivos de legitimación» (Dictamen 06/2014, p. 58).

Conclusiones y recomendaciones de lege ferenda

Siguiendo la evolución que han experimentado los marcos regulatorios sobre protección de los datos personales en el derecho comparado, y teniendo especialmente presente su desarrollo normativo en la Unión Europea, el proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, actualmente en tramitación en el Congreso Nacional, propone avanzar hacia un sistema más complejo de títulos habilitantes para el tratamiento de datos personales. Entre las nuevas fuentes de licitud que contempla el proyecto, el interés legítimo del responsable del tratamiento o un tercero aparece como un elemento de balance que, caracterizado por su formulación a partir de conceptos abiertos o indeterminados, viene a dotar de cierta flexibilidad al nuevo modelo. Este rasgo particular distingue a este criterio respecto del resto de las bases de licitud, y la identifica como la única que de manera explícita requiere de un desarrollo hermenéutico que complete su contenido.

En vista de lo anterior, el establecimiento de esta nueva base habilitante debe prestar especial atención a la adecuada formulación de sus elementos constitutivos, así como a la delimitación de su ámbito de aplicación, la determinación de los deberes o cargas especiales que se imponen al responsable del tratamiento que invoca esta fuente, y su interrelación con el resto de las bases de licitud, en particular con aquéllas que encuentran su justificación en la consecución de objetivos jurídicos similares:

Respecto de los elementos esenciales que configuran al interés legítimo, corresponde ponderar los efectos de emplear el verbo rector afectar, en lugar del término prevalecer. El texto aprobado por la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado se aleja de fórmula contemplada en la normativa europea, a partir de la cual se ha desarrollado, a nivel jurisprudencial y doctrinal, la denominada «prueba de tres pasos», a la cual se circunscribe la aplicación de esta fuente de licitud, que permite su desarrollo.

Respecto del alcance del interés legítimo, destaca el hecho de que el proyecto establece reglas especiales para el tratamiento de datos sensibles y los datos de niños y adolescentes, que excluyen una aplicabilidad general de esta base de licitud. Sin perjuicio de ello, es conveniente que el legislador tenga presente los considerandos del Reglamento, a efectos de entregar más claridad sobre cuáles son las hipótesis de interés legítimo que se están tratando de cubrir con esta nueva fuente de licitud para el tratamiento de datos personales.

En relación con el ecosistema regulatorio del interés legítimo, no basta el reconocimiento de esta nueva base de licitud en el derecho chileno, sino que se requiere establecer los debidos contrapesos y resguardos. En particular, el legislador debe avanzar en consagrar en plenitud los derechos de acceso, cancelación y oposición cuando se traten datos sobre la base del interés legítimo, en línea con la normativa europea. Asimismo, se debe establecer con claridad las obligaciones de los responsables, es decir, deberes de información proactivos y de evaluación de impacto en el tratamiento de datos personales sobre la base del interés legítimo.

En cuanto al rol del interés legítimo de cara a otras fuentes de licitud relacionadas, en particular los tratamientos de datos personales recolectados de fuentes accesibles al público, estimamos que, en vista a que las dos hipótesis tendrían una misión similar dentro del marco normativo, debiese contemplarse un enfoque complementario en el diseño o posterior aplicación de ambas. Con todo, debiese propenderse a favorecer la aplicación de aquella base habilitante cuyo estatuto de derechos y deberes resulte más robusto, al ofrecer a los titulares de datos garantías complementarias.

Estos factores, entre otros, deberán ser abordados si la reforma a la Ley 19.628 quiere converger con el régimen europeo de protección de datos personales. Eventuales problemas en la conceptualización y diseño del estatuto aplicable al interés legítimo podrían importar una merma significativa en la tutela de los derechos de los titulares de datos. Un enfoque equilibrado, «que garantice la flexibilidad necesaria a los responsables del tratamiento de datos en situaciones en las que no exista un impacto indebido sobre los interesados», debe, simultáneamente, otorgar a los titulares de datos «una seguridad jurídica y unas garantías suficientes para que esta disposición abierta no se utilice de manera indebida» (Dictamen 06/2014, p. 12).

Agradecimiento

Este trabajo es parte de la investigación financiada por Fondecyt de Iniciación de la Comisión Nacional de Investigación Científica y Tecnológica, bajo el núm. 11180218, con el título: «El reconocimiento y protección de la autodeterminación informativa como marco teórico adecuado para la comprensión de los derechos de las personas en tanto límite al acceso a la información pública».

Referencias bibliográficas

Alvarado, F.(2014). "Las fuentes de acceso público a datos personales". Revista Chilena de Derecho y Tecnología. 3 (2), 205-226. Recuperado de http://doi.org/10.5354/0719-2584.2015.33276Links ]

Balboni, P., Cooper, D., Imperiali, R., Macenaite, M.(2013). "Legitimate interest of the data controller: New data protection paradigm: legitimacy grounded on appropriate protection". International Data Privacy Law. 3 (4), 244-261. Recuperado de http://doi.org/10.1093/idpl/ipt019Links ]

Contreras Vásquez, P., (2014). Secretos de Estado: Transparencia y seguridad nacional . Santiago: Thomson Reuters [ Links ]

Contreras Vásquez, P., Trigo Kramcsák, P.(2019). "Interés legítimo y tratamiento de datos personales: Antecedentes comparados y regulación en Chile". Revista Chilena de Derecho y Tecnología. 8 (1), 69-106. Recuperado de http://doi.org/10.5354/0719-2584.2019.52915Links ]

Fernández-Samaniego, J., Fernández-Longoria, P. (2019). El interés legítimo como principio para legitimar el tratamiento de datos . En Rallo Lombarte, A (eds.);Tratado de protección de datos. (169-196). Valencia: Tirant lo Blanch [ Links ]

Ferretti, F.(2014). "Data protection and the legitimate interest of data controllers: Much ado about nothing or the winter of rights?". Common Law Market Review. 51 (3), 843-868. [ Links ]

Guasch Portas, V., Soler Fuensanta, J.(2015). "El interés legítimo en la protección de datos". Revista de Derecho UNED. (16), 417-438. Recuperado de http://doi.org/10.5944/rduned.16.2015.15245Links ]

Kamara, I., de Hert, P. (2018). Understanding the balancing act behind the legitimate interest of the controller ground: A pragmatic approach . 4. Brussels Privacy Hub. [ Links ]

Mantelero, A.(sin fecha). "The future of consumer data protection in the E.U. Re-thinking the «notice and consent» paradigm in the new era of predictive analytics". Computer Law & Security Review. (30), 643-660. [ Links ]

Ortiz, P. (2019). Tratamiento sobre exclusión publicitaria . En Rallo Lombarte, A (eds.);Tratado de protección de datos. (741-751). Valencia: Tirant lo Blanch [ Links ]

Schermer, B., Custers, B., van der Hof, S.(2014). "The crisis of consent: How stronger legal protection may lead to weaker consent in data protection". Ethics and Information Technology. 16 (2), 171-182. Recuperado de http://doi.org/10.2139/ssrn.2412418Links ]

1En este sentido, es posible sostener que la ampliación del listado de bases de licitud para el tratamiento de datos personales responde en alguna medida a la insuficiencia de los mecanismos tradicionales de consentimiento, entendidos como modelos de notice and consent basados en opt-in (Mantelero, 2014: 645), así como también a los problemas de consent fatigue o de «desensibilización» del consentimiento, los que se explican por una sobrecarga de información y la ausencia de opciones significativas, situación que impide a los individuos tomar decisiones conscientes cuando se enfrentan a una solicitud de consentimiento (Schermer, Custer y van de Hofer, 2014: 176 y 178).

2 Grupo de Trabajo sobre Protección de Datos del Artículo 29, Dictamen 06/2014, sobre el concepto de interés legítimo del responsable del tratamiento en virtud del artículo 7 de la Directiva 95/46/CE, WP217, p. 29, disponible en https://bit.ly/3dYE7eJ .

3Incluso se llegaba a afirmar que el interés legítimo constituía una especie de «escapatoria» para la protección de datos personales, en razón a su mayor flexibilidad, en comparación con el resto de las fuentes de licitud para el tratamiento de datos (Kamara y De Hert, 2018: 4).

4 Resulta importante destacar que si el tratamiento de datos personales se sustenta en la existencia de un interés legítimo que no cumple todas las condiciones anteriores, se considerará que dicho tratamiento no cuenta con una base de licitud que lo fundamente, lo que desencadena en la aplicación del nivel máximo de multas previstas por el Reglamento. «Processing personal data on the basis of legitimate interest under the GDPR: Practical cases», Future of Privacy Forum y Nymity, 2018, p. 8, disponible en https://bit.ly/3g30H84 .

5El Grupo de Trabajo del Artículo 29 y algunas autoridades de protección de datos europeas han dado orientaciones respecto de ciertas actividades de tratamiento de datos personales en las que podría invocarse el interés legítimo del responsable o de un tercero, como la elaboración de perfiles, el tratamiento de datos de trabajadores o materias relativas a servicios financieros. «Processing personal data...», pp. 8 y ss.

6Si bien el Reglamento, a través de sus considerandos, entrega ciertos criterios que contribuyen a establecer en qué casos es posible fundar el tratamiento de datos personales en un interés legítimo, esta base de licitud sigue manteniendo su vaguedad original, lo que sería parcialmente confirmado por los variados ejemplos de intereses legítimos que la norma provee en sus considerandos 47.º a 49.º, lo que da lugar a interpretaciones amplias (Kamara y De Hert, 2018: 29).

7Órgano consultivo independiente, creado por la Directiva 95/46/CE, e integrado por las autoridades de protección de datos de todos los Estados miembros de la Unión Europea, el supervisor europeo de protección de datos y la Comisión Europea. Sus funciones incluían, entre otras, estudiar toda cuestión relativa a la aplicación de las disposiciones nacionales tomadas para la aplicación de la Directiva, con vistas a contribuir a su aplicación homogénea (artículo 30, apartado 1, de la Directiva 95/46/CE). Con la entrada en vigor y aplicación del Reglamento, por el que se deroga la Directiva, el Grupo de Trabajo del Artículo 29 fue reemplazado por el Comité Europeo de Protección de Datos (Contreras Vásquez y Trigo Kramcsák, 2019: 76).

8Estos criterios de análisis son: i) evaluación del interés legítimo del responsable del tratamiento; ii) impacto sobre los interesados; iii) equilibrio provisional; y iv) garantías adicionales aplicadas por el responsable del tratamiento para impedir cualquier impacto indebido sobre los interesados (Dictamen 06/2014, p. 39).

9 Para revisar el estado de tramitación de los proyectos refundidos, véase el registro en la Cámara de Diputadas y Diputados de Chile, disponible en https://bit.ly/2ZetMaE . Cabe señalar que el presente artículo fue enviado para su publicación en la Revista Chilena de Derecho y Tecnología el 18 de noviembre de 2019. El proyecto de ley pasó a la Comisión de Hacienda del Senado el 16 de marzo de 2020, junto con el segundo informe de la Comisión de Constitución, Legislación, Justicia y Reglamento.

10En este punto, muchos autores entendían que ocurrió una adaptación o transposición incorrecta de la Directiva a la normativa interna española (Guasch Portas y Soler Fuensanta, 2015: 422). Para más detalles, véase Contreras Vásquez y Trigo Kramcsák (2019: 90 y ss.).

11 Primer informe de la Comisión de Constitución, Legislación, Justicia y Reglamento, recaído en el proyecto de ley, en primer trámite constitucional, que regula la protección y el tratamiento de los datos personales y crea la Agencia, Boletines 11.092-07 y 11.144-07, refundidos, 14 de marzo de 2018, p. 201, disponible en https://bit.ly/2ZetMaE .

12Primer informe de la Comisión, p. 201.

13Primer informe de la Comisión, p. 201.

14Véase «Miembros», Asociación Latinoamericana de Internet, disponible en https://www.alai.lat/miembros/.

15Primer informe de la Comisión, p. 120.

16Primer informe de la Comisión, p. 111.

17 Sobre el funcionamiento de este grupo de asesores y la falta de registro y actas de su actividad, se puede revisar el reportaje de Ciper: Nicolás Sepúlveda, «El empleado de Enrique Correa que opera como asesor de los senadores», Ciper, 6 de mayo de 2019, disponible en https://bit.ly/3bNViOY .

18En este punto, las indicaciones del Ejecutivo no son claras, ya que se modifica el artículo 7 —que regula el derecho de cancelación— y se incorpora una letra g) nueva: «Cuando el titular se oponga al tratamiento con arreglo al artículo 8 ter de la presente ley, y no prevalezcan otros motivos legítimos para el tratamiento». Sin embargo, ni el proyecto aprobado en general por el Senado ni la indicación del Presidente de la República contemplan un artículo 8 ter. Debería entenderse que quizás hubo intención de incorporar una regla especial de oposición para ciertos casos pero que, finalmente, no se incluyó.

19«Un interés puede considerarse legítimo siempre que el responsable del tratamiento pueda perseguir este interés de conformidad con las leyes relativas a la protección de datos y con el resto de la legislación. En otras palabras, un interés legítimo debe ser «aceptable en virtud de la ley»» (Dictamen 06/2014, p. 30).

20En materia de acceso a la información pública, la reserva de información supone la «afectación» de un bien jurídico de rango constitucional o de un derecho de un titular, según lo dispuesto en el artículo 8, inciso segundo, de la Constitución Política y el artículo 21 de la Ley 20.285, sobre Acceso a la Información Pública. A nivel interpretativo, la doctrina y la jurisprudencia han entendido que esa «afectación» supone un ejercicio de ponderación que incluye un análisis de daño. Al respecto, véase, con referencias, Contreras Vásquez (2014: 80 y ss.).

21Cabe tener presente que el Reglamento, en su considerando 50.º, reconoce que los procesamientos de datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos deben considerarse operaciones de tratamiento lícitas compatibles con las finalidades originales que se tuvieron presentes al momento de recopilar los datos.

22 «Guide to the General Data Protection Regulation (GDPR)», Information Commissioner’s Office del Reino Unido, 22 de mayo de 2019, p. 84, disponible en https://bit.ly/2ZaqXY6 .

23En los considerandos del Reglamento se prevé expresamente el derecho de oposición frente a tratamientos de marketing directo y los perfiles creados para tal efecto, en cualquier momento y libre de cargo, aun cuando dichos tratamientos se basen en el interés legítimo del responsable (considerando 70.º).

24En diciembre de 2018 entró en vigor la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, que derogó la Ley Orgánica 15/1999 y adaptó la normativa española al Reglamento (Contreras Vásquez y Trigo Kramcsák, 2019: 93).

25A nivel regional, ciertas legislaciones, inspiradas en la Ley Orgánica española, incorporan tanto al interés legítimo como los casos de recolección de información contenida en fuentes de acceso público, entre las bases de licitud para el tratamiento de datos personales. Así, Perú contempla ambas fuentes en el artículo 14, numerales 2 y 9, de su Ley 29.733 de Protección de Datos Personales, de julio de 2011, que dispone que no se requiere del consentimiento del titular de datos personales, para efectos de su tratamiento, cuando «se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público» y «cuando el tratamiento de los datos personales sea necesario para salvaguardar intereses legítimos del titular de datos personales por parte del titular de datos personales o por el encargado de datos personales». En Argentina, el Congreso Nacional está actualmente discutiendo un proyecto de ley que tiene por finalidad reemplazar su actual normativa sobre protección de datos, contenida principalmente en la Ley 25.326, sancionada en octubre de 2000. Este proyecto contempla entre las fuentes de licitud, en su artículo 11, letras b) y g), tanto el «tratamiento de datos [que] se realice sobre datos que figuren en fuentes de acceso público irrestricto», como el «tratamiento de datos [que] sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos del titular de los datos, en particular cuando el titular sea un niño, niña o adolescente».

Sobre los autores

Pablo Contreras Vásquez es abogado. Doctor en Derecho por Northwestern University, Estados Unidos. Profesor de Derecho Constitucional y director del Centro de Regulación y Consumo de la Universidad Autónoma de Chile. Su correo electrónico es pablo.contreras@uautonoma.cl. http://orcid.org/0000-0002-1131-182X . Pablo Trigo Kramcsák es abogado. Licenciado en Derecho por la Pontificia Universidad Católica de Chile. Magister Legum (LL.M.) en Derecho Internacional por la Universidad de Heidelberg, Alemania y la Universidad de Chile. Analista senior de la Unidad de Normativa y Regulación del Consejo para la Transparencia. Su correo electrónico es pablo.trigo@alumni.uni-heidelberg.de. http://orcid.org/0000-0003-2385-4722 .

Recibido: 18 de Noviembre de 2019; Aprobado: 22 de Abril de 2020

Creative Commons License Este es un artículo publicado en acceso abierto bajo una licencia Creative Commons