En el marco de una fiscalización -entre abril y julio de este año- el Consejo para la Transparencia (CPLT) recibió de parte de Carabineros datos personales como el RUT de los solicitantes de distintos tipos de permisos.
La titular informó que el CPLT remitió a organismos de la administración central del Estado recomendaciones actualizadas en materia de protección de datos personales, como una forma de enfrentar algunas situaciones que evidenció con más fuerza la pandemia y de colaborar mientras no haya un ecosistema de seguridad de datos para resguardar adecuadamente a los ciudadanos.
Una fiscalización del Consejo para la Transparencia (CPLT) arrojó, entre otros hallazgos, la entrega masiva del número de identificación de los solicitantes de algún tipo de permiso o salvoconducto en Comisaría Virtual, tras limitarse la libertad de desplazamiento en tiempos de emergencia sanitaria por Covid-19.
Esto a partir de la entrega del banco de datos que contenía esta información personal de los usuarios de la plataforma y que Carabineros remitió al CPLT en el marco del proceso de auditoría. La respuesta de la entidad policial a una solicitud del organismo –bajo la metodología de usuario simulado- permitió “acceder a los datos de comuna, Estado Final (Emitido/Permiso No Emitido), Fecha, ID, Nombre Empresa, Origen, Proceso ID (tipo de permiso), Rubro, RUN Personas Naturales, RUT Personas Jurídicas" , señala informe del CPLT.
Al respecto, la presidenta de la entidad, Gloria de la Fuente, explicó que este tipo de situaciones permite mostrar que “el acceso a datos personales no sólo ocurre por hackeos, sino muchas veces por acciones o decisiones que favorecen la exposición de información personal, que en este caso involucran datos sensibles, como ocurre con información sobre hábitos como cuántas veces a la semana y en qué horarios voy al doctor o compro alimentos o medicamentos para mi familia”.
“La digitalización es un esfuerzo en el que estamos comprometidos, pero ésta debe ir de la mano con una generación de conciencia a nivel de los organismos públicos y con la instalación de un ecosistema de seguridad de los datos, es decir, un marco regulatorio específico que determine las obligaciones y responsabilidades que deben asumir tanto el sector público como el privado”, dijo la titular del CPLT.
Agregó en este sentido “Que el Estado o empresas manejen datos debe darse bajo reglas claras y tenemos que resguardar que esas reglas se cumplan. Esta normativa, de 1999, se hace cargo de establecer ciertos principios de recopilación de información y ciertas obligaciones como la inscripción de bases, por ejemplo”.
“Por ello –explicó- para colaborar con estos objetivos, el Consejo para la Transparencia remitió vía Resolución Exenta a los organismos de la administración central del Estado recomendaciones actualizadas y nuevas disposiciones relativas al tratamiento de información personal”.
Su finalidad es “incrementar y mejorar el nivel cumplimiento de las obligaciones” en la materia y “contribuir a elevar los estándares de protección de los datos personales en poder de los órganos de la Administración del Estado a fin de asegurar los derechos que la Constitución y las leyes reconocen a los titulares de los mismos” (Resolución Exenta Nº 304 del 30 de noviembre 2020).
De la Fuente precisó respecto de esta acción que: "Desde el Consejo podemos requerir información para velar por la protección de datos personales –acorde a lo establecido en el artículo 33 letra m de la ley de transparencia-, pero no tenemos facultades más allá de establecer la existencia de alguna vulneración, las personas están desprotegidas, no podemos sancionar y eso es una limitante de la norma actual. El proyecto de ley que se discute hace años en el Congreso sí lo contempla”.
Agregó que: “La pandemia y este tipo de casos sirven para ilustrar nuestros déficits y uno de los más importantes es que en Chile, tras comprobarse una vulneración en el mundo privado o público, no existe una institucionalidad específica que se haga cargo adecuadamente de esto y que proteja a las personas con un adecuado régimen de sanciones, por ejemplo. Por ello esperamos se dé urgencia al proyecto de ley”.
Base de datos sin inscripción
El proceso impulsado por el CPLT permitió además conocer sobre la tardía inscripción en el Registro Civil del banco de datos generado con la información de millones de personas, obligación establecida en la ley vigente de protección de datos personales.
Desde el Consejo explicaron que, en el contexto del análisis de la situación de seguridad de los bancos de datos asociados a la Comisaría Virtual, pese a que dado que la ley vigente presenta falencias “sí establece que los organismos del Estado deben inscribir estas bases ante el Registro Civil e Identificación”, subrayó De la Fuente.
Para auditar que se diera cumplimiento a lo anterior, el equipo de fiscalizadores del Consejo realizó solicitudes de acceso a la información a este organismo y a Carabineros, logrando establecer que, al 30 de junio, la policía uniformada no había hecho el mencionado registrado. Durante el desarrollo del proceso de fiscalización, la entidad informó con fecha 11 de agosto que la inscripción se encontraba en proceso.
La fiscalización del Consejo involucró el análisis y caracterización del acceso, los contenidos y detalles del banco de datos generado a partir de los distintos tipos de autorizaciones entregadas por Carabineros vía Comisaría Virtual en este caso entre marzo y junio de este año. En dicho período se registraron 33.718.270 de solicitudes de permisos temporales individuales y salvoconductos individuales y de uso colectivo. Más de un 91% (30.832.437 registros) correspondientes a registros efectivamente emitidos.
Políticas de privacidad
Otra de las aristas auditadas en el marco del proceso impulsado por el Consejo, incluyó la revisión de las políticas de privacidad y términos y condiciones de uso y tratamiento de información personal. En el marco de la auditoría, se evidenció, a partir de información entregada por la institución uniformada, que Carabineros no habría tenido al 9 de julio de 2020 una política de privacidad disponible para informar a los usuarios la forma en que se trataría y resguardaría su información personal, puesto que comunicó que esta se encontraba en “actual desarrollo”. El enlace a éstas se habilitó cerca de un mes después.
Acorde al análisis del CPLT esta política de privacidad “presenta información general relacionada a la construcción de la plataforma” y contiene algunas “deficiencias”, como, por ejemplo, no contemplaría antecedentes sobre “posibles transferencias de datos, derechos de los titulares de los datos y tiempo de conservación de la información, pese al deber de informar que tienen los organismos de la administración del Estado”, se lee en el informe del organismo.
Caracterización de los permisos
Del total de registros un 95%, correspondiente a 29.249.658 registros, correspondió a permisos temporales de carácter individual, entregados a 6.647.139 personas diferentes. Es decir, en promedio, a cada solicitante se le otorgaron 4 permisos.
el caso de este tipo de permisos, un 61% (correspondiente a 17.911.798 registros) se asociaron a compras de insumos básicos; 11% (3.226.229 de registros) a pago de servicios básicos y 10% (2.990.078 registros) fueron otorgados con el fin de asistir a establecimientos de salud.
El permiso con fines de pasear a mascotas concentró un 6,8% (1.984.922 registros) y el de entrega de alimentos u otros insumos de primera necesidad a adultos mayores un 5,7% (1.679.417 registros).
En cuanto a los salvoconductos colectivos, se detectaron 1.477.452 registros, equivale a un 4,79%, los que fueron solicitados por 261.376 empresas diferentes. En promedio cada organización solicitó 6 salvoconductos. Acorde a la información proporcionada por Carabineros de Chile, el 66% (986.467 registros) de los salvoconductos colectivos se entregó a empresas básicas, el 33 % (490.854 registros) a servicios esenciales y el 0,01% (131) a grandes empresas. No obstante, 30 empresas solicitaron un 13% de este tipo de salvoconducto, siendo Walmart la que registró la mayor cantidad de estos registros (132.297).
A nivel de comunas, las personas a las a que se les otorgaron mayor cantidad de permisos temporales y salvoconductos eran residentes en Santiago Centro, Puente Alto, Ñuñoa, Maipú y Las Condes. Estas concentraron el 30% a nivel nacional. Sin embargo, al relacionar estos datos con el número de habitantes de cada comuna se observa que el ranking de las 5 comunas que solicitan más permisos cada 100.000 habitantes está compuesto por Ñuñoa, Santiago Centro, Providencia, San Miguel y Las Condes, solicitando al menos 7 veces más permisos que el promedio nacional.
Respecto del período analizado por el CPLT, éste identificó un aumento en la cifra total de permisos y salvoconductos otorgados a medida que se acercaban los meses de invierno, concentrándose el mayor número de permisos el 23 de junio, último día contemplado por la Fiscalización. La situación descrita anteriormente también ocurre con los permisos temporales individuales. En cambio, los salvoconductos de uso colectivo muestran un carácter oscilante, llegando a su punto máximo el día 5 de mayo de 2020. Con posterioridad a esta fecha disminuyen considerablemente.