La publicación en Internet de cinco bases de datos pertenecientes a oficinas gubernamentales y privadas con información relativa a más de 6 millones de chilenos, reabrió el debate sobre la legislación necesaria para regular la interacción entre derecho y nuevas tecnologías. Fue posible leer comentarios y ver entrevistas que confundían la normativa sobre delincuencia informática con la normativa sobre protección de datos, por lo que aprovecharemos la oportunidad para aclarar las diferencias que existen entre esos 2 cuerpos normativos, que difieren en cuanto a sus efectos, justificaciones y objetivos.

La normativa sobre delincuencia informática tiene por objetivo proteger sistemas de tratamiento de la información (computador, servidores, redes, datos y programas computacionales) de actos  tendientes a dañar ese sistema o sus partes o componentes o de actos tendientes a acceder a la información que en el se contiene. Aquí es irrelevante si la información es pública o privada o si es valiosa o no. Quien accede a un computador apropiándose de información sin contar con autorización comete delito bajo la ley 19.223 sobre delincuencia informática y queda expuesto a pena privativa de libertad. Esta normativa también sanciona al que comunica o revela los datos contenidos en un sistema sin autorización.

La normativa sobre protección de datos personales tiene por objetivo proteger el derecho de las personas a que sus datos personales no sean tratados, procesados o comunicados sin su autorización, salvo en aquellos casos en que se trata de datos recolectados de fuentes accesibles por el público. Aquí es relevante determinar la naturaleza de los datos y de que fuentes los datos fueron recolectados. Existe cierta información que una persona puede desear no compartir con la sociedad o compartir en parte. Por lo mismo, el administrador de una base de datos personales en que los datos han sido recopilados de fuentes no accesibles al público como por la entrega directa de datos por un usuario, tiene un deber de cuidado de los datos. El administrador de bases de datos que no cumple con su deber de cuidado de los datos debe indemnizar el daño causado a los titulares de los datos que no fueron protegidos diligentemente.

En el caso en cuestión y en materia de delincuencia informática, se accedió a bases de datos sin autorización, lo que constituiría un delito. Además, todo indicaría que la información de las bases de datos fue comunicada o revelada al público sin autorización, lo que también constituye un delito. Por su parte, en materia de protección de datos, todo indica que los administradores de bases de datos no habrían aplicado y cumplido son su obligación de cuidado de los datos que les fueron confiados. En delincuencia informática es irrelevante determinar si el dato es público o privado, a diferencia de la protección de datos, donde el hecho que los datos filtrados hayan sido recolectados de fuentes accesibles al público dejará sin derecho a entablar acciones legales a quienes aparezcan en esas bases.

Ahora, lo más importante es aprovechar la oportunidad para actualizar nuestros textos normativos logrando consensos en la necesidad de nueva legislación. En materia de delincuencia informática, donde nuestra ley data de 1993 cuando no existía Internet, debemos adoptar y sancionar los tipos penales que propone la convención sobre cybercrimen, a fin de lograr armonía con las leyes de otros países para perseguir estos delitos sin importar si el autor se encuentra en Chile o en otra parte del mundo. En materia de protección de datos, debemos regular la responsabilidad de los administradores de bases de datos, aprovechando experiencias internacionales, pero debemos siempre evitar la tentación de la sobre regulación. En materia de protección de datos la sobre regulación frena el intercambio comercial de bienes y servicios, privando a los actores de tener acceso a información necesaria para desarrollar el tráfico comercial. Impongamos mayores obligaciones a los administradores de bases de datos, pero no apresuremos la creación de un organismo público como una agencia de protección de datos, que además de generar mayor burocracia y carga en el desarrollo de iniciativas comerciales, puede provocar un freno a la circulación del bien más preciado de las sociedades modernas, como es la información.