Informe: Privacidad y Protección

de Datos Personales
I. Introducción

El tema de la privacidad y la protección de los datos personales no es nuevo y ha preocupado

a la sociedad desde tiempos remotos. A modo de anécdota cabe mencionar que los primeros
colonos que llegaron a América del Norte notaron que, debido al mayor espacio y distancia entre
personas y casas, gozaban de mayor privacidad, pues ya no eran “vigilados” por sus vecinos como
ocurría en las ciudades europeas (Solove, 2006). Sin embargo, en los últimos años los avances
tecnológicos asociados a la recolección, procesamiento, uso y almacenamiento de datos han
exacerbado la falta de privacidad, reserva y protección de la información personal. A modo de
ejemplo, hace algunas semanas una mujer demandó a la municipalidad de Quinteros porque
escenas captadas por una cámara de seguridad en plena vía pública, donde aparecía en una actitud
romántica con un individuo ajeno a su matrimonio, fueron entregadas al cónyuge, lo que provocó
su quiebre matrimonial1. En este caso datos personales (en forma de imágenes) fueron usados sin
el consentimiento de la afectada para fines distintos a los autorizados.

Los problemas relativos a la falta de privacidad y protección de los datos personales se han
afrontado en el pasado a través de distintas leyes y regulaciones. Sin embargo, la revolución
tecnológica reciente ha dejado en evidencia vacíos legales o regulatorios, ya que el problema se está
manifestando de formas nuevas que el legislador-regulador no pudieron prever. Por ende, la era
digital ha venido a plantear un desafío en términos de establecer una nueva regulación, actualizada,
pero al mismo tiempo más ágil y flexible, que permita ser adaptada rápidamente a las cambiantes
circunstancias (Dutil y Williams, 2017).

Para lograr este objetivo debemos en primer lugar comprender la problemática asociada a
la privacidad y la protección de datos personales; esto es, saber qué (objeto) se debe regular y por
qué (razón). Si no entendemos bien el objeto a regular y la razón para hacerlo, difícilmente
podremos tomar decisiones correctas sobre cómo hacerlo. Por ello, este informe pretende entregar
los elementos necesarios para comprender a cabalidad la problemática2.

Para llevar a cabo nuestro propósito, en la sección II presentamos una breve reseña del
surgimiento del derecho de privacidad de los individuos. Cabe destacar que, si bien la idea de
privacidad es antigua, su reconocimiento como “derecho” es un fenómeno relativamente reciente
que surgió hace algo más de 100 años. En la sección III se introducen algunos conceptos básicos
necesarios para ordenar la discusión, mientras que la sección IV presenta la evolución de las

1
http://www.estrellavalpo.cl/impresa/2019/04/12/full/cuerpo-principal/5/ (Consultada el 24.05.19)
2
En informes posteriores analizaremos si el proyecto de Ley relativo a los datos personales presentado
recientemente por el gobierno en Chile, cumple con los estándares necesarios.

1
regulaciones y leyes dictadas, en la era digital y a nivel internacional, para proteger la privacidad y
los datos personales. La sección V resume y concluye.

II. Breve reseña histórica del problema de privacidad de los datos

El problema de la privacidad de los individuos en la época colonial (o antes) no se limitaba

a la “vigilancia” de sus acciones por parte de los vecinos, sino que incluía también la intercepción
del correo postal si se trataba de correspondencia escrita3, o de los correos humanos en el caso de
los mensajeros.

Más adelante, en el siglo XIX, el problema postal se extendió al telégrafo, donde el

contenido de los mensajes a terceros era conocido necesariamente por quienes operaban los
sistemas y debían traducir el código morse. Lo mismo ocurrió con el teléfono tras ser patentado en
1876, cuando las comunicaciones a través de este medio se vieron expuestas a la falta de privacidad
por la existencia de las operadoras telefónicas. No obstante, ambos casos fueron legislados con
posterioridad para brindar mayor protección a los ciudadanos. Por ejemplo, en el año 1862
California dictó una ley prohibiendo la intercepción de los mensajes de telégrafo, y en el año 1905
esta prohibición se extendió a las llamadas telefónicas.

El gobierno también estuvo inmerso en problemas de privacidad de datos y su uso producto

de los censos poblacionales. De acuerdo a Solove (2006), en Estados Unidos desde 1790 se
empezaron a distribuir copias de los datos recogidos por los censos en lugares públicos, para que
los ciudadanos pudieran revisar si había errores en la información concerniente a su hogar. Esta
práctica, que claramente atentaba contra la vida privada de las personas, se descontinuó en 1870.
Sin embargo, recién en 1919 el Congreso de ese país estableció que era un delito publicar
información censal.

A pesar de estas constantes violaciones a la privacidad a lo largo del tiempo, no fue sino
hasta 1890 cuando ésta se conceptualizó como un derecho. Ese año S. Warren y L. Brandeis
escribieron un artículo donde por primera vez se acuñó el concepto de “derecho a la privacidad”,
definiéndolo como “el derecho a estar solo” (Warren y Brandeis, 1890). Este artículo surgió como
reacción a la acelerada expansión de los medios de comunicación, principalmente periódicos, así
como el uso de la fotografía instantánea4 y la aparición de la “prensa amarilla” (Solove, 2006). Los
autores observaron que estos desarrollos afectaban la privacidad de los individuos en cuatro formas
diferentes: i) intrusión en la vida y los asuntos privados; ii) divulgación pública de hechos privados
vergonzosos; iii) publicidad no deseada por particulares; y iv) apropiación indebida de un nombre o
semejanza. Prosser (1960), luego de un análisis profundo del trabajo realizado por Warren y
Brandeis, describe cabalmente cada una de estas cuatro formas que pueden afectar la privacidad
de los individuos:

1. Intrusión en la vida y los asuntos privados: incluye todos aquellos casos en los que existe una
intromisión en la propiedad privada (como una intrusión de un tercero en la casa o en la
habitación en un hotel), pero también una intrusión más allá del ámbito físico como escuchar
una conversación privada.

3
El uso de sellos lacrados en la antigüedad era una manera de asegurar que el correo postal no fuese violado.
4
Introducida en 1884 por Eastman Kodak Company.

2
 2. Divulgación pública de hechos vergonzosos: se trata de aquellas revelaciones públicas de algún
dato privado que el individuo prefiere mantener en su intimidad, como indicar que ejerce la
prostitución o que ha sido víctima de un hurto.
3. Publicidad no deseada por particulares: a diferencia del caso anterior en el que se divulgan
hechos verdaderos, aquí se incluyen falacias o hechos falsos. Ejemplos de estos casos pueden
ser atribuir públicamente opiniones, declaraciones o testimonios.
4. Apropiación indebida de un nombre o semejanza: en esta categoría ingresan todos los casos en
los que un tercero obtiene un beneficio pecuniario de la identidad (no solo el nombre) o
semejanza de un individuo sin su consentimiento. Por ejemplo, tomar una fotografía de un
tercero y venderla no teniendo autorización de dicho individuo.

Si bien estas cuatro acciones que caracterizan el derecho a la privacidad abarcan gran
cantidad de situaciones, existen limitaciones para su aplicación (Warren y Brandeis, 1890). Entre las
restricciones encontramos que el derecho a la privacidad no prohíbe las publicaciones que son de
interés público, ni aquellas que se hacen en comunicaciones privilegiadas (como las que se realizan
en las cortes de justicia). Además, las invasiones a la privacidad deben ser a través de publicaciones
escritas, y si se trata de publicaciones orales debe existir un daño especial. En todos los casos, el
derecho cesa si es el propio individuo quien realiza la publicación o si da su consentimiento para
que se haga público. Una última limitación se refiere a que la ausencia de malicia por parte de quien
realiza la publicación es punible, porque se considera a las personas responsables de sus actos
intencionales.

Con estas ideas en mente y una vez transcurridas las Guerras Mundiales, en el año 1948 se
consideró en la Declaración Universal de los Derechos Humanos al concepto de privacidad. Este
hecho es importante porque se trata de la primera regla internacional que evocó esta definición y
que toma gran parte del concepto del derecho a la privacidad definido por Warren y Brandeis. La
Declaración Universal en su artículo 12 indicó que la privacidad era un derecho fundamental del ser
humano y se entendía por éste el no ser objeto de injerencias en la vida privada, familia, domicilio
o correspondencia, así como ataques a la honra o reputación (Asamblea General de las Naciones
Unidas, 1948).

III. Conceptos básicos: datos personales y datos privados

Una vez entendida la privacidad como un derecho, resulta conveniente aclarar qué se
entiende por datos personales y datos privados. Esta diferenciación es importante porque son
conceptos que suelen confundirse a diario.

Los datos personales son todos aquellos que permiten, directa o indirectamente, identificar
a un individuo distinguiéndolo de otros (OECD, 2013a; Reglamento UE 2016/679). Estos incluyen su
nombre, su número único de identificación (RUT), sus datos de posicionamiento (GPS), cualquier
identificador en línea, así como uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de una persona. Por otra parte, los datos privados
son un subgrupo de los anteriores, en particular aquellos que una persona no tiene obligación de
compartir con terceros (ejemplo: problemas de salud, preferencias sexuales, creencias religiosas o
afiliación política).

3
 Otra característica relevante de los distintos tipos de datos es que la problemática de la
privacidad y la protección de los datos personales no es independiente de cómo se obtienen éstos
(como ilustra el ejemplo de la introducción). En particular los datos personales pueden ser obtenidos
de tres maneras (OECD, 2013b):

- Datos voluntarios: aquellos que los individuos comparten explícitamente; por ejemplo, cuando
entregan información acerca de ellos mismos o de un tercero a través de las redes sociales, o al
completar un formulario (online o físico). En estos casos el individuo es consciente de que está
entregando información personal (o de un familiar o amigo) al subir una foto a la web o participar
de una conversación de WhatsApp con los miembros del grupo (chat).
- Datos observados: datos donde la entrega de éstos por parte del individuo no necesariamente
es consciente; por ejemplo, aquellos que se obtienen por registros de las actividades del usuario
en la web (preferencias de navegación o datos que los servidores guardan, pero donde el
individuo no tiene conciencia de este respaldo), o las imágenes que las cámaras de seguridad
captan en la vía pública (como en el ejemplo de la introducción).
- Datos inferidos: aquellos que se basan en el análisis de datos observados y voluntarios; por
ejemplo, un individuo que consulta páginas web sobre síntomas y tratamientos asociados a
alguna enfermedad, comportamiento a partir del cual se puede inferir que la padece (o tiene
alto riesgo de contraerla).

Es evidente que los distintos tipos de datos personales interactúan entre sí, ya que la
información entregada de forma voluntaria (número de tarjeta de crédito) y observada (páginas
web revisadas) afecta directamente la que se infiere (perfil del consumidor). No obstante, la
caracterización del tipo de datos es clave, porque en los reglamentos internacionales se hace
hincapié en que solo el consentimiento del individuo otorga acceso a terceros para utilizar sus datos
personales5. En este caso no hay problema alguno con el consentimiento de los datos voluntarios,
puesto que las personas saben que están entregando información. Pero no necesariamente sucede
lo mismo cuando se trata de datos observados o inferidos. En los últimos casos los individuos no son
plenamente conscientes de que su información está siendo observada (o inferida) para ser utilizada
posteriormente.

De esta forma, la problemática de la privacidad de los datos se refiere a quién tiene derecho
a recoger y almacenar estos datos y, principalmente, qué usos puede hacer de los mismos. Para
comprender mejor la situación actual considere el siguiente experimento: intercambie mensajes a
través de WhatsApp con un grupo de amigos acerca de su deseo de viajar a un cierto destino, espere
unos minutos y revise su email o cuenta de Facebook. Observará que estas aplicaciones le mostrarán
ofertas de paquetes de viaje a ese destino 6. ¿Pueden los proveedores de estos servicios digitales
entregar información a las agencias de viaje? Y si un proveedor de servicios digitales “infiere” que
usted padece una enfermedad grave, ¿puede compartir esa información con un laboratorio (para

5
El Reglamento General de Protección de Datos de la UE (GDRP o General Data Protection Regulation) define
al consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que
el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos
personales que le conciernen” (Reglamento UE 2016/679).
6
Este experimento fue realizado tal cómo se menciona, pero puede también revisar la noticia de la BBC
“¿Realmente te espía (y para qué) el micrófono de tu teléfono?” en https://www.bbc.com/mundo/noticias-
47909323 (Consultada el 27.05.2019).

4
 que le ofrezcan medicamentos a un precio especial), o peor aún, a una compañía de seguros de
vida? Este es el tipo de preguntas que deben responderse a la hora de generar una legislación que
se adapte a las necesidades actuales. Para ello es necesario entender que no todos los datos
personales son privados, aunque todos los datos privados sean datos personales. Y también es
imprescindible delimitar las formas de obtención de datos, es decir, determinar si el consentimiento
debe o no ser explícito para hacer uso de éstos.

IV. Privacidad y protección de los datos en la era de la computación

El creciente uso de la computadora en la década de 1970 y la recolección de datos que, con
el apoyo de ésta7, comenzó a realizar el gobierno de EE.UU. en esos años, terminó movilizando a la
opinión pública de ese país. El problema surgió porque los individuos entregaban información
personal a diversas instituciones para realizar trámites, lo que permitía a los organismos
gubernamentales almacenar esta información sin el conocimiento de los dueños de los datos
(Solove, 2006)8. Esta inquietud llevó al extinto Departamento de Salud, Educación y Bienestar
(Department of Health Education and Welfare, HEW) a publicar, en el año 1973, un informe llamado
“Registros, Computadoras, y los Derechos de los Ciudadanos”. En él se destacaba el hecho de que
las computadoras, conectadas a través de redes de telecomunicaciones, estaban destinadas a
transformarse en el principal medio para crear, almacenar y utilizar registros sobre las personas
(HEW, 1973). Sin embargo, a pesar de resaltar la importancia de adoptar una nueva tecnología como
la computadora, el informe buscaba advertir las consecuencias que podía tener la mantención de
registros de datos de los ciudadanos para la sociedad. Para ello propusieron la promulgación de un
“Código de Prácticas Justas de Información” (Code of Fair Information Practice) para los sistemas
automatizados de datos personales, que se basaba en cinco principios básicos (HEW, 1973):

1. No debe haber sistemas de mantenimiento de registros de datos personales cuya existencia sea
secreta.
2. Debe existir una manera para que una persona descubra qué información sobre ella se encuentra
en un registro y cómo se utiliza.
3. Debe haber una forma para que una persona evite que la información sobre ella, que se obtuvo
para un propósito, se use para otros fines sin su consentimiento.
4. Debe haber una manera para que una persona corrija o modifique un registro de información
identificable sobre ella.
5. Cualquier organización que cree, mantenga, use o divulgue registros de datos personales
identificables, debe garantizar la fiabilidad de los datos para su uso previsto y debe tomar
precauciones para evitar el uso incorrecto de los mismos.

Algunos años después, en 1980, y basándose en el “Código de Prácticas Justas de

Información” del departamento de HEW de los Estados Unidos, la Organización para la Cooperación
y el Desarrollo Económico (OCDE) emitió las “Directrices sobre la protección de la privacidad y los
flujos transfronterizos de datos personales” (Solove, 2006). De este modo, la OCDE se convirtió en
el primer organismo multilateral en tratar esta temática de forma específica, y donde las reglas

7
Si bien la creación de la primera computadora fue en el año 1946, la producción de forma más masiva
comenzó en la década de los 80 con la irrupción de los computadores personales (Computers History, 2019).
8
Nótese que esta práctica ocurre en la actualidad con el uso de teléfonos inteligentes, internet y otras
aplicaciones.

5
estipuladas surgieron de común acuerdo entre los países miembros para proteger la privacidad y el
flujo transfronterizo de información personal (Mattoo and Meltzer, 2018). Las directrices se
aplicaron a distintos medios de procesamiento informático de datos (incluidas las computadoras),
a diversos tipos de entrega de datos personales (incluidos aquellos entregados directamente por las
personas), así como también a varias categorías de datos (incluidos datos de tráfico relativos a
visitantes de una página web). Además, las medidas se destacaron por su claridad y flexibilidad al
momento de ser aplicadas, pasando más de 30 años hasta su reformulación (OCDE, 2002). Así, las
directrices establecieron 8 principios básicos de aplicación nacional (OCDE, 1980):

1. De limitación de recogida: los datos deben ser obtenidos por medios legales y con el
conocimiento o consentimiento del individuo.
2. De calidad de los datos: los datos deben corresponder a los fines para los que se van a usar, ser
correctos y completos, y estar actualizados.
3. De especificación de los fines: los fines para los cuales se recogen los datos deben especificarse
al momento de su recolección, y su uso posterior está limitado al cumplimento de esos fines.
4. De limitación de uso: los datos personales no pueden ponerse a disposición del público ni usado
para otro fin que no haya sido especificado.
5. De salvaguarda de la seguridad: los datos personales deben estar correctamente protegidos.
6. De transparencia: debe existir una política general de transparencia en el tratamiento, uso y
políticas relativas a los datos personales.
7. De participación individual: los individuos deben ser capaces de conocer la información que una
entidad tiene sobre ellos, y también de eliminar, rectificar, completar o modificar datos.
8. De responsabilidad: las entidades que controlan datos personales son responsables por el
cumplimiento de las medidas que permiten la aplicación de estos principios.

Al año siguiente, en 1981, el Consejo de Europa (Council of Europe) generó el “Convenio

para la protección de las personas con respecto al procesamiento automático de datos personales”,
más conocido como la “Convención 108” 9. Se trata del acuerdo internacional vinculante más
importante sobre la Protección de Datos (UNCTAD, 2016) 10. El convenio establece una serie de
principios básicos como la recolección lícita de datos, la calidad y confidencialidad de datos
sensibles, los derechos de acceso y rectificación de datos; pero siempre buscando compatibilizar la
protección del derecho a la intimidad personal con la libre circulación de flujos de datos entre
Estados (Pavón Pérez, 2001). Un dato relevante para la problemática que analizamos es que en este

9
El Consejo de Europa (Council of Europe) y el Consejo Europeo (European Council) son entidades separadas
(Council of Europe, 2019). El primero de ellos es una organización internacional que comprende 47 países de
Europa, creada para promover la democracia y proteger los derechos humanos y el estado de derecho en la
zona. El segundo es una institución que forma parte de la Unión Europea (con 28 países miembros) y está
constituida por los jefes de estado o de gobierno de los miembros de la unión, cuyo propósito es planificar la
política de la misma.
10
Fue el acuerdo vinculante más importante, dado que las directrices de la OCDE no generan obligatoriedad
a los países miembros.

6
Convenio se consideró por primera vez al derecho a la protección de datos personales como una
parte del derecho a la privacidad (Maqueo et al., 2017)11 12.

Otro organismo internacional que buscó regular esta temática fue la Unión Europea (UE),
creando en el año 1995 las “Directivas Europeas sobre la protección de las personas con respecto al
tratamiento de datos personales y sobre la libre circulación de dichos datos” (95/46/EC). Estas
directivas fueron aplicadas por los 28 países miembros de esta Unión, pero, al no ser vinculante,
contó con variantes significativas entre los países (DLA PIPER, 2019) 13. Dicho reglamento estableció
principios legales entre los que se encuentran (95/46/EC):

- Principios relativos a la calidad de los datos: los datos deben ser tratados de manera lícita;
deben ser recogidos con fines determinados, explícitos y legítimos; y deben ser exactos y
actualizados.
- Principios relativos a la legitimación del tratamiento de datos: los datos solo pueden ser
tratados si el individuo brinda su consentimiento, o si el tratamiento es necesario – entre otras
razones – para el cumplimiento de una misión de interés público.
- Categorías especiales de tratamiento: Se prohíbe el tratamiento (salvo en caso de las
excepciones enumeradas) de datos personales que revelen el origen racial o étnico, las
opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, y
relativos a la salud o a la sexualidad.
- Derecho de acceso del interesado a los datos: los individuos tienen derecho a la confirmación
de existencia o inexistencia del tratamiento de datos que les pertenecen y a la rectificación,
supresión o bloqueo de datos que no se ajusten al legítimo tratamiento.
- Derecho de oposición del interesado: el individuo dueño de los datos puede oponerse a que sus
datos sean objeto de tratamiento.
- Confidencialidad y seguridad del tratamiento: los responsables del tratamiento solo pueden
tratar datos personales a los que tienen acceso y deben aplicar las medidas técnicas y de
organización adecuadas para la protección de los datos personales.
- Notificación: el responsable del tratamiento debe informar la intención de realizar un
tratamiento (antes de llevarlo a cabo) al Estado.

Los avances tecnológicos de los años más recientes – teléfonos inteligentes y redes sociales,
entre otros– obligaron a introducir reformas en la mayoría de las legislaciones, estatutos y
reglamentos creados a nivel internacional, para precisamente incluir situaciones que no habían sido
imaginadas al momento de su promulgación. Por esta razón en el año 2013 se publicaron las

11
Es importante recordar que el derecho a la privacidad fue previamente definido como el derecho a estar
solo, mientras que el derecho a la protección de datos personales corresponde a la protección de los datos de
un individuo identificado o identificable.
12
El Convenio 108 en su artículo 1 indica: “El fin del presente Convenio es garantizar, en el territorio de cada
Parte, a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos
y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento
automatizado de los datos de carácter personal correspondientes a dicha persona ("protección de datos")”.
13
La Unión Europea tiene distintos actos legales. De acuerdo a la UE (2019a) y según el orden de importancia,
en primer lugar se encuentran las “Regulaciones”, que son actos legislativos que deben ser aplicados tal como
se indica a lo largo de toda la Unión. En segundo lugar se establecen las “Directivas”, que son actos legislativos
que establecen objetivos para los países que pertenecen a la Unión, pero brinda flexibilidad a la hora de definir
cómo se alcanzan dichos objetivos.

7
“Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de datos
personales”. Esta fue la primera revisión que se realizó a las Directrices del año 1980 (OCDE, 2013a).
Entre los cambios realizados podemos destacar el hecho de que se agregaron conceptos como el de
programas de gestión de privacidad, notificaciones de quiebres de seguridad, e interoperabilidad
global (OCDE, 2013a). Además, se actualizaron conceptos como los de responsabilidad, flujos de
datos transfronterizos y cumplimiento de privacidad (OCDE, 2013a). Es decir, en esta modificación
existió un enfoque orientado a la implementación práctica de la protección de la privacidad y a la
necesidad de alcanzar una definición global de privacidad que permitiera mejorar el flujo y uso de
datos entre países (OCDE, 2019).

De igual manera y reforzando la inminente necesidad de adecuarse a los cambios

introducidos por la era digital, en 2016 se publicó el “Reglamento general de protección de datos”
de la UE (conocido como GDPR14 por sus siglas en inglés). Dicho reglamento fue discutido por el
Organismo por más de cuatro años hasta su publicación (Reglamento UE 2016/679), entrando en
vigencia el 25 de mayo del 2018. Este nuevo estatuto ha marcado un cambio significativo en la
materia dado que, al ser un reglamento, su aplicación es directa sobre todos los países miembros
del organismo, buscando armonizar las legislaciones existentes. No obstante, esta modificación
produjo cambios no solo para los países miembros de la UE, sino también para todas aquellas
naciones que mantienen negocios comerciales con los países miembros, o que utilizan información
del comportamiento de ciudadanos pertenecientes a la Unión (OCDE, 2017). El reglamento plantea
grandes cambios en, por ejemplo (Reglamento UE 2016/679):

- Principios relativos a la licitud del tratamiento: se agregan requisitos para los casos en los que
el tratamiento de datos personales sea para un fin distinto de aquel para el que se recogieron.
- Condiciones para el consentimiento: se agregan requisitos para demostrar la existencia del
consentimiento de un individuo y para aquellos casos en los que se solicite consentimiento a
padres o tutores de niños menores de 16 años.
- Categorías especiales de tratamiento: se prohíbe el tratamiento (salvo en caso de las
excepciones indicadas en el reglamento) de datos genéticos, biométricos, o datos relativos a la
orientación sexual de una persona física.
- Tratamiento que no requiere identificación: si para los fines que trata datos un responsable ya
no requiere la identificación del interesado, éste no está obligado a mantener, obtener o tratar
información adicional para identificar al individuo.
- Derecho de acceso del interesado: se agrega información respecto a qué datos puede solicitar
el individuo. Además, se crea el derecho a rectificación, el derecho de supresión (o al olvido), y
el derecho a la limitación del tratamiento.
- Derecho a la portabilidad de los datos: el individuo puede recibir los datos personales que le
incumban por parte de un responsable y facilitárselo a otro.
- Notificación de una violación de la seguridad de los datos personales a la autoridad de control:
se especifica qué hacer en caso de un quiebre de seguridad.

Evidenciando que los organismos internacionales han ido convergiendo poco a poco a
reglamentos o directrices similares, es importante señalar que respecto de la protección de los datos
personales las legislaciones revisadas pueden dividirse en dos tipos de modelos. En primer lugar se

14
Véase pie de página número 5.

8
encuentra el “modelo europeo” en el que la protección de datos (así como la privacidad) se entiende
como un derecho humano autónomo e independiente de otros (Ministerio de Hacienda, 2017; UE,
2019b). La implicancia directa de este enfoque es que por tratarse de un derecho humano
fundamental, es el gobierno el responsable de proveerlo (Movius y Krup, 2009). El segundo enfoque,
conocido como el “modelo estadounidense”, enfatiza la protección de la vida privada como un
derecho, brindándoseles autonomía a las personas para controlar su información. En otras palabras,
las personas son las que deben controlar su información, lo que pueden hacer por cualquier medio
sin entorpecer la circulación lícita de estos datos por parte de personas, organismos o empresas
(Ministerio de Hacienda, 2017). De manera que la forma que tenemos de proteger nuestros datos
personales va a depender del modelo de definición que exista en el país donde habitemos: en un
caso el Estado debe garantizar ambos derechos (privacidad y protección de datos), mientras que en
el otro se alcanza el equilibrio a través de los individuos dueños de la información y del mercado.

V. Resumen y conclusiones

Gran parte de las actividades que realizamos de forma diaria incluyen datos, como cuando
desbloqueamos el teléfono móvil con la huella digital, revisamos el correo electrónico, realizamos
compras en el comercio (online o físico) pagando con tarjeta de crédito, o inclusive cuando asistimos
a una consulta médica. El desarrollo tecnológico y la nueva cultura digital ha llevado a que
permanentemente nos encontremos revelando nuestra información personal, consciente o
inconscientemente, y para ello ya no es necesario que nuestras líneas telefónicas estén intervenidas.
En nuestro actuar diario vamos dejando una huella digital que puede ser capturada y utilizada sin
nuestro conocimiento y/o consentimiento, problema que crece a diario. Para tener una idea de la
magnitud de esta situación podemos indicar que del total de datos creados digitalmente, el 75%
corresponde a lo que denominamos datos personales (Tucker, 2013); y recordemos que la
capacidad de procesamiento de datos aumenta y con ella la creación de datos inferidos. Así las
cosas, se hace cada día más urgente tener leyes sobre protección de datos que permitan equilibrar
adecuadamente los múltiples intereses entre quienes entregan los datos y quienes los reciben,
proveyendo protección sustancial a los derechos de los ciudadanos y estableciendo confianza en los
servicios de información.

Los datos personales no son nada más ni nada menos que insumos y resultados de
transacciones de la economía digital. Este hecho no debe ser entendido solo como un desafío, sino
también como una oportunidad para regular al respecto. Los individuos tenemos que ser capaces
de entregar información siendo conscientes que lo estamos haciendo, pero el Estado debe tener un
marco legal donde se asegure que los datos recolectados son usados con el propósito para el que
fueron obtenidos. Tal como en el ejemplo de la introducción, las cámaras de seguridad se han
dispuesto para proteger a los residentes, pero el uso de dicha información para un fin distinto solo
acrecienta la inseguridad. Es momento de que determinemos hasta dónde vamos a permitir que la
tecnología nos conozca y defina.

A partir del análisis realizado, creemos necesario que las legislaciones locales especifiquen
nítidamente el bien jurídico que están resguardando, es decir, el objeto a regular. Para ello es
necesario identificar qué modelo de protección buscamos alcanzar. Es decir, determinar si el estado
va a asegurar el cumplimiento de los derechos fundamentales de privacidad y protección, o si va a
permitir que los propios individuos regulen esta materia. Dado que los organismos internacionales

9
 convergen hacia el modelo europeo, y que la UE es el organismo dueño del reglamento más
moderno, tomarlo como guía para desarrollar una legislación nacional es una decisión sensata. Por
otro lado, es importante especificar qué tipos de datos van a estar incluidos. A nuestro entender,
las leyes deben ser claras a la hora de reglamentar este tipo de problemáticas, aplicando distintos
requisitos de acuerdo a si se trata de datos voluntarios, observados o inferidos. Y, finalmente, es
importante que las leyes sean adaptables. La celeridad con la que avanzan las nuevas tecnologías
requieren lineamientos y/o principios básicos en forma de leyes, pero regulaciones a través de
reglamentos que no necesiten atravesar un proceso legislativo para modificar acciones que con el
paso del tiempo se vuelven obsoletas.

VI. Bibliografía

• 95/46/EC. 1995. Directiva relativa a la protección de personas físicas en lo respectivo al

tratamiento de datos personales y a la libre circulación de estos datos.
• Asamblea General de las Naciones Unidas. 1948. Declaración Universal de los Derechos
Humanos. 217 (III) A. Paris. http://www.un.org/es/universal-declaration-human-rights/
(consultado el 11 de febrero de 2019).
• Computers History. 2019. Timeline of Computer History.
https://www.computerhistory.org/timeline/computers/ (consultado el 12 de febrero de 2019).
• Council of Europe. 2019. The Council of Europe and the European Union: different roles, shared
values. https://www.coe.int/en/web/portal/european-union (consultado el 03 de abril de 2019).
• DLA PIPER. 2019. EU General Data Protection Regulation – Background.
https://www.dlapiper.com/es/spain/focus/eu-data-protection-regulation/background/
(consultado el 13 de febrero de 2019).
• Dutil, P. y Williams, J. 2017. Regulation governance in the digital era: A new research agenda.
Can Public Admin, 60: 562-580.
• Maqueo Ramírez, M. S.; Moreno González, J. y Recio Gayo, M. 2017. Protección de datos
personales, privacidad y vida privada: la inquietante búsqueda de un equilibrio global necesario.
Revista de derecho (Valdivia), 30(1), 77-96.
• Mattoo, A.; y Meltzer, J. P. 2019. International Data Flows and Privacy: The Conflict and Its
Resolution. Journal of International Economic Law, Volume 21, Issue 4, December, Pages 769–
789, https://doi.org/10.1093/jiel/jgy044
• Ministerio de Hacienda. 2017. Informe de Productividad: Proyecto de Ley que Regula la
Protección y el tratamiento de los Datos Personales. Mensaje N°: 001-365.
https://www.economia.gob.cl/wp-content/uploads/2017/04/Informe-Productividad-Datos-
Personales.pdf (consultado el 27 de febrero de 2019).
• Movius, L. B. y Krup, N. 2009. US and EU privacy policy: comparison of regulatory approaches.
International Journal of Communication, 3, 19.
• Solove, D. J. 2006. A Brief history of Information Privacy Law. Proskauer on Privacy, PLI.
• OCDE. 2019. OCDE Privacy Guidelines. http://www.oecd.org/internet/ieconomy/privacy-
guidelines.htm (consultado el 13 de febrero de 2019).
• OCDE. 2017. OCDE Digital Economy Outlook 2017. OCDE Publishing, Paris,
https://doi.org/10.1787/9789264276284-en.

10
• OCDE. 2013a. The OCDE Privacy Framework.
http://www.oecd.org/sti/ieconomy/oecd_privacy_framework.pdf (consultado el 13 de febrero
de 2019).
• OCDE. 2013b. Exploring the Economics of Personal Data: A Survey of Methodologies for
Measuring Monetary Value. OCDE Digital Economy Papers, No. 220, OCDE Publishing, Paris.
• OCDE. 2002. Directrices de la OCDE sobre protección de la privacidad y flujos transfronterizos de
datos personales. https://www.oecd.org/sti/ieconomy/15590267.pdf (consultado el 13 de
febrero de 2019).
• OCDE. 1980. Directrices de la OCDE que Regulan la Protección de la Privacidad y el Flujo
Transfronterizo de Datos Personales. http://www.oas.org/es/sla/ddi/docs/Directrices_OCDE
_privacidad.pdf (consultado el 23 de mayo de 2019).
• Pavón Pérez, Juan Antonio. 2002. La protección de datos personales en el Consejo de Europa: El
Protocolo Adicional al Convenio 108 relativo a las Autoridades de Control y a los Flujos
Transfronterizos de Datos Personales. Anuario de la Facultad de Derecho 19–20:235–252.
• Prosser, W. 1960. Privacy. Calif. L. Rev., Vol. 48, 383.
• Reglamento (UE) 2016/679. Del Parlamento Europeo y del Consejo del 27 de abril de 2016.
• Tucker, P. 2013. Has Big Data Made Anonymity Impossible? MIT Technology Review.
• UE. 2019a. Regulations, Directives and other acts. https://europa.eu/european-union/eu-
law/legal-acts_en (consultado el 13 de febrero de 2019).
• UE. 2019b. Data Protection. https://edps.europa.eu/data-protection_en (consultado el 27 de
febrero de 2019).
• UNCTAD. 2016. Data protection regulations and international data flows: Implications for trade
and development. United Nations Publication, Switzerland.
• Warren, S. D. y Brandeis, L. D. 1890. The Right to Privacy. Harvard Law Review, Vol. 4, No. 5., pp.
193-220.
• World Economic Forum. 2014. Rethinking Personal Data: A New Lens for Strengthening Trust. In
collaboration with A.T. Kearney.
http://www3.weforum.org/docs/WEF_RethinkingPersonalData_ANewLens_Report_2014.pdf.
(consultado el 19 de marzo de 2019).

11