1. Antecedentes Mediante Instructivo Presidencial Nº 5 del 11 de mayo de 2001, se impartieron indicaciones para el desarrollo del Gobierno Electrónico, disponiéndose que el Ministerio Secretaría General de Gobierno vele por los estándares de contenido de las páginas Web de los diversos Ministerios y Servicios, asegurando con ello el acceso de los ciudadanos a la información general y específica sobre la acción gubernamental. En cumplimiento de la tarea señalada, el mencionado Ministerio elaboró la Guía para el Desarrollo de Sitios Web del Gobierno de Chile. Posteriormente, el Comité de Normas para el Documento Electrónico dispuso la elaboración de una norma técnica que contribuyera a la estandarización, interoperabilidad y protección de datos personales de los sitios Web de los órganos de la Administración del Estado. Dicha normativa fue recogida por el Decreto Supremo N° 100 de 2006, del Ministerio Secretaría General de la Presidencia - MINSEGPRES, que aprueba norma técnica para el desarrollo de sitios Web de los órganos de la Administración del Estado. La disposición cuarta transitoria del antedicho Decreto Supremo previó que MINSEGPRES, - por intermedio del Comité de Normas para el Documento Electrónico y dentro del plazo de 120 días contados desde la fecha de publicación en el Diario Oficial del Decreto- elabore, entre otros, una Guía Modelo de Políticas de Privacidad, mediante la cual fijará los detalles técnicos asociados a la regulación reglamentaria. En merito de lo precedente, la Secretaría Técnica del Comité de Normas para el Documento Electrónico desarrolló la presente Guía Modelo de Políticas de Privacidad, por medio de la cual se busca contribuir al debido cumplimiento por parte de los órganos de la Administración del Estado de las disposiciones reglamentarias, así como de la Ley Nº 19.628 y sus modificaciones posteriores, en lo concerniente al tratamiento de datos personales realizado por los organismos públicos a través de sus respectivos sitios Web. La elaboración de esta Guía requirió de estudios previos, mediante los cuales se evaluó - a la luz de la normativa vigente- la situación de las políticas de privacidad, tratamiento de datos personales y el uso de éstos que realizan los sitios Web del Estado.1 El presente documento propone un Modelo de “Política de Privacidad”, que contiene patrones de conducta aplicables en la especie. Dicho modelo podrá ser adoptado, con las adecuaciones del caso, por aquellos organismos de la Administración del Estado que realicen cualquier tipo de tratamiento de datos personales de los usuarios de sus respectivos sitios Web. La “Política de Privacidad” no tiene por objeto restringir las facultades que la Ley otorga a los organismos del Estado en estas materias, sino sólo concretar y hacer accesible los derechos de los titulares de datos personales, además de incentivar y promover el buen uso de los recursos tecnológicos hoy disponibles.  1 Se conformó un comité multidisciplinario integrado por profesionales de distintas reparticiones públicas, coordinados por PRYME y cuya Secretaría Técnica estuvo a cargo de Alberto Cerda Silva y el equipo de investigación del Centro de Estudios en Derecho Informático de la Facultad de Derecho de la Universidad de Chile.   Comité de Normas para el Documento Electrónico Guía Modelo de Políticas de Privacidad Página 4 de 10 Es así como el modelo de “Políticas de Privacidad” propuesto tiene un carácter referencial, particularmente para aquellos organismos que se relacionan con sus usuarios por medio de plataformas tecnológicas y cuyo actuar en materia de tratamiento de datos personales se rija -además de la Ley Nº 19.628 y sus modificaciones posteriores- por otras normas distintas o complementarias. En lo que sigue, se presentan algunas consideraciones de tipo general relativas al contenido de las políticas, recomendaciones a su respecto y, seguidamente, el Modelo de “Políticas de Privacidad” sugerido.   Comité de Normas para el Documento Electrónico Guía Modelo de Políticas de Privacidad Página 5 de 10 2. Contenido de las políticas de privacidad El artículo 9 del Decreto Supremo N° 100 de 2006, del Ministerio Secretaría General de la Presidencia prevé que los órganos de la Administración del Estado deberán adoptar, mantener y declarar una “Política de Privacidad” de su respectivo sitio Web, y que ésta deberá encontrarse accesible desde su primera página. Si bien el ámbito de aplicación de la normativa queda circunscrito a los órganos de la Administración del Estado y no se extiende a los restantes órganos del Estado; ello no les impide adoptar “Políticas de Privacidad” similares, dada la creciente oferta de servicios en línea. La inclusión de la información contemplada en una “Política de Privacidad” desde la página de inicio del sitio Web de los organismos públicos, apunta a conferir certidumbre a la ciudadanía respecto del tratamiento de datos personales que se verificará en el sitio, así como los derechos de que se es titular y el modo en que puede ejercerlos, anticipando su conocimiento al uso mismo de los recursos disponible en línea. Seguidamente el artículo 9 precisa las menciones que “a lo menos” debía incluir la “Política de privacidad”. En este sentido, cabe consignar que la información suministrada a través de las políticas está por sobre el estándar legal vigente, ya que a través de ellas se enfatiza la difusión de los derechos ciudadanos, sin que por ello se menoscaben las facultades de los organismos públicos para tratar datos personales según la normativa legal que les sea aplicable. Con todo, el propio decreto admite la inclusión de información adicional al contenido mínimo previsto en él. Las menciones que deben incluirse en las “Políticas de Privacidad” son: 1. La individualización del órgano de la Administración del Estado responsable de tratamiento de datos a que corresponde el sitio Web, con precisión de quien le represente, su domicilio, dirección postal y correo electrónico. Esta mención es esencial, ya que la adecuada individualización del organismo público responsable del tratamiento de datos garantiza certidumbre a los usuarios de los servicios en línea respecto a ante quién han de ejercer los derechos de que son titulares como persona concernida por la información procesada. El contenido mínimo de la individualización del organismo público contempla tanto los datos para formular solicitudes presenciales como por medios electrónicos. En este último caso, la respuesta del organismo público requerido estará condicionada a la certidumbre en cuanto a la identidad del requirente, en su caso, según se examina posteriormente. 2. Una declaración, en términos claros y precisos, respecto a si el órgano de la Administración del Estado trata datos personales desde su sitio Web, indicando, según los casos: el nombre del banco de datos personales; el fundamento jurídico de su existencia; la finalidad del banco de datos; el o los tipos de datos almacenados en dicho banco, y una descripción de la categoría de personas que comprende. Todo ello conforme lo registrado en el Registro   Comité de Normas para el Documento Electrónico Guía Modelo de Políticas de Privacidad Página 6 de 10 de Bases de Datos que mantiene el Servicio de Registro Civil e Identificación, hacia el cual deberá existir un enlace, a efectos de ser consultado por los usuarios. De conformidad con la Ley 19.628, los organismos públicos que tratan datos personales deben registrar ante el Servicio de Registro Civil e Identificación los bancos de datos personales a su cargo al inicio de las actividades del mismo, comunicando oportunamente el cambio en cualquiera de las circunstancias que se consignan en el mismo. El mencionado Registro ha sido reglamento a través del Decreto Nº 779 de agosto de 2000 del Ministerio de Justicia, el cumplimiento de cuyas disposiciones no obsta al cumplimiento de lo previsto, sobre el particular, en el Decreto Supremo N° 100 de 2006, del Ministerio Secretaría General de la Presidencia. El Registro de Bases de Datos es público y, como tal, el Servicio de Registro Civil e Identificación lo ha hecho accesible en línea en su respectivo sitio Web. De ahí que el Decreto precise que, tratándose de los servicios que hacen tratamiento de datos desde sus sitios Web, se aluda al mencionado registro y aún se establezca un vínculo hacia aquella parte del mismo que le contempla. Por lo que concierne a las menciones asociadas al Registro, no se hace una exigencia reglamentaria adicional a la vigente. 3. Una declaración en cuanto a las condiciones y garantías sobre confidencialidad del tratamiento de los datos personales, así como del hecho de transferir datos a terceros o procesar datos a través de éstos, los cuales individualizará suficientemente, en su caso. La Ley 19.628 ha establecido la información que el responsable del tratamiento de datos, debe suministrar al titular de los datos con motivo de la colecta de éstos; no obstante, siempre a efectos de garantizar el ejercicio de los derechos por la persona concernida, el Decreto requiere la inclusión en las “Políticas de Privacidad” de antecedentes asociados a las condiciones y garantías sobre la confidencialidad del tratamiento de los datos y, en caso de transferir o tratar datos a terceros, la individualización de éstos. 4. La declaración expresa de los derechos de que dispone el usuario, en cuanto titular de datos personales, para su debido resguardo; así como de los medios que dispone el propio órgano de la Administración del Estado para garantizar el ejercicio de los mismos. La sola remisión a los preceptos de la Ley 19.628, y más aún una genérica alusión a las disposiciones legales y reglamentarias aplicables, no garantiza una apropiada difusión de los derechos de las personas ante el tratamiento de los datos personales que les conciernen. De ahí que el Decreto exija de los organismos de la Administración del Estado que tratan datos personales en sus sitios Web, la precisión de los derechos que corresponden a los titulares de aquéllos. Todavía más, el Decreto requiere la indicación de los medios dispuestos por el respectivo organismo a efectos de garantizar al titular de los datos personales el ejercicio de sus derechos.   Comité de Normas para el Documento Electrónico Guía Modelo de Políticas de Privacidad Página 7 de 10 5. La indicación de una dirección electrónica de contacto, a efectos de que el usuario solicite y obtenga, por medios electrónicos, información acerca de qué datos personales se mantienen registrados. El Decreto exige la precisión de un contacto electrónico, de modo que las personas puedan hacer ejercicio -a través de él- de los derechos que la ley les irroga. La mencionada dirección electrónica de contacto permitirá a los usuarios, en tanto titulares de datos personales, solicitar acceso a los datos que les conciernen, así como su modificación, eliminación, cancelación o bloqueo. En caso del ejercicio del derecho de acceso, la respuesta del órgano de la Administración del Estado se verificará por medios electrónicos si dispusiere de garantías suficientes respecto de la identidad del solicitante. De lo contrario, pospondrá la respuesta comunicando al titular de los datos la disponibilidad de ésta para serle entregada personalmente en dependencias del organismo. Sólo el ejercicio del derecho de información no requiere la adopción de garantías relacionadas con la identidad del solicitante. Los restantes derechos -acceso, modificación, eliminación o cancelación, y bloqueo-, pueden ser ejercidos por medios electrónicos, pero la respuesta del órgano de la Administración del Estado se verificará por medios electrónicos en cuanto dispusiere de garantías suficientes respecto de la identidad de la persona del solicitante, en su caso. De no existir tales garantías, el organismo público indicará al titular de los datos dónde u cuándo le será entregada tal información, de preferencia en dependencias del organismo.   Comité de Normas para el Documento Electrónico Guía Modelo de Políticas de Privacidad Página 8 de 10 3. Recomendaciones Se recomienda que las “Políticas de Privacidad”: a. Sean utilizadas bajo la denominación de “Políticas de Privacidad” y no otra inductiva a error en cuanto a su contenido o alcance; b. Sean ubicadas en un lugar destacado del sitio Web y siempre visible en los formularios o cualquier sistema de recolección de datos, sin perjuicio de su accesibilidad desde la primera página del sitio Web respectivo; c. Traten exclusivamente sobre la materia concerniente al tratamiento de datos personales efectuado en el sitio Web del respectivo órgano de la Administración del Estado, evitando la inclusión en ellas a otro tipo de reglamentaciones, tales como las denominadas condiciones de uso de los sitios Web, derechos de autor o copyrigth, etc. Por otra parte, las “Políticas de Privacidad” deberán ser difundidas e implementadas conjuntamente con procesos de instrucción y capacitación de los operadores o funcionarios que participen en la gestión de sitios Web del Estado. Tratándose de servicios externalizados, su adecuado cumplimiento debe preverse en las bases de licitación y/o contratación respectivas. En este mismo sentido, para elevar aún más los estándares de protección de privacidad entre los organismos de la Administración del Estado, es recomendable que éstos generen cartillas informativas dirigidas tanto a los funcionarios de las reparticiones como a los usuarios de sus servicios, a fin de fomentar el respeto del derecho a la vida privada de las personas y un tratamiento de datos personales adecuado. El uso de los propios medios digitales para tales propósitos es imprescindible.   Comité de Normas para el Documento Electrónico Guía Modelo de Políticas de Privacidad Página 9 de 10 4. Modelo de “Políticas de Privacidad” Conforme a lo dispuesto en el artículo 19 Nº 4 de la Constitución Política de la República y a las normas pertinentes de la Ley Nº 19.628 sobre protección de la vida privada y sus modificaciones posteriores, el tratamiento de datos personales que se realiza en [identificar el sitio del organismo público] de [identificar el organismo público], se rige por las siguientes reglas: • [Identificar el organismo público] asegura la confidencialidad de los datos personales de los usuarios que se registren como tales en el sitio Web [identificar el sitio del organismo público] mediante el o los formulario(s) establecido(s) para esos efectos. Sin perjuicio de sus facultades legales, [identificar el organismo público] sólo efectuará tratamiento de datos personales respecto de aquéllos que han sido entregados voluntariamente por los Usuarios en el referido formulario. • Los datos personales de los Usuarios serán utilizados para el cumplimiento de los fines indicados en el formulario correspondiente y siempre dentro de la competencia y atribuciones de [identificar el organismo público]. • Los datos personales de los Usuarios serán objeto de los siguientes tratamientos: [identificar cada una de las operaciones que impliquen tratamiento en términos de la Ley 19.628], conforme a lo declarado ante el Registro de Bases de Datos que mantiene el Servicio de Registro Civil e Identificación, el cual puede ser consultado en [incluir el enlace profundo al registro respectivo]. • [Identificar el organismo público] podrá comunicar a otros organismos del Estado, los datos personales de sus usuarios, conforme lo establecido al efecto en la Ley 19.628. • [Identificar el organismo público], en caso de ser requerido judicialmente al efecto, procederá a comunicar los datos personales de los usuarios que le sean solicitados. • [Identificar el organismo público] podrá comunicar a terceros información estadística elaborada a partir de los datos personales de sus usuarios, sin el consentimiento expreso del titular, cuando de dichos datos no sea posible identificar individualmente a los titulares, de conformidad a la Ley. • El Usuario podrá en todo momento ejercer los derechos otorgados por la Ley Nº 19.628 y sus modificaciones posteriores. En específico, podrá: a. Solicitar información respecto de los bancos de datos de que sea responsable el organismos, el fundamento jurídico de su existencia, su finalidad, tipos de datos almacenados y descripción del universo de personas que comprende; b. Solicitar información sobre los datos relativos a su persona, su procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos son transmitidos regularmente;   Comité de Normas para el Documento Electrónico Guía Modelo de Políticas de Privacidad Página 10 de 10