La Ley N°21.398, que establece medidas para incentivar la protección de los derechos de los consumidores, incorporó a la Ley N°19.496 sobre protección de los derechos de los consumidores (en adelante, “LPDC”) el artículo 15 bis, que hace expresamente aplicables el mandato y las funciones conferidas al SERNAC en el artículo 58 del mismo cuerpo normativo a los tratamientos de datos personales de consumidores que tienen lugar en el marco de una relación de consumo.
En este sentido, a través de las siguientes circulares interpretativas, el SERNAC ha establecido lineamientos y exigencias para los proveedores en relación con el tratamiento de los datos personales de los consumidores:
- Circular Interpretativa sobre criterios de equidad en las estipulaciones contenidas en contratos de adhesión de consumo (Resolución Exenta N°931 del 3 de diciembre de 2021).
- Circular Interpretativa sobre protección a los consumidores frente al uso de sistemas de inteligencia artificial en las relaciones de consumo (Resolución Exenta N°33 del 18 de enero de 2022).
A continuación, se entrega una descripción de los principales contenidos de cada circular:
Circular sobre criterios de equidad en las estipulaciones contenidas en contratos de adhesión de consumo (Resolución Exenta N°931 del 3 de diciembre de 2021)
La Circular Interpretativa Nº931/2021 establece que las cláusulas que autorizan a los proveedores a recolectar y tratar datos personales de los consumidores, que se encuentran usualmente en las políticas de privacidad y en los términos y condiciones, deberán ser examinadas a la luz de la normativa sobre protección de los consumidores relativas a la equidad de estipulaciones contractuales.
Al calificar si estas cláusulas son o no abusivas, se deberá considerar la interacción armónica entre las normas de la LPDC y las disposiciones de la Ley Nº19.628 sobre la protección de la vida privada (en adelante “LPD”), en particular, las siguientes:
- Artículo 16 letra G de la LPDC: establece el mecanismo para examinar la equidad de los términos y condiciones bajo los cuales los consumidores consienten en el tratamiento de sus datos personales. Dichas cláusulas deben procurar no contravenir el principio de buena fe contractual, no causar perjuicio al consumidor, ni configurar un desequilibrio importante en los derechos y obligaciones que para las partes deriven del contrato.
- Artículo 9 de la LPD: establece el principio de la finalidad del tratamiento de datos personales, que supone que sólo se podrán tratar los datos personales para los fines para los cuales fueron recolectados e informados al momento de obtener el consentimiento del titular.
En este sentido, el SERNAC entiende que los proveedores deberán limitar el tratamiento de datos personales a los fines para los cuales fueron inicialmente recolectados e informados (artículo 9 LPD) y que dichos propósitos deberán satisfacer la finalidad que motiva al consumidor a contratar con el proveedor (artículo 16 letra G LPDC).
Adicionalmente, el SERNAC señala que se calificarán como abusivas las siguientes cláusulas:
- Cláusulas en las que el consumidor autoriza genéricamente al proveedor para efectuar tratamiento de sus datos, sin que este informe en forma previa y con precisión la finalidad para la cual tratará dichos datos personales, ni identifique a los terceros a quienes podrían transferirlos ni el propósito con el cual estos terceros podrían efectuar operaciones de tratamiento de dichos datos.
- Cláusulas en las que el consumidor autoriza de forma irrevocable al proveedor para tratar sus datos personales.
- Cláusulas en las que el consumidor releva al proveedor de toda responsabilidad que podría caberle por el tratamiento de sus datos personales.
- Cláusulas en las que el consumidor releva al proveedor de cumplir con las obligaciones y responsabilidad de seguridad vinculadas al tratamiento de sus datos personales.
El SERNAC precisa que una futura circular interpretativa tratará la equidad de las estipulaciones referidas a la recolección y tratamiento de datos personales de los consumidores.
Circular Interpretativa sobre protección a los consumidores frente al uso de sistemas de inteligencia artificial en las relaciones de consumo (Resolución Exenta N°33 del 18 de enero de 2022)
La Circular Interpretativa Nº33/2022 establece lineamientos y exigencias dirigidas a los proveedores que realizan tratamiento de datos personales de los consumidores, especialmente sobre aquellos tratamientos efectuados a través de sistemas de Inteligencia Artificial.
1.- Datos Personales:
El artículo 2 letra F de la LPD establece que los datos personales son “los relativos a cualquier información concerniente a personas naturales, identificadas o identificables”.
En este sentido, el SERNAC considera que son datos personales los datos numéricos, alfabéticos, gráficos, fotográficos, acústicos o de cualquier otro tipo, no importando el soporte en el que consten, concernientes a una persona cuya identidad pueda determinarse mediante identificadores directos o indirectos.
Adicionalmente, el SERNAC señala que los datos sobre comportamientos, preferencias o hábitos personales recabados a través de sistemas de Inteligencia Artificial serán considerados datos sensibles. Atendida la naturaleza de estos datos y los riesgos que conllevan estas actividades, el SERNAC indica que los proveedores deberán cumplir con un deber especial de protección, que se traduce en aplicar las medidas de seguridad técnicas y organizativas adecuadas que garanticen la confidencialidad, integridad y disponibilidad de dichos datos.
2.- Consentimiento del titular de datos:
Bajo las disposiciones de la LPD, las únicas bases legales para el tratamiento de datos personales son: (i) la ley y (ii) consentimiento del titular de datos.
A este respecto, el SERNAC señala que el proveedor deberá garantizar la obtención (y verificabilidad) de un consentimiento válido (específico, informado respecto del propósito del tratamiento de datos y su posible comunicación al público, y expreso) y otorgar los medios suficientes para que el consumidor pueda ejercer el derecho a revocar su autorización (empleando, al menos, el mismo medio por el cual otorgó su consentimiento).
3.- Tratamiento de datos personales:
El artículo 2 letra O de la LPD define el tratamiento de datos personales como “cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma”.
En este sentido, el SERNAC incluye dentro de las operaciones de tratamiento de datos personales, la utilización de bases automatizadas (sistema de inteligencia artificial) de datos dirigidas a realizar predicciones, recomendaciones o decisiones en el marco de una relación de consumo.
Adicionalmente, el SERNAC señala que el procesamiento de datos personales realizado por proveedores de sistemas de Inteligencia Artificial deberá llevarse a cabo en conformidad con las reglas sobre protección de datos personales y los principios de licitud, finalidad, proporcionalidad, confidencialidad, seguridad y responsabilidad que se desprenden de la LPD.
El SERNAC establece que el proveedor deberá cuidar de estos datos personales con la debida diligencia, asumiendo la responsabilidad por los daños ocasionados (artículo 11 LPD).
4.- Responsable del tratamiento de datos personales:
El artículo 2 letra N de la LPD define al responsable del registro o banco de datos como “la persona natural o jurídica privada, o el respectivo organismo público, a quien compete las decisiones relacionadas con el tratamiento de los datos de carácter personal.
El SERNAC le atribuye la calidad de responsable del tratamiento de datos personales al proveedor y señala que deberá cumplir con los siguientes deberes y obligaciones:
- Calidad o exactitud de datos personales: los datos personales deben ser exactos, actualizados, íntegros y consistentes.
- Eliminación, cancelación y modificación de datos personales: los datos personales deben ser eliminados o cancelados cuando su almacenamiento carezca de fundamento legal o cuando hayan caducado, y deberán ser modificados los datos erróneos, inexactos, equívocos o incompletos.
- Propósito del tratamiento: los proveedores solo podrán usar los datos personales para los fines para los cuales hubieran sido inicialmente recolectados (e informados al momento de recabar el consentimiento). Si el tratamiento es autorizado mediante cláusulas de contratos por adhesión, los propósitos deberán obedecer a una finalidad propia de la respectiva relación de consumo (los datos recolectados deben ser pertinentes, adecuados y conducentes a satisfacer la finalidad que motiva a contratar y en ningún caso deben ser excesivos).
- Ejercicio de derechos ARCO: El proveedor deberá garantizar en todo momento a los consumidores el ejercicio de los derechos de acceso o información, rectificación, cancelación o eliminación, bloqueo y oposición, sin entorpecer su ejercicio.
Por Guillermo Carey, José Ignacio Mercado y Pía Guglielmetti
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp