Marcelo Drago, expresidente del Consejo para la Transparencia y presidente de la Asociación de Profesionales en Protección de Datos: “El giro europeo de la ley permitirá el libre flujo de datos con los 27 países de la UE”

Solo falta que el Diario Oficial publique la Ley de Protección de Datos Personales que crea la Agencia de Protección de Datos Personales, aprobada en el Congreso en agosto pasado, y su posterior entrada en vigencia, para que surjan nuevas oportunidades para el país.

El presidente de la Asociación de Profesionales en Protección de Datos Personales de Chile (AGPD) y expresidente del Consejo para la Transparencia, Marcelo Drago, afirmó que “el giro europeo” y los cambios realizados en la Cámara de Diputados al texto del Senado, colocan a Chile como “país adecuado” en la materia para la Unión Europea (UE), lo que permitirá “un libre flujo de datos entre sus 27 países y las empresas nacionales”.

El también socio de la consultora DataCompliance agregó que la regulación traerá “una nueva ventaja competitiva” porque abrirá nuevas oportunidades de negocio no solo con los países del bloque, sino también con otros que cumplen con los estándares europeos.

“Esta ley deja a Chile en condiciones de ser declarado país adecuado por la Unión Europea (...) La ventaja no se limita a la UE, alcanza a economías que han logrado la misma declaración, como Corea del Sur, Japón, Israel, Canadá o Reino Unido”.

- ¿Cuál es su evaluación del texto final de la ley?

- El texto aprobado tiene altos estándares de calidad desde el punto de vista regulatorio y de técnica legislativa. En esto fue clave la Cámara de Diputados, al incorporar conceptos como el principio de lealtad y responsabilidad proactiva, privacidad por diseño y por defecto, evaluaciones de impacto, y se perfeccionó el modelo de compliance (cumplimiento normativo).

Si el texto inicial del Senado se hubiera convertido en ley, hubiera significado una oportunidad perdida. El derecho de acceso (conocimiento de la finalidad del tratamiento de datos) estaba limitado, sin justificación; la independencia de la Agencia era cuestionable, lo que claramente podía afectar el proceso de adecuación europea; no tenía reglas de aplicación extraterritorial en algo que evidentemente ya no tiene fronteras; las sanciones eran muy bajas. Y luego estaba la mantención de las fuentes accesibles al público como fuente de licitud (habilitante legal), que no sólo se mantenía en la versión del Senado sino que se reforzaban. Eso era borrar con el codo lo que se escribía con la mano.

Flujo de datos

- ¿Qué ventajas trae para el país la regulación?

- Esta ley deja a Chile en condiciones de ser declarado país adecuado por la Unión Europea, lo que permitirá el libre flujo de datos entre todo el mercado europeo, los 27 países que conforman esa unión, y las empresas chilenas, abriendo oportunidades de negocios e intercambio. Las compañías nacionales no van a tener que demostrar nada y ahorrarán costos de transacción; bastará que señalen que están sometidas a la ley chilena. La ventaja no se limita a la UE, alcanza a economías que han logrado la misma declaración, como Corea del Sur, Japón, Israel, Canadá o Reino Unido.

También es una potente señal de mercado a nivel global. Cualquier compañía chilena va a poder mostrar entre sus credenciales este estándar de país adecuado, lo que atraerá demanda de servicios desde lugares que no cumplen con esos niveles, pero necesitan demostrar compromiso con la protección de los datos personales frente a sus clientes. Tendremos una nueva ventaja competitiva.

-La ley incluye un efecto extraterritorial y nuevas reglas para el tráfico de datos. ¿Qué significa esto para las empresas que operan en Chile? ¿Abre espacios para avanzar en la soberanía de datos?

-Todas las empresas que traten datos con efectos en Chile tendrán que regirse por la nueva normativa, esto es clave en una economía de la información donde el procesamiento de datos es transnacional. Así como la ley converge con estándares internacionales, también se reserva su aplicación nacional para efectos de empresas extranjeras. Respecto de las reglas de tráfico transfronterizo, se le confía a la Agencia determinar qué países son adecuados para el libre flujo de datos personales. Pero la ley también autoriza otros mecanismos de salvaguardia, como cláusulas contractuales o normas corporativas vinculantes y modelos de cumplimiento certificados.

La soberanía de datos, en el sentido de considerar los datos activos estratégicos protegidos y controlados, puede ser un camino atractivo, pero difícil en una jurisdicción tan pequeña como la nuestra. La apuesta chilena debe ser la convergencia regulatoria con la UE y el resto de los países declarados adecuados, abarcando un espacio seguro para compartir información. La ley chilena permite que los datos estén alojados en otras partes, pero obliga a cumplir con los derechos de los titulares y adoptando medidas de seguridad si su procesamiento genera efectos aquí. Por lo tanto, se sube a un piso mínimo que cada vez más es de carácter global.

-Expertos señalan que una cláusula en el contrato no resguardaría la protección de datos de una empresa a proveedores.

- Hay una obligación de suscribir un contrato de encargo de tratamiento. Las empresas deberán asegurarse de que sus proveedores cumplan con estándares de cumplimiento elevados, aunque solo sea una parte accesoria del servicio. Pero no basta, se requiere auditoría, control, dirección y liderazgo, y es en este tipo de situaciones donde la figura del delegado de protección de datos (nuevo rol en las empresas) toma especial relevancia.