Como muchos sabrán, después de varios años de tramitación legislativa la ley 19.628 de 1999, sobre protección de datos personales, será reformada en su totalidad y la modificación está en los últimos momentos de su tramitación legislativa. Y, aunque resulte contraintuitivo, los cambios en lo sustantivo no serán demasiados. El cambio real vendrá en lo que concierne a los aspectos institucionales, preventivos y sancionatorios.
Nueva ley de protección de datos: cinco cuestiones que cambian
06 Junio 2023
Por Carlos Reusser M.
Como muchos sabrán, después de varios años de tramitación legislativa la ley 19.628 de 1999, sobre protección de datos personales, será reformada en su totalidad y la modificación está en los últimos momentos de su tramitación legislativa.
Y, aunque resulte contraintuitivo, los cambios en lo sustantivo no serán demasiados. El cambio real vendrá en lo que concierne a los aspectos institucionales, preventivos y sancionatorios:
1. Autoridad de protección de datos y régimen de sanciones.
El talón de Aquiles de la actual legislación, el elemento que la sumió en la irrelevancia a efectos prácticos, fue la ausencia de un sistema de sanciones serio como castigo a la infracción y, además, la falta de una autoridad administrativa que se encargará del efectivo cumplimiento de la ley.
A partir de ahora existirá la Agencia de Protección de Datos Personales y las sanciones por la infracción de la normativa van de la amonestación por escrito (muy soft) hasta 60.000 UTM (a esta fecha, unos $3.780.000.000 aproximadamente), suficiente para quebrar a una mediana empresa y para hacerle perder el cargo de gerente al gestor de una empresa grande.
A lo anterior, se suma la obligación de indemnizar los perjuicios patrimoniales y extrapatrimoniales que se hubieren provocado e, incluso, la suspensión de operaciones de tratamiento de datos hasta por 30 días, lo que en una economía en red puede generar, perfectamente, el cierre de la empresa.
Por supuesto, el legislador establece una serie de criterios que modulan cuál es la sanción aplicable a una infracción específica, a lo que agrega todo un régimen de atenuantes y agravantes de responsabilidad, ahuyentando la posibilidad de que se cometan arbitrariedades.
2. No necesitas estar en Chile para que se te aplique la ley.
Tradicionalmente en nuestro país las empresas tecnológicas de alcance global, gracias a discutibles criterios jurisprudenciales, escapan a la aplicación de la normativa, llegando los tribunales a los extremos de sentenciar que los afectados, si quieren la satisfacción de sus derechos, pueden ir a demandar a algún remoto pueblo del Estado de Delaware.
Con la nueva ley se impone un criterio que podríamos llamar más “europeo”, en el sentido que ella dice que no importa que una empresa no esté establecida en el país: si realiza operaciones de tratamiento de datos para ofrecer bienes o servicios a titulares de datos que se encuentran en Chile, entonces está sujeta a la legislación de protección de datos de nuestro país.
3. Nada de “consentimientos” genéricos o abiertos: debe ser específico y demostrable.
La regla de oro en materia de protección de datos no ha cambiado nunca: quienes tratan datos personales sólo pueden hacerlo o porque la ley les habilita para ello, o porque cuentan con el consentimiento del titular de los datos (cada uno de nosotros).
Pero la ley ahora prohíbe expresamente los consentimientos genéricos, del estilo “doy mi consentimiento para todo tratamiento futuro” o para “la empresa N, sus socios, cesionarios y relacionados”, sino que ordena que debe ser específico respecto de a quién se le otorga el consentimiento y para qué efectos se le otorga.
Además, el consentimiento debe ser demostrable, es decir, quienes tratan datos personales deben estar en posición de poder demostrar que cuentan con el consentimiento del titular de los datos y, adicionalmente, que el tratamiento de datos lo ha realizado en forma lícita, leal (no lo usaron para crear discriminaciones arbitrarias) y transparente.
Entonces y a partir de ahora, van a cobrar relevancia todas las plataformas y soluciones informáticas destinadas a registrar, conservar y, ¡atención!, recuperar el consentimiento específico que extendieron las personas, salvo que se pretenda afrontar la sanción económica correspondiente.
Esto también representa una gran oportunidad para las empresas que desarrollen productos y servicios destinados a gestionar y/o intermediar el consentimiento otorgado por los respectivos titulares.
4. Rediseño de metodologías y plataformas para la seguridad de los datos
La lógica de construir bases de datos y luego ver qué hacer para proteger los datos personales que se encuentren en ella para cumplir con la ley, se termina. O, al menos, no puede continuar como hasta ahora.
La nueva ley dice que si te dedicas a tratar datos personales, tienes que tomar todas las medidas técnicas y organizativas para que, desde el diseño, incluso antes de tener en tu poder cualquier dato personal, ellos se encuentren protegidos por defecto.
En este nuevo contexto, es previsible que se vayan desarrollando bases de datos en que al menos el segmento que contiene datos personales, se maneje en forma encriptada, u otras formas de protección equivalentes.
Lo interesante radica en que, frente a cualquier controversia, es el responsable del tratamiento el que debe acreditar la existencia y funcionamiento de las medidas de seguridad adecuadas.
5. Dimensiones técnicas de la protección: evaluaciones de impacto y planes de prevención de infracciones
Tal vez la diferencia más distintiva de la nueva ley con la anterior, es que esta se ocupa de algunos de los aspectos técnicos de la protección de los datos personales.
Así, por ejemplo, para los casos en que se realicen operaciones de tratamiento que pueden tener un alto impacto en los derechos de las personas, el responsable del tratamiento debe realizar previamente una evaluación del impacto del mismo.
La ley no da ejemplos, pero perfectamente puede ser el caso de una base de datos de personas infectadas con VIH o que padecen alguna forma de enfermedad degenerativa; en tales casos la autoridad de protección de datos debe informar tanto la forma de realizar la evaluación de impacto (vía reglamento), como las medidas de mitigación que el responsable debe adoptar para seguir adelante.
También se contempla la existencia de planes de prevención de infracciones, los cuales serán certificados por la Agencia de Protección de Datos Personales cuando cumplan los requisitos que se fijen para ello; serán incorporadas al nuevo Registro Nacional de Sanciones y Cumplimiento.
¿Qué ventajas te da certificarte? Básicamente, dar por acreditado que has cumplido con la obligación de adoptar acciones destinadas a prevenir la comisión de las infracciones y, consecuentemente, alejar la posibilidad de incurrir en las sanciones derivadas de las infracciones graves o gravísimas consideradas por la ley, pues la Agencia no podrá decir que no cumpliste diligentemente con tus deberes de dirección y supervisión: tienes un certificado de la propia autoridad que dice que sí fuiste diligente.
Por supuesto, nadie espera que el Directorio de una empresa o el jefe superior de un servicio público esté preocupado permanentemente de la cuestión de los datos personales, y por ello la ley formaliza la existencia de una nueva figura: el delegado de protección de datos, designado por la máxima autoridad directiva o administrativa y que se ocupa no sólo del cumplimiento normativo y de la formación de las personas al interior de la organización que se trate, sino también de cooperar con la autoridad de protección de datos.
¿Deseas conocer el contenido exacto de la nueva ley?
Visita el sitio que registra los avances del mismo en el Congreso Nacional.
¿Necesitas ayuda?
Si necesitas asesoría en materia de protección de datos personales, hablemos. Nos puedes contactar a través de nuestros diversos canales de comunicación.
¿Quieres saber más sobre este tema?
También te podría interesar “Lo que necesitas saber de la Protección de Datos Personales en Chile, en 1 minuto”.
Y si quieres saber aún más, puedes consultar el libro “La protección de los datos personales en Chile” escrito por los abogados de AltLegal y Honoris, Lorena Donoso y Carlos Reusser, publicado por DER Ediciones.
Sólo después de lo anterior, se debiera avanzar en la preparación de un programa de cumplimiento. Ello, porque aún no están definidos todos los aspectos que deberá contener éste y la Agencia que se creará sólo lo certificará en 2 años más. La buena noticia, es que con la asesoría de cierre de brechas, su organización habrá avanzado en un 90%, por lo que el último esfuerzo será bastante menor.
3. Sea constante
El programa que se preparará siempre será perfectible y deberá ser modificado en base a las directrices que irá dando la Agencia de Protección de Datos. Por lo mismo, es importante que en todo este proceso se siga una lógica de mejora continua con una mirada integral a los varios cambios que ya han sucedido, y entendiendo siempre que lo perfecto es enemigo de lo bueno.
4. Evite a toda costa caer en el error del copy+paste
Es fácil caer en la tentación de copiar los términos o políticas de la competencia para “ahorrarse” una consultoría o tomar por cierto algo “porque siempre se ha hecho así” en su industria. Si opera de esa forma, usted se está comprando un problema, porque los documentos que usted está copiando son posiblemente información propietaria, reflejan una realidad distinta a la suya y/o fueron redactados por personas que no tienen las competencias necesarias para ver los diversos riesgos legales asociados a estas materias. En suma, lo único que está haciendo con el copy+paste es una apariencia de seguridad que en realidad no es más que una bomba de tiempo. No lo haga.
5. Conclusiones
Los cambios inexorablemente vienen en camino, pero no tienen porqué ser dolorosos. Si se adelanta, e implementa los estándares de la nueva legislación de forma simple, escalonada y constante, podrá usted generar una conciencia interna de protección de sus activos inmateriales, obtendrá una ventaja competitiva que lo distinguirá en su industria y se evitará todos los inconvenientes económicos de hacer esto a última hora o cuando ya sea demasiado tarde. El llamado es a abrazar el cambio, pues éste entraña claros beneficios a quienes se adapten de la forma sugerida.
6. ¿Quieres saber más?
Si quieres saber más te invitamos a que revises las siguientes publicaciones:
- Lo que necesitas saber de la Protección de Datos Personales en Chile, en 1 minuto.
- Nueva ley de protección de datos: cinco cuestiones que cambian.
- ¿Qué es y para qué sirve una autoridad de protección de datos?
- Charla Protección de datos en Chile: Presente y futuro para la industria tecnológica.
Asimismo, puedes consultar el libro “La protección de los datos personales en Chile” escrito por los abogados de AltLegal y Honoris, Lorena Donoso y Carlos Reusser, publicado por DER Ediciones.
7. ¿Necesitas ayuda en materia de protección de datos personales? Hablemos
Nos dedicamos a prestar asesorías en materia de protección de datos, por lo que si necesitas ayuda, nos puedes contactar a través de los diversos canales de comunicación que disponemos.
—
(*) Este artículo inicialmente fue publicado en el sitio web de Chiletec.
