El principio de responsabilidad de datos personales
JAIME LORENZINI Profesor de la Universidad de Chile, Socio de Lorenzini & Twyman Abogados.
Las nuevas normas legales que regularán lo relativo a datos personales Boletín N° 11.092-07 y Boletín N°11.144-07 (Versión 26 de agosto 2024), incorporan expresamente el principio de la responsabilidad en el tratamiento de datos personales. Establece en este sentido, que quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios contenidos en este artículo, y de las obligaciones y deberes de conformidad a la ley.
Se trata de un principio relevante que genera una importante directriz y orientación en materia de datos personales, en el sentido de aclarar el legislador, a partir del reconocimiento de este principio, la obligación de hacerse cargo de las consecuencias en caso de infracciones o inobservancia a la protección de los datos personales.
“La ley no exigirá estándares heroicos o imposibles de cumplir si no que hará exigible la implementación de medidas robustas para velar por la seguridad de los datos personales”.
Conviene eso sí tener presente lo siguiente: los principios, a diferencia de las reglas, constituyen lineamientos jurídicos generales que consagran un objetivo a tener en cuenta por los operadores jurídicos, pero no tienen una naturaleza exhaustiva y de aplicación irrestricta, siempre y en todos los casos.
Muy importantes teóricos del derecho han explicado que los principios son mandatos de optimización (Alexy), son derrotables (Guastini) y para su correcta aplicación debe efectuarse una necesaria ponderación (Dworkin). Lo anterior da cuenta que los principios -en ciertas situaciones- pueden perfectamente no ser aplicados si es que el contexto o la situación determinada así lo exige, y ello es perfectamente compatible con la naturaleza de este tipo de normas jurídicas que son los principios.
Esto resulta importante considerar para evitar interpretaciones futuras que pretendieran exigir siempre y ante todo los casos, sin ninguna excepción o flexibilidad, la aplicación absoluta del principio de responsabilidad, lo cual es enteramente predicable también a cada uno de los principios de la ley.
Los aspectos relativos de esta consideración serán significativos ya que permitirá atemperar las reglas de responsabilidad de la persona a cargo del tratamiento de datos personales cuando ocurran situaciones que puedan calificarse como una correcta conducta pese a existir la brecha de seguridad. La ley no exigirá estándares heroicos o imposibles de cumplir si no que hará exigible la implementación de medidas robustas para velar por la seguridad de los datos personales. Pero podrá haber situaciones en que la acción deliberada de terceros (ciberdelincuencia), utilizando los más altos estándares conocidos logren vulnerar, por ejemplo, las correctas medidas de protección implementadas por una empresa respecto a los datos personales de sus consumidores.
En este caso una incorrecta aplicación tanto del principio de seguridad como del principio de responsabilidad de los datos personales podría llevar a resultados incompatibles con los estándares del sistema jurídico en su conjunto: se exige acreditar culpa o falta de diligencia para atribuir responsabilidad a un agente.
Resultará importante el buen conocimiento y correcta aplicación de los respectivos principios en la ley de datos personales que se relacionarán con esta materia, partiendo con la autoridad a cargo de velar por el cumplimiento de esta normativa.