Por Valentina Arriagada Alvarado*.
Publicar una sentencia en una red social o compartirla a través de WhatsApp, subir la fotografía de un abogado del equipo al sitio web del estudio, o publicar en alguna plataforma digital el video de una audiencia son, sin duda, prácticas que pueden ser habituales en la vida profesional de quienes prestamos servicios jurídicos. Sin embargo, con la entrada en vigencia de la nueva Ley de Datos Personales en Chile, prevista para el 1 de diciembre de 2026, será necesario replantearse la legalidad de estas conductas y evaluar si cumplen con las obligaciones y principios de la nueva normativa.
Si bien aún queda tiempo, es relevante comenzar a prepararnos para el cambio.
El 13 de diciembre de 2024, y tras una extensa tramitación legislativa, se publicó en el Diario Oficial la ley N°21.719 que regula la protección y el tratamiento de los datos personales, modificando la Ley N°19.628, y crea la Agencia de Protección de Datos Personales. Esta reforma, sin duda, supone un cambio de paradigma en materia de protección de datos personales y dota de contenido a un derecho que desde 2018 es reconocido como un derecho fundamental en nuestra Constitución Política (artículo 19, N°4).
Por supuesto, las nuevas obligaciones y principios no son ajenos a los profesionales del derecho y estudios jurídicos, quienes por la naturaleza de sus funciones tratan diariamente datos personales en general y, en muchos casos, datos sensibles o pertenecientes a categorías especiales. Es por ello que se debe prestar atención a ciertas conductas que pueden parecer rutinarias para abogados y abogadas, pero que, sin embargo, bajo la nueva regulación, pueden ser objeto de sanciones por parte de la futura Agencia de Protección de Datos Personales.
Ilustra lo anterior algunos casos ocurridos los últimos años en España, país que cuenta con una regulación con un estándar similar al de nuestra nueva ley, que han sido sancionados por la Agencia Española de Protección de Datos (AEPD):
- Divulgar datos innecesarios: En 2024 la AEPD (EXP202308617) sancionó con una multa de 10.000 euros al estudio de abogados de una aseguradora que envió cartas a todos los posibles implicados en daños a instalaciones públicas. Dichas cartas incluían datos tales como el nombre, DNI, domicilio y filiación de los implicados. Entre ellos, los de una adolescente transexual que había estado sufriendo amenazas en redes sociales, por lo que tanto ella como sus padres adoptaban muchas cautelas a la hora de facilitar sus datos personales. La AEPD consideró que la actuación vulneraba el principio de minimización de datos (o principio de proporcionalidad en nuestra nueva ley), al recabar más datos de los estrictamente necesarios para el tratamiento.
- Publicar la fotografía de un trabajador: En 2024 la AEPD (EXP202313226) impuso una multa de 5.000 euros a un estudio de abogados por publicar en su página web el nombre, apellidos y fotografía de un trabajador sin su consentimiento expreso. El estudio argumentó que el trabajador había dado su consentimiento al posar para la foto y proporcionar los datos de su currículum, además de haber sido informado previamente por correo electrónico por el área informática de la empresa, en un mensaje que decía: “Mañana sacaremos fotos a los nuevos que lo deseen”. Sin embargo, la AEPD consideró que esto no era suficiente, ya que el consentimiento no fue otorgado de manera indubitada ni cumplía con los requisitos de ser informado, expreso y libre, lo que constituyó una vulneración del principio de licitud del tratamiento de datos.
- Difundir el video de un juicio: En 2022 la AEPD (PS/00160/2019) sancionó con multa de 3.000 euros a una abogada que publicó el video de un juicio en YouTube, acción que vulneró el principio de finalidad y constituía una falta de licitud del tratamiento. Lo anterior, en razón de que el video había sido entregado a la abogada con una finalidad específica: preparar un recurso de reposición. Si bien la abogada se excusó en el principio de publicidad jurisdiccional, la AEPD descartó su argumento al estimar que su conducta nada tiene que ver con el desarrollo de la actividad jurisdiccional y fue fruto de una decisión libre y particular, y que, por lo demás, el principio de publicidad invocado rige estrictamente en la actividad jurisdiccional.
- Compartir una sentencia a través de WhatsApp: En 2023 la AEPD (EXP202202963) multó con 4.000 euros a una abogada por compartir una sentencia que contenía datos personales a través de WhatsApp con la finalidad de promocionarse profesionalmente. La AEPD consideró que la reclamada no contaba con el consentimiento ni otra base de licitud que legitimara la difusión de la sentencia.
- Pérdida de USB con datos sensibles sin medidas de seguridad: En 2023 la AEPD (EXP202100318) sancionó a una empresa que presta asesoría legal por la sustracción de un dispositivo de almacenamiento externo (USB) con numerosa información de carácter personal, relativa a un procedimiento penal. El dispositivo no estaba cifrado ni contaba con ninguna otra medida dirigida a impedir el acceso a la información por terceros no autorizados en caso de pérdida o sustracción, lo cual supone una vulneración de la confidencialidad de los datos personales debido a la inexistencia de medidas de protección sobre el dispositivo, lo que constituye una infracción a los deberes de seguridad en el tratamiento de datos personales. En este caso, la multa fue de 145.000 euros.
Sin duda, hechos como los mencionados podrían ser objeto de sanciones en Chile en un futuro así como lo han sido en España, por lo que es necesario que abogados y abogadas comiencen a adecuarse a los nuevos estándares a la hora de tratar datos personales.
Implementar y mantener disponibles políticas de privacidad que cumplan con el contenido exigido por la ley, adoptar medidas de seguridad adecuadas para resguardar la información, capacitar a los equipos y establecer políticas de eliminación de datos cuando éstos dejen de ser necesarios, son solo algunos de los desafíos que deberá enfrentar el gremio en los próximos meses para estar preparados cuando la nueva ley entre en vigencia.
Valentina Arriagada Alvarado. Abogada de la Universidad de Chile, diplomado en Protección de Datos Personales de la misma universidad. Asociada del estudio jurídico Bordoli y Doren.
