El Consejo para la Transparencia en su rol de velar por el cumplimiento de la Ley de Transparencia (N° 20.285) y de Protección de Datos Personales (N° 19.628), envió hoy un oficio al Instituto de Previsión Social (IPS) ex Instituto de Normalización Previsional (INP) para que informe en un plazo de 10 días acerca de la forma en que ha dado cumplimiento a las disposiciones de la Ley Nº 19.628. Esto tras las denuncias realizadas sobre un posible acceso a su base de datos de pensionados por parte de la empresa La Polar.
De acuerdo a lo dispuesto en la letra m) del artículo 33 de la Ley de Transparencia, el CPTL tiene la atribución de velar por el adecuado cumplimiento de la Ley Nº 19.628, de protección de datos de carácter personal, por parte de los órganos de la Administración del Estado.
El Consejo requiere que el IPS informe explicítamente respecto a:
– Las medidas de seguridad adoptadas por el IPS, a fin de resguardar la integridad, confidencialidad y disponibilidad a sus titulares de los datos personales que deba tratar para el adecuado cumplimiento de las competencias que el Ordenamiento Jurídico le atribuye.
– Las acciones puntuales que dicho Servicio está ejecutando para definir responsabilidades respecto de los hechos descritos, y evitar en el futuro la pérdida de información y la transmisión y acceso no autorizado por terceros a sus bancos o bases de datos.
El oficio enviado al IPS se suma al que fue despachado el viernes pasado a FONASA para que informe también acerca de la forma en que ha dado cumplimiento a las disposiciones de la Ley Nº 19.628 y que fue motivado por la revelación de un uso indebido que ejecutivos de la empresa La Polar habría efectuado de los datos personales en poder del Fondo Nacional de Salud.
En ese caso la preocupación del Consejo se radicó en cuatro aspectos:
• El hecho que algunos de los datos transferidos se refieran al estado de salud físico o psíquico de las personas, que tiene la calificación de datos sensibles y, según la Ley N°19.628, deben ser especialmente protegidos, adoptándose al efecto medidas de seguridad reforzadas.
• El eventual incumplimiento del principio de seguridad que, conforme a la Ley N°19.628, exige a los órganos de la Administración del Estado cuidar de los bancos de datos que maneja, con la debida diligencia; haciéndolos responsable de los daños causados.
• La posible vulneración del principio de finalidad consagrado en la misma ley, según el cual, los datos personales deben utilizarse sólo para los fines para los cuales hubieren sido recolectados y dentro del ámbito de competencia del respectivo órgano.
• Finalmente, los hechos descritos podrían configurar algunos de los tipos penales de la Ley N°19.223, que tipifica figuras penales relativas a la informática, sancionando con penas de presidio al que use indebidamente información contenida en un sistema de tratamiento de datos, o lo intercepte, interfiera o acceda a él, y, por otra parte, a quien maliciosamente revele o difunda dichos datos.