Acciones colectivas en materia de protección de datos personales

Publicación de:

Catalina Frigerio

Coautor:

Sara Bertschik

La consagración de normas sobre protección de datos personales, junto con la imposición de multas y la obligación de indemnizar los perjuicios causados a quienes incumplan estas normas, debieran ser incentivos suficientes para que los responsables y encargados del tratamiento de estos datos cumplan con los deberes que la ley les impone.

Sin embargo, existe una serie de circunstancias por las que los titulares de los datos no ejercen sus derechos, no reclaman por eventuales infracciones ni demandan las indemnizaciones correspondientes. Primero, por la existencia de asimetrías de información. Rara vez los titulares leen la política de privacidad, y aun cuando lo hagan, es probable que no la entiendan, pues, frecuentemente, está redactada en un lenguaje técnico o legal. Segundo, porque es difícil identificar a la(s) entidad(es) que realiza(n) el tratamiento de sus datos. En efecto, en el actual contexto de tratamiento masivo, rápido y globalizado de la información, es difícil que los titulares sepan quién hace uso de sus datos, para qué, y si ello puede haberle ocasionado algún daño. Tercero, resulta muy complejo probar la existencia y cuantía de tal daño. Por último, la litigación relacionada tiene un costo muy alto en comparación con las indemnizaciones que podrían obtenerse.

En este contexto, cabe preguntarse si la posibilidad de interponer acciones de clase o acciones colectivas en contra de los responsables del tratamiento de datos que vulneren los derechos de sus titulares puede ser una solución a las dificultades anotadas.

En la Unión Europea, el Reglamento General de Protección de Datos (“RGPD”) – cuerpo legal en el que se inspira el actual Proyecto de Ley de Datos Personales (“PdL PDP”, Boletines N°11.144-07 y N°12.092-07, refundidos)-, establece que las acciones de clase podrán ser presentadas por organismos sin fines de lucro dedicados a la protección de datos personales (artículo 80). Así, desde su entrada en vigor, se han interpuesto una serie de acciones colectivas por vulneraciones al RGPD en diversos países de la Unión Europea (véanse, por ejemplo, el caso British Airways en el Reino Unido por la filtración de información financiera de más de 400 mil clientes el año 2018; o el caso Facebook, recientemente presentado en Irlanda por una filtración de datos que afectó a más de 530 millones de usuarios en el mundo el año 2019).

Además, recientemente se aprobó la “Directiva sobre Acciones Representativas para la Protección de los Intereses Colectivos de los Consumidores” (“Directiva”), que establece un sistema armonizado de acciones colectivas para la protección de los intereses colectivos de los consumidores frente a las infracciones del denominado Derecho de la Unión. La Directiva incluye específicamente la protección de datos dentro de su ámbito competencia, y destaca, entre otros, porque (i) faculta sólo a las entidades habilitadas (como las organizaciones de consumidores) – a interponer acciones; (ii) reconoce la posibilidad de entablar acciones colectivas transfronterizas; y (iii) establece expresamente que la parte vencida será responsable del pago de las costas procesales. La Directiva entrará en vigor en 2023.

A nivel nacional, ni la Ley N°19.496, sobre Protección a los Derechos de los Consumidores (“LPC”), ni la Ley N°19.628, sobre Protección a la Vida Privada (“LPD”), se refieren de manera expresa a la interposición de acciones colectivas respecto de la protección de datos personales.

Sin perjuicio de lo anterior, el Servicio Nacional del Consumidor (“SERNAC”) ha interpuesto acciones colectivas en contra proveedores debido a supuestas infracciones en materia de protección de los datos personales. Destacamos las acciones colectivas interpuestas por el SERNAC en contra de Ticketmaster S.A. (“Ticketmaster”) y en contra de Ticketek Co. SpA. (“Ticketek”), pues ambos casos fueron finalmente resueltos por la Excma. Corte Suprema (“CS”).

A falta de una norma expresa relativa a la protección de datos personales en la LPC, en dichas acciones el SERNAC argumentó que (i) entre las compañías y los titulares de datos afectados existía una relación de consumo, y que Ticketmaster y Ticketek eran proveedores, siendo aplicable la LPC; y que (ii) las políticas de privacidad de estas compañías (“Política de privacidad” y “Nuestras Políticas”, respectivamente) eran contratos de adhesión y contenían cláusulas abusivas, prohibidas por la LPC.

Pese a la similitud entre ambos casos, la CS falló de manera diametralmente opuesta en uno y otro.

En el caso Ticketmaster (sentencia de 07.07.2016, rol N°1533-2015) la CS consideró abusivas las cláusulas de la Política de Privacidad que permitían (i) recopilar todo tipo de información personal, sin limitaciones de tipo o cantidad, y revelarla a terceros constatando que “tal renuncia a la privacidad de los datos personales sólo es válida si es otorgada en forma explícita y específica” (considerando 11°); y (ii) recolectar información derivada de los gustos, preferencias y en general de la utilización de los servicios por ser “información que excede de la necesaria para concluir las transacciones de compraventa de entrada”, resultando abusivas por “buscar obtener tal consentimiento en forma atada a una operación comercial con un objeto diferenciado” (considerando 12°).

Por otra parte, en el caso Ticketek (sentencia de 06.12.2016, rol N°26.932-2015), la cláusula de “Nuestras Políticas” cuestionada por el SERNAC era similar a la del caso Ticketmaster. No obstante, la CS estimó que la LPD “regula una cuestión esencialmente individual, desde que protege a cada persona cuya información pueda estar en poder y ser administrada por los titulares de bancos de datos”, estableciendo “un procedimiento que nace del interés individual”, lo cual “deja[ría] en evidencia que no es posible asumir que la ley especial [la LPD] pueda ceder ante la general [la LPC], aún en el caso de procedimientos de interés colectivo o difuso de los consumidores, puesto que la naturaleza de los asuntos regulados por la ley 19.628 es esencialmente individual, sin que tengan cabida los procesos colectivos”, por lo que “únicamente puede aplicarse la ley especial en los casos en que puedan verse afectados los datos de carácter personal de un individuo y, por lo mismo, los sentenciadores no han incurrido en un error de derecho al desechar el reclamo de abusividad de la cláusula octava del contrato de adhesión por carecer el SERNAC de legitimación en este aspecto” (considerando 6°).

Así, dados estos pronunciamientos disímiles, actualmente no es posible afirmar con certeza si la LPC es o no aplicable en caso de vulneraciones a la normativa de protección de datos personales, y si son procedentes las acciones colectivas.

Haciendo eco de esta discusión y a fin de hacerse cargo de las dificultades referidas al inicio de esta nota, actualmente se encuentra en tramitación, en tercer trámite constitucional, el Proyecto de Ley denominado “Pro-Consumidor” (“Proyecto”, Boletín N°12.409-03) que modifica la LPC, estableciendo, entre otros, la aplicabilidad supletoria de la LPC en materia de protección de datos personales en todos aquellos aspectos en que la LPD no prevea.

El contenido de dicha norma fue objeto de arduas discusiones. En efecto, debido a las diferencias entre la Cámara de Diputados y el Senado en relación con el artículo en cuestión se constituyó una Comisión Mixta para llegar a un acuerdo. En la Comisión Mixta estuvieron llamadas a exponer su opinión una serie de expertas en materia de protección de datos personales. Ellas se refirieron particularmente a que el ejercicio de facultades fiscalizadoras, interpretativas y sancionadoras en materia de protección de datos personales por parte del SERNAC podría sobreponerse con o limitar el actuar de la agencia de protección de datos cuya creación está contemplada en el PdL PDP. Por lo mismo, se ha planteado que el Proyecto debería limitarse a facultar al SERNAC para interponer acciones colectivas relativas a vulneraciones de la LPD, ya que el PdL PDP no contempla acciones de protección del interés colectivo.

Esto fue considerado por la Comisión a la hora de votar el artículo, el cual establece en definitiva que “[l]as disposiciones contenidas en los artículos 2 bis letra b), 58 y 58 bis de la presente ley, serán aplicables respecto de los datos personales de los consumidores, en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos artículos se encuentren en el ámbito de competencias legales de otro órgano”. Con esta redacción del artículo, pareciera ser que las facultades del SERNAC y de la autoridad especializada en materia protección de datos que se establecerá mediante el PdL PD se complementarían y ambos podrían actuar de manera coordinada permitiendo así la mejor protección de los derechos de las personas afectadas por vulneraciones de ambas normas, lo cual también estaría en línea con las tendencias internacionales. Asimismo, de publicarse la ley mediante la redacción actual, se facultaría al SERNAC a interponer acciones colectivas por infracciones a la LPD, salvo que el PdL PDP disponga lo contrario, creando con ello un incentivo para que los titulares de los datos ejerzan sus derechos y para que las empresas que traten datos en el contexto de las relaciones de consumo revisen el estado actual de cumplimiento de sus operaciones en relación a las normas sobre protección de datos personales.

Accesibilidad [cerrar]