La ley de datos personales de Singapur: protección y acceso a la información

A propósito de que la sala del Senado además de aprobar las idea de crear una Agencia de Protección de Datos Personales, dejó constancia sobre la necesidad de modernizar la legislación actual sobre la materia, averiguamos en el Asia el caso de la Ley de protección de datos personales de Singapur (PDPA) que podría ir en la línea de lo planteado en las discusiones realizadas en nuestro Congreso. Los detalles de esta ley, a continuación.

Cumplimiento de los derechos de protección

La protección de los datos personales por parte de las instituciones públicas y las leyes responden al Objetivo de Desarrollo Sostenible (ODS) 16, sobre rromover sociedades justas, pacíficas e inclusivas, particularmente en su meta 16.6 sobre crear a todos los niveles instituciones eficaces y transparentes que rindan cuentas.

Tal como se ha planteado en distintas discusiones legislativas durante los primeros meses de 2018, la protección de los datos personales consiste en un derecho fundamental distinto de la privacidad o la intimidad de las personas. Por el contrario, se trata de que todo tipo de información relativa a la esfera personal quede bajo el control de su titular y no de forma ilegítima en manos de un tercero. Es por ello que a la hora de analizar legislaciones que vayan en línea con tal principio, se hace énfasis en el cumplimiento de los derechos ARCO, de acceso, rectificación, cancelación y oposición a la información personal.

Este enfoque sustentado en el cuidado de la información de las personas está reconocido en la Ley de protección de datos personales de Singapur (PDPA por sus siglas en inglés) que pese a reconocer la protección como un derecho, establece un marco con varias reglas para regular la recopilación, uso, divulgación y cuidado de los datos.

Promulgada en 2012, reconoce y promueve la aplicación de los derechos ARCO en todo su sentido, aunque tiene un énfasis especial en evitar prácticas comerciales que sean abusivas con la información sensible de las personas. Precisamente, este es uno de los asuntos abordados por los senadores en la discusión del 3 de abril de 2018, donde plantearon la necesidad de limitar el alcance y uso fraudulento de la información personal. Esta necesidad remarcada en la realidad chilena está contemplada en la PDPA a través de una innovadora iniciativa que establece un Registro Nacional de No Llamar (DNC), cuyo fin es que las personas registren sus teléfonos de contacto para no recibir llamadas o mensajes de texto con fines de mercadotecnia.

De esta forma, las personas que no desean ser llamadas o requeridas con fines comerciales pueden inscribirse en línea sin ningún costo y sin fecha de expiración. Este registro también prohíbe que las organizaciones utilicen la información telefónica con fines de marketing, estudios de mercado o campañas políticas. De igual manera, el Registro DNC elabora una guía para las organizaciones que realizan telemarketing con el fin de actualicen sus bases de datos, tanto para números de teléfono como de correo electrónico y dirección postal.

Comisión para la protección de las personas y sus datos

La institución que creó e impulsa el Registro DNC es la Comisión de Protección de Datos Personales de Singapur. Fundada el 2013, es la principal autoridad en esta materia. No solo gestiona las políticas sino también hace cumplir la ley. Entre sus principios básicos está la creación de un ambiente de confianza entre las empresas y los consumidores, ya que equilibra la necesidad de proteger los datos con la de las organizaciones para el uso de información con fines legítimos.

Tales principios se expresan en políticas relacionadas con la protección, reglamentaciones y pautas de asesoramiento para que tanto organizaciones públicas y privadas cumplan con la ley. Asimismo, la Comisión revisa permanentemente la acción de empresas y emite instrucciones cuando es necesario. Es por ello que la Comisión tiene una buena relación con gremios y otros organismos sectoriales.

Por consiguiente, se encarga de la capacitación a funcionarios y autoridades que se desempeñan en actividades ligadas a la protección de datos. Asimismo, realiza actividades públicas de divulgación con el fin de que la ciudadanía comprenda la importancia de cuidar sus datos, pero también de la forma como otras organizaciones son capaces de operar para recolectar y difundir su información.

Conceptos detrás de la ley

El establecimiento de un registro para personas que no quieren que utilicen sus datos sensibles con fines comerciales y la creación de una comisión para la regulación, responden a una lógica que la PDPA imprime en sus artículos, sustentada en tres conceptos básicos. Se trata de consentimiento, propósito y sensatez que sirven para la aplicación de las leyes y como guía para los organismos públicos encargados de regular la materia.

Por consentimiento, el PDPA alude a que las organizaciones pueden recopilar, usar o divulgar información personal, siempre que se cuente con la aceptación explícita y formal del individuo. El concepto de propósito, por su parte, significa que además se debe informar sobre los fines para los cuáles se utilizan los datos. Por último, la sensatez se refiere a cuan razonable es el uso que las organizaciones dan a los datos personales, es decir, qué tan favorables son los propósitos para la persona en cuestión y si mejora las condiciones de su vida.

De esta manera, la ley cuenta con una base para guiar los estatutos existentes y a la Comisión de Protección de los Datos Personales de Singapur, pero también ha servido como un mecanismo exitoso para regir a la Ley de Bancos y a la Ley de Seguros, con las cuales hay una estrecha relación que permite un correcto funcionamiento de las prácticas comerciales y las instituciones. Según el jurista Lanx Goh, en un artículo publicado en marzo de 2018 en la Journal of Data Protection & Privacy, el éxito de la legislación singapurense se entiende en parte porque hubo un período de un año antes de que se publique la ley, que permitió que los interesados y posibles afectados la revisaran y ajustaran sus prácticas internas.

Asimismo, la investigación señala que desde el 2011 se realizaron tres consultas públicas para recabar opiniones sobre el tipo de régimen de protección requerido para el país, cuál es la opinión de la ciudadanía en la materia y qué ventajas o desventajas hay por parte de las organizaciones públicas y privadas que se trabajan con datos de personas.

Discusión sobre la protección de datos personales en el Legislativo chileno

Uno de los procesos para modernizar la legislación en materia de protección de datos personales se realiza en el Senado, donde el 3 de abril de 2018 se aprobó la idea de fundir la iniciativa presidencial de crear una Agencia de Protección de Datos Personales, con una moción presentada por el Senado que busca avanzar en la materia según los estándares internacionales.

Una análisis de este proceso tuvo Alejandro Gacitúa, abogado e investigador en derecho público, para quien la fusión de ambos proyectos se hace cargo de las principales falencias que tiene nuestra legislación. "Además de crear un órgano de control, regula el tráfico internacional de datos personales –hoy desregulado- y también incorpora principios y conceptos esenciales para el tratamiento de datos personales de forma clara y explícita. Considero que el proyecto es un avance importante, sobre todo con los datos personales que se llaman "sensibles". Éste tipo de datos requieren de una mayor protección por parte de los terceros que utilizan la información personal, especialmente particulares y organismos del Estado. Algunos ejemplos de datos sensibles señalados en la legislación son aquellos que se relacionan con la orientación política, religiosa, filosófica, identidad sexual, entre otros datos de la vida privada de las personas", señaló.

En relación a los conceptos que podrían incorporarse en nuestra legislación, se refirió a la necesidad de incorporar elementos de la legislación europea cuya orientación se centra en la protección de los datos personales como un derecho. "Que el proyecto de ley sea estándar OCDE quiere decir que tiene un enfoque puesto principalmente en el tema comercial, de regular el tratamiento de datos personales a favor del comercio y libre flujo de información. A diferencia del modelo europeo donde el acento se pone en la protección de los derechos, y esto como una garantía de derechos fundamentales. En Europa la protección de datos tiene un estatuto distinto y autónomo del derecho a la intimidad o la vida privada, entonces tiene una mayor regulación con un enfoque político distinto", agregó.

De igual manera, otro de los proyectos en esta materia que se discute en el Congreso es una reforma constitucional, propuesta en la Cámara de Diputados, donde se plantean modificaciones para avanzar en la protección de la vida privada y honra de las personas y su familia, agregando “la protección de sus datos personales”. Esta iniciativa fue valorada por Gacitúa, pues en su opinión, relacionaría a estos derechos con un ámbito de la justicia más que como un derecho vinculado a la esfera de lo económico. "Esto se podría suplir si es que se llega a aprobar porque se consagra como un derecho autónomo y garantiza a las personas ciertos derechos, como son los ARCO. Si se aprueba el proyecto fundido del Senado en conjunto con la reforma constitucional, quedaría algo orgánico y coherente", sentenció.