Revisión de normas de protección de datos en Chile: lo que puede significar para su empresa

El Congreso de Chile está cerca de dar luz verde a un proyecto de ley que actualizará la legislación sobre protección de datos y allanará el camino para crear una agencia que se encargue de esta tarea.

A la espera de la aprobación final en el Senado, la propuesta tendría repercusiones para las empresas y establecería un esquema de sanciones por incumplimiento que podría redundar en multas de hasta US$1,5 millones.

Dado que la responsabilidad de alinear sus prácticas con las nuevas reglas recaería en las compañías, la medida generaría oportunidades para los especialistas que pueden ayudarlos a conducirse de manera segura por la nueva regulación.

Para obtener más información y analizar algunos de sus efectos, BNamericas entrevistó por correo electrónico a Roberto Opazo, director y fundador de Itzi, consultora que brinda asesoría legal en protección de datos y activos intangibles en Chile, Argentina y España.

BNamericas: ¿Cuál es la situación actual del proyecto de ley sobre la protección de los datos personales?

Opazo: Actualmente en Chile contamos con la Ley N°19.628 sobre protección a la vida privada, que data del año 1999 y que ha tenido modificaciones pequeñas, pero las que aún no han logrado generar la robustez necesaria para hacer valer los derechos [de acceso, rectificación, cancelación, oposición y bloqueo de datos] ARCO que en esta ley se consagran. 

De hecho, esta normativa, si bien contiene una serie de conceptos globalmente aceptados y utilizados, no reconoce procedimientos especiales ni una institucionalidad acorde a la temática, lo que termina por hacer de esta normativa un cúmulo de conceptos y nociones generales de difícil exigibilidad. Sin perjuicio de lo anterior, está en el último trámite constitucional en el Senado una actualización potente a esta ley. 

La magnitud de esta modificación es tal que el nombre de la ley pasará a ser “Ley de Protección de Datos Personales y creación de la Agencia de Protección de Datos”, lo que ya nos otorga un adelanto de los fundamentos de la nueva normativa de datos en Chile, la que se adapta a las normativas internacionales en la materia, encontrando similitudes en el enfoque que se hace en Europa respecto a la relación entre la persona y el dato personal.

BNamericas: ¿Se necesitará una regulación secundaria? ¿Cuándo podría entrar en vigencia la ley?

Opazo: La nueva normativa se encuentra en el tercer trámite constitucional, es decir, solo falta que el Senado apruebe el proyecto para promulgar y publicar la ley. 

Una vez que ello suceda, la misma normativa otorga un plazo de 24 meses para que la ley mencionada genere efectos, para que se dicten los reglamentos respectivos, se cree la agencia chilena de protección de datos personales y las organizaciones se adapten a estas nuevas reglas.

Complementariamente, y como la experiencia internacional ha dictado, la normativa sobre protección de datos personales no se basta a sí misma, sino que requiere de interpretaciones administrativas efectuadas por las autoridades respectivas como lo hacen las agencias de protección de datos en Europa, por ejemplo. Sin perjuicio, y complementando lo ya comentado, hace un tiempo se publicó la Ley de Delitos Informáticos, y actualmente se discute en Chile un proyecto de Ley Marco de Ciberseguridad que proteja la infraestructura crítica.

BNamericas: ¿Cuáles son los pilares centrales y el propósito de la propuesta legislativa sobre la protección de datos?

Opazo: El propósito de esta nueva ley de protección de datos personales es poner a la persona y sus derechos al centro de la economía del dato, instando al ecosistema a adoptar decisiones sobre los datos respetando los pilares fundamentales de este proyecto, que son: 1) derechos Arcop; 2) consentimiento; 3) institucionalidad; 4) procedimientos especiales de exigibilidad de derechos y 5) sanciones.

BNamericas: ¿Cuál el alcance del proyecto? ¿Se verán impactadas las empresas de todos los tamaños y también entidades del sector público?

Opazo: Distinguiría un triple impacto de esta ley:

1. Público: nace una nueva institución en Chile llamada agencia de protección de datos personales, que será una especie de [Servicio Nacional del Consumidor] Sernac, pero mejorado, ya que contará con facultades sancionatorias que esta última no tiene. Considero, a priori, que esta nueva agencia se convertirá en un ejemplo para la modernización de otras instituciones públicas que regulen la relación entre titulares de derecho y proveedores de servicios/productos.

2. Privado: las organizaciones privadas deberán transparentar cómo tratan los datos, cuál es el objetivo de dicho tratamiento y, por supuesto, contar con el consentimiento del titular del dato. Esto implica un proceso de alta planificación, ya que se genera un nuevo proceso interno de identificación del tipo de dato que se trata dentro de la empresa y sobre cómo se pueden generar procedimientos de cumplimiento efectivos de la nueva norma.

3. Cultural: los titulares de los datos personales se verán más empoderados en la custodia de sus datos personales, lo que, acompañado de una institucionalidad garante en la exigibilidad de sus derechos, generará una concientización en la relevancia de que los datos personales son del titular y no de la organización que los trata.

BNamericas: ¿Qué sectores de la economía resultarán más impactados por la nueva ley en los primeros años?

Opazo: Todos los sectores. Hoy, después del COVID-19, en Chile —como en todo el mundo— se vivió un proceso de digitalización del mercado, lo que implica el tratamiento de datos personales y el intercambio de los mismos, por lo que el proceso que se avecina en Chile requiere de un proceso obligatorio (por ley) de adaptación. Quienes no se adapten, estarán condicionados a recibir sanciones pecuniarias que llegan hasta las 20.000 unidades tributarias mensuales [UTM, en torno a los US$1,53 millones]. (Esta es la sanción económica más alta prevista en la ley) e incluso la suspensión temporal en el tratamiento de datos personales.

Y, por otro lado, se generará una oportunidad para proyectos ya probados en Europa, por ejemplo, organizaciones que tengan experiencia comprobable y el know-how en procesos de automatización en la gestión de datos personales internos, procesos de levantamiento de brechas de seguridad y todo lo relativo a ciberseguridad. Sin duda, se abre una ventana para la inversión extranjera en cuanto a la protección de activos intangibles en general, y no tan solo de datos personales.

BNamericas: ¿La ley va a generar una gran demanda de profesionales especializados y consultores? ¿Está preparado Chile para esto?

Opazo: El mercado ya ha dado señales de la necesidad de un perfil ligado a la gestión de datos personales, sobre todo de profesionales con certificaciones ISO 27.001 (por ejemplo), y muchas empresas grandes ya han iniciado procesos de reclutamiento de profesionales ligados al mundo de la privacidad en entornos digitales. Y ya en algunos centros educativos superiores ofrecen postgrados en protección de datos personales, pero aun así considero que estas señales, que sí son un avance, no permiten concluir a priori si Chile está preparado.

BNamericas: ¿Cuál será el esquema de sanciones para las empresas que no cumplan?

Opazo: Según las últimas indicaciones aprobadas existirán distintas infracciones: leves, graves y gravísimas. En el caso de infracciones graves, las multas son del 2% de los ingresos de la empresa del año anterior con un máximo de 10.000 UTM. En relación con infracciones gravísimas, las multas serán del 4% de los ingresos de la empresa del año anterior con un tope de 20.000 UTM. Y en caso de reiteraciones de infracciones gravísimas, incluso se podrá suspender temporalmente el tratamiento de datos.

BNamericas: ¿El proyecto es parte de algún proceso de modernización del Estado?

Opazo: Hace muchos años se habla en Chile de la modernización del Estado. Si bien el proyecto de ley que comentamos no es expresamente parte de este plan, sin duda importará la necesidad de que las instituciones públicas adecuen sus procesos técnicos para la salvaguarda de los datos de los ciudadanos; sin perjuicio que, al igual como pasa en España, la administración pública no es objeto de sanciones por razones que en principio parecen obvias.

BNamericas: ¿Cómo dejaría la ley a Chile en comparación con otros países de América Latina en el tema de protección de datos?

Opazo: Chile fue pionero en la región al ser el primer país latinoamericano en promulgar una ley de protección de datos personales: la Ley 19.628 sobre protección de la vida privada de 1999, pero se quedó por detrás de otros países de la región por no adecuarse a los estándares europeos.

Si bien Argentina y Uruguay son países que se consideran con un estándar adecuado para el tratamiento de datos según los parámetros europeos, de esas declaraciones ya han pasado más de 10 años, lo que los ha obligado a replantear su modelo normativo. Por otro lado, así como Chile fue pionero al promulgar su ley de protección de datos basándose en la normativa europea en 1999, Brasil fue el primer país de la región en promulgar una ley de protección de datos personales inspirada directamente en el modelo europeo del [Reglamento General de Protección de Datos] RGPD de 2016: la ley general de protección de datos denominada LGPD (N° 13.709/2018 de Brasil), por lo que Chile se uniría a Brasil en tener un marco normativo con las adecuaciones exigidas por el RGPD europeo.