Estas Leyendo...

Los datos sensibles: Uno de los puntos más relevan...

Los datos sensibles: Uno de los puntos más relevantes de la protección de datos

Uno de los temas que suele levantarse como álgidos en el tratamiento de datos personales es el de los Datos Sensibles, lo que ha tomado mayor relevancia durante la pandemia en consideración al tratamiento de los datos de salud.

Hoy en día, nuestra actual legislación, la Ley 19.628 sobre protección a la vida privada, sólo define lo que es un Dato Sensible sin entregar una regulación robusta al respecto, a diferencia de la tendencia internacional actual, en donde no sólo son altamente resguardados, sino que también existe una regulación que permite ante ciertos supuestos el tratamiento de dichos datos sin la necesidad de requerir autorización del titular, como podría ser el caso de una pandemia o en razón de una relación laboral.

Sin perjuicio de ello, el conocido Proyecto de Ley que Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (en adelante también como el “Proyecto”), cuya principal inspiración es el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), sí considera mayor regulación, no sólo a modo general, sino que específicamente para estos asuntos.

A continuación, queremos exponer los aspectos básicos respecto a los Datos Sensibles, y cómo estos cambiarían en base al Proyecto, comparándolo con el GDPR.

¿Qué datos personales se consideran sensibles?

Como decíamos, nuestra ley actual contiene en sí una definición de datos sensibles en el art. 2 letra g):

Datos sensibles, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual”.

Por su parte, el GDPR no tiene de por sí una definición de datos sensibles, pero sí regula, en su art. 9, las categorías especiales de datos personales. En base a ello, la Comisión Europea, en base al GDPR, considera como “sensibles”, los datos personales que revelen el origen racial o étnico; las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical; los datos genéticos, datos biométricos tratados únicamente para identificar un ser humano, datos relativos a la salud; y los datos relativos a la vida sexual u orientación sexual de una persona.

En este sentido, el Proyecto sí mantiene una definición de datos personales, la que incluye aún los hábitos personales, agrega a la afiliación gremial, e incluso a la identidad de género, entre otros cambios:

g) Datos personales sensibles: sólo tendrán esta condición aquellos datos personales que revelen el origen étnico o racial, la afiliación política, sindical o gremial, hábitos personales, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.

Así, el Proyecto de Ley amplía los datos que pueden considerarse sensibles tanto en relación con nuestra ley actual, sino incluso con respecto al GDPR.

Ley 19.628GDPRProyecto de Ley
·       Características físicas de las personas.·   Los datos personales que revelen el origen racial o étnico. ·     Datos personales que revelen el origen étnico o racial.
·       Características morales de las personas.·   Las opiniones políticas.·     La afiliación política, sindical o gremial.
·       Hechos o circunstancias de su vida privada o intimidad tales como:·   Las convicciones religiosas o filosóficas.·     Hábitos personales.
a)      Los hábitos personales.·   La afiliación sindical.·     Las convicciones ideológicas o filosóficas.
b)      El origen racial. ·   Datos genéticos.·      Las creencias religiosas.
c)      Las ideologías y opiniones políticas.·   Datos biométricos. tratados únicamente para identificar un ser humano.·      Los datos relativos a la salud.
d)      Las creencias o convicciones religiosas.·   Datos relativos a la salud.·      Al perfil biológico humano.
e)      Los estados de salud físicos o psíquicos.·   Datos relativos a la vida sexual u orientación sexual de una persona.·      Los datos biométricos. 
f)       La vida sexual. ·     La información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural.

¿Cómo se encuentran regulados los datos sensibles?

Hemos mencionado que nuestra ley actual regula muy escuetamente los Datos Sensibles, siendo la única regulación que tiene la ley a su respecto, además de la definición ya tratada, se encuentra en el art.  10, que señala que no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.

Lo anterior no representa una regulación mayormente diferente a lo que resulta necesario para el tratamiento de datos en general, dado el déficit que tiene nuestra ley en regular otras bases de legitimidad además del consentimiento.

Por su parte, el GDPR protege los datos sensibles estableciendo una prohibición general para su tratamiento, pero definiendo los casos en que aquello resulta legítimo su tratamiento. Pero además deben existir garantías específicas, debiendo demostrar que existen razones suficientes para su procesamiento, además de tener obligaciones adicionales y que el titular goza de mayores derechos como el derecho a retirar el consentimiento en cualquier momento (art. 14), derecho a obtener la supresión de los datos en determinados casos (art. 17), derecho a la portabilidad de los datos (art. 20), derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (art. 22), obligación de registro de actividades de tratamiento incluso para las pequeñas organizaciones (art. 30), deber de realizar una evaluación de impacto (art. 35) y necesidad de un DPO (art. 37), entre otros.

Por su parte, el Proyecto parte de una base diferente, estableciendo que los datos sensibles pueden tratarse, pero para ello el titular manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente.

Sin perjuicio de ello, también otorga otras fuentes que legitiman el tratamiento de datos personales sin necesidad de consentimiento. Estas medidas se refuerzan con mayores condiciones para el tratamiento en el caso de datos personales relativos a la salud y al perfil biológico humano (art. 16 bis), datos personales biométricos (art. 16 ter), y datos de adolescentes menores a 16 años (art. 16 quater).

Además, el Proyecto establece mayores medidas de resguardo, tales como deber de reportar las vulneraciones a las medidas de seguridad (art. 14 sexies), y mayores multas, siendo una infracción gravísima vulnerar el deber de secreto o confidencialidad sobre los datos personales sensibles, así como tratar, comunicar o ceder, a sabiendas, datos personales sensibles en contravención a las normas de esta ley (art. 34 quater).

¿Qué debo hacer si mi negocio hace tratamiento de Datos Personales?

Reconociendo que las nuevas regulaciones incluso nos dan mayores posibilidades para realizar el tratamiento de datos aún sin el consentimiento del titular, es importante dar cuenta que el peso de la prueba estará en el responsable, quien deberá comprobar que su tratamiento era efectivamente necesario y apropiado, debiendo mantener un adecuado orden y registro sobre los mismos.

Además, es relevante dar cuenta que esta clase de datos arriesgan multas que ascienden a 10.000 UTM, y que además serán estrechamente velados por la futura autoridad fiscalizadora de esta materia.

Por lo anterior, desde AZ proponemos acompañar a nuestros clientes de manera integral, contando con un programa de compliance en materia de Datos Personales, que permite tener una claridad global de cómo se llevan los procesos dentro de la empresa y conocer como fluyen los datos, orientando el cumplimiento con los estándares que sean necesarios para su adecuado tratamiento.

En caso de cualquier duda o consulta pueden comunicarse con nuestro equipo de TI, privacidad y medios:

Eugenio Gormáz | Socio | egormaz@az.cl

Óscar Molina | Director TI, privacidad y medios | omolina@az.cl

Andrea Céspedes | Asociada | acespedes@az.cl