Hace algunas semanas el Senado aprobó en general el proyecto de ley que reforma la actual Ley No. 19.223, sobre delitos informáticos. Éste tiene por objeto, por un lado, superar la anquilosada legislación de 1993 –equivalente a siglos en materia de desarrollos tecnológicos– y, por el otro, ajustar el ordenamiento jurídico nacional al Convenio de Budapest sobre Ciberdelincuencia, ratificado en 2017 por Chile.
El proyecto, sin embargo, tiene un detalle sumamente importante: en una de sus modificaciones al Código Procesal Penal, amplía considerablemente una obligación a las empresas de telecomunicaciones y proveedores de Internet de retener los datos relativos al tráfico de los usuarios. ¿Qué incluye esto? La dirección y números IP de las conexiones, el origen, la localización del punto de acceso a la red, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación e incluso los domicilios o residencias de los clientes. En definitiva, un cúmulo de datos personales que permiten entender bastante de nosotros, qué hacemos en Internet, por dónde nos movemos o cuáles son nuestros gustos, entre diversos rasgos que se extraen sólo de conocer el tráfico de un teléfono celular. Además, el proyecto establece un plazo de dos años para retener esta información a disposición del Ministerio Público, superando con creces la obligación actual de seis meses.
En otros términos, el proyecto busca legalizar lo que el Gobierno de M. Bachelet trató regular por decreto y se conoció popularmente como el “Decreto Espía”. Dicho decreto, en su momento, fue representado de ilegalidad por el Contralor, porque excedía el marco de las atribuciones de la Presidencia.
La obligación de retención que se impone debiese preocupar a las empresas. Éstas son las responsables en el tratamiento de datos personales relativos al tráfico y las direcciones IP y tendrán que cumplir con los deberes de confidencialidad y seguridad de dicha información. Asegurar una base de datos de estas características –y por el plazo que establece el proyecto–, exige inversiones en infraestructura y de capacitación de su personal. En caso de hackeo o filtración, las empresas deberían responder por la falla de seguridad. Esto es particularmente exigible a aquellas empresas que prestan servicios en Europa o a ciudadanos de la Unión Europea, porque se les aplicará el Reglamento General de Protección de Datos Personales.
Pero más allá del costo regulatorio que impone a las empresas, la medida es cuestionable desde el punto de vista de los derechos fundamentales. El proyecto asume que todos los usuarios de un teléfono o de Internet somos sospechosos, por eso dispone una obligación legal de retención de tamaña cantidad de datos, para que queden congelados y asegurados cuando el Ministerio Público lo necesite. Así, tal cual.
En el Derecho Comparado, el Tribunal de Justicia Europeo declaró que una regulación mucho más exigente que la que propone el proyecto, violaba la Carta de Derechos Fundamentales de la Unión. Específicamente, estableció que este tipo de retención de datos constituía una restricción genérica e indeterminada al derecho a la protección de la vida privada y a la inviolabilidad de las comunicaciones.
Una medida de esta naturaleza es desproporcionada y lesiva de derechos, yendo más allá de los objetivos del proyecto. Sus aspectos positivos que se verían empañados si se aprueba esta modificación al Código Procesal Penal. Es de esperar, entonces, que el Congreso Nacional no innove en esta materia.