• Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional
  • Diario Constitucional

Diario Constitucional Diario Constitucional

Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional Diario Constitucional
Jueves 30 de Enero de 2025

Artículos de Opinión

Renato Jijena

Responsables y encargados de tratamiento de datos personales: deberes y obligaciones de las empresas de cobranzas.

La empresa funciona “…como una intermediaria entre el acreedor y el deudor, es decir, que no tiene la titularidad de la deuda, sino que intercede en nombre de la empresa acreedora para poder cobrar al deudor”. Y esto legitima -cabalmente- que las empresas de cobranza tengan acceso a los datos personales de los deudores, porque entre ellas y las empresas acreedoras deberá existir un contrato de prestación de servicios específico para operar como un encargado del tratamiento de las empresas acreedoras.

1. A modo de introducción, la relación entre lo que legalmente al tenor de la Ley N°19.628 es un responsable de bases o bancos de datos personales, el que toma las decisiones sobre ellos, y su mandatario o encargado de tratamiento en diversos ámbitos y para tareas concretas, está abierta y requiere análisis jurídico. Una arista es la que se abre cuando lo mandatado o encargado de tratar son datos biométricos como huellas dactilares[i]; otra, cuando se usan los sistemas ya generalizados de almacenamiento “en la nube” o el cloud de Internet[ii]; y una tercera, la que se genera cuando se encargan cobranzas de deudas impagas, judicial o extrajudicialmente, a un tercero.

2. Aunque de hecho o en derecho se aplica a la información sobre las personas “jurídicas”, por ejemplo para hacer perfiles o scoring (artículo 13/19.628) o para comunicarla por un lapso máximo de 5 años al sistema de información comercial (18/19.628), y aunque toda referencia en la Ley 19.496 a “consumidores” incluye a las empresas, aún no existe unanimidad de criterios jurisprudenciales sobre el alcance de la Ley 19.628. Con todo, los representantes legales de las personas jurídicas morosas en cobranza extrajudicial o eventualmente demandadas son personas naturales, sus antecedentes nominativos y todas las bases de datos de los call center son tutelables en sede de PDP.

Toda la información personal que pueda llegar a gestionarse de la persona afectada o deudor, sobre todo cuando dichos datos se ceden o comunican a terceros como las empresas de gestión de cobro (o también a los burós de insolvencia patrimonial y crédito) será un tratamiento de DP regido por la ley.

3. Sobre los roles en materia de DP: concurren los responsables del tratamiento, titulares y mandantes[iii] y los “encargados” o empresas de cobranza, los mandatarios. Los clientes de las empresas de cobranza (acreedores) son responsables del tratamiento; y sólo un artículo de la ley vigente (el octavo) admite la existencia de mandatarios[iv], que serían las empresas de cobranza, o las de marketing o las de servicios de cloud. Entre ambos, se debe celebrar un contrato ad hoc y obligatorio de encargo de tratamiento de DP, que puede resultar de compleja redacción.

En la ley vigente no se define lo que es un encargado, y en el texto que la reemplaza o modifica se le conceptualiza como tercero mandatario o encargado, para aludir a la persona natural o jurídica que trate datos personales, por cuenta del responsable de datos[v]. Esto legitima que la empresa funcione “…como una intermediaria entre el acreedor y el deudor, es decir, que no tiene la titularidad de la deuda, sino que intercede en nombre de la empresa acreedora para poder cobrar al deudor”. Y esto legitima -cabalmente- que las empresas de cobranza tengan acceso a los datos personales de los deudores, porque entre ellas y las empresas acreedoras deberá existir un contrato de prestación de servicios específico para operar como un encargado del tratamiento de las empresas acreedoras.

La distinción determina quién responde del cumplimiento de las distintas normas relativas a la protección de datos y cómo pueden los titulares ejercer sus derechos en la práctica, y se usa para asignar responsabilidades en virtud de la función que desempeña cada una de las partes. Así, un titular (deudor) cuyos datos se pierden o usan de mala forma puede accionar directamente contra el encargado.

4. El deudor afectado siempre tiene el derecho de saber cuándo y a quién se transfieren sus datos personales con motivo de una deuda. Un deudor puede alegar que por error se le está reclamando una deuda que no es suya, y podrá presentar un derecho de acceso/supresión ante la futura Agencia de PD. Hoy sólo puede solicitarlo judicialmente[vi]. La supresión o rectificación de los datos personales debe hacerse inicialmente mediante escrito dirigido al responsable del tratamiento de la entidad de que se trate, o indistintamente ante el encargado[vii].

5. En cuanto a la concreta relación contractual entre el responsable y el encargado del tratamiento, se considera como idóneo en sede de PDP: (i) que el responsable solo debe elegir encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas de seguridad apropiadas; (ii) que deben tenerse en cuenta el conocimiento especializado del encargado del tratamiento; (iii) que todo tratamiento por un encargado debe regirse por un contrato u otro acto jurídico, que deberá formalizarse por escrito; y, (iv) que responsable y encargado pueden negociar su propio contrato, incluidos todos los elementos obligatorios, o utilizar, total o parcialmente, cláusulas contractuales tipo pero incluyendo información más específica y concreta sobre el modo en que se satisfarán los requisitos y el grado de seguridad que se precisará para el tratamiento objeto del contrato.

6. Y en materia de causales de legitimación del tratamiento de DP, legalmente en Chile son sólo dos: el consentimiento del titular o la ley. En el primer caso, el titular accede a que sus datos sean tratados; en el segundo, el legislador ha determinado que los datos pueden ser tratados con independencia de la voluntad del titular. Un acreedor impago acciona en contra de sus deudores comercialmente, y ello conlleva el tratamiento de sus datos personales; si lo hace mediante empresas de cobranzas, estas no cuestionan la legitimación de su cliente o mandante. Invocar el argumento de que es data “proveniente de fuentes públicas” y exenta de la necesidad de autorización hoy es posible por la ambigüedad del término (sería todo lo no reservado o secreto); la ley modificada lo restringe.

Así, la base legitimadora para el tratamiento de datos personales por parte de las empresas de cobranzas sería además el contrato de prestación de servicios firmados entre ellas y las empresas acreedoras. De ser cobranza extrajudicial, atendible resulta invocar una causal legal, el artículo 37 de la ley 19.496[viii]. La ley 19.496 menciona los datos personales en su artículo 37, en materia de cobranza extrajudicial de créditos que se otorgan directamente al consumidor, cuando dispone que se indicará si el proveedor la realizará directamente o por medio de terceros y, en este último caso, se identificarán los encargados, los horarios en que se efectuará y la eventual información sobre ella (mora e insolvencia) que podrá proporcionarse (comunicarse) a terceros de conformidad (al Título III) de la ley Nº19.628, sobre protección de datos de carácter personal. (Santiago, 15 de julio de 2024)

 

[i] https://www.diarioconstitucional.cl/articulos/responsables-y-encargados-del-tratamiento-de-dp-biometricos-huellas-dactilares-la-necesaria-fiscalizacion-frente-a-consentimientos-obligatorios-no-libres-y-para-fines-no-exclusivos/

[ii] https://www.diarioconstitucional.cl/articulos/seguridad-y-ciberseguridad-en-cloud-computing-tambien-un-problema-de-proteccion-de-datos-personales-pdp-y-derechos-fundamentales/#goog_rewarded

[iii] En la ley vigente de Chile hasta el año 2026, es responsable del registro o banco de datos, la persona natural o jurídica privada, a quien compete las decisiones relacionadas con el tratamiento de los datos de carácter personal; en el proyecto modificatorio se le define como toda persona natural o jurídica, pública o privada, que decide acerca de los fines y medios del tratamiento de datos personales, con independencia de si los datos son tratados directamente por ella o a través de un tercero mandatario o encargado.

[iv] Artículo 8°: en el caso de que el tratamiento de datos personales se efectúe por mandato, se aplicarán las reglas generales. El mandato deberá ser otorgado por escrito, dejando especial constancia de las condiciones de la utilización de los datos. El mandatario deberá respetar esas estipulaciones en el cumplimiento de su encargo.

[v] Si se almacenan o procesan datos o información sobre personas naturales siguiendo las instrucciones de quien toma las decisiones sobre los fines y los medios en los que los datos son procesados, estamos en presencia de un mandatario o “encargado” de la actividad de tratamiento.

[vi] Artículo 16 Ley 19.628.

[vii] “…El ejercicio del derecho de supresión o rectificación es personalísimo, lo que significa que el titular de los datos personalmente deberá dirigirse a dicha entidad utilizando cualquier medio que permita acreditar el envío y la recogida de su solicitud (correo ordinario, certificado o no, e-mail….), para el ejercicio de sus derechos”.

[viii] “Entre las modalidades y procedimientos de la cobranza extrajudicial se indicará si el proveedor la realizará directamente o por medio de terceros y, en este último caso, se identificarán los encargados…”.

Agregue su comentario

Agregue su Comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *