Acuerdo núm. S/N, publicado el 14 de Septiembre de 2011. RECOMENDACIONES DEL CONSEJO PARA LA TRANSPARENCIA SOBRE PROTECCIÓN DE DATOS PERSONALES POR PARTE DE LOS ÓRGANOS DE LA ADMINISTRACIÓN DEL ESTADO
Publicado en | Diario Oficial |
Emisor | CONSEJO PARA LA TRANSPARENCIA |
Rango de Ley | Acuerdo |
RECOMENDACIONES DEL CONSEJO PARA LA TRANSPARENCIA SOBRE PROTECCIÓN DE DATOS PERSONALES POR PARTE DE LOS ÓRGANOS DE LA ADMINISTRACIÓN DEL ESTADO
Certifico que el Consejo Directivo del Consejo para la Transparencia, en adelante el Consejo, en su sesión N° 278, de 31 de agosto de 2011, en ejercicio de la atribución que le confiere el artículo 33 m) de la Ley de Transparencia de la Función Pública y de Acceso a la Información de la Administración del Estado, aprobada por el artículo primero de la ley N° 20.285, de 2008, en adelante Ley de Transparencia, consistente en velar por el debido cumplimiento de la ley N° 19.628, de protección de datos de carácter personal, por parte de los órganos de la Administración del Estado, adoptó el siguiente acuerdo:
"I.- Recomendaciones sobre Protección de Datos Personales por parte de los órganos de la Administración del Estado
Considerando:
-
Que la protección de datos personales, amparada en nuestra legislación en la ley N° 19.628, tiene por finalidad asegurar a las personas un espacio de control sobre su identidad y de libre manifestación de su personalidad, lo que presupone, en las condiciones modernas de elaboración y gestión de la información, la protección contra la recogida, el almacenamiento, la utilización y la transmisión ilimitados de los datos concernientes a su persona, es decir, el derecho a la autodeterminación informativa.
-
Que en el último tiempo han quedado en evidencia casos de accesos ilegales a registros administrados por órganos del Estado respecto de datos personales y sensibles de los ciudadanos, desconociéndose la protección que otorga la ley antes señalada. Por lo anteriormente expuesto, el Consejo para la Transparencia estima necesario contribuir a elevar los estándares de protección de los datos personales en poder de los órganos de la Administración del Estado a fin de asegurar los derechos que la ley reconoce a los titulares de los mismos.
-
Que, en esta materia, la letra m) del artículo 33 de la Ley de Transparencia, faculta al Consejo para velar por el debido cumplimiento de la ley N° 19.628, sobre protección de datos de carácter personal, por parte de los órganos de la Administración del Estado, y en la letra j), para velar por la debida reserva de los datos e informaciones que conforme a la Constitución y la ley tengan el carácter de secreto y reservado. Ambas disposiciones exigen, en consecuencia, una atenta observancia de la aplicación que los órganos públicos realicen de las disposiciones de la ley N° 19.628, ya sea mediante la resolución de casos particulares o la dictación de recomendaciones.
-
Que desde la entrada en vigencia de la Ley de Transparencia, este Consejo, conociendo de reclamos por incumplimiento de los deberes de transparencia activa y de amparos por denegación de acceso a la información, se ha visto en la necesidad de ponderar este derecho fundamental con la protección de datos personales, lo que ha generado una abundante jurisprudencia al respecto.
-
Que, en virtud de la experiencia acumulada y en ejercicio de lo dispuesto en los literales m) y j) del artículo 33 de la Ley de Transparencia, se ha estimado conveniente proponer una serie de buenas prácticas complementarias de las normas obligatorias contenidas en la ley Nº 19.628, las que, en su carácter de recomendaciones, tendrán por objeto facilitar la comprensión y orientar para un mejor cumplimiento de las obligaciones que esta norma legal impone a los órganos de la Administración del Estado en materia de protección de datos personales. De esta forma, el presente instrumento normativo recogerá en su texto las obligaciones que dispone la ley y las complementará con orientaciones que faciliten su cumplimiento homogéneo por parte de la Administración.
Por tanto, el Consejo Directivo acuerda dictar las siguientes Recomendaciones:
-
Objeto de las Recomendaciones
Las presentes Recomendaciones tienen por objeto establecer orientaciones respecto de los criterios jurídicos aplicables por los órganos de la Administración del Estado en el tratamiento de datos de carácter personal que obren en su poder, a fin de dar cumplimiento a las obligaciones y limitaciones dispuestas por la ley Nº 19.628, garantizar a las personas el derecho a la protección de los datos de carácter personal y asegurar el debido manejo de los registros o bancos de datos personales que sean necesarios para el ejercicio de sus competencias.
-
Ámbito de aplicación de las Recomendaciones
Las Recomendaciones serán aplicables al tratamiento de datos de carácter personal que efectúen los órganos de la Administración del Estado, entendiendo por tales los comprendidos en el inciso primero del artículo 2º de la Ley de Transparencia.
Las presentes Recomendaciones no serán aplicables a los tratamientos de datos de personas jurídicas, ni al tratamiento de datos de personas fallecidas.
-
Definiciones previas
Para efectos de la aplicación de estas Recomendaciones deberán considerarse las definiciones contenidas en el artículo 2° de la ley N° 19.628, de 1999, sobre Protección de la Vida Privada, y, especialmente, se entenderá por:
3.1. Datos de carácter personal o datos personales, los
relativos a cualquier información concerniente a
personas naturales, identificadas o
identificables, sea que se trate de información
numérica, alfabética, gráfica, fotográfica,
acústica o de cualquier otro tipo.
Por tanto, los elementos básicos de la definición
son:
i. Debe tratarse de información relativa a una
persona, siendo indiferente la naturaleza del
dato, antecedente o hecho de que se trate.
ii. Debe tratarse de información que permita
identificar al titular. Se entiende para
estos efectos por identificable toda persona
cuya identidad pueda determinarse, directa o
indirectamente, por ejemplo, mediante un
número de identificación o uno o varios
elementos específicos característicos de su
identidad física, fisiológica, psíquica,
económica, cultural o social (por ejemplo:
RUT o RUN, número de cuenta corriente
bancaria, domicilio, número telefónico,
etc.). No se considerará identificable si es
necesario realizar actividades
desproporcionadas o en plazos excesivos. En
este último caso el elemento determinante
será el tipo de esfuerzo que se realiza para
lograr la identificación de una persona.
iii. El titular sólo puede ser una persona
natural.
Quedan comprendidos dentro de esta
definición, independiente del soporte en que
se encuentren, datos tales como: nombre,
edad, sexo, rol único tributario o rol único
nacional, estado civil, profesión, domicilio,
números telefónicos, dirección postal, etc.
3.2. Datos sensibles, aquellos datos personales que se
refieren a las características físicas o morales de
las personas o a hechos o circunstancias de su vida
privada o intimidad, tales como los hábitos
personales, el origen racial, las ideologías y
opiniones políticas, las creencias o convicciones
religiosas, los estados de salud físicos o
psíquicos y la vida sexual. Estos datos deberán ser
especialmente protegidos adoptando las medidas de
seguridad que correspondan.
3.3. Registro o banco de datos, el conjunto organizado
de datos de carácter personal, sea automatizado o
no y cualquiera sea la forma o modalidad de su
creación u organización, que permita relacionar los
datos entre sí, así como realizar todo tipo de
tratamiento de datos. Por ejemplo, se pueden
mencionar: los registros de personal de una
institución, los de datos de clientes, los de datos
de beneficiarios de subsidios, los de proveedores,
un documento o tabla Excel en el que se incluyan
distintos nombres y direcciones de participantes de
un evento, un conjunto de currículos en formato
digital insertos en una carpeta catalogados por
nombre, etc.
Por tanto, los registros de datos podrán
clasificarse en:
i. Registro automatizado: todo conjunto
organizado de datos de carácter personal que
para su tratamiento han sido o están sujetos
al uso de la informática y que, por ende,
requieren de una herramienta tecnológica
específica, como por ejemplo un procesador de
texto o de cálculo, para su acceso,
recuperación o tratamiento.
ii. Registro no automatizado: todo conjunto de
datos de carácter personal organizado de forma
manual, contenido en registros manuales,
impresos, sonoros, magnéticos, visuales u
holográficos, y estructurado conforme a
criterios específicos relativos a personas
físicas que permitan acceder sin esfuerzos
desproporcionados a sus datos personales. Será
en este caso fundamental para su clasificación
atender al criterio de estructuración a través
del cual se puede acceder al dato, como podría
ser el nombre, RUT o RUN, la fecha de
nacimiento, etc.
3.4. Responsable del registro o banco de datos, el
organismo público, de los definidos en el numeral 2
de estas Recomendaciones, a quien competen las
decisiones relacionadas con el tratamiento de los
datos de carácter personal. Por tanto, lo que
caracteriza al responsable es su capacidad de
decisión respecto de la finalidad, contenido y uso
del tratamiento de los datos.
3.5. Tratamiento de datos, cualquier operación o
complejo de operaciones o procedimientos técnicos,
de carácter automatizado o no, que permitan
recolectar, almacenar, grabar, organizar, elaborar,
seleccionar, extraer, confrontar, interconectar,
disociar, comunicar, ceder, transferir, transmitir
o cancelar datos de carácter personal, o
utilizarlos en cualquier otra forma. Estas
operaciones pueden ser realizadas directamente por
el responsable del registro o, también, por el
encargado del tratamiento.
A modo ejemplar, se entienden incorporadas dentro
del concepto de tratamiento las siguientes
acciones:
i. Almacenar, que consiste en la conservación o
custodia de datos en un registro o banco de
datos;
ii. Disociar, referido a todo tratamiento de datos
personales de modo que la información que se
obtenga no pueda asociarse a persona
identificada o identificable. Por ejemplo,
mediante la tacha de ciertos...
Para continuar leyendo
Solicita tu prueba