Experta advierte que discrecionalidad de futura Agencia de Protección de Datos Personales podría afectar la aplicación de sanciones

A una semana de la aprobación de la Ley de Protección de Datos Personales que establece la creación de la futura Agencia de Protección de Datos Personales, empiezan a surgir ciertas alertas en torno al rol que jugará la entidad reguladora. La abogada y socia de Claro & Cia, Paulina Bardón, manifestó que existe preocupación por la discrecionalidad y composición que tendrá el organismo, lo que podría afectar su capacidad para dictar normas, fiscalizar y sancionar.

De acuerdo a la ley, la agencia será un órgano autónomo, responsable de regular que el tratamiento de los datos de las personas se realice de manera adecuada y velando por la protección de los derechos de sus titulares. Entre sus facultades, está dictar normas, fiscalizar y sancionar.

“A una empresa de mayor tamaño se le podría sancionar más drásticamente en razón de su tamaño. Entonces eso también es bien arbitrario”.

La abogada y experta en protección de datos explicó que, en el caso de facultades para dictar normas, la entidad podría establecer nuevas obligaciones para los responsables de los datos, “lo que vendría a ahogar aún más al fiscalizado o responsable del tratamiento de datos, que ya va a tener que cumplir con una serie de obligaciones”, dijo.

La ley determina que la agencia en su rol fiscalizador podrá solicitar “cualquier documento, libro o antecedente” a las entidades que traten datos personales, con el fin de garantizar que se cumplan las obligaciones de protección de datos.

Según Bardón, si la entidad tiene atribuciones para pedir cualquier documento al fiscalizado, “nos encontramos con un riesgo importante de que, si esta agencia se compone por personas que no tengan ningún respeto o una cultura de proteger también los intereses de quienes tratan los datos, puede ser bastante perjudicial”, comentó.

La abogada también alertó sobre el rol que tendrá la agencia a la hora de aplicar sanciones a las empresas en caso de infracción o incumplimiento normativo, particularmente en lo que concierne a su facultad para establecer multas específicas y diferenciadas en función de la gravedad de la falta.

“A una empresa de mayor tamaño se le podría sancionar más drásticamente en razón de su tamaño. Entonces eso también es bien arbitrario, porque sería como, ‘si yo soy rico y cometo un crimen, tengo que pagar más que si soy pobre y cometo el mismo crimen’”, dijo.

La ley comprende multas de hasta UTM 5 mil (unos $ 330 millones) por infracciones leves, hasta UTM 10 mil ($ 663 millones) por graves y un tope de UTM 20 mil ($ 1.300 millones) en caso de faltas gravísimas. También hay multas por reincidencia de infracciones graves y gravísimas sólo para grandes compañías, las que pueden llegar hasta 2% a 4% de los ingresos del año anterior.

Bardón señaló que, aunque la normativa tipifica diversas conductas y las clasifica según su nivel de gravedad, el “análisis se detiene poco” en el caso de las infracciones leves, que consideran el incumplimiento total o parcial del deber de información y transparencia.

“Le da cierta discrecionalidad a la agencia y podría afectar a empresas más pequeñas. Si le dices a una startup que le vas a poner una multa de US$ 350 mil porque su deber de información y transparencia no se está cumpliendo de acuerdo a lo que estima la agencia, eso es súper grave. Pero todo dependerá del tipo de agencia que tengamos y de quiénes conformen su Consejo Directivo”, comentó.

Respecto de la posibilidad de corregir estos aspectos, señaló que hay ciertos reglamentos que se tienen que dictar antes de la entrada en vigencia la ley, entre ellos uno para regular a la agencia. “Quizás en ese reglamento se podrían acotar un poco los niveles de discrecionalidad que se le entrega. Es algo que habría que analizar”, dijo.

Consejo Directivo

La ley establece que el Consejo Directivo de la agencia estará integrado por tres consejeros -con un presidente y vicepresidente- que serán propuestos por el Presidente de la República y ratificados por el Senado, los que durarán seis años -sin renovación- y serán ratificados en forma individual cada dos años. Además, “deberán ser personas de reconocido prestigio profesional o académico en materias de protección de datos personales”.

Para Bardón esto podría conllevar un riesgo de politización del organismo y que, “con todo el nivel de discrecionalidad que tiene la agencia, podríamos encontrar consejeros de una postura muy extrema, lo que se podría traducir en una especie de persecución en contra de algún tipo de fiscalizado”.

También advirtió un riesgo de duplicidad de funciones con entidades como el Servicio Nacional del Consumidor (Sernac) y la Agencia Nacional de Ciberseguridad, lo que podría llevar a que las empresas sean fiscalizadas por organismos distintos por una misma conducta.

“Eventualmente podría existir alguna pugna entre la agencia y el Sernac, el que debe velar por la debida seguridad de las relaciones de consumo, y en ese sentido, la seguridad informática, por ejemplo, en temas de hackeo, se topa con los temas de la agencia, como los deberes de seguridad de los responsables en el tratamiento de datos”, añadió.