Presidenta del CPLT: “Nadie puede condicionar una compra a la entrega del RUT”

Un un esfuerzo por avanzar en la construcción de una cultura de protección de los datos personales en el país, el Consejo para la Transparencia (Cplt) entregó algunas recomendaciones para que los usuarios puedan enfrentar solicitudes de información personal como el RUT y entiendan que más que aprender a negarse a dar información personal se debe avanzar en reconocer las mejores condiciones para entregarla y, al mismo tiempo, mantener el control sobre sus datos.

Una serie de recomendaciones para controlar de mejor manera la comunicación y tratamiento de nuestros datos personales, hizo la presidenta del Consejo para la Transparencia (CPLT), Gloria de la Fuente, quien comentó que la antigüedad de la legislación actual –de 1999- deja bastante desprotegidos a los ciudadanos y ciudadanas al presentar una serie de vacíos y falencias.

Sobre las permanentes solicitudes que reciben las personas para dar su RUT, ya sea en contextos comerciales –presenciales o digitales- o en otras situaciones, la titular de transparencia fue clara al afirmar que: “Nadie puede condicionar una compra a la entrega del RUT y tampoco nadie está obligado a entregar su Rol Único Nacional a una empresa o institución comercial. Si lo entrego siempre debe ser de manera voluntaria”. Detalló que cualquier tratamiento de información personal requiere de una autorización legal o consentimiento expreso del titular de los datos y para los fines expuestos en los términos y condiciones de uso o políticas de privacidad establecidas para el tratamiento de esa información.

Explicó que muchas veces las personas se sienten forzadas a entregar su número de identificación, condicionados por una oferta o por cláusulas abusivas en las que se consigna la autorización del consumidor para el proveedor de un bien o servicio para tratar sus datos personales que se aleje de la finalidad del contrato.

Desde el CPLT apuntaron que el marco regulatorio en Chile no se hace cargo de los cambios tecnológicos que se han sucedido en las últimas décadas, por lo que existe cierto nivel de exposición para los usuarios.

Por ejemplo, la normativa vigente sobre protección de datos personales no contempla mecanismos de reclamo o sanción especiales. “En la práctica el procedimiento para poder reclamar es importante”, explicó la titular del Consejo. Pero en el caso de Chile “cuando una persona siente o cree que ha sido vulnerada en su derecho (al resguardo de sus datos personales) hoy no hay posibilidad de generar un reclamo efectivo en un órgano que garantice el cumplimiento de la normativa de manera rápida y hay que seguir el camino de Tribunales”, apuntó.

La titular del Consejo comentó que con la regulación vigente es importante evaluar si el dato personal que se pide para prestar un servicio o hacer una compra, por ejemplo, es proporcional al fin que se busca, y que la finalidad del tratamiento de los datos sea aquella que se define cuando se solicita el consentimiento del titular de la información, y que esa autorización es sólo para ese objetivo y no puede usarse con otra finalidad.

Desde el Consejo se considera igualmente relevante el que las empresas y prestadores de servicios, ante un ambiente con una regulación que muestra deficiencias, sea leal y transparente con el usuario, informándole adecuadamente al consumidor sobre el tratamiento que se les dará a sus datos. Esto dado que en ocasiones resulta complejo acceder a la información en el que se detalla cómo se tratarán los datos personales o se condiciona la entrega de la información para poder comprar con condiciones más convenientes.

“Acorde a la ley vigente es muy importante no sólo el por qué me piden el dato –debe ser claro con respecto al objetivo que busca quien lo solicita y proporcional a ese fin-, y para qué, dado que sólo pueden usar esa información para la finalidad que declaran y no con otros objetivos que se definan después”, comentó la titular de Transparencia.

AUSENCIA DE AUTORIDAD DE CONTROL
“Por ello es que continuamente el Consejo insiste en que los usuarios lean los términos o condiciones de uso al hacer una compra o descargar una aplicación, porque estoy consintiendo el tratamiento de mis datos, muchas veces bajo conceptos muy generales”, acotó de La Fuente. Sin embargo, agregó que lo fundamental es que se actualice la norma que permita contar con una autoridad pública de control.

Especificó que el proyecto de ley en trámite en el Congreso convierte al Consejo para la Transparencia en esta autoridad u órgano garante en materia de protección de datos, entendiendo que tenemos la experiencia en el caso de los organismos públicos, en rigor sujetos obligados por la Ley de Transparencia”.

LECCIONES QUE DEJA LA PANDEMIA
Para la presidenta del Consejo para la Transparencia, la pandemia del covid-19 deja una serie de aprendizajes, entre ellos, algunos en materia de protección de datos y ciberseguridad,.

Uno de los desafíos más relevantes, apuntó es contar con una regulación que pueda hacer frente de manera adecuada y con garantías el tratamiento de datos personales sensibles, como son los datos de salud.

Por ello planteó la importancia de instalar un ecosistema seguridad de los datos, es decir, un marco regulatorio específico que determine las obligaciones y responsabilidades que deben asumir tanto el sector público como el privado.

“Los países deben tener legislaciones adecuadas en materia de protección de datos personales y nuestra normativa ha demostrado ser deficiente para poder perseguir cuando se producen situaciones de abuso. Como Consejo podemos fiscalizar a algunos organismos del Estado, pero no podemos sancionar, por ejemplo. Por ello hemos dado la pelea por avanzar en la tramitación del proyecto de ley que moderniza la normativa y nos permita proteger adecuadamente a los datos personales de los ciudadanos y ciudadanas”, espetó.

Cinco cosas que hay que tener en cuenta cuando me pidan un dato personal como el RUT

1. ¿Por qué tengo que cuidar la entrega de mi RUT u otro dato personal?

La advertencia de controlar a quién damos nuestro RUT se sustenta en que permite inferir otros datos personales o sensibles. Cruzar este número identificador con información de otras fuentes o bases de datos, permite determinar por ejemplo mi domicilio, ingresos, situación socioeconómica, patrones de consumo, es decir, qué productos o servicios compro e incluso mis hábitos personales.

Esto es muy importante, porque mi estado de salud -si entrego mi RUT en una farmacia asociado a la compra de un medicamento-, o mis compras del supermercado –que permiten establecer hábitos de alimentación, por ejemplo- son datos sensibles y están bajo mayores niveles de protección acorde a la ley.

2. ¿De qué me sirve no entregar datos personales si ya lo tienen instituciones del Estado o empresas?

En un escenario de masiva circulación de datos y de la llamada “datificación”, la negativa permanente a que accedan a información personal es poco practicable. La idea, señalan desde el Consejo para la Transparencia, es que la entrega de datos personales se haga bajo reglas lo más claras posibles, de manera de que el titular de esa información personal pueda tener control sobre ésta.

Dado que la regulación en materia de resguardo de datos personales muestra falencias por su antigüedad –es de 1999- y no se hacer cargo de diversos cambios tecnológicos, el llamado a las empresas es a que sean leales con sus clientes y les permitan el acceso a información clara sobre los términos y condiciones de uso y políticas de tratamiento de datos que harán una vez que recopilan la información de los clientes o usuarios de un servicio.

3. ¿Puedo negarme a entregar el RUT en un local comercial?

La entrega del RUT es voluntaria y es posible negarse ante una solicitud si se identifican cláusulas abusivas de tratamientos cuando los términos y condiciones de tratamiento de datos constituyen cláusulas de adhesión y el consumidor se ve “forzado” a aceptar dado que se condiciona la contratación de un bien o servicio. Esto constituye una violación a la Ley de Protección de los Derechos de los Consumidores y en ese caso se sugiere denunciar la situación al Servicio Nacional del Consumidor (Sernac).

En el caso de que un comercio limite el acceso a números de atención sólo a personas que den su número de identificación, aunque sea sólo para consultar sobre un producto, esa recopilación del dato parece excesiva. Si se trata, en cambio de una atención de salud, pedir el RUT puede no percibirse como desproporcionado si previo a la atención necesitan identificar al usuario del servicio y asociarlo a su plan y coberturas de salud.

4. ¿Qué datos personales entrego y cuándo?

A diario son numerosos los datos personales que uno entrega en distintos contextos. Además del número del Rol Único Nacional (RUN), que es la forma correcta para referirse al número de identificación que llamamos informalmente RUT, es bastante común que se solicite el correo electrónico, el domicilio o un teléfono de contacto. En contextos de pandemia por Covid-19, se ha masificado la medición de la temperatura corporal, que es un dato personal sensible dado que corresponde a información de salud.

Desde el Consejo para la Transparencia explican que es importante aprender a aplicar un principio reconocido por la ley de protección de datos personales, el de proporcionalidad, para decidir cuándo entregar información personal y cuándo optar por no hacerlo. En un contexto de consumo de bienes y servicios, la entrega y tratamiento de datos personales por ejemplo, puede depender de las condiciones de la compra y venta. Si quiero adquirir un par de zapatos o una camisa on line tendré que dar el domicilio para fines de despacho y me podrían pedir mi teléfono de contacto para facilitar la entrega, fines que podrían no parecer excesivos con respecto al objetivo que se busca.

5. ¿Qué hacer si se vulnera mi derecho a que cuiden mis datos personales?

El uso de datos personales regulado por la Ley de Protección de Datos Personales dispone como regla general que su tratamiento sólo puede efectuarse cuando hay autorización legal o consentimiento expreso del titular. En el caso de un procedimiento judicial, el tribunal competente para conocer sobre el asunto es el juez de letras en lo civil del domicilio del responsable del tratamiento de datos. Se deben señalar la infracción cometida y los hechos que la configuran, y deberán acompañarse medios de prueba que permitan acreditarla. Una vez escuchadas las partes y dictada sentencia, se podrá apelar ante la Corte de Apelaciones.

Ahora, en contextos de consumo, es decir, en la compra o venta de bienes y servicios, la eventual entrega y posterior tratamiento de datos personales está regida por la Ley Protección de los Derechos de los Consumidores. Ante una sospecha de vulneración, la persona puede ingresar un reclamo ante el Servicio Nacional del Consumidor (Sernac).