A pocos días de iniciado el proceso de pago de los 7 mil pesos de compensación por el caso de colusión del papel higiénico, el Consejo para la Transparencia (CPLT) hizo llegar al Servicio Nacional del Consumidor (SERNAC) una serie de recomendaciones vinculadas con la seguridad, confidencialidad y tratamiento de los datos personales de todos aquellos mayores de 18 años que hayan ingresado sus datos al sitio web www.micompensacion.cl.
La página, habilitada el pasado 3 de julio y que se mantendrá operativa hasta el 30 de septiembre, exige la inscripción de las personas que desean recibir la compensación económica y que no son beneficiarios del Instituto de Previsión Social (IPS) o clientes del Banco Estado, lo que incluye el registro de una serie de datos personales: nombre y apellido, cuenta de correo electrónico, cuenta bancaria y entidad en la que se debe efectuar el depósito de la compensación.
El CPLT identificó algunas falencias en materia de política de privacidad, la que no se encuentra disponible para el público. Esta política debe definir claramente la finalidad con la cual los datos recolectados serán tratados, especificando los tipos de tratamiento a que se someterán esos datos. Asimismo, apuntó a un déficit en términos de la información sobre las competencias específicas que, en este caso, autorizan al SERNAC a efectuar el tratamiento de los datos personales que son solicitados en el sitio.
El presidente del Consejo, Marcelo Drago comentó que: “a raíz de este proceso de compensación se va a crear una base de datos muy reciente con información sensibles de millones de chilenos mayores de edad, convirtiéndose en una gran tentación para cualquier hacker. Por eso nosotros creemos que es importante remitir este oficio, para que se tomen las medidas de resguardo adecuadas”.
A partir de ello, el Consejo remitió al SERNAC una serie de recomendaciones para el establecimiento de estándares que apunten a garantizar la seguridad de la información y de los datos personales recolectados; la confidencialidad en el tratamiento de los mismos; y la individualización de un responsable del banco de datos, entre otras medidas. “Se trata de reglas generales de regulación en protección de datos personales que deben aplicarse siempre cuando las empresas o instituciones recopilen información”, detalló Drago.
El llamado se asocia al ejercicio de una serie de derechos que toda persona tiene para ejercer el control sobre sus datos personales: Acceso, Rectificación, Cancelación y Oposición (ARCO).
“Con el reconocimiento de los llamados derechos ARCO, las personas tienen el derecho de solicitar a cualquier entidad se les informe acerca de la situación en la que se encuentran sus datos, accediendo a todos los datos e información que posean sobre de su persona, a solicitar que se impida seguir tratando sus datos personales, exigiendo la eliminación o bloqueo de todos los datos caducos. En todos estos casos, se podría acudir a la autoridad de control, a efectos de asegurar el cumplimiento de estos derechos”, enfatizó el Presidente del CPLT.
Drago subrayó que, acorde con lo señalado en la ley de protección de datos, una vez efectuado el pago, el SERNAC deberá eliminar todos los datos recolectados, por cuanto el almacenamiento de éstos carecerá de fundamento legal.
“el titular de los antecedentes proporcionados tiene el derecho de requerir al SERNAC con la finalidad de que se eliminen todos los datos que haya recolectado el organismo con el fin de pagar la compensación”, concluyó Drago.
Las recomendaciones al SERNAC:
- Que los datos sólo sean utilizados con el único fin para el cual fueron recolectados.
- Una vez que la compensación sea pagada, el Sernac deberá eliminar los datos, por cuanto su almacenamiento “carecería de fundamento legal”.
- El titular de los datos puede ejercer los derechos de acceso, rectificación, cancelación y oposición. Por ello se recomienda entregar el contacto del responsable del banco de datos y la forma en que se pueden ejercer.
- Informar las competencias específicas que autorizan al Sernac a efectuar el tratamiento de los datos.
- Definir de manera simple la finalidad para la cual estos datos han sido recolectados, especificando tipos de tratamiento; informar si existe prohibición de transmitir o ceder estos datos sin consentimiento; individualizar el responsable del respectivo banco de datos y su información de contacto; señalar la forma mediante la cual los titulares pueden ejercer sus derechos; indicar las competencias específicas que autorizan al Sernac a efectuar el tratamiento de los datos.
- Garantizar la seguridad de los datos recolectados, estableciendo deberes de confidencialidad. Sernac será el responsable legal del tratamiento de los datos.
- En el caso de que los datos deban ser comunicados o transmitidos, se recomienda encriptarlos.
- Sernac debe inscribir el banco de datos en el Registro Civil.
¿Por qué el CPLT hace estas recomendaciones?
El Consejo ejerce la facultad establecida en la Ley de Transparencia y que apunta a velar por el adecuado cumplimiento de la Ley N° 19.628, sobre Protección de la Vida Privada, por parte de los órganos de la Administración del Estado.
Cabe recordar que de acuerdo a una indicación remitida en julio de este año por el Ejecutivo, el Consejo para la Transparencia verá ampliada sus atribuciones como nueva autoridad de control en materia de protección de datos personales tras la respectiva tramitación legislativa.