• Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional

Diario Constitucional Diario Constitucional

Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional
Domingo 16 de Febrero de 2025

Artículos de Opinión

Francisco Pino

Algunos problemas sobre el tratamiento de datos personales de la Resolución Número 566 Exenta del 4 de febrero de 2025 emitida por la Subsecretaría de Telecomunicaciones del Ministerio de Transporte y Telecomunicaciones.

En la relación contractual, el uso y tratamiento de datos biométricos por parte de quien los requiere, debe justificar su necesidad de utilización. Así, una empresa puede utilizar la verificación con datos biométricos si justifica la necesidad de su uso mediante razones que derroten la presunción legal (costo hundido de aplicación del sistema precedente a la publicación de la ley, integración con otros procesos de la empresa, velocidad de la integración, mayor seguridad en operaciones que requieren un especial resguardo como son las bancarias o clínicas).

1. Resolución exenta número 566 de la Subsecretaría de Telecomunicaciones del Ministerio de Transporte y Telecomunicaciones: ¿qué dice?

La Resolución Exenta Número 566 publicada el 6 de abril de 2024, promulgada el 28 de marzo del mismo año y cuya última modificación es del 4 de febrero de 2025, merece un poco de atención. Observar dicha resolución a la luz del nuevo régimen de protección y tratamiento de datos personales resulta imperativo por, al menos, dos razones: para observar eventuales problemas normativos y para reflexionar sobre el rol de la regulación en sociedades con una alta densidad empresarial y desarrollo de industrias.

Lo primero es sintetizar la resolución, a fin de comprender sumariamente lo que pretende establecer:

Respecto de su aplicación: son objeto de esta regulación procesos que llevan a cabo proveedores de servicios de telecomunicaciones, con motivo de la celebración, modificación y término de un contrato así como otros actos que puedan traducirse en obligaciones a interesados o suscriptores[1], tales como venta y entrega de equipos[2] y activación de tarjetas SIM[3] (Artículo 1º), en la medida que el cobro de este último se efectúe en el documento de cobro emitido por su proveedor, deberá realizarse, contemplando al menos uno de los siguientes estándares de seguridad para efectos de la validación de identidad, sin importar el canal de atención utilizado (presencial, telefónico o virtual) del que se trate (Artículo 2º).

Estándares de seguridad que deben aplicarse:

Primera opción, Artículo 2º, letra a): Solicitar la cédula de identidad o pasaporte vigentes del solicitante y verificar la identidad de éste mediante biometría de huella dactilar viva, capturándola y  comparándola con la huella registrada por el Servicio de Registro Civil e Identificación en dicha cédula o pasaporte vigente, o en las bases de datos de los proveedores de servicios de biometría, debiendo dar cumplimiento a las disposiciones legales, reglamentarias y normas especiales que regulen la protección de la vida privada.

Nótese que esta opción establece la solicitud de cédula más la comprobación biométrica por huella dactilar; se utiliza el vocablo conjuntivo “y” mas no el disyuntivo “o”. En consecuencia, la primera opción considera la concurrencia copulativa de la solicitud de cédula más la comprobación biométrica por huella dactilar.

Segunda opción, Artículo 2º, letra b): Verificar la identidad o el pasaporte vigente del solicitante mediante biometría facial, validando la coincidencia entre la captura de la fotografía de la cédula de identidad y el rostro escaneado, efectuando prueba de detección de vida y descartando la suplantación hecha con, a lo menos: fotos, videos, cambio de imágenes, proyección de videos o máscaras.

Pareciera ser que este es un error de la resolución: identidad es una cosa, el pasaporte (documento que acredita y registra mi identidad) es otra. Quizás la oración pudo ser otra: “verificar la identidad a través del pasaporte”. Esta disposición, al parecer, quería decir que era necesario verificar la identidad comparando el registro de la información del pasaporte, y al portador del pasaporte, cruzando la información con técnicas de biometría facial. El problema es que luego agrega la solicitud de la cédula de identidad como criterio de comparación lo cual hace más engorrosa la interpretación pues luego refiere la “prueba de detección de vida” haciendo previsible que este método correspondería a una contratación virtual y no presencial. En cualquier caso, esta opción precisa del pasaporte, cédula y la persona que se somete a la prueba biométrica.

Tercera opción, opción, Artículo 2º, letra c): Utilizar firma electrónica avanzada según lo dispuesto en el decreto N° 181, de 2002, aprueba Reglamento dispuesto en el decreto N° 181, de 2002, aprueba Reglamento de la ley 19.799 sobre Documentos Electrónicos, Firma Electrónica y la certificación de dicha firma, del Ministerio de Economía, Fomento y Turismo.

Finalmente, dispone en los incisos finales del Artículo 2º un par de cuestiones interesantes:

La primera:El resultado de la verificación conforme a los literales precedentes debe ingresar en forma automática en el sistema comercial del proveedor del servicio, sin intervención de personas, y sólo el resultado correcto de la verificación permitirá continuar con la solicitud”. El problema es que con independencia de la intervención de personas, la empresa sigue estando en posición de responder por lo que ocurra con esos datos[4].

La segunda, “Las exigencias acá establecidas no serán aplicables respecto de la habilitación o inhabilitación, con posterioridad a la celebración del contrato, de los accesos a las prestaciones y/o productos señalados en los artículos 35º y 59º del reglamento citado en vistos d)”. El problema, en este caso, es pensar que los cambios de planes, modificaciones contractuales, entre otras posibles circunstancias dentro de la relación contractual, no pueden dar lugar a fraude o implicar un costo económico importante para el cliente. El foco está puesto sólo en la celebración y término del contrato entre cliente y empresa de telecomunicaciones cuando dentro de la relación contractual pueden darse circunstancias con el mismo impacto económico que (por ejemplo) una portabilidad fraudulenta y el costo asociado al cambio.

De hecho, respecto de esta segunda cuestión, establece en su artículo 7º que “para efectos de la terminación de los contratos, así como otros actos que puedan traducirse en obligaciones a interesados o suscriptores, distintos de la venta y entrega de equipos y activación de tarjetas SIM, éstos podrán realizarse a través de otros mecanismos, tales como sucursal virtual del proveedor, aplicaciones puestas a disposición de éste y otros medios, resguardo siempre la correcta validación de la identidad del usuario”.

2. Cuestiones de compatibilidad legal: Nuevo Régimen de Tratamiento y Protección de Datos Personales frente a la Resolución Exenta Número 566

Como tuve oportunidad de explicar en un artículo anterior[5], sobre el uso de datos, la Ley 21.719 que reforma la actual regulación y establece un régimen de tratamiento y protección de datos, establece algunos Artículos que es importante tener a la vista nuevamente:

Primero el que establece la definición, según el epígrafe, de datos personales sensibles en el Artículo 2, literal g) la cual señala: “datos personales sensibles: tendrán esta condición aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, que revelen el origen étnico o racial, la afiliación política, sindical o gremial, la situación socioeconómica, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, al perfil biológico humano, los datos biométricos, y la información relativa a la vida sexual, a la orientación sexual y a la identidad de género de una persona natural”.

Segundo, la regla general de conformidad a la ley en materia de datos personales sensibles: “Artículo 16 Regla general para el tratamiento de datos personales sensibles. El tratamiento de los datos personales sensibles sólo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa, otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente”.

Tercero, la definición de dato biométrico que proporciona la ley que, cabe hacer presente, es algo muy distinto a lo que se regula en el artículo en Artículo 16 bis de la misma ley en sus dos últimos incisos:

Artículo 16 ter.- Datos personales biométricos. Son datos personales biométricos aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona que permitan o confirmen la identificación única de ella, tales como la huella digital, el iris, los rasgos de la mano o faciales y la voz.

Sólo podrán tratarse estos datos cuando se cumpliere con lo dispuesto en el inciso primero del artículo 16 y siempre que el responsable proporcione al titular la siguiente información específica:

a) La identificación del sistema biométrico usado;

b) La finalidad específica para la cual los datos recolectados por el sistema biométrico serán utilizados;

c) El período durante el cual los datos biométricos serán utilizados, y

d) La forma en que el titular puede ejercer sus derechos.

Los datos personales biométricos podrán tratarse sin consentimiento sólo en los casos señalados en el inciso segundo del artículo 16 bis”.

Cuarto, relativo a la presunción de consentimiento no libre que establece en el inciso 6 del Artículo 12: “Se presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección”.

Esta recapitulación es importante porque permite comprender un problema normativo importante en esta Resolución.

En la relación contractual, el uso y tratamiento de datos biométricos por parte de quien los requiere (el responsable), debe justificar su necesidad de utilización. Así, una empresa (clínica, banca, registro de asistencia laboral) puede utilizar la verificación con datos biométricos si justifica la necesidad de su uso mediante razones que derroten la presunción legal (costo hundido de aplicación del sistema precedente a la publicación de la ley, integración con otros procesos de la empresa, velocidad de la integración, mayor seguridad en operaciones que requieren un especial resguardo como son las bancarias o clínicas, entre otras razones posibles). Lo interesante es que, el nuevo régimen que entra en vigencia el 1° de diciembre de 2026, exige esa justificación de parte del responsable. De este modo, la resolución exenta (de inferior jerarquía a la nueva ley) estaría derrotando la presunción legal que se establece en el nuevo inciso 6 del Artículo 12. De este modo, desde la perspectiva de la resolución examinada, desaparece la necesidad de derrotar la presunción y se transforma (a juicio de la Subsecretaría) en una obligación para la empresa de telecomunicaciones que pasa a estar en posición de responsable del tratamiento de datos sensibles.

La cuestión es la siguiente: el Nuevo Régimen de Tratamiento y Protección de Datos Personales entra en vigencia el 1° de diciembre de 2026[6]; la Resolución, emitida el 4 de febrero de 2025, entra en vigencia en 180 días corridos después de su publicación. Como se observa, más allá del problema normativo entre resolución y ley, se le está pidiendo a las empresas que se adapte en un periodo acotado a una nueva regulación de rango legal. Al Luego, de forma previa, la Subsecretaría por medio de una Resolución Exenta, las está poniendo en el rol de responsables del tratamiento de esos datos sensibles lo cual tiene asociados costos, responsabilidades y riesgos regulatorios. La pertinencia de esta carga, atendido el nuevo régimen de protección y tratamiento de datos, es al menos cuestionable.

3. Sentido común

Ahora bien, más allá del costo asociado, cabe preguntarse si el criterio de la Subsecretaría derrota la presunción legal que prontamente entre en vigencia. Dicho de otro modo, ¿es necesario poner a la empresas de telecomunicaciones afectadas por fraude (ya sea dolosamente, por negligencia o porque simplemente fueron víctimas de un ataque) en responsables del tratamiento de datos sensibles de sus acreedores?

El problema no es el uso de datos biométricos pues es de habitual uso en distintas operaciones que lo hacen necesarios y fiables (operaciones bancarias, transacciones médicas, registro laboral, entre otros), sin embargo, si el mercado de las telecomunicaciones es objeto de ataques que tienen como botín un conjunto de datos, no se entiende cuál es la necesidad ahora de ponerlos a tratar datos biométricos (datos sensibles en el nuevo régimen que entrará en plena vigencia el año 2026). En este punto, el análisis de las circunstancias que rodean un rubro o mercado, sus vulnerabilidades y deficiencias es fundamental pues, carece de sentido, poner a tratar datos biométricos a algunas empresas que no son capaces de custodiar ni siquiera números telefónicos asociados a nombres.

Carece de sentido práctico pues lo que se intenta resolver es un problema legal (la contratación fraudulenta sin consentimiento) y la protección de la información de los clientes (nombres y números telefónicos usados en esas operaciones) poniendo a las mismas empresas que no pudieron proteger sus datos a tratar datos biométricos.

Con ello, la resolución exenta traslada el costo de la solución del problema a los clientes y empresas; y queda todavía por profundizar en las funciones de control, prevención de las actividades delictivas que afectan a estas empresas. (Santiago, 12 de febrero de 2025)

 

[1] Respecto de la actuación a través de tercero se aplican las reglas generales y algunos requisitos especiales de conformidad al Artículo 3° de la misma resolución.

[2] Sobre la entrega de equipos, en particular, véase el Artículo 4º de la misma resolución.

[3] Sobre la activación de tarjetas SIM, en particular, véase el Artículo 5º de la misma resolución.

[4] De hecho, sobre este tema, véase el Artículo 6º de la resolución.

[5] Diario Constitucional, Nueva Ley de Tratamiento y Protección de Datos Personales: La cuestión sobre las huellas digitales y control de asistencia, disponible en https://www.diarioconstitucional.cl/articulos/nueva-ley-de-tratamiento-y-proteccion-de-datos-personales-la-cuestion-sobre-las-huellas-digitales-y-control-de-asistencia/#reply-title

[6] En términos generales y con independencia de las demás reglas sobre vacancia en la ley.

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *