Datos Personales, Spam y Derecho. Propuestas de modificaciones a la ley 19.628 a propósito de las comunicaciones comerciales por correo electrónico.


Porwilliammoura- Postado em 22 novembro 2012

Datos Personales, Spam y Derecho. Propuestas de modificaciones a la ley 19.628 a propósito de las comunicaciones comerciales por correo electrónico.

 
Abstract: 
I. Introducción. II. Acerca del envío masivo de correos electrónicos masivos y no deseados o "spam". Consecuencias económicas y su visualización como un problema de conectividad. III. El spam desde la perspectiva de los emisores de correos electrónicos, de los receptores y de los intermediarios. Falta de eficacia de las propuestas de autorregulación para emisores, receptores e intermediarios. IV. La validación legal del spam en el contexto de la ley chilena sobre derechos de los consumidores. V. El proyecto Novoa.

I. Introducción.

Resulta de gran relevancia jurídica el estudio de los fundamentos, los  contenidos y el articulado de una Moción con propuestas de modificaciones a la ley 19.628 sobre protección de la vida privada, que ha sometido a trámite parlamentario el H. Senador Jovino Novoa, para, junto con proponer modificaciones a la ley de derechos de los consumidores y al Código Penal, lograr regular y evitar el mal uso comercial que sistemáticamente se produce con las direcciones de correos electrónicos en el contexto del tratamiento de datos personales. Esta práctica, en inglés denominada "spam" o correo basura, ha devenido en un gran problema de conectividad en el uso de la red Internet, y lo novedoso del proyecto es que apunta a evitar, de raíz, el tráfico indiscriminado de bases de datos personales con direcciones de correos electrónicos.

Con este objetivo metodológico, primero es necesario entender el problema de los correos electrónicos masivos, abusivos y no deseados que se envían con fines de marketing o promoción comercial, denominados con el término inglés "spam" o correos basura.  Ello, desde una perspectiva técnica y económica[1], que permita visualizar las posibles responsabilidades para quienes los envían, para quienes los intermedian o transportan -los llamados proveedores de servicios de conectividad o "ISP" (de Internet Service Provider) y para quienes los reciban. Precisamente, el aporte esencial del Boletín _______ que contiene la Moción del Senador Novoa, es que se consideran opciones que apuntan a restringir legalmente el uso del dato personal dirección de correo electrónico y a establecer diversas obligaciones de cargo de los ISP que intermedian, mismas que en definitiva -y desde el punto de vista orgánico- debieran ser fiscalizadas en Chile por la Subsecretaría de Telecomunicaciones.

Revisadas las consecuencias económicas del spam y su visualización como un problema de conectividad, se debe tener presente que el servicio de acceso a Internet constituye  un servicio público de telecomunicaciones; y que los servicios "de intermediación" en materia de conectividad -en general- y de envío y recepción de correos -en particular- que prestan las empresas proveedoras de conectividad o ISP son esenciales para el desarrollo futuro o para el estancamiento de la red Internet.

Desde la perspectiva de los emisores de correos electrónicos, de los receptores y de los intermediarios, llama la atención la falta de eficacia de las propuestas de "autorregulación". Por el contrario, la validación del spam en el contexto de la ley chilena sobre derechos de los consumidores -19.496- mediante la incorporación el año 2004 de un  artículo 28 B, y a pesar de la limitación de que la aplicación de la norma requiere la existencia de una relación entre un proveedor que ofrece comercialmente un producto o un servicio a un consumidor, ha generado la radicalización o un aumento progresivo del problema.

La propuesta legislativa, actualmente pendiente de estudio en la Comisión de Constitución, Legislación y Justicia del Senado, contempla la necesidad de articular un sistema de control legal a partir de la tutela del dato personal "dirección o casilla de correo electrónico", y entiende que el spam no admite ser solucionado eficazmente sin establecer, en el mismo contexto de la ley de protección de datos personales, derechos, obligaciones y cargas para los ISP o proveedores de conectividad.

II. Acerca del envío masivo de correos electrónicos masivos y no deseados o "spam". Consecuencias económicas y su visualización como un problema de conectividad[2].

Una de las prácticas masificada en la red Internet es el envío de correos o e-mails, remitidos sin la autorización del destinatario o receptor de la comunicación electrónica. No existe un concepto unánime del anglicismo "spam", pero a efectos de este informe se le concibe como "todo correo electrónico enviado de forma masiva, sin autorización del titular de la dirección o casilla electrónica, obteniéndose las direcciones de correos de fuentes no públicas de información, y que ocasiona perjuicios económicos al receptor de la comunicación, independientemente de que su contenido se relacione -o no- con una promoción comercial u oferta de servicios".

El problema crece cuando los costos son financiados por el destinatario que paga por mantener su casilla y asume los gastos de la conexión para recibirlos, lo que ocasiona perjuicios económicos (y no como ocurre en la mayoría de las prestaciones de servicios de telecomunicaciones donde los costos los paga el que inicia la comunicación.); cuando son enviados al amparo del falso argumento de existir una convención internacional que lo permite si se ofrece la posibilidad de eliminarse del listado de destinatarios; y cuando el contestarlos es un mecanismo usado por las empresas -generalmente anónimas- para verificar que las direcciones de correo estén activas, sin que se concrete la remoción ofrecida.

Abordar la regulación de los llamados "spam" se dificulta porque existen diversos actores relacionados, a saber: generalmente un comerciante o prestador de servicios que quiere promocionar sus productos; una empresa emisora que ofrece externalizado el servicio de comercialización on line a los proveedores, y que "trafica" anónimamente y sin estar registrada en parte alguna listas fidelizadas de direcciones de e-mail; un ISP, "Internet Service Provider" o proveedor de servicios de conectividad a Internet que intermedia y almacena los correos en las casillas de sus clientes, tanto de emisores como de receptores, sin filtrarlos, sin bloquearlos o sin negarse a distribuirlos; y un titular de una dirección de correo electrónico que lo recibe sin haberlo nunca solicitado. 

Las posibles opciones de solución -que normativamente siempre se han considerado- son dos: o se exige a los emisores que obtengan autorización previa, expresa y para fines específicos del receptor y titular de una casilla de correo electrónico, o se permite su envío obligando a que sea éste último quien soporte los costos de la transmisión y la carga de, posteriormente, manifestar que no desea recibirlos o solicitar su eliminación de la base de datos de quien lo envía[3].

Los temas de la autorización previa y del uso del dato personal "dirección de correo electrónico" para  los fines con que el titular ha contratado el servicio con un proveedor de conectividad, no son menores. En Francia, por ejemplo, desviar la finalidad con que se recopiló un dato nominativo como "la dirección de correo electrónico" es delito penal -sancionado con privación de libertad-, y en Chile en cambio, se cree erradamente que publicitar una dirección de e-mail con fines académicos y/o profesionales conlleva una autorización tácita para ser destinatario de promociones comerciales.

Internet no es sino un conjunto mundial de servidores y redes computacionales entrelazados gracias a los llamados "proveedores de acceso o conectividad"        -que son múltiples- y al uso de un único protocolo de comunicaciones, también conocido como "la telaraña de la información".  La red permite el intercambio de datos entre los cinco continentes, posibilitando el acceso a todo tipo de contenidos con independencia de la ubicación físico-geográfica de dichos proveedores y sus usuarios.  Internet no es una empresa o una organización determinada: se trata más bien de un recurso o medio tecnológico que comparten tanto los proveedores de acceso como los proveedores de aplicaciones específicas (e-mail, diseño de páginas WEB, e-commerce, etc.).

Internet existe en la medida que las empresas proveedoras de servicios de conectividad permiten el acceso a los múltiples servidores que comparten información. Estas empresas, que en su mayoría son las mismas que prestan servicios de telecomunicaciones de otra naturaleza, actúan comercialmente en un régimen de libre competencia. En cuanto a los servicios que prestan, si bien es cierto no son tan esenciales a esta fecha como los de agua, luz, gas o teléfono, la disminución de la brecha digital mediante la penetración y masificación de la red y a la luz de desarrollos en curso como los de la Telefonía IP[4] o de VOLP -por sus siglas en inglés, voz sobre protocolo de Internet- harán que pasen a ser esenciales en muy corto tiempo.

A esta fecha no cabe cuestionar, por la naturaleza de la red Internet y la forma en que las empresas prestan los servicios de acceso a la misma, la viabilidad de incluir a los servicios de acceso a la red dentro de la definición que la ley Nº18.168 contempla para los servicios públicos de telecomunicaciones. Nada obsta a este enfoque el que por la naturaleza "de  interconexión de hecho" de la red Internet (un ISP puede conectarse a ella, o no, y si lo hace e interconecta servidores habrá Internet) no sea susceptible de ser concesionado  legal y administrativamente como ocurre con la telefonía o los espectros radioeléctricos[5].

El artículo 3º señala que "para los efectos de esta Ley los servicios de telecomunicaciones se clasificarán en la siguiente forma", y en la letra b) determina que existen los "Servicios públicos de telecomunicaciones, destinados a satisfacer las necesidades de telecomunicaciones de la comunidad en general", los que "deberán estar diseñados para interconectarse con otros servicios públicos de telecomunicaciones".

La SUBTEL es el órgano  público al que toda ley debe facultar para  instar y controlar el correcto funcionamiento de Internet en Chile, ya no sólo permitiéndole dictar normas administrativas desde la perspectiva de supervigilancia técnica que ha esta fecha le encomienda la ley 18168 -de velar por la correcta instalación, operación y explotación de los servicios de telecomunicaciones autorizados en el país como asimismo, por la aplicación y control de la ley y sus reglamentos y la interpretación técnica de las disposiciones legales y reglamentarias que rigen las telecomunicaciones-.

Debe tenerse presente que el servicio de acceso a Internet constituye  un servicio público de telecomunicaciones; y debe considerarse que los servicios "de intermediación" en materia de conectividad en general y de envío y recepción de correos en particular que prestan las empresas proveedoras de conectividad o ISP son claves en el desarrollo o en el estancamiento de la red Internet. Por lo mismo, no pueden quedar sólo entregados a las reglas del mercado si se constata que la falta de normas legales -generales, permanentes, obligatorias y no discriminatorias- que les asignen derechos y obligaciones específicas a los ISP -esencialmente de filtrado y bloqueo de correos- atenta contra la conectividad y el acceso a la red Internet.

III. El spam desde la perspectiva de los emisores de correos electrónicos, de los receptores y de los intermediarios. Falta de eficacia de las propuestas de "autorregulación" para emisores, receptores e intermediarios.

Anticipamos que al abordar la regulación de los llamados "spam" se distinguían diversos actores relacionados, a saber: generalmente un comerciante o prestador de servicios que quiere promocionar sus productos; una empresa emisora que ofrece externalizado el servicio de comercialización on line a los proveedores, y que "trafica" anónimamente y sin estar registrada en parte alguna listas fidelizadas de direcciones de e-mail; un ISP que intermedia y almacena los correos en las casillas de sus clientes, tanto emisores como receptores, sin filtrarlos; y un titular de una dirección de correo electrónico que lo recibe sin haberlo solicitado. 

Los principales actores involucrados son el emisor o remitente del correo; el receptor o destinatario; y el ISP o proveedor de conectividad que intermedia y donde están las casillas receptoras de los correos. El emisor puede actuar personalmente (el propio proveedor) o, habiéndose contratado el servicio, operar por encargo de otro. Y  el receptor puede querer o no recibir el correo. Y respectivamente ellos pueden reclamar el reconocimiento de su "derecho de enviar", de su "derecho de no recibir" y de su "derecho de no distribuir".

Desde otra perspectiva más amplia o general, se ha consignado que de acuerdo con la regulación efectuada por la SUBTEL sería posible distinguir en Internet la participación de las siguientes entidades: 1) la compañía de telecomunicaciones, que es el concesionario de servicio publico telefónico o de servicio intermedio propietario de los medios de transmisión, pudiéndose prestar a través de ellas un servicio de Internet conmutado, o de banda ancha por medios alámbricos o inalámbricos; 2) el ISP o proveedor de acceso a Internet, que es la persona natural o jurídica que presta el servicio de acceso a Internet; 3) el proveedor de contenidos, que es la persona natural o jurídica que pone a disposición de los usuarios contenidos y/o aplicaciones en Internet a través de medios propios o de terceros; y, 4) el usuario, que es la persona natural o jurídica que a través de los servicios de un ISP que intermedia accede a la red de Internet, en este caso, para enviar o recibir correos electrónicos no solicitados.

El problema del spam suele abordarse sólo desde la perspectiva de la relación entre emisores y receptores, y la discusión suele remitirse a si los primeros requieren o no autorización previa de los segundos para el envío de los correos no solicitados, y si los segundos pueden oponerse en base a un derecho a no recibirlos[6]. Pero esta visión es sesgada y no idónea para solucionar los problemas de conectividad que se generan ni para acotar debidamente esta práctica. Esta es, por cierto y como veremos, una de las deficiencias de las normas aprobadas en Julio del 2004 en la ley chilena sobre derechos de los consumidores.

Por lo mismo, no pueden quedar sólo entregados a las reglas del mercado si se constata que la falta de normas legales que les asignen derechos  -por ejemplo de bloqueo de emisores o de no distribución de correos electrónicos, sean los de sus propios usuarios-clientes o no- y que establezcan responsabilidades y obligaciones específicas -por ejemplo de oferta y uso de sistemas de filtrado- a los ISP atenta contra la conectividad y el acceso a la red Internet.

La "autorregulación" promovida por la SUBTEL y por la entidad gremial que agrupa a los proveedores de Internet -la API- el año 2002 ha resultado ineficaz, debido, fundamentalmente, a que se trata de simples sugerencias o recomendaciones que nadie está obligado a  cumplir. Ello es insuficiente frente a los grandes negocios que, a través de este medio, pueden gestarse.  A estas sugerencias en sede de autorregulación debe dárseles, en la medida de lo posible, rango legal.

Conceptualmente se trató de indicaciones idóneas, que distinguían también entre los roles de los emisores, de los ISP intermediarios y de los usuarios. Y "culturalmente" están siendo difundidas por la API, la que señala que consisten en una serie de recomendaciones de buenas prácticas para el envío de mensajes publicitarios por correo electrónico, así como para los ISP y los destinatarios, siguiendo lo que estaría siendo la tendencia mundial en el área, y las que ofrece la opción de autorizar a utilizar un sello distintivo a quienes cumplan con las recomendaciones de buenas prácticas.

Dentro de las principales recomendaciones para el buen uso del correo electrónico figura aquella que señala que no se enviarán mensajes publicitarios a destinatarios que no lo hayan autorizado; los destinatarios ya inscritos podrán solicitar, a través de un procedimiento sencillo, ser eliminados de la lista, y que aquellos proveedores de contenidos, productos y servicios que contraten los servicios de una empresa para el envío de correos electrónicos publicitarios, deberán asegurarse que dichas empresas cumplan con las recomendaciones de buenas prácticas.

Reflejando una percepción que con este estudio y las propuestas de modificaciones legales del proyecto Novoa se busca cambiar, es sintomático que para las recomendaciones de buenas prácticas a las empresas proveedoras de acceso a Internet  se contemplen sólo un par de afirmaciones generales, no obstante tenerse en cuenta los graves perjuicios que a ellas les ocasiona el spam[7]. Una, en cuanto a que los ISP deberán cautelar por la correcta instalación y funcionamiento de los servidores de correo de sus clientes, para evitar el llaamdo "open-relay". Otra, para que pongan a disposición de sus clientes, en sus respectivos sitios web o en cualquier otro medio, las condiciones particulares de uso del servicio de correo electrónico que presta cada ISP.

La actuación de los ISP y el rol que ellos asuman, en su calidad de intermediarios entre emisores y receptores de correos electrónicos, es la clave para frenar la penetración y el desarrollo del spam. Creemos que a estas empresas prestadoras de servicios, intermediadoras y distribuidoras de los correos electrónicos cabe exigírseles que se adopten concretas medidas de filtrado y bloqueo de las direcciones claramente usadas por emisores de "spam", en el contexto mayor de las obligaciones de seguridad e idónea prestación de servicios que subyacen en la celebración de un contrato de arriendo de una casilla o cuenta de correo electrónico[8].

IV. La validación legal previa del spam en el contexto de la ley chilena sobre derechos de los consumidores. Errada opción de fondo y limitantes derivadas del ámbito de aplicación de la ley.

No es suficiente abordar el problema en el contexto de la ley de derechos de los consumidores, como se ha propuesto y aprobado a esta fecha en Chile mediante la ley 19.955 de Julio del año 2004, modificatoria de la ley 19.496, toda vez que suele no darse entre el emisor del correo electrónico no deseado, invasivo y perjudicial y el receptor del mismo, una relación de  aquellas generadas entre proveedores y consumidores que se regulan en el contexto del derecho de los consumidores.

Dicho de otra forma, los e-mails que saturan las casillas o buzones de correo electrónico pueden no contener ofertas, promociones comerciales o publicidad engañosa y no ser emitidos por proveedores que ofertan un bien a cambio de un precio.

La nueva ley chilena sobre derechos de los consumidores contempla el siguiente artículo 28 B, inciso primero: "toda comunicación promocional o publicitaria enviada por correo electrónico deberá indicar la materia o asunto sobre el que versa, la identidad del remitente y contener una dirección válida a la que el destinatario pueda solicitar la suspensión de los envíos, que quedarán desde entonces prohibidos".

Al optarse por esta regulación se omitió considerar detalles prácticos, como el hecho frecuente de que si uno solicita ser removido no se hace sino comprobar al emisor que el receptor tiene la casilla activa, al solicitar ser removido aparece una dirección que lleva a registrarse en una base de datos de un país extranjero en donde ninguna posibilidad tiene de ser aplicada la ley chilena.  

Este criterio obedeció además a consideraciones económicas ajenas al problema del "spam" (a saber, permitir la promoción comercial por esta vía de las pequeñas y medianas empresas),  y puede resumirse en que se ha permitido por ley que se generen cientos de "primeros envíos" de ofertas de distintos productos y desde direcciones diversas, con la posibilidad sólo teórica de ofrecer una posibilidad de removerse que siempre es ineficaz.

V. El proyecto Novoa.  La necesidad de articular un sistema de control legal a partir de la tutela del dato personal "dirección de correo electrónico".

1. Las implicancias y menoscabos para la privacidad o intimidad de las personas devienen mayoritariamente del mundo "on line" o de las redes del  literaria y sociológicamente llamado "ciberespacio", en particular de Internet y concretamente en consideración al dato personal y nominativo "dirección de correo electrónico". Hoy, en el contexto de Internet, el problema se ha masificado. Este es el antecedente -el elemento de conectividad y la existencia de múltiples, dispersos y desconocidos "responsables de bases de datos" que anónimamente procesan direcciones de correo electrónico-, que debe llevar a la formulación de propuestas sobre concretas modificaciones y adaptaciones a la norma que en Chile pretende regular el uso -para proteger- y sancionar el abuso en materia de procesamiento de datos personales o nominativos.

El problema debe abordarse -por ende- en el ámbito del resguardo del criterio del usuario, persona natural o empresa, que libremente pudiese optar por consentir y autorizar previamente, o no, en que se use su dato personal o atributo "dirección de correo electrónico" (el elemento clave del problema) para hacerlo destinatario de estos correos no solicitados.

Ocurre que el llamado opt out o el envío permitido a priori, sujetado a la obligación de ofrecer la posibilidad de ser borrado, no  evita que se envíen correos anónimos, no evita que los costos del negocio (el franqueo del correo) lo sigan asumiendo los consumidores, y le sigue traspasando una carga injusta a los receptores de los correos, mismos que se encuentran con las vitrinas de las ofertas en el interior de su PC (lo que constituye "invasión de propiedad") sin que lo hayan querido.

A todo lo dicho debe agregarse la afirmación carente de todo fundamento sostenida por quienes lucran con el negocio del envío de correos masivos y no solicitados, que entiende que por el hecho de publicarse una dirección de correo electrónico en un sitio de la red Internet se contaría con una autorización tácita para que ella sea utilizada para le envío de correos promocionales no solicitados, lo que en toda ley de protección de datos constituye una abusiva e improcedente "desviación de los  fines" -por ejemplo laborales o académicos- en consideración a los cuales ellos son publicados.

2. La ley 19.628 sobre protección de datos personales y vigente desde el año 1999, no permite un adecuado equilibrio entre el Derecho a la Privacidad y el Derecho a la Información de las personas naturales y jurídicas. Concretamente, no permite que los titulares de los datos o antecedentes personales y nominativos que se "tratan" -en términos de la ley 19.628- o "procesan computacionalmente", controlen y autodeterminen el uso que otros, en forma irresponsable y generalmente con fines de lucro, les dan.  Esto se debe tanto a las "sombras" imputables a su estructura, las que perduran y no se han aclarado legislativamente, como a la necesidad de normarse nuevos conflictos, como el uso del dato personal "dirección de correo electrónico"[9].

Lo anterior,  sumado a la inexistencia de un registro de bases de datos personales -como las direcciones de correos electrónicos- y a la no consagración de la obligación legal de que los responsables de bases de datos informen de lo que procesan y almacenan al menos una vez al año a los titulares, son las reales causas de que los chilenos permanezcan ajenos al mecanismo de Habeas Data que -teóricamente en definitiva- establece el artículo 12 de la ley 19.628. Atendido el anonimato que se genera en Chile en materia de procesamiento de datos al no existir un registro de los que la ley 19.628 califica de "responsables", se hace ilusorio el ofrecer la posibilidad            -conforme al artículo 16- de accionar ante los tribunales después de transcurridas 48 horas siguientes al eventual requerimiento de eliminación, actualización o modificación de datos.

La Ley chilena N°19.628 establece que en esencia, existen "datos personales" o nominativos que le pertenecen a sus titulares y que son "tratados" manual o automatizadamente, tanto por órganos públicos como por empresas o personas particulares, a quienes la ley califica como "responsables del registro o banco de datos". La regla general formalmente declarada por el texto legal es que dicho "tratamiento de datos personales" sólo puede hacerse en virtud de autorización legal o del titular de los datos, pero del contexto de las normas se desprende que la mayoría de los datos provienen de "fuentes de acceso público" (por lo cual no se requiere de autorización para su tratamiento) y se consagran -como veremos- importantes y amplias excepciones sobre todo en materia de datos "personales-patrimoniales", lo cual transforma a la regla general en una mera declaración de principios. El mecanismo de resguardo recogido parcialmente del Derecho Comparado se denomina "Derecho de Acceso" o "Habeas Data", y éste, después de ejercerse ante quien aparezca como responsable del banco de datos -si es que se tiene la suerte de ubicársele porque generalmente actúan en el anonimato- sólo puede reclamarse ante los tribunales ordinarios de justicia y no ante una autoridad administrativa.

Modificándose la ley 19.628, deben arbitrarse los mecanismos legales que impidan vulnerar esta exigencia de autorización previa ("opt in"), incluso bajo el apercibimiento de aplicarse no sólo sanciones administrativas por un ente como la SUBTEL sino penales, si la práctica de envío de correos se pretende realizar dolosamente desde el extranjero -como ocurre en muchos casos-. 

3. En otro contexto normativo y en la misma sintonía de nuestras propuestas, a saber, el de las normas del TLC firmado entre Chile y EE.UU. y concretamente en el Capítulo 13 sobre telecomunicaciones, se contempla la obligación de que el Estado de Chile vele por los datos personales de los usuarios de los servicios públicos de telecomunicaciones. En efecto, el artículo 13.2 sobre "acceso a y uso de redes y servicios públicos de telecomunicaciones", establece que adicionalmente al artículo 23.1 (Excepciones generales) y sin perjuicio de lo dispuesto en el párrafo 3, una Parte podrá tomar medidas que sean necesarias para garantizar la seguridad y confidencialidad de los mensajes, o para proteger la privacidad de datos personales no públicos de los suscriptores de servicios públicos de telecomunicaciones, sujeto al requisito de que tales medidas no se apliquen de tal manera que pudieran constituir un medio de discriminación arbitraria o injustificable, o alguna restricción encubierta al comercio de servicios. 

4. El H. Senador Jovino Novoa ha sometido a trámite parlamentario una Moción que modifica la ley Nº19.628 -sobre protección de la vida privada- y el código penal, en lo relativo a la protección de los datos personales en general y de las direcciones de correo electrónico en particular.

El contexto dentro del cual debe analizarse la idoneidad de esta Moción es que ella apunta a conciliar el conflicto que se presenta entre dos garantías individuales y de rango constitucional. A saber, por un lado el derecho a la intimidad, tanto en cuanto datos personales o nominativos, sensibles o no, procesados computacionalmente, y por otro el derecho a la información que reclama la sociedad toda[10].

En el contexto de los sistemas informáticos y las bases de datos, por un lado está el legítimo interés de aquellas personas cuyos datos nominativos se procesan computacionalmente, en resguardar su vida privada y la necesaria confidencialidad de antecedentes como sus creencias religiosas, su filiación política, sus tendencias sexuales, su estado de salud, el monto de su patrimonio,  las direcciones de correo electrónico, etc.

Por el otro, el interés -también legítimo- que poseen los gobiernos y los particulares para acceder a cierta información: los gobiernos, para cumplir con sus fines promocionales y asistenciales de orden público, como por ejemplo saber quienes tienen SIDA al momento de fijar políticas de salud; y los particulares, generalmente constituidos en empresas de servicios o entidades gremiales, que para asegurar la vigencia de un orden público económico necesitarán conocer los antecedentes comerciales irregulares o negativos de las personas que actúan en la vida comercial[11].

La principal de las propuestas parte por tenerse presente, para prohibirse, que el tráfico previo y no autorizado de enormes listas y bases de datos con direcciones de correos electrónicos es un elemento que debe acotarse, porque se encuentra a la raíz del problema.

Concibe luego a la dirección de correo electrónico de cada persona natural o jurídica como uno de sus datos personales y sensibles que le pertenecen y lo individualizan en la sociedad -es un atributo de su personalidad-, y por ende debe poder ser autodeterminado y controlado por sus titulares[12]. 

Se busca que la opción de permitirse las promociones comerciales vía e-mail, en el correcto sentido en que el artículo 28 B de la ley sobre derechos de los consumidores modificada este año pretendía legislar (no oponerse, con resguardos idóneos), no se vulnere con la oferta de una falsa opción de remoción de alguna lista o base de datos, y que se complemente con la exigencia de una previa, clara y expresa autorización de la persona o empresa que sea el propietario de la casilla y el titular de la dirección de correo electrónico, por ejemplo cuando se consiente voluntariamente en registrarse y en aceptarse el envío de mensajes publicitarios al inscribirse en alguno de los sitios o foros de la red Internet.

En definitiva, con las modificaciones y los nuevos artículos propuestos: se eleva el dato personal "dirección de correo electrónico" a la calidad de sensible; se cierra la amplia válvula que constituyen los mencionados artículos 2° y 4° de la ley 19.628; se prohibe interpretar el hecho de que por estar en Internet puede entenderse que una dirección de correo electrónico es pública y que se consiente su tratamiento con fines abusivos y de envío de spam; se prohíbe la confección y comercialización sin autorización de listas de direcciones de correos electrónicos; se otorgan mecanismos de resguardo jurídico no sólo a las personas naturales sino también a los representantes legales de las personas jurídicas; y se precisa la habilitación sin restricciones del artículo 28 B de la ley 19.496.

En cuanto a los ISP o proveedores de conectividad a la red Internet sólo están facultados para, (1) habiéndose verificado que se trata de un emisor que envía correos en forma indiscriminada; (2) ante un requerimiento expreso de un Tribunal o ante un requerimiento concreto y específico de su usuario o cliente; y (3) habiéndose notificado previamente al emisor del eventual bloqueo en caso de no cesar los envíos, sólo entonces bloquear la dirección IP o filtrar los correos que desde ella se envíen.

Teniendo presente que el dato personal dirección de correo electrónico es el elemento clave para la existencia de "spam" o de correos  masivos no solicitados -en su mayoría conteniendo promociones comerciales-, la Moción propone que sea en el contexto de la normativa legal que por especialidad está llamada a regular su uso donde se ponga coto normativo a esta práctica. La  propuesta es la de sistematizar los diversos criterios básicos de estas nuevas disposiciones, ubicadas en un Título específico -al que se propone denominar "Sobre la protección de los datos sensibles en general y de las direcciones de correos electrónicos en particular"-.  Esta es una opción jurídica y legal que permitirá a los titulares  de los datos personales controlar y autodeterminar el uso y evitar el abuso del dato personal o nominativo denominado "dirección de correo electrónico".

5. Artículos propuestos en la Moción.

I.- Artículo 1º:

1.) Sustitúyese el artículo 2º letra  f) de la ley 19.628, por el siguiente:

"Datos de carácter personal o datos personales, los relativos a cualquier información concerniente a personas naturales o jurídicas, identificadas o identificables.".

2.)  Sustitúyese el artículo 2º letra  g) por el siguiente:

"Datos sensibles, aquella especie de datos personales que aludan a las características físicas o morales de las personas naturales o jurídicas, a hechos o circunstancias que estimen constitutivos de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, la vida sexual, los estados de salud físicos o psíquicos, sus direcciones de correo electrónico, las nóminas de sus clientes y los estados financieros y patrimoniales positivos o no regulados por los artículos 17 y ss. de esta ley. Su tratamiento computacional o manual sólo será procedente mediando autorización previa y expresa de los titulares a quienes aludan".

3.) Sustitúyese el artículo 2º letra i) por el siguiente:

"Constituyen fuentes públicas de información las bases de datos computacionales y los listados manuales cuyo acceso o  consulta pueda ser realizada por cualquier persona, de manera gratuita u onerosa, sin que sea prohibido por una norma limitativa que le asigne el carácter de secretos o reservados, tales como, la estadística de los censos; los listados telefónicos en los términos previstos por su normativa específica; las listas de personas pertenecientes a grupos de profesionales que voluntariamente se hayan incorporado, consintiendo en el tratamiento público de sus datos, y que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, domicilio o residencia e indicación de su pertenencia al grupo; los diarios y boletines oficiales; los medios de comunicación social; y todas aquellas que revistan tal calidad por haberse registrado, almacenado o tratado los datos personales con el consentimiento  previo y expreso del propietario de éstos.".

4.) Sustitúyanse los incisos 5º y 6º del artículo 4º de la ley 19.628 por el siguiente:

"No requieren autorización del titular respectivo, únicamente y de manera excepcional, las operaciones de tratamiento de datos personales provenientes de las fuentes accesibles al público definidas en el artículo 2º de esta ley. Tampoco requerirán de dicha autorización el tratamiento de datos personales que realicen las personas jurídicas privadas, sin fines de lucro, para el uso exclusivo suyo, de sus asociados y de las entidades a que estén afiliadas, con fines estadísticos, de tarificación u otros de beneficio general de aquellos".

5.) Sustitúyase el artículo 9º de la ley 19.628 por el siguiente:

"Los datos personales a que alude la presente ley deben utilizarse para los fines considerados o declarados por sus titulares al      momento de su comunicación, registro o almacenamiento, salvo que provengan o se hayan recolectado de fuentes accesibles al público. Respecto a la recopilación de datos personales de empresas o personas naturales, obtenidos directamente de sitios de la red Internet, de manera alguna podrá entenderse que ha sido otorgada una autorización tácita para su uso con fines diversos a los inherentes a los derivados de la naturaleza o finalidad del sitio".

6.) Derógase el artículo 28 B de la ley 19.496.

7.) Incorpórase un nuevo Título II a continuación del artículo 9°, "Sobre la protección de los datos sensibles en general y de las direcciones de correos electrónicos en particular", pasando los restantes a ser III, IV, V y VI respectivamente.

8.) Incorpórense los siguientes artículos 10 A, B, C y D nuevos:

"Artículo 10 A: El dato personal dirección de correo electrónico poseerá la calidad de sensible, y a su respecto sólo procederá el tratamiento manual o computacional del mismo mediando la autorización a que alude al artículo 4º de esta ley, otorgada en forma previa, escrita o electrónica, por la  persona natural o por el representante de la persona jurídica a que se refieran y que sean individualizados por dicha dirección.

El titular de la dirección de correo electrónico en cualquier momento podrá dejar sin efecto la autorización dada para el envío de los mismos, en cuyo caso el emisor deberá eliminar los datos del destinatario y, en caso de haberlos comunicado a terceros, informarles de la revocación.

De manera alguna se podrá entender que el hecho de mantenerse publicada una dirección de correo en un sitio WEB de la red Internet implica el otorgamiento de una autorización tácita para el uso de la misma con fines de promociones comerciales o publicitarias, o para otros diversos a los inherentes que se deriven de la naturaleza o finalidad del sitio.

Artículo 10 B: El titular de la dirección de correo electrónico podrá requerir y solicitar, a la empresa proveedora de conectividad a la red Internet que preste los servicios de mantención y operación de casilla(s) electrónica(s) tanto al emisor como al receptor de los correos, o al que opere como mero transportador, el bloqueo de la dirección del emisor que le envíe un correo no solicitado previamente.

Dicho bloqueo, o la adopción de otras medidas técnicas para filtrar los mensajes como la limitación diaria, semanal o mensual de la cantidad de mensajes enviados por sus usuarios, procederá por el sólo hecho de la solicitud, notificación y/o reclamo que realicen un mínimo de cinco usuarios y sólo respecto de una dirección determinada o no de un rango genérico de direcciones. Realizado el bloqueo bajo estas condiciones no podrá  ser considerado denegación de servicio por parte del proveedor del emisor de los correos.

A estos efectos, el proveedor de conectividad deberá implementar un procedimiento claro y expedito, y elaborar y publicar una lista de todas aquellas direcciones a cuyo respecto le  sea solicitado bloquear la dirección del emisor, de manera que pueda ser consultada por los sistemas o servidores de correos de otros proveedores.

Artículo 10 C: Atendida la naturaleza de carácter sensible del dato dirección de correo electrónico, se prohíbe la comercialización anónima y sin autorización previa, escrita o electrónica, del titular del dato, de listas,  guías, compilaciones, registros o bases de datos que contengan direcciones de correos.

Artículo 10 D: Toda comunicación promocional o publicitaria enviada por correo electrónico o por servicios de mensajería telefónica celular,  no solicitada y enviada en forma masiva y reiterativa, deberá: a) indicar en su título o asunto los elementos que reflejen el contenido o motivo del mensaje o la materia o asunto sobre la que versa; b) especificar la identidad del remitente; y c) contener una dirección válida para requerir la suspensión de los envíos, mantenida en el servidor computacional de una empresa ubicada en Chile y que sea claramente identificable. Requerida que sea la suspensión de los envíos estos quedarán desde entonces prohibidos. 

La empresa deberá individualizarse en la comunicación indicando: Nombre o Razón Social, domicilio, RUT, correo electrónico y representante legal.

En el evento de que el titular de la dirección de correo electrónico o del número telefónico celular reciba una promoción comercial o un correo  y/o mensaje electrónico de diversa naturaleza, la no respuesta de la comunicación se entenderá como constitutiva de rechazo de la misma, y el emisor del correo y/o mensaje electrónico deberá proceder a eliminar la dirección de correo electrónico o el número telefónico celular de sus registros.

Sólo podrá enviarse una comunicación de este tipo al año, y siempre deberá consultarse al consumidor si desea seguir recibiendo información, solicitándole que conteste manifestando su voluntad en tal sentido. La segunda comunicación que envíe la empresa y que no cuente con la autorización expresa del titular de la dirección de correo o del número telefónico celular será considerada infracción a esta ley y a la que protege los derechos del consumidor, habilitándose a dicho titular, al proveedor de servicios de conectividad o al Servicio Nacional del Consumidor en su caso a deducir las acciones judiciales o administrativas que sean procedentes, este último, inclusive requiriendo al proveedor de servicios de Internet el bloqueo de la dirección del emisor de los correos electrónicos o mensajes de telefonía celular".

II.- Artículo 2º:

Agrégase al Código Penal el siguiente artículo 161 C, nuevo:

"Artículo 161 C.-  El que recopile, almacene, procese, perfile o transmita antecedentes o datos personales sin estar facultado por su titular para ello o, estándolo, lo haga con una finalidad distinta a aquella para la cual fue facultado o señale una ley en forma expresa, será sancionado con presidio menor en su grado medio.".



[1] En Chile ya se ha determinado que la práctica del envío indiscriminado de correos no solicitados genera enormes perjuicios a los receptores de dichos correos. La Cámara de Comercio de Santiago los ha cuantificado en aproximadamente 36 millones de dólares al año, y ellos derivan del tiempo necesario para eliminarlos y de los costos de conexión que asume y debe pagar el receptor. Téngase presente que para el emisor la práctica implica el único costo de tener un contrato de arriendo de casilla con un ISP o proveedor de conectividad a la red Internet.

[2] La perspectiva de la conectividad nace de  entender que Internet es una red telemática y un Servicio Público de Telecomunicaciones, que debe ser resguardado a instancias de  la SUBTEL y que está amenazado por una serie de prácticas con consecuencias económicas y jurídicas que atentan contra la navegación o la conexión de los usuarios, problemas que, a la larga, pueden atentar contra elementos claves del desarrollo de Chile  en materia de iniciativas de Gobierno Electrónico en el Sector Público o de  transacciones comerciales tanto en el Sector Privado como en el Público. Tal es el caso de las prácticas de "spam", que en países como EE.UU. saturan servidores o sitios WEB y han llevado a desincentivar el uso de los correos electrónicos.

[3] La novedad del proyecto del Senador Novoa en estudio, considera opciones nuevas, que apuntan a restringir legalmente el uso del dato personal dirección de correo electrónico                -elevándolo a la categoría de "dato sensible"- y a establecer, también legal y complementariamente en forma administrativa diversas obligaciones de cargo de los ISP que intermedian, todas fiscalizadas por la SUBTEL.

[4]  En Chile "la Subsecretaría de Telecomunicaciones ha resuelto regular" (técnica y administrativamente "la Telefonía IP, esto es, aquella que permite la transmisión de voz por las mismas redes que utiliza Internet y en la que confluyen los últimos avances en telecomunicaciones e informática. En tanto permite la transmisión de voz, la tecnología IP aparece como una atractiva alternativa al servicio telefónico tradicional, basado en redes físicas, destacando una notoria reducción de los costos asociados a las comunicaciones, por cuanto la duración de la llamada y la distancia de la misma, esenciales para establecer el valor del servicio tradicional, son en este sistema irrelevantes". El sistema operará mediante una concesión de servicio público de telecomunicaciones de voz sobre banda ancha (SPTVBA), introduciéndose una nueva categoría de concesión y de servicio público de telecomunicaciones diversa de la que se aplica a las concesiones de servicio público telefónico.

[5] En este contexto se entienden las normas técnicas administrativas que -para posibilitar el uso eficiente y adecuado de la red y alentar la conectividad a Internet- ha dictado la SUBTEL a esta fecha, las que, salvo error u omisión serían: 1) la Resolución Exenta 1.483, de 22 de octubre de 1999, para fijar el procedimiento y plazo para establecer, publicitar y aceptar interconexiones entre ISP[5]; 2) la Resolución exenta 669 de 1 de junio de 2001, modificada por la Resolución exenta 1.493 exenta de 12 de noviembre de 2001, que fija indicadores de calidad de servicio de acceso a Internet y sistema de publicidad de los mismos; y 3) la resolución 698 de 30 de junio de 2000, que fija los indicadores de calidad de los enlaces de conexión para cursar el tráfico nacional de Internet y sistema de publicidad de los mismos.

[6] PALAZZI comenta (en la revista Jurisprudencia Argentina, tomo 2004, vol II, paginas 1346-1355) que en Estados Unidos la doctrina ha planteado numerosas teorías para fundar el derecho a no recibir correos electrónicos. "Esta teorías van desde la invasión de privacidad receptada por el common law, hasta la aplicación analógica de la ley destinada a evitar llamados telefónicos molestos. También se han sugerido -sin éxito- reformas legislativas a nivel federal, pero a nivel estatal existen numerosas leyes que prohíben o regulan el spam".

[7] Se indican: 1) aumento del tráfico de correo y por ende mayor utilización de Ancho de Banda (BW), lo cual afecta a los clientes por medio de un acceso más lento (menor ancho de banda disponible) y obligaría al ISP a contratar más Ancho de Banda; 2) aumento de la utilización de recursos en plataforma de correos; 3) aumento del encolamiento de correos, lo cual impacta en la capacidad de procesamiento (CPU), Discos y Memoria de Servidores; 4) aumento de conexiones concurrentes, lo cual impacta en la capacidad de procesamiento (CPU), Memoria y Ancho de Banda (BW); 5) bloqueo de direcciones IP por parte de organismos internacionales, tanto para los servicios del ISP como para los clientes, por medio de las llamadas "listas negras", lo que implica aumentar los esfuerzos de supervisión y operación; 6) aumento de los reclamos por Spam, lo cual impacta en el costo y operación del personal de Call Center, operaciones y/o soporte; etcétera.

[8] Si ellos son partícipes coadyuvantes del cumplimiento de las nuevas normas que tutelen el dato personal "dirección de correo electrónico"; si ellos son obligados a ofrecer sistemas de filtrado a sus usuarios o clientes; si ellos implementan dichos sistemas en sus servidores o donde se alojan las casillas de emisores y receptores; si ellos son facultados para dar de baja a usuarios que generan spam y a spammers encubiertos; y si se agrupan bajo un código de conducta que con la obligatoriedad de una norma legal -no en sede de "autorregulación"- los lleve a estar constantemente intercambiando información sobre quienes actúen como spammers, el problema podría controlarse o al menos minimizarse. En este ámbito, por cierto, no existen las soluciones definitivas.

[9] Hemos sistematizado diversas y necesarias modificaciones que deben realizarse a esta normativa y los principales reparos a la ley vigente: no contemplar un órgano fiscalizador y la inexistencia de un registro obligatorio de bases de datos; establecer como regla general que los datos personales en Chile son públicos (artículo 2 letra i); definir de forma ambigua los datos sensibles o personalísimos y dejar la calificación de su uso a las propias empresas interesadas -tales como clínicas, ISAPRE, empresas funerarias-  en el artículo 10° de la ley 19.628; excluir de su aplicación a las empresas o personas jurídicas (que no pueden ampararse en el Habeas Data); o contemplar un enorme cúmulo de excepciones legales genéricas a los datos que por regla general pueden procesarse sólo en virtud de una autorización legal o del titular de los datos (artículo 4°). Debe entenderse y tenerse presente que ellas no han obedecido a criterios técnico jurídicos sólidos y que no encuentran asidero legal alguno en el Derecho Comparado.

[10] Se ha sostenido desde hace años que el abuso de las posibilidades computacionales constituye la amenaza por excelencia contra la intimidad, porque detentándose un enorme cúmulo de datos y cruzándose telemáticamente datos personales o nominativos, puede obtenerse un perfil determinado de las personas cuyos antecedentes son procesados. Esta imagen inmaterial debe ser resguardada porque puede ser creada errada o dolosamente, lo que eventualmente se traducirá en discriminaciones, en la imposibilidad de ejercer algún derecho, o en la pérdida de algún beneficio.

[11] ¿Cómo conciliar el Derecho a la Información con el Derecho a la Intimidad?, o ¿cómo equilibrar por un lado la máxima libertad o acceso a la información con un adecuado resguardo de la privacidad?. "LA RESPUESTA DOCTRINARIA" ha sido la formulación de un nuevo concepto del Derecho a la Intimidad, que surge frente a la llamada o reclamada Libertad Informática o de procesamiento de datos personales-nominativos; que deja de lado el enfoque individualista o negativo con que fue concebido para plantearse desde una perspectiva socializadora y positiva (ya no es "el derecho a ser dejado a solas"); y que se concibe como la posibilidad de que los ciudadanos titulares y propietarios de los datos que les conciernan controlen el uso y el eventual abuso de los antecedentes que a su respecto sean recopilados, procesados, almacenados y cruzados computacional y telematicamente. "LA RESPUESTA LEGISLATIVA" ha sido la promulgación de las llamadas leyes de protección de datos, y Chile no ha estado ajeno a ese proceso.

[12] Debe entenderse que existe una desigualdad, desproporción o brecha, entre los titulares de los datos personales que aspiran a controlar y autodeterminar el uso con fines de lucro de sus antecedentes y las empresas y entidades -verificadoras de datos, head hunters, agencias de marketing directo, etcétera - que cuentan a su favor con normas que  amparan sus prácticas.

Country:

Subjects:

Editor notes: 
Author: 
 
http://www.alfa-redi.org/node/8940