Datos personales provenientes de fuentes de acceso público: ¿Pueden utilizarse libremente?
En los últimos d�ías, la Superintendencia de Seguridad Social (“SUCESO”) público la circular N°3890, la cual tiene por objeto actualizar las instrucciones para verificar el cumplimiento del reposo ordenado en licencias médicas y detectar posibles trabajos realizados durante dicho período. Entre las novedades de esta circular, destacan la incorporación del uso de diferentes fuentes de información, lo que incluye registros administrativos de organismos públicos y, de manera especialmente relevante, publicaciones en redes sociales como medios válidos para acreditar un eventual incumplimiento.
Frente a estas nuevas facultades de fiscalización, resulta indispensable analizar esta circular a la luz de las disposiciones de la ley N°19.628, recientemente modificada por la ley N°21.719, que moderniza por completo el régimen de protección de datos personales en Chile.
Uno de los aspectos más relevantes que establece esta circular es la habilitación del uso de fuentes de acceso público, incluidas redes sociales, para acreditar eventuales incumplimientos. Al respecto, es importante mencionar que la ley N°19.628 es explícita al señalar que el tratamiento de datos personales de fuentes de acceso público igualmente se somete a sus disposiciones. Lo anterior significa que, aunque la información sea visiblemente pública, esta no pierde su carácter de dato personal, ni queda fuera del régimen de protección de datos aplicable. Por el contrario, su tratamiento sigue exigiendo una base de licitud válida y el cumplimiento estricto de principios como el de finalidad y proporcionalidad.
Sobre este punto, es fundamental precisar que las fuentes de acceso público no constituyen una base de licitud por sí mismas. En este escenario, será indispensable analizar de manera íntegra cuál sería la base de licitud que realmente habilita a una entidad, sea pública o privada, a utilizar información proveniente de redes sociales o de cualquier fuente de acceso público para fiscalizar el cumplimiento del reposo médico. Como se señaló anteriormente, la ley N°19.628 exige que todo tratamiento de datos, incluso cuando proviene de fuentes públicas, se funde en una habilitación jurídica clara y verificable. Por ello, no basta con que la información exista o sea visible: la entidad debe demostrar por qué puede tratarla y bajo qué fundamento legal lo hace. Esta revisión debe considerar las distintas bases de licitud previstas en la ley, tales como el consentimiento, una obligación legal expresa, la ejecución de un contrato, o el interés legítimo, evaluando, en este último caso, la necesidad, proporcionalidad y equilibrio entre dicho interés y los derechos del titular.
A todo lo anterior se suma un elemento no menor y que merece especial atención: la protección y los tratamientos de datos deben encontrarse regulados por una norma de rango legal. Es la misma Constitución la en su artículo 19 N°4 establece expresamente que “el tratamiento y protección de los datos personales se efectuará en la forma y condiciones que determine la ley”, en otras palabras, es la ley, y no una circular, oficio o reglamento, la que debe regular el tratamiento de datos personales. Desde esta perspectiva, resulta al menos cuestionable que un órgano administrativo, a través de una circular, autorice expresamente a tratar datos obtenidos de redes sociales o de registros de otras entidades públicas, configurando un estándar paralelo no previsto en la ley. Por lo demás, este fenómeno no es aislado, en el último tiempo hemos visto también circulares del SERNAC y de la Superintendencia de Pensiones que introducen criterios y obligaciones en materia de protección de datos que no están expresamente contemplados en la ley, lo que hace cada vez más necesario definir con claridad el alcance y los límites de este tipo de intervenciones administrativas en un ámbito que, por mandato constitucional, requiere regulación expresa del legislador.
En definitiva, la discusión que plantea esta circular va mucho más allá de determinar si los datos provenientes de fuentes de acceso al público pueden o no utilizarse libremente: exige reconocer que el tratamiento de datos personales, incluso aquellos obtenidos de este tipo de fuentes, no es una facultad discrecional, sino una actividad regulada por la ley y sujeta a bases de licitud, principios rectores, y resguardos propios de la protección de datos sensibles. A menos de un año de la plena entrada en vigencia del nuevo marco normativo, y considerando además que la propia Constitución establece que la regulación de los datos personales corresponde a la ley, resulta imprescindible que las entidades públicas y privadas adopten prácticas estrictamente alineadas con este estándar. Cualquier intento de habilitar tratamientos por vía infralegal, o de ampliar facultades mediante circulares administrativas sin respaldo legal expreso, no solo genera incertidumbre jurídica, sino que también pone en riesgo la confianza y los derechos de las personas. El desafío, entonces, consiste en fortalecer prácticas y criterios institucionales que se ajusten plenamente al marco jurídico, otorguen certeza y robustez, y garanticen un respeto efectivo de los derechos de los titulares.
