Luz verde para Ley de Protección de Datos: ¿cuál será el impacto en las empresas?

Tras siete años de tramitación, finalmente este martes se despacha la Ley de Protección de Datos Personales y que crea la Agencia de Protección de Datos, con 66 votos a favor, 22 en contra y 36 abstenciones.

La futura normativa se despachó a pesar del rechazo de los diputados de oposición al esquema de multas que calificaron como “desproporcionadas” y que afectaría a los emprendimientos tecnológicos. Sin embargo, los diputados oficialistas lo descartaron, y afirmaron que las sanciones apuntan a las corporaciones tecnológicas internacionales.

La ley busca regular la forma y condiciones en las que se realiza el tratamiento de datos personales, además de elevar los estándares de protección en línea con el Reglamento General de Protección de Datos de la Unión Europea.

La futura ley establece un conjunto de obligaciones para las empresas, entre ellas, actualizar políticas de privacidad, realizar auditorías de procesos que involucran tratamiento de datos, adopción de tecnologías y medidas en prevención de infracciones y gestión de riesgos.

El informe final de la comisión mixta contiene 55 artículos y ocho disposiciones transitorias. Sin embargo, el artículo 55° que regula el ejercicio de los derechos y reclamaciones de titulares de datos ante organizaciones autónomas, como el Poder Judicial, la Contraloría y el Banco Central, no alcanzó el quórum calificado -78 votos- y quedó fuera del nuevo cuerpo legal, pero será revisado por el Tribunal Constitucional.

Esto significa, explicó la subdirectora de GobLab UAI -laboratorio de innovación pública de la Escuela de Gobierno de la Universidad Adolfo Ibáñez- Romina Garrido, que las personas no podrán reclamar ante los organismos autónomos, “pero hay que esperar a lo que diga el Tribunal Constitucional”.

Entre los cambios relevantes, se establecen nuevos derechos para los titulares de datos, se modifican los requisitos de consentimiento para la entrega de datos tomando relevancia la libertad, crea nuevas categorías de datos -menores de edad, biométricos, salud, geolocalización-, se elevan las multas por incumplimiento, se modifica la regulación de las fuentes de acceso público y crea la Agencia de Protección de Datos.

Puntos clave

La ley establece y regula los derechos de los titulares de los datos personales, según acceso, rectificación, supresión, oposición, portabilidad y bloqueo de sus datos personales; además el procedimiento y los medios para que hagan valer estas garantías ante los responsables de datos, como demandar la indemnización de los perjuicios sufridos.

Aplica a personas naturales y jurídicas, y órganos públicos que procesen datos personales dentro del territorio nacional; a quienes manejen datos en nombre de un mandatario ubicado en Chile, y cuando el tratamiento de datos esté destinado a ofrecer bienes o servicios a personas dentro del país y fuera de él. En el caso de personas jurídicas no constituidas en Chile, el responsable deberá señalar por escrito, ante la Agencia de Protección de Datos Personales, un medio de contacto válido y actualizado para reclamos.

También crea una Agencia de Protección de Datos Personales, que se encargará de velar por el cumplimiento de la ley. Contará con facultades normativas, para dictar normas e instrucciones, e interpretar normas legales y reglamentarias de datos personales; fiscalizadoras, como poder auditar o solicitar información a quienes hagan tratamiento de datos; sancionatorias, para imponer multas; y coordinadoras, para colaborar con órganos públicos e internacionales.

Además, el texto final del proyecto elevó el tope de las infracciones leves de UTM 100 ($ 6,6 millones) a UTM 5 mil (unos $ 330 millones), aunque mantuvo el límite para las graves en UTM 10 mil ($ 660 millones) y las gravísimas en UTM 20 mil ($ 1.400 millones).

También agregó multas por reincidencia de infracciones graves y gravísimas solo para grandes compañías, que pueden llegar hasta 2% a 4% de los ingresos del año anterior, y un artículo transitorio que otorga a las Pequeñas y Medianas Empresas (PYME) 12 meses de gracia con partes de cortesía, una vez que entre en vigencia la regulación.

Obligaciones para las empresas

La abogada experta en protección y ciberseguridad y socia de Alessandri Abogados, Macarena Gatica, señaló que la ley establece un conjunto de obligaciones para empresas, como la adopción de medidas de seguridad y prevención de infracciones y gestión de riesgos.

Entre las medidas de seguridad, establece capacitación de trabajadores, auditorías de procesos que involucran tratamiento de datos, actualizar políticas de privacidad, analizar los proveedores que intervengan en el tratamiento de datos de la empresa y contar con medidas tecnológicas como firewalls y antivirus.

En prevención de infracciones y gestión de riesgos, Gatica explicó que las compañías deberán realizar procedimientos de análisis de riesgos a partir del levantamiento e identificación de sus activos (datos personales) e implementar  medidas para prevenir o mitigar los riesgos.

Dijo que cada empresa  podrá establecer sus propios estándares para gestionar el riesgo, considerando los principios que ya tiene la ley.

Los responsables de datos deberán adoptar mecanismos y herramientas tecnológicas que permitan que el titular ejerza sus derechos en forma expedita.

Sanciones y falta de conocimiento

El secretario general de la Sofofa, Rodrigo Yáñez, señaló que la aprobación del proyecto “es un paso crucial para brindar las certezas que empresas y personas necesitan en la nueva era digital”. Pero, dijo que hay preocupación por las sanciones propuestas, ya que podrían “ahuyentar la inversión que tanto necesita la industria de Tecnologías de la Información y la Comunicación (TIC), amenazando no solo a las grandes empresas, sino también a las PYME”.

Añadió que Chile tiene la oportunidad histórica “de diseñar un marco regulatorio que no se limite a calcar el estándar europeo, sino que forje su propio camino, inspirado en los mejores modelos de la OCDE (Organización para la Cooperación y el Desarrollo Económicos), adaptados a nuestra realidad, para liderar con fuerza y visión en la economía digital global”.

En tanto, el abogado y director de la Asociación de Empresas Chilenas de Tecnología (Chiletec), Fernando Fernández, advirtió que la implementación de la futura ley presentará “varios obstáculos significativos”, debido a la falta de conciencia y conocimiento de proteger los datos personales, por lo que se requerirá “un cambio cultural profundo” de individuos y organizaciones.

“Esta situación supondrá resistencia al cambio, lo que eventualmente podría provocar contingencias legales y financieras muy severas, como consecuencia de la imposición de multas”, comentó.

Agregó que las empresas deberán realizar un “inventario exhaustivo” de sus bases de datos y desarrollar un sistema robusto de gobernanza de datos que asegure “la conformidad con la ley y minimice riesgos”, lo que las obligará a establecer procesos y políticas claras sobre la recopilación, almacenamiento, tratamiento y eliminación de datos personales, así como implementar “medidas técnicas y organizativas adecuadas” para proteger la información.

Garrido, de GobLab UAI, afirmó que su aprobación es una “buena noticia” y que la labor de la futura Agencia será “fundamental en la eficacia de la normativa” y en el acompañamiento a los regulados. “Esta es una materia muy difícil de fiscalizar, por eso los incentivos están puestos en el cumplimiento preventivo y proactivo y en desincentivar conductas con multas que son factibles de evitar con buenos sistemas de gestión y control”, dijo.

La abogada y counsel de Protección de Datos y Ciberseguridad de DLA Piper Chile, Carla Illanes, indicó que el nuevo marco legal posibilitará a las empresas revisar y mejorar sus procesos internos en relación a los datos. “Permitirá nivelar el terreno del ejercicio de los derechos por parte de los titulares de los datos, al tiempo que unificará iniciativas que actualmente son aisladas en muchas empresas”.

Añadió que la ley no solo fortalecerá el marco de protección de datos en el país, sino también impulsará a las empresas a “adoptar una postura de responsabilidad proactiva en su gestión”.