TRABAJO DESAFÍOS DE LA PROTECCIÓN DE DATOS PERSONALES

LEA LOS SIGUIENTES FALLOS QUE A CONTINUACIÓN SE PRESENTAN Y RESPONDA

A LAS PREGUNTAS QUE SE PRESENTAN AL FINAL DEL DOCUMENTO.

CASO 1:

La cláusula “Política de privacidad de Ticketmaster” es del siguiente tenor:

Ticketmaster podrá revelar la información proporcionada por sus Usuarios a
terceros, incluyendo patrocinadores, publicistas y/o socios comerciales.
Ticketmaster también recolectará información que es derivada de los gustos,
preferencias y en general de la utilización que hacen los Usuarios de los Servicios.
Dicha información derivada, al igual que la información personal que los Usuarios
proporcionen, podrá ser utilizada para diversos objetivos comerciales, como lo es el
proporcionar datos estadísticos (por ejemplo: 50% de nuestros Usuarios son
mujeres) a anunciantes potenciales, enviar publicidad a los Usuarios de acuerdo a
sus intereses específicos, conducir investigaciones de mercadeo, y otras actividades
o promociones que Ticektmaster considere apropiadas. Ticektmaster también podrá
revelar información cuando por mandato de ley y/o de autoridad competente le fuere
requerido o por considerar de buena fe que dicha revelación es necesaria para: I)
cumplir con procesos legales; II) cumplir con el Convenio del Usuario; III) responder
reclamaciones que involucren cualquier Contenido que menoscabe derechos de
terceros o; IV) proteger los derechos, la propiedad, o la seguridad de Ticketmaster,
sus Usuarios y el público en general.

Esta cláusula contiene diversas autorizaciones a Ticketmaster. No son sin embargo

autorizaciones que el usuario dé positiva y especialmente. Tampoco son
autorizaciones supletorias que el usuario pueda denegar si así lo desea. Son
autorizaciones que se entienden concedidas por el consumidor por el solo hecho de
usar el sitio.

En fallo unánime, la Corte Suprema acogió un recurso de casación presentado por

el Servicio Nacional del Consumidor (Sernac) y declaró ilegal las cláusulas de los
contratos de Ticket Master S.A. por vulnerar la privacidad de los clientes, aplicando
a la empresa, además, una multa de 50 UTM.
La sentencia sostiene "que la cláusula "Política de Privacidad de Ticketmaster", al
autorizar a recolectar "información que es derivada de los gustos, preferencias
y en general de la utilización que hacen los Usuarios de los Servicios", también
contraviene la buena fe en los términos proscritos por el artículo 16 g) de la ley de
protección de los derechos del consumidor. Dicha recopilación está también incluida
en el concepto de "tratamiento de datos" que utiliza el inciso primero artículo 4 de la
ley 19.628. En efecto, la ya citada letra o) del artículo 2 de dicha ley, define el
tratamiento de datos como "cualquier operación o complejo de operaciones o
procedimientos técnicos, de carácter automatizado o no, que permitan
recolectar,almacenar, grabar... datos de carácter personal". Se trata por otra parte
de información que excede de la necesaria para concluir las transacciones de
compraventa de entradas, de manera que su recolección requiere autorización legal
o expreso consentimiento del titular de los datos. Por razones idénticas a las
señaladas en el considerando precedente, resulta abusiva y nula esta cláusula en
cuanto por ella se busca obtener tal consentimiento en forma atada a una operación
comercial con un objeto diferenciado".

La resolución de la Corte Suprema agrega que "la cláusula "Política de privacidad

de Ticketmaster" también autoriza a la denunciada a utilizar la información obtenida
a través del sitio "para diversos objetivos comerciales, como lo es el proporcionar
datos estadísticos (por ejemplo: 50% de nuestros Usuarios son mujeres) a
anunciantes potenciales, enviar publicidad a los Usuarios de acuerdo a sus
intereses específicos, conducir investigaciones de mercadeo, y otras actividades o
promociones que Ticektmaster considere apropiadas". Esta cláusula contraviene lo
dispuesto en el inciso segundo del artículo 3 de la citada ley de protección de la vida
privada: "El titular puede oponerse a la utilización de sus datos personales con
fines de publicidad, investigación de mercado o encuestas de opinión". Esta
prohibición no es más que una particularización de la prohibición genérica del
artículo 4 de la misma ley citado en los motivos precedentes, pues tal utilización de
datos personales también se encuentra incluida en la definición del "tratamiento de
datos". Por esta razón, también en este punto la cláusula "Política de privacidad de
Ticketmaster" resulta abusiva y nula".
Asimismo, se confirmó el fallo que declaró ilegal las cláusulas "condiciones de Uso";
"contenida en el ticket de entrada"; "Enlaces y Resultado de Búsqueda" ;
"Privacidad"; cláusula de exención de responsabilidades" y "límites de
responsabilidad".

CASO 2:

Bruselas, 15 de septiembre - Tras la decisión vinculante de resolución de disputas

de la EDPB, la Autoridad Irlandesa de Protección de Datos (IE DPA) ha emitido una
decisión final, constatando, en particular, que TikTok Technology Limited (TikTok)
infringió el principio de equidad del Reglamento General de Protección de datos
Europeo (GDPR) al procesar datos personales relacionados con niños de entre 13 y
17 años. La decisión de la EDPB se emitió el 2 de agosto de 2023 y cubre las
actividades de procesamiento de TikTok entre el 31 de julio y el 31 de diciembre de
2020.

Anu Talus, presidente de EDPB, dijo: "Las empresas de redes sociales tienen la
responsabilidad de evitar presentar opciones a los usuarios, especialmente a los
niños, de una manera injusta, especialmente si esa presentación puede empujar a
las personas a tomar decisiones que violan sus intereses de privacidad. Las
opciones relacionadas con la privacidad deben proporcionarse de una manera
objetiva y neutral, evitando cualquier tipo de lenguaje o diseño engañoso o
manipulador. Con esta decisión, la EDPB deja claro una vez más que quiénes
navegan en el ámbito digital tienen que tener mucho cuidado y tomar todas las
medidas necesarias para salvaguardar los derechos de protección de datos de los
niños".

En su decisión vinculante, la EDPB analizó las prácticas de diseño implementadas

por TikTok en el contexto de dos notificaciones emergentes que se mostraron a los
niños de 13 a 17 años: la ventana emergente de registro y la ventana emergente de
publicación de vídeo. El análisis encontró que ambas ventanas emergentes no
presentaron opciones al usuario de una manera objetiva y neutral.

En la ventana emergente de registro, se instó a los niños a optar por una cuenta
pública eligiendo el botón del lado derecho etiquetado como "Saltar", que luego
tendría un efecto en cascada en la privacidad del niño en la plataforma, por ejemplo,
haciendo accesibles los comentarios sobre el contenido de vídeo creado por los
niños.

En la ventana emergente de publicación de vídeo, se instó a los niños a hacer clic

en "Publicar ahora", presentado en un texto en negrita y más oscuro ubicado en el
lado derecho, en lugar de en el botón más claro para "cancelar". Los usuarios que
deseaban hacer su publicación privada primero tenían que seleccionar "cancelar" y
luego buscar la configuración de privacidad para cambiar a una "cuenta privada".
Por lo tanto, se alentó a los usuarios a optar por la configuración pública por defecto,
y TikTok les hizo más difícil tomar decisiones que favorecieran la protección de sus
datos personales. Además, las consecuencias de las diferentes opciones no
estaban claras, especialmente para los usuarios infantiles. La EDPB confirmó que
los controladores no deberían dificultar que los interesados ajusten su configuración
de privacidad y limiten el procesamiento.

La EDPB también encontró que, como resultado de las prácticas en cuestión, TikTok
infringía el principio de equidad en virtud del RGPD. En consecuencia, la EDPB
ordenó al IE DPA que incluyera, en su decisión final, un hallazgo de esta infracción
adicional y que ordenara a TikTok que cumpliera con el RGPD eliminando dichas
prácticas de diseño.

La EDPB también evaluó si las medidas de verificación de la edad implementadas

por TikTok entre el 31 de julio y el 31 de diciembre de 2020 cumplían con los
requisitos de protección de datos por diseño (Art. 25(1) GDPR). La EDPB
expresó serias dudas con respecto a la eficacia de las medidas de verificación de la
edad puestas en marcha por TikTok durante este período, particularmente teniendo
en cuenta la gravedad de los riesgos para el alto número de niños afectados. Entre
otros, la EDPB encontró que la puerta de edad desplegada por TikTok para evitar
que los usuarios menores de 13 años accedan a la plataforma podría eludirse
fácilmente y que las medidas aplicadas después de que los usuarios obtuvieron
acceso a TikTok no se aplicaron de manera suficientemente sistemática.

Sobre la base de los elementos disponibles en el contexto de este procedimiento de

resolución de disputas, la EDPB concluyó que no tenía suficiente información, en
particular en relación con el estado del arte, para evaluar de manera concluyente el
cumplimiento de TikTok con el Art. 25 (1) RGPD durante este período. Sin embargo,
teniendo en cuenta las serias dudas con respecto a la eficacia de las medidas
elegidas por TikTok, el EDPB exigió que el IE DPA reflejara esto en su decisión final.

La decisión final del IE DPA incorpora la evaluación legal expresada por el EDPB en
su decisión vinculante. Esta decisión se adoptó sobre la base del artículo 65(1)(a)
del RGPD después de que el IE DPA, como autoridad supervisora principal (LSA),
activara un procedimiento de resolución de disputas con respecto a las objeciones
planteadas por algunas autoridades de supervisión (CSA) interesadas. Estas
objeciones describieron el alcance de la decisión de la EDPB, descrita
anteriormente.

La decisión final del IE DPA también incluye una evaluación legal que no estuvo
sujeta a objeciones por parte de las CSA, como la conclusión de que la
configuración predeterminada del público era contraria a los principios de
protección de datos por diseño y por defecto, de minimización de datos y
transparencia. Además de una reprimenda y una orden de cumplimiento, el IE DPA
impuso una multa de 345 millones de euros.

1. Analice las semejanzas y las diferencias entre ambos fallos.

Similitudes:

Recopilación de Datos Personales: Tanto Ticketmaster como TikTok recopilan datos

personales de sus usuarios, incluyendo información sobre sus preferencias y
comportamientos.

Uso Comercial de Datos: Ambas empresas utilizan los datos de los usuarios para
fines comerciales, como proporcionar datos estadísticos a anunciantes, enviar
publicidad personalizada y llevar a cabo investigaciones de mercado.

Revelación de datos a terceros: Tanto Ticketmaster como TikTok mencionan la

posibilidad de revelar datos de usuarios a terceros, como patrocinadores o
anunciantes.

Infracción de Normativas de Privacidad: En ambos casos, se ha identificado que

ciertas prácticas relacionadas con la privacidad de los datos de los usuarios
infringen las normativas de protección de datos, como el GDPR en el caso de
TikTok.

Diferencias:

Autorización del Usuario: En el caso de Ticketmaster, se señala que las

autorizaciones para recopilar y utilizar datos se consideran concedidas por el
usuario simplemente por el uso del servicio. En cambio, en el caso de TikTok,
se argumenta que las prácticas de diseño de la plataforma no proporcionaban
opciones objetivas y neutrales a los usuarios, especialmente a los niños, lo
que resultó en una infracción del principio de equidad del GDPR.

Multas y Sanciones: Ticketmaster fue multada por una Corte Suprema por
incluir cláusulas que vulneran la privacidad de los clientes, mientras que
TikTok también fue multada y recibió una decisión vinculante

Multas y Sanciones: Ticketmaster fue multada por una Corte Suprema por
incluir cláusulas que vulneran la privacidad de los clientes, mientras que
TikTok también fue multada y recibió una decisión vinculante de resolución de
disputas por parte de la EDPB debido a prácticas de diseño que infringía el
GDPR.

Razones de infracción: Las razones de infracción son diferentes en cada

caso. Ticketmaster fue considerada contraria a la ley de protección del
consumidor al recopilar información más allá de lo necesario para las
transacciones de compraventa. TikTok fue considerada contraria al GDPR
debido a prácticas de diseño que no presentaban opciones de privacidad de
manera justa y que no cumplían con los requisitos de protección de datos por
diseño y por defecto.

En resumen, ambas situaciones involucran la recopilación y el uso de datos

personales de usuarios para fines comerciales, pero difieren en términos de
cómo se obtiene el consentimiento del usuario y las razones específicas de
infracción de las normativas de privacidad. Además, ambas empresas
enfrentaron multas y sanciones por sus prácticas relacionadas con la
privacidad de los datos de los usuarios.
2. Según las observaciones hechas a ticket master, asesorarlos para reescribir
su política de privacidad argumentando en la ley 19.628 y en la Constitución
Chilena cada uno de los cambios.
1. Consentimiento Informado: Asegúrarse de que los usuarios otorguen su
consentimiento explícito y libre antes de recopilar y procesar sus datos
personales.

Explicar en términos sencillos y claros cómo se recopilan y utilizan los datos.

3.Propósitos de Recopilación de Datos: Enumera de manera detallada los

propósitos específicos para los cuales se recopilan los datos. Esto debe
incluir, por ejemplo, la compra de boletos, la entrega de servicios, el envío de
comunicaciones de marketing y cualquier otro propósito comercial.

4. Derechos del Usuario: Describe claramente los derechos de los usuarios

en relación con sus datos personales, como el derecho de acceso,
rectificación, cancelación y oposición (derechos ARCO).

5. Seguridad de Datos: Explica las medidas de seguridad que Ticketmaster

implementa para proteger los datos de los usuarios.

6. Compartir Datos con Terceros: Específicamente, menciona qué datos se

pueden compartir con terceros y con qué propósito. Además, asegúrate de
que los usuarios estén informados de sus derechos para oponerse a la
compartición de datos con fines de publicidad, investigación de mercado, etc.

7. Retención de Datos: Indica el período durante el cual Ticketmaster

retendrá los datos de los usuarios y la razón detrás de esta retención.

8. Consentimiento para Uso Comercial: Aclara que la participación en

actividades comerciales, como el envío de publicidad personalizada,
requerirá el consentimiento expreso del usuario y que este consentimiento
puede retirarse en cualquier momento.

9. Cumplimiento con la Ley 19.628: Asegúrate de que tu política de

privacidad refleje el cumplimiento con la Ley 19.628 de Protección de Datos
Personales de Chile.
 10. Constitución Chilena: Asegura que la política de privacidad se ajuste a los
principios fundamentales de la Constitución Chilena, como el derecho a la
privacidad y la protección de datos personales.

11. Lenguaje Claro y Accesible: Utiliza un lenguaje claro y accesible para que
los usuarios puedan comprender fácilmente los términos y condiciones de la
política de privacidad.

12. Consentimiento Activo: Implementa mecanismos de consentimiento

activo, como casillas de verificación, para que los usuarios indiquen su
acuerdo con la política.

13. Política de Cookies: Si se utilizan cookies, incluye una política de cookies

separada que explique su uso y propósito.

14. Actualización de la Política: Indica cómo se notificarán y comunicarán las

actualizaciones de la política de privacidad a los usuarios.

3. Lea la ley chilena de protección de datos y el reglamento general de

Protección de datos Europeo L00001-00088.pdf.
a. Señale en qué consiste el principios de protección de datos por
diseño y por defecto, de minimización de datos y transparencia.

Por Diseño: Este principio implica que la protección de datos debe considerarse
desde el inicio del desarrollo de cualquier sistema, producto o servicio que involucre
el procesamiento de datos personales. Esto significa que los responsables del
tratamiento de datos deben incorporar medidas de seguridad y privacidad en el
diseño mismo de sus sistemas, en lugar de añadirlos como una ocurrencia posterior.

Por Defecto: Este principio establece que, en la medida de lo posible, los ajustes y
configuraciones por defecto de sistemas y servicios deben ser los más protectores
de la privacidad. Los usuarios no deben tener que realizar acciones adicionales para
proteger su información personal; en cambio, la protección de datos debe ser la
configuración predeterminada.

Minimización de Datos: La minimización de datos se refiere a la idea de que se

deben recopilar y procesar solo los datos personales que son estrictamente
necesarios para cumplir con un propósito específico. Esto implica que las
organizaciones no deben recolectar datos innecesarios o excesivos y deben limitar
la cantidad de datos que recopilan y almacenan.

Transparencia: La transparencia implica que las organizaciones que recopilan y

procesan datos personales deben ser claras y honestas con los individuos sobre
cómo se recopilan, utilizan y comparten sus datos. Esto incluye proporcionar
información detallada sobre las prácticas de privacidad, los fines del procesamiento
y los derechos de los individuos en relación con sus datos personales.

4. b. Señale si en la legislación chilena analizada (19.628) y la Constitución

permitirían proteger a los menores de edad frente al
uso de Tik Tok en un caso similar. ¿Cómo podría argumentarte?

Derechos del Niño en la Constitución Chilena: La Constitución de Chile reconoce

y garantiza los derechos de los niños, niñas y adolescentes. Los artículos
relacionados con la protección de los menores, como el derecho a la integridad
física y psíquica, el derecho a la educación y el derecho a la igualdad, pueden ser
utilizados como base para argumentar la necesidad de proteger a los menores en
línea, incluido su uso de TikTok.
Ley de Protección de Datos Personales (Ley Nº 19.628): La Ley de Protección de
Datos Personales en Chile establece disposiciones sobre la recopilación, el
tratamiento y la protección de los datos personales, incluyendo los datos de
menores de edad. Argumentar que TikTok debe tomar medidas adecuadas para
proteger la información personal de los menores, como la obtención de
consentimiento informado de los padres o tutores, podría basarse en esta ley.
Ley de Televisión por Cable (Ley Nº 18.838): Si se considera que TikTok ofrece
servicios de transmisión de video, ciertas disposiciones de la Ley de Televisión por
Cable podrían ser aplicables. Esto podría incluir regulaciones relacionadas con la
programación dirigida a menores y la protección de su bienestar.
Ley de Niñez y Adolescencia (Ley Nº 20.084): Esta ley establece derechos y
protecciones específicas para los niños y adolescentes en Chile. Podría utilizarse
para argumentar que TikTok debe tomar medidas para proteger a los menores de
edad de contenido inapropiado o dañino en la plataforma.
Para proteger a los menores de edad en Chile en relación con el uso de TikTok, se
podría argumentar utilizando disposiciones constitucionales y leyes relacionadas
con los derechos de los niños y adolescentes, la protección de datos personales y la
regulación de contenido.