SEÑOR DIRECTOR:

Se ha informado que el Sernac inició un Procedimiento Voluntario Colectivo (PVC) a raíz de accesos no autorizados a bases de datos de ciertos clientes de un proveedor de servicios financieros. Sobre este aspecto conviene distinguir aspectos esenciales para el debate público.

Primero, no todo acceso indebido a datos personales supone por sí mismo un daño indemnizable. Para que exista responsabilidad es necesario acreditar un perjuicio real, concreto y cuantificable, no meramente un temor a la posible exposición de información. El daño para que sea reparable (indemnizable) debe ser real y cierto. El requisito de certidumbre se refiere a la materialidad del daño, a su efectividad. Esto aplica, por cierto, a los daños a consumidores en la Ley de Protección al Consumidor y en la regulación de datos personales.

Segundo, tampoco es jurídicamente correcto concluir que todo incidente de seguridad deriva automáticamente de un descuido o negligencia del proveedor. La actual Ley de Protección al Consumidor exige evaluar la diligencia desplegada y no basta la sola existencia de una filtración de datos personales para establecer responsabilidad, ni infraccional ni civil. Incluso la nueva ley de datos personales —aún no vigente— confirma este enfoque: impone deberes de seguridad proporcionales al riesgo y a la tecnología disponible, pero no consagra un estándar de infalibilidad ni de responsabilidad estricta (el legislador reconoce expresamente que el responsable debe garantizar estándares adecuados de seguridad).

Debemos avanzar en mayores estándares de protección, sin duda. Pero también es importante siempre el rigor jurídico y el sentido de proporcionalidad, evitando que el solo hecho de un ataque informático derive en una condena anticipada, sin prueba de daño ni de negligencia efectiva.

Jaime Lorenzini Barría

Profesor de la Universidad de Chile

Socio de Lorenzini & Twyman Abogados