CeCo | Introducción a la nueva Ley sobre Datos Personales
Newsletter
Una introducción a la nueva Ley sobre Datos Personales y su relevancia para el Derecho de la Competencia

Una introducción a la nueva Ley sobre Protección de Datos Personales y su relevancia para el Derecho de la Libre Competencia

13.11.2024
CeCo Chile
Ver Respuestas

"(...) la LPDP es relevante para los profesionales de la competencia chilenos porque es posible, e incluso probable, que su implementación motive a las autoridades de competencia a incorporar la regulación sobre protección de datos personales en sus decisiones. Esta incorporación ya se observa en el derecho comparado y en Chile, y esta tendencia puede ser catalizada en nuestro país por la LPDP."

 

Abstract: Este artículo ofrece una introducción a la futura Ley sobre Protección de Datos Personales (LPDP) dirigida especialmente a profesionales del derecho de la libre competencia. Más específicamente, el trabajo aborda el proyecto de ley que busca crear la LPDP mediante una reforma a la Ley No 19.628 sobre Protección de la Vida Privada (1999), según la versión aprobada por el Congreso y el Presidente en agosto y septiembre de 2024. Tras argumentar brevemente que la LPDP será re-levante para el derecho de la libre competencia, la mayor parte del trabajo se dedica a describir el proyecto de ley. Resumimos los fines bus-cados por el legislado y sus implicancias para la interpretación de la LPDP, el ámbito de esta ley y sus varias reglas de conducta, su enforcement y otras instituciones de cumplimiento, el contexto regulatorio en el cual operará, y cómo la LPDP aborda la colaboración y los conflictos de competencia entre su agencia y otros órganos administrativos.

* Nota: Con posterioridad a la publicación de la investigación, el Tribunal Constitucional, en sentencia del 14 de noviembre de 2024, no puso reparos constitucionales al proyecto de ley. Así, el proyecto quedó en condiciones de ser promulgado por el Presidente como ley de la República, lo cual debería ocurrir en los siguientes días.

Lucas MacClure B.: Abogado Universidad de Chile, LL.M. y J.S.D. Yale University. Socio de Lupa Legal. Lucas Sierra I.: Abogado Universidad de Chile, LL.M. Yale University, Ph.D. Cambridge University. Profesor de Regulación de Telecomunicaciones y Profesión Jurídica en la Universidad de Chile. Socio de Lupa Legal. Pablo Fuenzalida C.: Abogado Universidad de Chile. LL.M. UC Berkeley, MSc y Ph.D. University of Bristol. Profesor de Profesión Jurídica en la Universidad de Chile. Socio de Lupa Legal.

"Aunque la centralización de competencias en la Agencia busca reducir la fragmentación, la realidad es que la intervención de otras agencias seguirá siendo necesaria en diversos sectores. La protección de los datos personales en Chile seguirá siendo un esfuerzo colectivo, en el que cada agencia deberá cumplir su rol con claridad y eficiencia (...)"

Datos Personales: Entre la centralización y la fragmentación en el enforcement

La reforma a la Ley de Protección de Datos Personales (LPDP) en Chile ha significado un paso importante al crear una Agencia de Protección de Datos Personales (“Agencia”), encargada de supervisar, sancionar y proteger los derechos de las personas en esta materia. Este avance, sin duda, apunta hacia una mayor profesionalización y especialización en la protección de datos personales. Sin embargo, la Agencia especializada no operará en un vacío, sino que coexistirá con una red de organismos que ya cuentan con competencias fragmentadas, sectoriales y limitadas para intervenir en ciertos ámbitos relacionados con la protección de datos personales. A pesar de los esfuerzos por centralizar esta labor, persisten problemas estructurales que aseguran la continuidad de un modelo fragmentado.

El contexto chileno de protección de datos ha estado históricamente caracterizado por una «protección sectorial» que, en ausencia de un órgano de control único, ha dado lugar a competencias fragmentadas en diversas agencias (como tuvimos la oportunidad de revisar en su momento). Estas instituciones incluyen la Contraloría General de la República, el Consejo para la Transparencia, el Servicio Nacional del Consumidor (SERNAC), las superintendencias, la Comisión para el Mercado Financiero o entre varias otras. Estas instituciones han asumido roles de control, cada una dentro de sus áreas y competencias específicas, pero sin la potestad de aplicar sanciones de forma general y homogénea. Aunque la nueva reforma apunta a centralizar y fortalecer la protección de datos mediante la creación de una agencia especializada, el diseño legal y la existencia de estas entidades con funciones preexistentes indican que la fragmentación persistirá.

Uno de los puntos clave de la reforma es que la Agencia de Protección de Datos Personales no se va a erigir como un ente de control exclusivo y omnicomprensivo, sino como una autoridad que compartirá competencias con otras instituciones. Si bien la Agencia está facultada para supervisar a los sujetos obligados tanto públicos como privados, su competencia no excluye la intervención de otros organismos en casos específicos, generando un «modelo de convivencia de competencias«. Por ejemplo, en el sector público, si bien el Consejo para la Transparencia (CPLT) pierde su competencia general de velar por la protección de datos en la Administración del Estado, seguirá interpretando la Ley Nº 19.628 en los casos de acceso a la información en que se deba calificar la reserva o secreto de datos personales. Asimismo, en el ámbito privado, el SERNAC pierde sus facultades generales sobre la protección de los datos personales en las relaciones de consumo, pero volverá la discusión sobre su competencia en materia de acciones colectivas (cuestión que también he tenido la oportunidad de analizar). Este esquema de concurrencia de competencias se agravará con la Agencia Nacional de Ciberseguridad, que tendrá a su cargo la protección de la seguridad de la información y determinará una serie de estándares técnicos y organizativos que impactan en la seguridad de los datos personales.

Todas estas entidades tendrán desafíos tanto en términos de coordinación como de efectividad. Las competencias concurrentes entre la Agencia y otros organismos pueden traducirse en situaciones de superposición y de competencia fragmentada, afectando la claridad sobre la autoridad regulatoria pertinente para las personas, los servicios públicos y las empresas. Esto, en la práctica, puede derivar en duplicación de esfuerzos, interpretaciones contradictorias de la normativa y, en última instancia, en una protección desigual e ineficaz para los titulares de datos personales.

En el ámbito de la protección de datos personales, la fragmentación no es solo institucional, sino también judicial. La garantía jurisdiccional de la autodeterminación informativa en la Constitución chilena otorga a los ciudadanos la posibilidad de recurrir a tribunales para solicitar la protección de sus datos. Esto significa que, más allá de la Agencia de Protección de Datos, el recurso de protección contemplado en el artículo 20 de la Constitución seguirá siendo una vía de defensa para los titulares de datos. Este es un punto claramente identificado en el texto de MacClure, Sierra y Fuenzalida (ver Cap. V letra A). Sin perjuicio que esta herramienta tiene limitaciones en términos de especialización y celeridad –ya que los tribunales de justicia no están específicamente entrenados para resolver controversias técnicas en materia de protección de datos– sí podrá ser útil especialmente respecto de órganos constitucionales autónomos.

El hecho de que la nueva agencia comparta competencias con otros organismos tiene implicancias significativas para los derechos de los ciudadanos. En primer lugar, la diversidad de organismos fiscalizadores puede llevar a disparidades en la aplicación de los estándares de protección de datos, especialmente cuando las agencias enfrentan prioridades distintas o interpretaciones legales divergentes. En segundo lugar, esta estructura podría debilitar la capacidad de la Agencia para ser una autoridad central y referencial en temas de protección de datos, ya que los ciudadanos y las empresas pueden verse obligados a interactuar con varias entidades según el sector en el que surja la controversia.

Además, la fragmentación del sistema de protección de datos personales puede dar lugar a «lagunas de protección» en áreas donde ninguna autoridad tiene competencias definidas o donde las competencias se superponen sin una coordinación clara. Este es el caso de sectores como la salud y las telecomunicaciones, donde la normativa actual y la reforma no han logrado establecer claramente cómo interactuarán las superintendencias sectoriales con la nueva Agencia. En la práctica, esto podría significar que ciertos tipos de infracciones queden sin un responsable claro para investigarlas y sancionarlas.

La creación de una Agencia de Protección de Datos Personales en Chile representa una mejora en términos de supervisión especializada y profesionalización de la protección de datos. Sin embargo, la reforma no elimina la naturaleza fragmentada del sistema, sino que añade un nuevo actor que deberá interactuar con una red de entidades sectoriales ya establecidas. Este modelo, aunque ofrece ventajas en términos de especialización sectorial, enfrenta desafíos considerables en cuanto a la coherencia, la coordinación y la efectividad en la protección de datos personales. Para enfrentar este desafío, sería conveniente que la Agencia, junto con otros organismos, desarrollen mecanismos de coordinación más robustos, como convenios de colaboración y directrices conjuntas, para asegurar una aplicación coherente de la normativa.

En conclusión, la reforma a la LPDP en Chile marca un avance importante, pero la coexistencia de una agencia especializada con organismos sectoriales plantea interrogantes sobre la efectividad y uniformidad de la protección de datos en el país. Aunque la centralización de competencias en la Agencia busca reducir la fragmentación, la realidad es que la intervención de otras agencias seguirá siendo necesaria en diversos sectores. La protección de los datos personales en Chile seguirá siendo un esfuerzo colectivo, en el que cada agencia deberá cumplir su rol con claridad y eficiencia para garantizar que los derechos de las personas estén plenamente protegidos.

 

Abogado y Magíster en Gobierno y Sociedad y Licenciado en Ciencias Jurídicas, Universidad Alberto Hurtado. Doctor y Master en Derecho, Northwestern University. Profesor asociado y director de la Cátedra LegalTech, Universidad Central de Chile. Socio de DataCompliance.

"Los objetivos de la regulación de algoritmos, en términos de protección de datos y competencia, son distintos pero complementarios. En el ámbito de la competencia, los algoritmos pueden alterar la dinámica del mercado debido a su capacidad para procesar grandes volúmenes de datos y optimizar decisiones comerciales."

Ley de Protección de Datos, Algoritmos y Competencia

Los datos personales se han convertido en un recurso invaluable y muy disputado en el mercado. Empresas de diversos sectores compiten por acceder a esta información con el fin de conocer mejor a sus clientes, atraer nuevos consumidores, personalizar sus servicios, optimizar campañas publicitarias y, en última instancia, lograr una posición dominante en el mercado. Esta competencia ha dado lugar a un «mercado de datos», donde las empresas que logran recopilar, procesar y almacenar grandes volúmenes de información sobre los usuarios obtienen ventajas competitivas significativas. Este control sobre los datos les permite consolidarse frente a otras organizaciones que carecen de la misma infraestructura o capacidad tecnológica. Sin embargo, la obtención y el uso de datos personales plantea serias interrogantes legales, especialmente cuando las prácticas empresariales resultan en abusos que afectan directamente a los consumidores.

En Chile, el proyecto de Ley de Protección de Datos Personales (LPDP) busca actualizar la legislación vigente desde 1999, alineándola con los estándares internacionales y estableciendo nuevas reglas para la gestión de los datos personales de los usuarios. Esta reforma no solo impone nuevas obligaciones a las empresas en términos de seguridad, confidencialidad y transparencia, sino que también introduce mecanismos para proteger los derechos de los ciudadanos y prevenir prácticas abusivas. La creación de un marco regulador más robusto, junto con la implementación de una Agencia de Protección de Datos con facultades de fiscalización y sanción, tiene el potencial de transformar el mercado de datos en Chile, promoviendo una competencia más equitativa y respetuosa de los derechos de los titulares de los datos.

Así, se puede sostener que, si se dota a la Agencia de Protección de Datos de los recursos necesarios para cumplir su función de manera efectiva, se producirá un cambio de paradigma en el mercado de datos. Este cambio podría marcar el fin del enfoque de los últimos años, basado en la recopilación descontrolada de información, y orientar la competencia hacia la oferta de servicios seguros y transparentes. Una normativa sólida no solo disuadiría los abusos, sino que también podría fomentar una cultura de rechazo social hacia las prácticas invasivas, creando un entorno en el que el respeto por la protección de datos sea un factor competitivo valorado por los consumidores.

En este contexto, el artículo escrito por L. MacClure, L. Sierra y P. Fuenzalida (2024), otorga un buen marco no solo para comprender los alcances de la LPDP, sino también para explorar la intersección entre dicha ley y otras esferas normativas, especialmente el derecho de libre competencia (ver Cap. I).

La ley de protección de datos incluye herramientas concretas para obligar a las empresas a respetar los derechos de los titulares de los datos, ampliando significativamente el catálogo de derechos existentes. Además de los derechos tradicionales, la LPDP introduce nuevos derechos como la portabilidad, el bloqueo y la oposición a la toma de decisiones automatizadas. Las empresas deberán facilitar el ejercicio de estos derechos implementando mecanismos simples para que los usuarios puedan acceder a ellos, y deberán justificar adecuadamente cualquier denegatoria. También se exige que las empresas implementen políticas y prácticas de transparencia, las cuales deben manifestarse de diversas maneras, como la identificación de las bases legales para el tratamiento de datos y la declaración de estas bases en sus políticas. Además, se introduce un aspecto novedoso para la industria relacionado con el tratamiento automatizado de datos, el uso de algoritmos y la transparencia en los resultados generados por estos. Todas estas materias son didácticamente abordadas por el artículo de MacClure et al (ver Cap. III, letra C del artículo, respecto a los principios, deberes y obligaciones del responsable del tratamiento de datos).

Los algoritmos y la inteligencia artificial (IA) están cada vez más presentes tanto en la gestión pública como en las actividades comerciales, agilizando la toma de decisiones. Cuando estos sistemas operan con datos personales, la LPDP otorga herramientas a los ciudadanos para conocer cómo y cuándo se utilizan estos algoritmos, y exigir explicaciones claras sobre los criterios o lógicas detrás de ellos. La ley obliga a las empresas a proporcionar información sobre los algoritmos, no solo en los casos en los que una decisión sea «únicamente automatizada», sino en todos los casos en los que haya intervención automatizada, sin importar si también hay intervención humana significativa o no. Esta disposición busca ampliar las vías de protección, ya que permite abordar los efectos de las tecnologías en la vida cotidiana, la creciente automatización de procesos completos y la tendencia a eludir la normativa con intervenciones mínimas en los algoritmos, creando vacíos legales.

Los objetivos de la regulación de algoritmos, en términos de protección de datos y competencia, son distintos pero complementarios. En el ámbito de la competencia, los algoritmos pueden alterar la dinámica del mercado debido a su capacidad para procesar grandes volúmenes de datos y optimizar decisiones comerciales. Esto puede generar ventajas competitivas para empresas con mayor acceso a tecnología, resultando en desigualdades. Está documentado que los algoritmos pueden generar conductas anticompetitivas, facilitar la colusión, la fijación de precios, precios predatorios, ventas atadas, monitoreo de conducta y otras (OCDE, 2023). Un primer desafío de las autoridades de competencia es entender los algoritmos, los que son artefactos opacos por defecto, para lo que las leyes de protección de datos ofrecen soluciones que avanzan esa dirección como se explicó precedentemente.

La creciente complejidad de los algoritmos y su aplicación transversal en diversos sectores exige una colaboración activa entre agencias reguladoras para establecer marcos normativos coherentes y coordinados. Esta colaboración es esencial para garantizar una supervisión efectiva, evitar prácticas monopólicas y proteger los derechos de los ciudadanos, mientras se fomenta la innovación responsable.

Será la futura autoridad de protección de datos personales la encargada de definir el alcance de las obligaciones de transparencia algorítmica, determinando cuáles serán los criterios adecuados y pertinentes en el cumplimiento de estos requisitos. Estas definiciones no podrán hacerse desconociendo el impacto de los algoritmos en la competencia, por lo que los niveles de transparencia deberán atender a estas consideraciones, tanto para resguardar la competencia como para protegerla. La cooperación entre estas entidades será esencial para desarrollar estándares comunes, compartir información y coordinar investigaciones sobre el uso de algoritmos, garantizando que las empresas no utilicen estos sistemas para distorsionar el mercado o vulnerar los derechos de los usuarios. Esta colaboración facilitará la creación de marcos regulatorios armonizados a nivel nacional proporcionando seguridad jurídica tanto a las empresas como a los ciudadanos.

Abogada de la Universidad de Valparaíso. Máster en Derecho de las Nuevas Tecnologías de la Universidad de Chile. Diplomada en Derecho Informático de la Universidad de Chile. Subdirectora del GobLab, UAI y Directora de Protección de Datos en Prieto Abogados.

"Entre una solución que proteja los datos de las personas, que evite que éstos constituyan una barrera a la entrada o que evite una afectación a la calidad como factor competitivo, y un escenario en que se produzcan actual o potencialmente tales riesgos, los órganos de defensa de la libre competencia debieran proteger la primera alternativa."

Libre competencia y protección de datos: Hasta que la muerte los separe

A propósito de la aprobación de la Reforma a la Ley de Protección de Datos en Chile (2024), los autores Lucas MacClure, Lucas Sierra y Pablo Fuenzalida -en coordinación con el Centro     Competencia de la Universidad Adolfo Ibáñez- han publicado un interesante trabajo titulado “La Nueva Ley sobre Protección de Datos Personales y el Derecho de la Libre Competencia: Una Introducción”. El trabajo analiza de qué manera dicha reforma podría ser relevante para los profesionales dedicados a la libre competencia en Chile, en atención a la probabilidad de que su implementación motive a las autoridades en dicha materia a incorporar la privacidad de datos en sus análisis y decisiones; fenómeno que ya es posible apreciar en el derecho comparado y, en menor grado, en nuestra realidad.

Desde ya, cabe destacar el acertado diagnóstico que -a juicio del suscrito- dichos autores realizan en relación a esta temática, sin perjuicio de estimar que esta influencia entre bienes jurídicos no debiera estimarse como novedosa y aún más, a juicio del suscrito, los intentos de separar ambas ramas del derecho en estatutos, procedimientos, órganos y decisiones absolutamente asépticos son infructuosos.

Bien jurídico protegido

La mayoría de las legislaciones que protegen la libre competencia no contienen una definición precisa de este bien jurídico, principalmente en atención al dinamismo que este fenómeno implica, tal como ocurre también con las conductas y estructuras anticompetitivas.

Desde un punto de vista doctrinario, una definición sencilla es aquella que señala que la libre competencia es “el conjunto de esfuerzos que desarrollan los agentes económicos que, actuando independientemente, rivalizan buscando la participación efectiva de sus bienes y servicios en un mercado determinado[1].

Si bien en una primera época el concepto de libre competencia se asoció a la existencia de múltiples competidores, en la actualidad dicho concepto es más bien pacífico respecto de asociarlo a un criterio económico fundamental: la eficiencia en el funcionamiento de los mercados, en un contexto de bienes generalmente escasos y en un sentido en que se busque promover el desarrollo, el progreso tecnológico y el bienestar social, con la finalidad -aunque no siempre directa- de beneficiar tanto al mercado como a los consumidores.

Por ello, se dice que el derecho de la competencia no protege a competidores o agentes en particular, sino que procura resguardar el proceso competitivo.

Ahora bien, es importante observar que -tal como indica Motta- a lo largo de su historia las políticas de competencia se han visto inspiradas en una serie de objetivos, incluyendo el bienestar económico, el bienestar de los consumidores, la defensa de pequeñas empresas, la promoción de la integración de los mercados, la libertad económica, la estabilidad monetaria, la justicia y la equidad[2]. En este sentido, pese a tener en vista que -en el mayor número de legislaciones- el objetivo de la libre competencia es la eficiencia en el funcionamiento de los mercados, existen razones económicas poderosas por las cuales el legislador y los organismos antimonopolio han privilegiado ciertas estructuras de mercado que, reduciendo o incluso eliminando la competencia, son sin embargo necesarias para alcanzar un mayor bienestar social. Así ha ocurrido -por ejemplo- con actividades estratégicas, como los puertos, y con monopolios naturales en servicios básicos (electricidad, telefonía fija y agua potable, por ejemplo)[3].

Lo anterior ratifica que la competencia es una forma de organización que, aunque llegue a ser considerada como preferente, de todas maneras requiere ser mirada como una herramienta de política pública más y no necesariamente como un fin en sí mismo. Por ello,  podría ser preferible en algunos casos enfrentar una conducta que genera riesgos anticompetitivos a través de una solución distinta a su prohibición, por ejemplo, consistente en el establecimiento de medidas de mitigación orientadas a corregir sus externalidades negativas (como limitaciones a la integración horizontal o vertical).

Cuestión de perspectiva

En el contexto reseñado, el derecho de la competencia durante décadas ha preferido en Chile -y el mundo- no corregir de manera apriorística alguna estructura de mercado en particular, ni aplicar políticas públicas que sean propias de otras institucionalidades, sino más bien sancionar ex post conductas o estructuras que generan efectos anticompetitivos en casos concretos.

Ello no obsta a que, por una parte, existan hipótesis de control ex ante de operaciones de concentración y, más relevante para estos efectos, que -en diversos casos ante los órganos de defensa de la libre competencia chilenos- de todas formas se han discutido aspectos como la protección de los consumidores, el pluralismo político, la contención del poder económico o incluso la pasividad por parte de autoridades sectoriales. Así se ha podido apreciar, por ejemplo, en casos contenciosos y no contenciosos recaídos en mercados financieros y de pago, aeronáutico y de telecomunicaciones, entre otros.

Coherente con lo anterior, en la última década han resurgido en el mundo corrientes que consideran que la libre competencia no ha de ser indiferente a otros bienes jurídicos, como podría ser la protección de la privacidad y los datos personales, sobre todo ante el avance de los mercados tecnológicos.

En los Estados Unidos, por ejemplo, el angular artículo de Lina M. Khan, The Amazon’s Antitrust Paradox (2016), da cuenta de cómo la metodología de libre competencia no se había adaptado adecuadamente a la economía digital. En efecto, plataformas como Google, Apple y Meta —en algunos casos, en un ambiente de aparente gratuidad y privacidad— han ido acumulando grandes cantidades de información y datos personales y, a partir de ello, ofreciendo múltiples productos y servicios, lo que podría generar incentivos para desarrollar estrategias exclusorias en contra de competidores actuales o potenciales.

Para los seguidores de esta corriente. llamada hipster antitrust o neo-brandeisiana, se debe rechazar el mero análisis basado en la maximización del bienestar del consumidor (consumer welfare standard), que ha regido de manera unánime en el derecho de la competencia en las últimas décadas, y se deben considerar más bien otros objetivos, tales como la desigualdad de ingresos, el desempleo y el crecimiento salarial. Los adherentes acérrimos, incluso, estiman que la mejor solución para esta problemática es desintegrar, en definitiva, los grandes conglomerados en tantas unidades de negocios como sea posible, hipótesis que no compartimos.

Por su parte, en Europa, la Comisión -hacia 2016- estimó necesario, con ocasión de la fusión entre Microsoft y LinkedIn, modificar su anterior criterio de considerar que las cuestiones relacionadas con la privacidad y la concentración de datos no eran parte del ámbito de la libre competencia[4], para aceptar en lo sucesivo que las empresas también pueden competir en función del grado de protección de datos que proporcionan a los usuarios, como una variable de competencia vinculada en definitiva a la calidad de los servicios. Siguiendo la misma línea, en el caso Google Shopping, la Comisión determinó que, «aunque los usuarios no pagan dinero por los servicios de búsqueda, contribuyen a su monetización al proporcionar datos con cada búsqueda» (§158). Al respecto, ver Gorab (2024).

En otras palabras, la Comisión Europea ha llegado a considerar -en sede de libre competencia- que existe una falacia en la gratuidad de algunas plataformas digitales, dado que los servicios no son realmente gratis, al ser pagados en definitiva con los datos de las personas; de manera tal que la protección de datos personales también es un parámetro de competencia referido a la calidad de los servicios y que, por tanto, puede degradarse, afectando el bienestar de los consumidores. Pese a la resistencia de muchos, esta posición fue incluso ratificada años después por el Tribunal de Justicia de la Unión Europea (TJUE), en el conocido caso Bundeskartellamt vs. Facebook (2023, C-252/21), según se reseñará a continuación.

El Bundeskartellamt

También en 2016, en Europa se dictó el Reglamento General de Protección de Datos de la Unión Europea (“GDPR”), que entró en vigencia en el año 2018 y que, dicho sea de paso, inspiró de sobremanera la Reforma a la      Ley de Protección de Datos aprobada en Chile en 2024 (tal como constatan y explican MacClure et al).

Para una gran mayoría de autores y jurisdicciones, el GDPR habría llegado a solucionar de manera definitiva la “confusión” entre el derecho de libre competencia y la protección de datos, de modo que no existiría duda alguna respecto de la separación que existe entre la institucionalidad que protege un bien jurídico y otro.

Sin embargo, no todos los tribunales entendieron lo mismo, destacando especialmente el caso del Tribunal de Competencia alemán (Bundeskartellamt) en el ya referido caso iniciado en contra de Facebook (Meta) por abuso de posición dominante mediante políticas de privacidad explotativas (2019). Este caso es comentado por MacClure et al, para ejemplificar la incorporación de la protección de datos personales en la órbita de libre competencia.

El Bundeskartellamt sancionó a Meta por recolectar y combinar excesivamente datos de usuarios en sus plataformas (Facebook, Instagram, Whatsapp, etc.) y en sitios web de terceros conectados a través de una API. Un factor clave para la autoridad alemana fue que el consentimiento obtenido por Facebook violaba el GDPR, lo que estableció la conducta como explotativa e ilícita.

Meta apeló la decisión ante las cortes alemanas -esto es, la Corte de Dusseldorf, que revocó el fallo de primera instancia, y luego la Corte Suprema Federal, que dio la razón al Bundeskartellamt-, y dentro de este contexto se solicitó al Tribunal de Justicia de la Unión Europea (TJUE) resolver dos cuestiones interpretativas fundamentales que trataremos a continuación (2023, C-252/21).

En primer término, el TJUE determinó que el GDPR no impide que una autoridad de competencia aplique sus reglas para evaluar un abuso de posición dominante, pues el Reglamento no excluye las facultades de estas autoridades. Además, afirmó que los abusos en el uso de datos personales pueden ser considerados prácticas anticompetitivas en la economía digital.

En segundo lugar, respecto de la cooperación entre autoridades de competencia y de protección de datos, el TJUE estimó que -según el principio de cooperación leal– la autoridad de competencia debe respetar los criterios establecidos por la autoridad de protección de datos si ésta ya se ha pronunciado, y consultarla cuando existan dudas o bien cuando no se haya investigado una conducta que podría infringir la regulación de protección de datos personales.

A nuestro entender, no cabe duda que en la actualidad en Europa se reconoce que las autoridades de competencia pueden aplicar el GDPR para evaluar prácticas abusivas, pero deben mostrar deferencia hacia las agencias de protección de datos, lo que más que una separación entre ellas, invita a una constante comunicación, cooperación y deferencia.

El caso Uber-Cornershop (2020)

En Chile, similares criterios a los aplicados en Europa fueron considerados por la Fiscalía Nacional Económica (Rol FNE F217-2019), a propósito de la fusión entre las empresas Uber y Cornershop en 2020 (también destacado y comentado por MacClure et al en su artículo).

En efecto, entre los aspectos sobre la operación analizados por la FNE encontramos una posible afectación a los datos personales de los clientes finales de Uber y Cornershop, a través de una eventual degradación de las políticas de privacidad de sus servicios. A juicio de la Fiscalía, este riesgo derivaría de la capacidad que tendría la entidad fusionada de condicionar una mayor cantidad de servicios a la aceptación por parte de los usuarios de sus plataformas de una política de privacidad común. Dicho de otro modo, en esta hipótesis, podrían verse reducidas las posibilidades de los consumidores finales de rechazar condiciones que menoscaben su privacidad.

La FNE calificó este riesgo como una especie de “riesgo explotativo”, al sostener que en el mercado de las plataformas digitales las políticas de privacidad podrían considerarse atributos relativos a la calidad de los servicios ofrecidos, tal como ya se había sostenido en Europa.

Ahora bien, la Fiscalía estimó que la entidad fusionada continuaría enfrentando una competencia robusta en los mercados de intermediación y entrega de productos de supermercados y de restaurantes, lo que disciplinaría su conducta y haría poco atractivo degradar la protección de datos     desde una perspectiva de costo-beneficio.

A su vez, la FNE consideró que la recolección de más datos personales no produciría una ventaja comparativa para la entidad fusionada, ya que si cambiase sus políticas de privacidad y obtuviese más datos personales de sus usuarios, sus competidores también podrían tener acceso a los mismos tipos de datos.

Al mismo tiempo, la FNE señaló que si la entidad fusionada ofreciera menos protección de datos a sus usuarios, se expondría a perderlos, dada la posibilidad de que sus competidores ofreciesen mejores términos; de manera tal que, en definitiva, la competencia disciplinaría la conducta de dicha entidad.

Otro elemento destacado por la Fiscalía dice relación con la improbabilidad de un abuso explotativo en este caso, en atención a que las políticas de privacidad que aplican las plataformas digitales no serían, a esa fecha, variables que dependan estrechamente del tamaño de las mismas ni de la cantidad de servicios que provean.

A lo anterior, se agregar el hecho de que Uber se encontraba regulada por una política de tratamiento de datos que -a juicio de la FNE- incorpora criterios más estrictos, alineados con la legislación europea sobre protección de datos, lo que haría aún menos probable una restricción relevante que signifique un empeoramiento de las políticas de privacidad de los consumidores finales.

No está de más señalar que este caso, junto con el expediente Rol FNE F243-2020 (sobre una asociación entre CMA CGM, Hapag-Lloyd y otros), fueron la principal fuente de inspiración para la “Guía para el Análisis de Operaciones de Concentración Horizontales”, publicada por la FNE -previa consulta pública- en mayo de 2021. Esto da cuenta de una mirada no excluyente de la protección de datos y privacidad al momento de hacer un análisis propio de libre competencia, en un contexto en que la Fiscalía reconoce la necesidad de contar con una mirada dinámica de la libre competencia, que incorpore innovación, plataformas y mercados digitales.

Desafíos de los mercados digitales

Tanto la conclusión a que se llegó en el caso contra Meta en Alemania, como la forma en que se resolvió la fusión Uber-Cornershop en Chile, son claros ejemplos de la experiencia práctica que debiese ser recogida por los órganos de libre competencia hoy en día, a fin de evitar análisis inadecuados e insuficientes, que sean catalogados como una inacción por parte de las autoridades nacionales y, peor aún, como resultado de su falta de coordinación.

Ello es especialmente relevante en el contexto de un constante crecimiento de los mercados digitales a nivel global, en los que los datos cada vez son más preponderantes como factor competitivo. Así se aprecia, por ejemplo, en la recolección y uso de grandes cantidades de data para el funcionamiento habitual de una plataforma, en el hecho de que tales datos contribuyen crecientemente con el desarrollo de la inteligencia artificial y otros servicios online, y en la cada vez más habitual aptitud de que éstos se constituyan en una barrera a la entrada irreplicable para otros actores.

Cabe recordar que, en el análisis tradicional de competencia, el poder de mercado se determina con ayuda de un análisis estructural del mismo, en particular del cálculo de las participaciones de mercado, de si existen otros productores de un producto igual o sustituible, de las posibles barreras de entrada o al crecimiento, del grado de innovación, y de los niveles de precio y de márgenes, entre otros factores (ver glosario de DG Comp).

Sin embargo, en los mercados digitales el uso de muchos de estos indicadores es mucho más difícil de dimensionar, ya que algunos servicios se ofrecen de manera gratuita y algunos modelos de negocios parecieran presentar exiguos beneficios monetarios, lo que -en todo caso- de ningún modo significa que no existan empresas con poder de mercado[5].

Por lo mismo, el Parlamento Europeo ha propuesto como punto de partida analizar la fortaleza de las restricciones competitivas, incluyendo al efecto indicadores de contestabilidad, de barreras a la entrada y a la expansión, y los costos de cambio (switching costs), en atención a que puede resultar costoso para los consumidores -por ejemplo- transferir sus datos de una plataforma a otra. Ello toma en consideración, además, el hecho de que las restricciones al poder de mercado pueden provenir -directa o indirectamente- de cualquier lado de una determinada plataforma.

A todo lo indicado, se agrega la necesidad de considerar respecto de un determinado asunto u operación enmarcada en la nueva economía, aspectos tales como los efectos de red, las economías de escala, el acceso y utilización de la big data, la aplicación de algoritmos y el potencial para innovar, incluso teniendo presente que -en algunos casos- la compra de una pequeña empresa tecnológica podría ser una estrategia para enfrentar amenazas derivadas precisamente de la innovación.

Conclusiones

MacClure, Sierra y Fuenzalida, en su obra “La Nueva Ley sobre Protección de Datos Personales y el Derecho de la Libre Competencia: Una Introducción”, sostienen que -con esta nueva normativa- las autoridades de competencia chilenas no solamente tendrán acceso a la experticia de la Agencia de Protección de Datos mediante la lectura de sus casos, normas y guías, sino que también podrán acceder directamente a su opinión respecto de casos particulares, haciendo uso de mecanismos de cooperación y atribuciones contemplados en nuestra legislación, como los previstos en el artículo 39, letra f) del DL 211[6] y en el artículo 30 bis. letra k) de la Ley de Protección de Datos Personales[7].

En vista de ello, los autores concluyen que la nueva Ley de Protección de Datos Personales es relevante para los profesionales de libre competencia chilenos porque, es posible      e incluso probable, que su implementación motive a las autoridades de competencia a incorporar la privacidad de datos en sus decisiones, tal como se observa en el derecho comparado y, de manera incipiente, en Chile (como ocurrió en el caso Uber-Cornershop).

A su entender, la Ley de Protección de Datos Personales clarifica el significado de este bien jurídico, motiva a las empresas a elevar sus estándares de protección y competir en esta dimensión, y establece mecanismos de colaboración entre agencias que complementan los que ya se encuentran en el DL 211, lo que refuerza la recomendación de que los profesionales de la libre competencia se familiaricen con dicha Ley.

A nuestro entender, dicha influencia entre bienes jurídicos no debiese considerarse como una novedad y aún más, todo intento de separar ambas ramas del derecho en estatutos, procedimientos, órganos y decisiones absolutamente asépticos, han sido -en la práctica- infructuosos e inconducentes.

Entre una solución que proteja los datos de las personas, que evite que éstos constituyan una barrera a la entrada o que evite una afectación a la calidad como factor competitivo, y un escenario en que se produzcan actual o potencialmente tales riesgos, los órganos de defensa de la libre competencia debieran proteger la primera alternativa.

Otra tentación que debemos evitar es aplicar soluciones foráneas sin que pasen previamente por el cedazo de la realidad jurídica, cultural y económica de cada país y, dentro de ello, de cada mercado a que refiera un caso concreto. De lo contrario, el riesgo de aplicar soluciones inadecuadas, generalizantes e incluso injustas será cada vez más alto y, de paso, irá en contra de proteger la eficiencia en los mercados y otros bienes jurídicos.

 

[1] Coloma, Germán “Defensa de la Competencia”. Buenos Aires. Argentina. 2003.

[2] M. Motta. Política de Competencia. Teoría y Práctica. FCE. 2018. Pp 45.55.

[3] D. Valdés P. Libre Competencia y Monopolio. Editorial Jurídica. Santiago. 2005. pág. 60.

[4] Véase, a modo ejemplar, el caso Google/Double Click, de 2008.

[5] Parlamento Europeo (2015), Challenges for Competition Policy in a Digitalised Economy. Pág. 51 y ss.

[6] Norma que establece la atribución del Fiscal Nacional Económico de solicitar la colaboración de cualquier funcionario de los organismos y servicios públicos.

[7] Norma que también contempla la colaboración de la Agencia con otros organismos, dada su atribución de suscribir convenios de cooperación y colaboración con entidades públicas o privadas, nacionales, extranjeras o internacionales, que tengan competencia o estén relacionadas al ámbito de los datos personales.

 

Abogado y Magíster en Derecho de la Empresa (LLM) de la P. Universidad Católica de Chile. Jefe de las Divisiones Jurídica y de Litigios de la Fiscalía Nacional Económica (FNE) entre 2009 y 2012. Senior Counsel de Aninat Abogados.

"Ante un horizonte regulatorio en constante cambio, resulta fundamental que las autoridades que podría tener competencias superpuestas (dependiendo del caso), trabajen en la armonización de las distintas disposiciones normativas y con la necesaria deferencia técnica entre ellas (según su especialidad)."

Relevancia de la protección de datos en competencia: Tendencia convergente en Europa y desafíos de coordinación para Chile

Desde mediados de la primera década de este siglo se ha venido forjando en Europa —continente que ha liderado el desarrollo de las regulaciones de la economía digital— una tendencia de las autoridades de competencia a considerar en sus evaluaciones elementos e instituciones propias de la regulación de protección de datos personales.

En particular, la fusión de Google y la empresa DoubleClick en el año 2007 marcó el comienzo de un debate sobre la relevancia de los datos personales en las evaluaciones de competencia. Durante el análisis de la fusión, varios grupos y activistas de privacidad expresaron preocupaciones sobre el uso de datos personales, ya que DoubleClick poseía una gran cantidad de información sobre los hábitos de navegación de los usuarios, y su fusión con Google permitiría combinar esa información con los datos de búsquedas y comportamiento en línea de Google. Sin embargo, la Comisión Europea declaró que la protección de datos personales era una cuestión distinta a la competencia y que correspondía a las autoridades de protección de datos, no a la autoridad de competencia, abordar esos problemas.

El criterio de la Comisión Europea sobre la relación entre protección de datos personales y la libre competencia ha evolucionado notablemente en los últimos años, principalmente debido al impacto creciente de los datos en el poder de mercado de las empresas digitales. Desde entonces, las agencias de competencia del mundo han evaluado cada vez con mayor frecuencia si acaso las cuestiones de la privacidad pueden, por ejemplo, considerarse como un factor relevante para la revisión de fusiones entre dos o más compañías cuyas actividades involucran tratamiento de datos.

Uno de los casos clave en este cambio de enfoque fue la decisión sobre el caso de Facebook en Alemania en 2019, que aborda latamente el artículo comentado en esta columna (y por el artículo de MacClure, Sierra y Fuenzalida, en su Cap. I, letra A, N°2). Aunque fue un caso dirigido por la Oficina Federal de Competencia de Alemania (Bundeskartellamt) y no por la Comisión Europea, este precedente influyó en cómo las autoridades de competencia de la Unión Europea comenzaron a integrar la protección de datos en su análisis de competencia.

La implantación de las cuestiones de privacidad en el contexto regulatorio de la libre competencia no se ha agotado en las decisiones de las autoridades en la materia y el impacto que han generado sus reflexiones, sino que también ha alcanzado una manifestación legislativa. La Unión Europea ha adoptado una postura más estructural con la aprobación de la Ley de Mercados Digitales (DMA) y la Ley de Servicios Digitales (DSA). Estas leyes están diseñadas para abordar la posición dominante de las grandes plataformas digitales y, de manera directa, consideran el tratamiento de los datos personales como un factor competitivo que puede llevar a un abuso de la posición dominante. Estas leyes reflejan el cambio en la filosofía de la Unión Europea hacia esta intersección de la protección de datos y la competencia.

El artículo de los autores McClure, Sierra y Fuenzalida plantea, oportunamente, algunas de las implicancias y desafíos que una tendencia similar podría tener en Chile, especialmente ad-portas de la promulgación de la nueva legislación sobre protección de datos personales.

Una de las primeras preguntas que se han planteado es si la regulación de libre competencia es o no un instrumento apropiado y efectivo para abordar algunas de las preocupaciones de privacidad. Se ha entendido que las normas sobre libre competencia buscan que los oferentes de bienes y servicios en un mercado determinado compitan libremente entre ellos, respetando las reglas que el marco regulatorio impone, incluyendo aquellos relativos a la protección de sus datos personales, y que, por tanto, su objetivo final es la eficiencia en los mercados en armonía con el bienestar de los consumidores.

Sin embargo, la regulación de protección de datos contiene instituciones de contenido altamente técnico y complejo que son difíciles de cuantificar en comparación con los factores tradicionales de competencia, como el precio y la producción. La nueva ley de protección de datos contiene obligaciones cuya implementación completa aún no es plenamente comprendida, y que dependerán de las directrices y del trabajo que establezca la futura Agencia de Protección de Datos. La interpretación y aplicación de ciertos principios, de los estrictos requisitos del consentimiento como base de licitud, de la implementación de medidas de seguridad técnicas y organizacionales, de la amplitud del interés legítimo, entre muchas otras, aún presentan desafíos significativos. Estos retos surgen tanto por la complejidad técnica de las soluciones requeridas como por la falta de precedentes normativos específicos en algunos contextos digitales.

En este sentido, las autoridades de competencia se enfrentarán a escenarios muy complejos tratando de determinar el efecto que pueden tener en el bienestar del consumidor, por ejemplo, las modificaciones a las políticas de privacidad que regulan el tratamiento de datos de los usuarios, o los cambios en los estándares de seguridad de la información de una empresa.

Esta preocupación se intensifica debido a un factor que representa, a mi juicio, una de las principales incertidumbres para las empresas chilenas. Este factor es que dichas empresas se encontrarán sujetas a una carga regulatoria significativa, cuya supervisión es ejercida por diversas autoridades. Estas autoridades, a su vez, enfrentan la necesidad de coordinación; problemática cuyas posibles interpretaciones este artículo examina en profundidad. Las decisiones sustantivas en materia de protección de datos deberían corresponder exclusivamente a la entidad con las competencias técnicas y profesionales adecuadas para realizar una valoración jurídica que, por su naturaleza, exige conocimientos especializados que, razonablemente, no se espera que posea la Fiscalía Nacional Económica.

Ante un horizonte regulatorio en constante cambio, resulta fundamental que las autoridades que podría tener competencias superpuestas (dependiendo del caso), trabajen en la armonización de las distintas disposiciones normativas y con la necesaria deferencia técnica entre ellas (según su especialidad), evitando así un escenario de incertidumbre jurídica que comprometería la coherencia y efectividad de la agenda regulatoria digital del país. Este esfuerzo es crucial para cumplir el objetivo de posicionar a Chile como un hub tecnológico en la región.

Abogada de la Pontificia Universidad Católica, Máster en Derecho Comercial con especialización en Derecho Informático de la Universidad de Melbourne, Australia. Javiera es socia del estudio jurídico BITLAW, Co-chair para Chile de la International Association of Privacy Professionals, y ha dedicado toda su carrera a la práctica de contratación de tecnologías y protección de datos.