Expresidente del Consejo para la Transparencia alerta que estructura de multas en el proyecto de protección de datos favorece a grandes empresas

El expresidente del Consejo para la Transparencia, Marcelo Drago, está convencido de que con el proyecto que regula la protección de datos personales, Chile se sumará a un estándar regulatorio que le permitirá quedar en el más alto nivel mundial, lo que –a su juicio–, “abre una oportunidad de negocios infinita”.

Drago, quien asesoró al oficialismo durante el segundo trámite de la iniciativa en la Cámara Baja, dice que Chile está ad portas de un cambio “copernicano” respecto de lo que tiene actualmente. El director de Estrategia Pública Consultores, no obstante, no le saca la vista a la iniciativa que retomará el Senado para un tercer trámite y que algunos legisladores adelantan que incluso podría llegar a una Comisión Mixta  

- ¿Qué elementos del proyecto destaca? ¿Por qué es tan relevante?

- Estamos ad portas de un cambio copernicano. Con esto, vamos a pasar de una regulación que prácticamente está en la "Era del Hielo", que data del año ’99 y es impracticable, a un estándar reconocible a nivel global. Vamos a estar en la primera línea, donde se juegan las grandes tecnologías, donde hay un estándar que ha impuesto Europa y, básicamente, el resto del mundo ha hecho asumiendo. Es un estándar regulatorio de convergencia global al cual nosotros nos estamos sumando.

- En ese contexto, ¿qué tan importantes son los avances que genera este proyecto para hacer negocios con Europa y con el resto del mundo?

- Hay una cosa totalmente clave, que es la posibilidad de que la Unión Europea declare a Chile como país “adecuado” en materia de regulación de protección de datos personales. Esa declaración que es formal de la Comisión Europea, permite un libre flujo de datos entre el bloque europeo, los 22 países, y Chile. Eso abre una oportunidad de negocios infinita, en todos los ámbitos, en entornos protegidos, de jurisdicciones que se reconocen mutuamente como adecuadas y que protegen los datos de sus nacionales.

- ¿O sea, que esto podría significar para Chile la apertura de nuevos mercados?

- Totalmente. Mercados que, hoy día, no nos damos cuenta que perdemos; tanto tratando datos, haciendo backoffice u otro tipo de negocios como instalaciones en Chile de data centers; u otras tecnologías que no se instalan, porque Chile no da legalmente una protección adecuada. Tenemos todos los elementos técnicos, incluso de ciberseguridad, que estamos en un nivel de desarrollo avanzado, pero no en materia civil de protección de datos y esto puede marcar una diferencia.

- ¿Qué tan protegidos estamos con esta ley de que nuestros datos anden volando por el mundo y, por ejemplo, podamos ser víctimas de un fraude que se comete en España?

- Hoy día nuestros datos andan, como tú dices, navegando por todo el mundo o dentro de Chile sin ningún nivel de protección. Hoy día, en el papel, se puede exigir a cualquier entidad que te diga qué datos tuyos tiene y pedirle que los suprima; en la práctica, esa entidad tiene la obligación de responder, pero como no hay ninguna multa asociada, como no hay una autoridad administrativa que le exija el cumplimiento de la ley, hacen lo que quieren.

Sanciones y multas altas

- ¿Con esta ley qué cosas concretas van a ocurrir para que los datos estén más seguros?

- Algo que va a desaparecer en Chile son los "rutificadores", esos sitios web tan chilenos en que pones el nombre de alguien y te arroja el RUT y su dirección particular, eso va a pasar a ser totalmente ilegal. Básicamente, porque cualquier entidad va a poder tratar datos personales, utilizarlos, subirlos a un sitio, incluso solamente almacenarlos, si tiene una habilitación legal. Esa habilitación legal va a estar dada a través de dos opciones: el consentimiento inequívoco del titular de ese dato o alguna norma legal que habilite el uso de esos datos. Si no está alguna de esas dos grandes hipótesis no se pueden tratar los datos.

- ¿Eso significa que quien lo haga será sancionado y cómo serán esas sanciones?

- Van a ser sancionados directamente por una autoridad administrativa nueva, una autoridad de protección de datos que va a tener facultades sancionatorias directas con multas muy significativas.

- Cuando dice significativas, ¿de cuánto estamos hablando, hasta cuánto podrían llegar las multas?

- En los casos de infracciones gravísimas, las multas podrían llegar hasta 20 mil UTM, que son $ 1.250 millones aproximadamente; pero si hay reincidencia  esos $ 1.250 millones se pueden multiplicar por tres.

- ¿Y qué tendría que hacer un infractor para cometer una infracción gravísima?

- Por ejemplo, tratar sin esta autorización legal datos de niños o niñas, adolescentes, menores de edad o datos sensibles de salud, de condición socioeconómica, o de características étnicas, o de orientación sexual. Tratar datos personales de esa naturaleza de forma consciente o sin una autorización legal expresa.

- ¿En qué ámbitos, por ejemplo, la Cámara mejoró lo que recibió del Senado?

- En las multas. Porque eran menores y limitadas; y se ampliaron. Igual me parece que no quedaron perfectas, porque creo que la estructura de multas que está quedando discrimina a las pequeñas y medianas empresas, favoreciendo a las grandes, sobre todo a los gigantes tecnológicos. Aquí, lamentablemente, nos alejamos del reglamento europeo, que asocia las multas a un porcentaje de la facturación anual. En cambio, el proyecto pone topes máximos a las multas en montos fijos. Estos techos pueden sonar altos para una empresa mediana, pero son insignificantes para un gigante tecnológico. Hay otras cosas que son perfeccionamientos que, más que en relación al Senado, lo son respecto del ordenamiento europeo.

Adelantándose a corregir errores

- ¿Cómo es eso?

- Porque esto es una convergencia regulatoria, siguiendo la pauta de Reglamento Europeo de Protección de Datos Personales de año 2018. Pero hay algunas diferencias que, a mi juicio, son muy positivas, porque el reglamento europeo es como la regla de oro, pero no hay nada perfecto en la vida y nosotros ya podemos vislumbrar los errores que hay en ese reglamento y corregirlos en nuestra legislación.

- ¿Cuáles han corregido?

- Uno de ellos es el derecho al olvido, el derecho a supresión, que se cancelen tus datos personales cuando ya están en desuso, cuando se cumplió la finalidad para la cual fueron recogidos. El reglamento europeo establece las hipótesis para eso de manera taxativa, “sólo en estos casos”; nosotros, desde el Senado incluso –en primer trámite–, se señala que no es exclusivamente en esos casos, sino que “especialmente” en esos casos. Por lo tanto, se plantean una serie de hipótesis que no son taxativas y, después, se plantean excepciones a eso.  Otra cosa que en Europa se detectó como un error es el derecho a oponerse a decisiones automatizadas, incluida la elaboración de perfiles de forma “únicamente” automatizada. Entonces, si interviene un humano en cualquier forma, se aplica la regla y no tiene derecho a oponerse y nosotros lo estamos corrigiendo en nuestra legislación, sacando el “únicamente”.

- Se percibe que el proyecto podría llegar a una Comisión Mixta. ¿Qué elementos cree que la podrían generar?

- Hay un elemento que creo que es bueno que se corrija de lo que viene de la Cámara de Diputados, que son los artículos relativos a las condiciones para las transferencias internacionales.

- ¿Por qué?

- Porque esos artículos son las reglas por las cuales yo reconozco otra jurisdicción, otro país, para intercambiar datos. Es lo que hablábamos al comienzo. Nosotros también podemos reconocer a otras jurisdicciones como adecuadas para las transferencias internacionales de datos. No sé, Argentina, Australia, Estados Unidos, en fin. Esos artículos quedaron bien, pero un poquito desorganizados. Entonces, cuando uno lee, tiene que hacerlo un par de veces para entenderlos bien y creo que esto tiene que quedar prístino, porque no importa lo que nosotros leamos, lo importante es cómo lo lean e interpreten en Europa, Asia, Oceanía, en el norte de América, etcétera. Por eso, creo que es bueno que llegue a una Comisión Mixta y eso quede prístino, se reorganicen esos artículos. Creo que el texto es el adecuado, pero ahí no quedó claro.

- La importancia de que la reorganización y redacción correcta de los artículos en este tema, ¿es porque, finalmente, son el corazón del proyecto, no?

- Más que mal redactados creo que están desorganizados, porque no son muchas las correcciones que hay que hacer; es un poquito cambiar el orden para que queden claras las distinciones, porque es como un árbol de distinciones y si lo leen los expertos les queda claro, pero tiene que quedar claro para cualquiera. Y sí, creo es parte del corazón, efectivamente, de lo que está detrás de este proyecto, la posibilidad de abrir a Chile, de que nos declaren país adecuado para intercambiar libremente datos con el bloque europeo. Sí.