Los datos personales en la mira del Sernac

Jessica Matus

Esta ha sido una semana intensa en materia de regulación de datos personales. Mientras en el Congreso avanza a un ritmo inusual el proyecto de ley de protección de datos - se ha sucedido la indicación del Ejecutivo que vuelve a modificar la figura de una Agencia de Protección de Datos Personales y pasó a segundo trámite constitucional-, en la Convención Constituyente se aprobaron propuestas de normas relativas al derecho de acceso ya la conectividad digital, la alfabetización digital, a un espacio libre de violencia y la protección de los datos de carácter personal, buscando a la vez establecer una autoridad con autonomía constitucional.

En tanto, el 24 de diciembre del año 2021, entró en vigencia la ley Nº 21.398, que establece medidas para incentivar la protección de los derechos de los consumidores, entregando al Servicio Nacional del Consumidor (Sernac) facultades en materia de datos personales respecto de las relaciones de consumo.

La habilitación del Sernac como fiscalizador supone un nuevo estatuto que, por una parte, refuerza los derechos de los consumidores derivados del deficiente o ilegal tratamiento de su información personal y, por otra, obliga a las empresas a realizar un análisis interno sobre cómo están gestionando la privacidad y los datos de sus clientes o usuarios. La urgencia es evidente, porque la normativa carece de plazos de vacancia y la nueva autoridad ya se encuentra trabajando desde diversos frentes, ya que investigada de estas atribuciones puede fiscalizar, dictar circulares o perseguir compensaciones en procesos colectivos en casos que afectan los datos personales de los consumidores.

En menos de dos meses, el Sernac ha fijado pautas para los regulados. Mediante la circular sobre criterios de equidad en las estipulaciones de contratos de adhesión, señala que el tratamiento de los datos debe respetar el principio de proporcionalidad y advierte que publicará una circular específica sobre cláusulas abusivas en materia de datos personales.

Y hace unos días, a través de la circular interpretativa sobre protección de los consumidores frente al uso de sistemas de Inteligencia Artificial en las relaciones de consumo, contempla una sección detallada sobre tratamiento de datos. Esto, haciendo hincapié en el principio de limitación de la finalidad, es decir, utilizar los datos sólo para los fines para los cuales inicialmente han sido recolectados, especialmente en los tratamientos de datos autorizados mediante una cláusula en un contrato de adhesión, donde estos propósitos declarados deben obedecer a la finalidad propia de la respectiva relación de consumo, y por lo tanto, deben ser pertinentes, adecuados y no excesivos.

Todos estos estándares de conducta -relevantes e impostergables- constituyen los primeros pasos de una autoridad que complementan las facultades de reguladores actuales o futuros, y que requieren avanzar porque, como lo ha reconocido la Corte Suprema, los términos bajo los cuales una persona autoriza a un proveedor para recolectar y tratar sus datos personales para configurar un escenario de contratación en condiciones de desigualdad, susceptibles de conducir al desequilibrio entre las partes y poner en riesgo los derechos del consumidor titular de los datos.