Se entiende por consumidores a las personas naturales que actúan de forma ajena a su actividad comercial, empresarial, oficio o profesión; más concretamente, se alude a un “consumidor” cuando se habla de la adquisición de bienes y a un “usuario” cuando se predica sobre la contratación de servicios. Son consumidores, ahora para la Ley N°19.496, las personas naturales o jurídicas que, en virtud de cualquier acto jurídico oneroso, adquieran, utilicen o disfruten, como destinatarios finales, bienes o servicios. En esencia, ellas poseen (i) un derecho a una información veraz y oportuna sobre los bienes y servicios ofrecidos, su precio, condiciones de contratación y otras características relevantes, y (ii) el deber de informarse responsablemente de ellos.
Nos convoca ahora otra perspectiva. En el contexto de las relaciones comerciales y jurídicas entre proveedores o prestadores de servicios y sus clientes o consumidores, un elemento esencial es el tratamiento de información nominativa o de los datos personales que –sea a través de un sitio web de comercio electrónico B2C o no- identifican o hacen identificable a dicho consumidor, y desde el año 2018 lo tratado o procesado es –antes que nada- el Derecho Fundamental a la Protección de Datos Personales, autónomo, diverso e independiente de la vida privada o privacidad y consagrado en el artículo 19/4 de la CPR. Al margen de las exigencias legales locales, y de los criterios interpretativos que ha formulado el SERNAC, para Chile se trata de exigencias internacionales de la OCDE.
Que se traten los datos personales de los consumidores significa, desde una perspectiva muy amplia, que se subsumen en la Institucionalidad de la Protección de Datos Personales todas las operaciones que realice un proveedor o un prestador de servicios con la información de sus clientes referidas a –y es una referencia “numerus apertus”- cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.
Acá entonces se regulan prácticas comerciales como las cesiones de bases de datos entre proveedores o los encargos a empresas externas de cobranzas, que desde el año 2021 son ámbitos fiscalizables, o por el SERNAC o por los propios clientes en sede judicial y mediante el ejercicio del Derecho de Acceso del artículo 12 de la Ley N°19.628.
Se agrega además que todo proveedor o prestador –por ejemplo el de las empresas del nuevo mercado Fintec que ha regulado la Ley N°21.521[i]– es también un Responsable de Tratamiento de datos personales, y por ende deben cumplir –desde ya- las normas, las exigencias y los deberes de la Ley N°19.628 vigente. Ello se traduce, esencialmente o por ejemplo, en que deberán respetar las finalidad declarada el recopilar los datos de los clientes (actual artículo 9°), a que deberán garantizar la confidencialidad de la información de los mismos (actual artículo 7°), y, muy especialmente y para evitarse las llamadas brechas de seguridad o data breach, a que deberán ser diligentes para que el tratamiento o procesamiento sea con estándares idóneos de seguridad (actual artículo 11°).
1. Las facultades y los criterios de fiscalización del SERNAC derivadas de la Ley Pro Consumidor N°21.320 del año 2021. Mediante una norma legal con medidas para incentivar la protección de los derechos de los consumidores, y bajo la necesidad legislativa -declarada-, de que no exista duda interpretativa acerca de la competencia para interponerse acciones colectivas o aplicarse la ley 19.496 cuando esté comprometido el interés colectivo sobre datos personales de los consumidores, se aprobaron, (i) fuera del contexto de la Ley N°19.628 -que una vez modificada tendrá una Autoridad de Control propia-, y (ii) sin los mecanismos de sanciones administrativas directas que deben gravar a proveedores y prestadores de servicios que no cumplan con ella, normas propias de una ley de protección de datos. Lo claro es que el SERNAC ya es una Autoridad Fiscalizadora y por ende ha dictado Circulares Interpretativas y puede determinar –cabalmente- si se da o no cumplimiento a lo dispuesto en la Ley N° 19.628 respecto de la protección de datos personales, particularmente en la recolección y tratamiento de datos personales a través de plataformas online.
2. Los términos generales o condiciones de uso y las políticas de tratamiento de datos personales on line. Si nos situamos en el contexto de las relaciones comerciales y jurídicas entre proveedores o prestadores de servicios y sus clientes o consumidores, en concreto materializadas a través de un sitio web de comercio electrónico B2C, existe la creencia errada de que lo regulado como parte de los Términos de Uso o en un documento separado llamado “Política de Privacidad” es la normativa contractual que aplica el tema. Olvidándose que es una materia regida por una Ley de Orden Público Económico irrenunciable, la experiencia profesional de revisarlas y redactarlas muestra que los proveedores y prestadores de servicios creen que pueden contemplarse amplísimas autorizaciones de tratamiento de datos de los clientes, olvidando –por ejemplo- la necesidad de consentimientos explícitos, expresos, específicos e informados.
3. Elaboración de perfiles con la información nominativa de los consumidores. Si bien es cierto se trata de una práctica recurrente, quizás la más utilizada cuando con la información de los clientes se realizan prácticas comerciales de merketing directo; y si además es permitida por el artículo 2° letra o) de la Ley N°19.628, el warning que debe tenerse presente son las restricciones que al efecto contemplará la nueva ley ad hoc, actualmente en segundo trámite constitucional. De hecho, como norma general y salvo la concurrencia de circunstancias específicas y excepcionales, no se podrán realizar cruces de información nominativa o perfiles con la información de los clientes.
4. Responsables y encargados de tratamiento de datos personales en materia de cobranzas extrajudiciales. Establece el artículo 37 de la Ley N°19.496 que entre las diversas modalidades y procedimientos de cobranza extrajudicial a clientes incumplidores, se indicará siempre si el proveedor la realizará directamente o por medio de terceros que serán sus mandatarios y, en este último caso, se identificarán los encargados de hacerlo, los horarios en que se efectuará y la eventual información sobre ella que podrá proporcionarse a terceros, “de conformidad a la ley Nº19.628 sobre protección de los datos de carácter personal”.
Esta referencia no es pasiva, y para que un proveedor o prestador de servicios la asuma en propiedad requiere desarrollos jurídico contractuales. Los llamados contratos de encargado de tratamientos, una modalidad nueva y que será obligatoria en Chile cuando se aprueben las modificaciones en curso a la Ley N°19.628, pero que hoy se subsumen en las categorías de mandante-mandatarios, tienen la complejidad –por ejemplo- (i) de que sean bien estipuladas las responsabilidades de quien encarga y de quien asume el encargo, (ii) de tener que aclararse que quien recibe el encargo no es cesionario de las bases de datos de los clientes y –eventualmente- (iii) de definirse con claridad la posibilidad de que estemos ante un corresponsable de tratamiento de datos personales de los clientes.
De cara a las empresas que realicen como encargados de tratamiento la cobranza extrajudicial, así como también los proveedores de créditos que efectúen procesos de cobro, al iniciarse una gestión prejudicial destinada a la obtención del pago de la deuda nunca deberán informar y/o mencionar al deudor en la comunicación que le entreguen acerca de eventuales consecuencias de procedimientos judiciales que no se hayan iniciado o relacionadas a los registros o bancos de datos de información de carácter económico, financiero o comercial -a que alude el Título III de la Ley N°19.628-, debiendo indicarse expresamente además que la cobranza no es un procedimiento que persiga la ejecución de los bienes del deudor.
5. Responsables de tratamiento de datos personales de los consumidores en el mercado Fintech. Jurídicamente todas las empresas Fintec son proveedores o prestadores de servicios y todos sus clientes son consumidores. Estos además deberán ser visualizados como aquellos del especial tipo calificados como “financieros” una vez que aquellas sean formalmente objeto de tutela o fiscalización; hay que aludir para ser precisos a una doble supervisión la verdad, la del SERNAC –que hoy se aplica porque las empresas Fintec están realizando B2C conforme a la Ley del consumidor y al Reglamento de Comercio Electrónico del año 2021 – y la ahora de competencia de la CMF. Incluso cabe aludirse a una futura triple supervisión, en la medida que en Chile exista además una Agencia de Protección de Datos personales y porque las empresas del mercado son “per se” responsables de tratamiento de datos personales.
Tampoco cabe duda que las empresas Fintec son legalmente responsables de tratamiento de datos personales, diversas de las instituciones financieras a las que eventualmente intermedian en sus relaciones con clientes y/o consumidores por ejemplo con la iniciación de pagos (y de quienes podrían incluso ser encargados o corresponsables del tratamiento de la información nominativa, dependiendo de las circunstancias concretas del modelo de negocio desarrollado) y que, cuando los clientes sean sólo personas naturales y no empresas o Pymes, se les aplica todo el andamiaje institucional de responsabilidades contenido en la Ley N°19.628.
El hecho de agregar interfaces o APIs que técnicamente son seguras o de la existencia de nuevos intermediadores entre la banca y los consumidores reclamaban del derecho la habilitación legal especial -bajo exigencias de confidencialidad- o la determinación de responsabilidades -con seguridad y certeza jurídica- de los operadores o prestadores de servicios financieros on line, sin que dejen de ser aplicables –plenamente- las normas generales de la Ley 19.496 y las Circulares interpretativas vigentes del Servicio Nacional del Consumidor para la prestación de servicios a los consumidores. Ninguna duda cabe en cuanto a que también son o serán temas de la competencia de la Autoridad reguladora y fiscalizadora, en Chile el Servicio Nacional del Consumidor (el SERNAC)[ii]. (Santiago, 17 de mayo de 2023)
[i] Véase la URL https://www.bcn.cl/leychile/navegar?idNorma=1187323
[ii] Y así por ejemplo, por tratarse de transacciones on line y en virtud del artículo 3º bis de la Ley 19.496, usando los mismos medios que empleó para celebrar el contrato el consumidor financiero que contrate con las empresas Fintec puede (desde el año 2004) poner término unilateralmente al contrato en un plazo de 10 días, contados desde la recepción del producto o desde la contratación del servicio y antes de la prestación del mismo en un caso determinado, el de los contratos Fintec. O además, en virtud de lo establecido en el artículo 12 A y por tratarse de un contrato electrónico y por ser de aquellos de adhesión en que se aceptare una oferta realizada a través de catálogos, avisos o cualquier otra forma de comunicación a distancia, el consentimiento no se entenderá formado si el consumidor no ha tenido previamente un acceso claro, comprensible e inequívoco de las condiciones generales del mismo y la posibilidad de almacenarlos o imprimirlos. Adicionalmente, la sola visita del sitio o de la plataforma de la empresa Fintec donde se ofrezca el acceso a determinados servicios por regla general no impondrá al consumidor obligación alguna, a menos que haya aceptado en forma inequívoca las condiciones ofrecidas por el proveedor.
Are there any ongoing discussions or proposals within the Chilean legislative system to further enhance the protection of personal data in consumer transactions?