1. En Chile, en paralelo a la ley N°19.628, los datos biométricos son un derecho constitucional, un atributo de la personalidad y forman parte de un patrimonio moral. Ergo, son intransmisibles o cedibles entre vivos –que los recopilan- e intransferibles por causa de muerte. Ello no es visto así por clínicas de salud, tiendas de retail, empresas de telefonía, gimnasios, bancos, recintos deportivos, administraciones de edificios y otros, donde además del (i) “deme su RUT” el (ii) “ponga su huella” o el (iii) “mire la cámara” son un estándar cotidiano.

La práctica instalada de hecho en Chile debe ser auditada, porque, por su mal diseño, en sede de protección de datos personales no cumple el principio de finalidad única, es desproporcionada, no ofrece alternativas de autenticación y el consentimiento del titular y consumidor es desinformado, …salvo que se crea que “lo acordado y consentido” con una tercera empresa, mandataria o encargada de tratamiento (no sólo con el responsable que quiere autenticar la identidad del que pone la huella sobre el lector), porque existe un texto en el lector que captura la huella es válido, a pesar de extenderse en forma independiente y separada[i].

2. El punto es hasta donde llega jurídica y comercialmente el simple hecho de que el titular quiera entrar a un edificio, entrar a un gimnasio, comprar un celular, cobrar un vale vista en un banco o asistir a una hora médica. Y si la lectura y captura de un dato personal, sensible y biométrico es el camino idóneo. La respuesta es lejos, muy lejos, más allá del simple hecho de su autenticación mediante la captura de su huella dactilar. Años atrás bastaba mostrar la cédula de identidad; si eso fuera poco seguro, se puede cotejar la huella leída contra la del carnet (así lo hace un banco de la plaza) o contra la base de datos del Servicio de Registro Civil (así lo hace el Banco Estado), pero sin capturarla, indexarla y almacenarla con fines adicionales

Hoy, el titular y consumidor es obligado y sin alternativa idónea a consentir el tratamiento, lo hace con fines adicionales no deseados, se le obliga a celebrar contratos adicionales con los encargados de tratamiento que no tiene a la vista (contrata sin saber y forzadamente), debe permitir la consulta de sus antecedentes previsionales cuando sólo va a cobrar un vale vista, e incluso  –porque se explicita- consiente en quedar indexado en una base de datos de una empresa dedicada a la verificación de identidades.

¿Opciones alternativas ofrecidas por el responsable del tratamiento?: si se hace el ejercicio de, minutos antes de entrar a una consulta médica, negarse a la lectura y captura de la huella, al consumidor y titular se le indica que “vaya a la Isapre, compre un bono y vuelva otro día”, lo que es inviable si necesita con urgencia atenderse por un oncólogo porque está en tratamiento de cáncer y la inmunoterapia lo tiene en mal estado de salud. Es simple: la materia prima de un negocio de terceros no pueden ser datos personales sensibles y biométricos obtenidos con sólo una apariencia de legalidad.

¿Pueden las personas autorizar o consentir el uso de sus propios datos personales bajo esta modalidad; se almacenarán confidencialmente y con altos estándares de seguridad, en Chile; se usarán sólo para los fines declarados; cuál será el contenido del contrato de “encargo de tratamiento”; quién fiscaliza la legalidad del sistema?.

3. En base a la ley vigente, la persona que autoriza debe ser debidamente informada respecto del propósito único (léase de la finalidad) del almacenamiento de sus datos personales y su posible comunicación al público, y la persona que es obligada a marcar con su huella dactilar, sin ninguna opción alternativa, en un lector, no lo hace libremente ni en forma debidamente informada. Las leyendas escritas en los lectores de huellas son prolíficas en contenidos, pero aluden a un consentimiento que se le da al tercero encargado de la captura y no a la clínica, al estadio, al edificio, al banco o al gimnasio que busca autenticar al titular, y esto ya es un gran error jurídico y una práctica o un tratamiento de datos personales desproporcionado y por ende deslegitimado[ii].

4. Si la finalidad es sólo autenticar una identidad, ¿porque se le permite a la empresa contratada por el beneficiario de la autenticación (y responsable de tratamiento) para disponibilizar los lectores, en base a una simple anotación en el dispositivo lector (que mal informa y que no se pide leer al estar frente al mesón), que luego almacene las huellas dactilares en sus propias bases de datos, de manera tal de prestar a otros clientes -comerciales- también servicios de autenticación usando la materia prima capturada?; ¿será una cesión de datos personales sensibles, que en derecho no es válida?; ¿si la única finalidad de la captura de la huella es que la clínica, el banco o el gimnasio verifiquen la identidad del titular que va al doctor, realiza un trámite bancario o va a entrenar, porqué se alude a un mandato (en favor de la empresa encargada del tratamiento) para posteriormente solicitar las cotizaciones previsionales del paciente, del cliente bancario o del consumidor que entrena?[iii].

5. Tanto en Chile como en el extranjero, se cuestiona la práctica comercial de una empresa que, directamente como responsable de datos, permuta -no hay venta, no hay propiamente un pago- la captura de un dato personal, biométrico, sensible o especialmente protegido como el iris ocular, por criptoactivos –que además no son monedas de curso legal-. La segunda oferta, es la de proveerles a los usuarios, consumidores, titulares y propietarios de los datos que se registran en el sistema la creación de un perfil o de credenciales de identidad digital para operar en Internet, lo que de hecho genera un posible monopolio convencional y mundial de identidades. Fue alguna vez la aspiración de Bill Gates y su “Microsoft Net”.

Para el año 2026 una nueva Agencia de Protección de Datos conocerá de posibles reclamos o faltas, de la ley que no permite que cualquier modalidad de consentimiento sea una causal de legitimación para la cesión/tratamiento del iris y también de huellas dactilares. Algo podría hacer en la banca la CMF. Desde ya, el Sernac, que tenía facultades legales expresas (a pesar de la mala Política Pública de triplicar fiscalizadores, porque se agrega la CMF para la banca y empresas Fintech), asumió la defensa de oficio de los consumidores cuyo iris está siendo recopilado. El órgano del consumo opera, buscando fiscalizar la protección de datos personales sólo en el marco de las relaciones de consumo y a la manera de una “mini” Autoridad de Datos, validándose y apuntando a proteger intereses colectivos de los consumidores, evaluando –en terreno- cómo se informa a los usuarios del proceso de escaneo, y consultando sobre el uso que –se declara- se dará a los datos biométricos recopilados y sobre las medidas de resguardo para proteger la integridad y confidencialidad de los mismos.

6. Se esperaría que la gestión fiscalizadora se extendiera, entonces, a la brevedad y más allá de la novedad de WorldCoin, a aquellos otros responsables y recopiladores, mandatarios, procesadores o encargados de datos biométricos/huellas dactilares, especialmente porque operan únicamente con fines de lucro. Se trata de la práctica instalada desde hace años de externalizar o encargar el procesamiento de datos, supuestamente para el único fin de la autenticación de la identidad del titular, a terceras empresas tecnológicas especializadas, siempre como un negocio asociado. Y cabría concluirse que el estándar, incluso con la ley N° 19.628 vigente, a no conversa jurídicamente con un consentimiento idóneo, con una información debida y con una finalidad concreta.

7. Abona el cambio que la autorización aprobada para la ley N° 19.628 modificada, establece expresamente que el consentimiento del titular deberá ser “libre”, “informado” y “específico en cuanto a su finalidad o finalidades”; deberá manifestarse en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante “un acto afirmativo que dé cuenta con claridad de la voluntad del titular”. Y se agrega que tratamiento de los datos personales sensibles “solo puede realizarse cuando el titular a quien conciernen estos datos manifiesta su consentimiento en forma expresa”.

En el Párrafo Primero del Título II de la modificación en curso, el artículo 12 regula la regla general del tratamiento de datos, y señala que “es lícito el tratamiento de los datos personales que le conciernen al titular, cuando otorgue su consentimiento para ello”. En cuanto a requisitos, dispone que el consentimiento del titular debe ser libre, informado y específico en cuanto a su finalidad o finalidades; que debe manifestarse, además, en forma previa y de manera inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular.

Agrega que el titular puede revocar el consentimiento otorgado en cualquier momento y sin expresión de causa, utilizando medios similares o equivalentes a los empleados para su otorgamiento, y que dicha revocación no tendrá efectos retroactivos. Exige que “los medios utilizados para el otorgamiento o la revocación del consentimiento” deben ser expeditos, fidedignos, gratuitos y estar permanentemente disponibles para el titular, y presume que el consentimiento para tratar datos no ha sido libremente otorgado cuando el responsable lo recaba en el marco de la ejecución de un contrato o la prestación de un servicio en que no es necesario efectuar esa recolección.

8. Pero con la ley vigente debidamente aplicada es dable exigir los mismos requisitos y el Sernac debiera fiscalizarlo desde ya, especialmente para frenar la desproporcionalidad del tratamiento y el beneficio comercial que mal legitima un titular, obligado y forzado a consentir en el tratamiento al posicionar una huella dactilar[iv]. El sólo debía autenticarse, ya no con la simple muestra del carné, y termina siendo la materia prima de un negocio paralelo del cual tampoco es debidamente informado. (Santiago, 5 de junio de 2024)

[i] Para ejemplos de información apegada a derecho léase el aviso insertado al final de esta columna.

[ii] Es desproporcionado además que el titular y consumidor asuma posteriormente a la captura de la huella la carga procesal de tener que mandar correos electrónicos pidiendo ser removido o solicitando conocer contratos. Es el equivalente al output de los spammers, y no el input exigible. Y es dudoso que “la señora Juanita” a la salida de la consulta médica se ocupe de mandar un correo exigiendo la remoción.

[iii] Se agrega que al pedírsele posteriormente la remoción ni siquiera hay un acuse de recibo del email.

[iv] Otra línea de objeción a la legalidad del consentimiento es la cita reiterada de la Ley 19.799, de su artículo segundo, como si la norma validara la mera autenticación de identidades. No es así, de modo alguno, porque sólo es una ley de firmado de documentos electrónicos, que abre la opción de que el enviarse aquel a un receptor no se tenga que usar sólo certificados digitales criptográficos o de PKI. Pero este tema específico, y la ilegalidad de las funciones en sede de biometría de la Subsecretaría de Economía, demanda una futura segunda parte.