Los especialistas en protección de datos personales celebraron en enero un hito para Chile: por primera vez en 30 años se crearía una agencia pública responsable de esa defensa. Ocurrió luego de que el Senado aprobara el proyecto ingresado en 2017 sobre el tema, que a partir de marzo deberá ser visto por la Cámara de Diputados.
Pero la alegría por este paso, que permitió dejar atrás las vacilaciones que el Gobierno exhibió respecto de la estructura de esa agencia, terminó opacada por otro motivo. El gremio que agrupa a las empresas tecnológicas y de telecomunicaciones, y a entidades académicas y ONG abocadas a la protección de datos personales, presentó su primera declaración pública conjunta debido a una norma aprobada por la Comisión Mixta de senadores y diputados que revisa el proyecto que moderniza la ley de delitos informáticos. La regla permite al Ministerio Público solicitar datos personales de cualquier ciudadano a todo proveedor de servicios (por ejemplo, de telefonía e internet) sin orden judicial previa.
Los firmantes califican esa facultad como “intromisión estatal” y alegan que podrá ejercerse con el único requisito de que exista una “investigacion en curso”. Llamaron a rechazar “cualquier norma que pretenda dotar al Estado de mayores herramientas de vigilancia sin contemplar los mecanismos necesarios para controlar su uso”.
Consejo para la Transparencia, que hasta ahora asumiría dicha función, no fue informado del cambio. Aún faltan detalles sobre la autonomía de la entidad.
Interior distingue datos de suscriptor y tráfico
Desde el Ministerio del Interior explican que esta propuesta “permite una investigación efectiva, que derrote el anonimato que conlleva la comisión de delitos escondiéndose detrás de una dirección IP, un correo electrónico o una cuenta de usuario”. Afirmaron que esta fórmula “busca solamente conseguir identificar a un posible partícipe en la comisión de un delito”, ya sea de carácter informático o se cometa por vías digitales, como el ciberacoso.
Detallan que en este tema es importante diferenciar los datos del suscriptor (por ejemplo, nombre del dueño de un teléfono) de los datos de tráfico (a quien contacta y contenido de esa comunicación). “Hemos apoyado esta distinción y hemos apoyado y defendido que el Ministerio Público tenga acceso a datos básicos para identificar un suscriptor, como dirección IP (punto de internet donde está conectado un dispositivo), cuenta de correo, número de teléfono, etcétera. Esto ya que las investigaciones penales son excepcionales y estos datos son necesarios para iniciar una investigación de ese tipo”, plantea la cartera.
El abogado Raúl Arrieta afirma que uno de los artículos del proyecto que está en el Congreso podría afectar los derechos fundamentales de las personas.
Enfatiza que el acceso “a datos de tráfico, que son comunicaciones protegidas (lo que ha hecho ese suscriptor, como las páginas web que visitó o las conversaciones que realizó), se realizará previa autorización judicial”.
Explican que esta distinción opera conforme tanto con el Convenio de Budapest (acuerdo internacional sobre combate al cibercrimen al que Chile adhirió en 2017) como con el reciente derecho constitucional a la protección de datos personales.
También responden que el estándar que se propone tiene equivalentes en la actual legislación penal, como ocurre con el secreto bancario. “Ahí el Ministerio Público siempre puede conocer, sin autorización judicial, en qué bancos una persona tiene cuentas; pero para acceder al movimiento y contenido de esas cuentas, es necesario que el juez autorice a levantar el secreto bancario”, sostiene Interior.
Quienes no cumplían requisitos para subsidio al ingreso mínimo recibieron un listado con sus datos y de otras 790 mil personas. El caso abre un complejo precedente.
“Injerencia indebida en la vida privada”
“Esta propuesta puede transformar a todas las personas en sospechosas y eso es grave”, afirma el académico de la Facultad de Derecho de la Universidad de Chile y director del Centro de Estudios en Derecho Informático (CEDI) del plantel, Daniel Álvarez.
El abogado afirma que los datos del suscriptor que se podrán entregar sin autorización judicial no son una lista cerrada, sino que hoy incluye nombre, RUT, domicilio, datos de facturación y de los medios de pago (si ocupa tarjeta crédito o pago automático desde una cuenta corriente, y cuáles son) y la dirección IP.
“Los datos de facturación y medios de pago son especialmente sensibles. Y lo del IP permitiría reconstituir todo lo que una persona ha hecho en línea, los sitios que ha visitado e incluso la navegación en modo incógnito. Es una injerencia indebida en la vida privada”, sostiene. A modo de ejemplo, señala que si esta norma hubiese estado vigente, el Ministerio Público podría haber pedido los nombres, RUT, direcciones IP de todas las personas que participaron en las manifestaciones de octubre de 2019.
Otro aspecto preocupante, dice, es que la norma no define qué puede hacer el Ministerio Público con este tipo de información, “cómo se procesa, cuándo se eliminan y cuándo se notifica al titular que sus datos fueron divulgados”. Y critica que este tipo de acceso quede cubierto por el secreto “que solo existe en el proceso penal para casos graves y justificados, pero acá queda como regla general y se sanciona penalmente su divulgación”.
Un reporte de la ONG Derechos Digitales alerta sobre las medidas que deben tomar estas empresas cuando las autoridades solicitan información privada.
