Junto con el nuevo año, la abogada del Estudio Alessandri, Macarena Gatica, asume el desafío profesional como socia. La invitaron y “¡cómo no iba a aceptar!”, dice. “Es un tremendo estudio, con una cultura detrás, una tradición. No puede haber mejor reconocimiento que esto”, enfatiza.
En cuanto a sus objetivos, la abogada de la Universidad Gabriela Mistral plantea que, por experiencia propia, sabe que “es importante la inclusión; no sólo en materia de género, porque no llego donde estoy por ser mujer, sino por mis capacidades”, aclara. Pero, está convencida de que el suyo “es un buen ejemplo para las mujeres de que las cosas sí se pueden hacer, de que cuando nos sacamos la mugre igual que los hombres tenemos reconocimiento”.
Gatica ha sido destacada por varias mediciones internacionales, como Best Lawyer 2021, Privacy and Security Law y Legal 500, entre otros, en sus áreas de práctica: protección de datos, ciberseguridad, contratación de tecnologías, comercio electrónico, derecho internacional y propiedad industrial, tema que aborda en esta entrevista.
- ¿Qué tan necesaria es una ley sobre protección de datos?
- Hay consenso entre abogados y empresas en que efectivamente se necesita una ley de protección de datos que modifique el estándar actual. Si queremos competir con otros países, abrir nuestras fronteras para no solamente exportar cobre, sino también servicios; para tener, de verdad, una política de inteligencia artificial que funcione; para que haya más ética en el tratamiento de datos, necesitamos la norma.
- ¿Estamos rezagados, qué necesitamos?
- Claro que estamos rezagados. La Ley vigente de Protección a la Vida Privada se presentó en el Congreso el año '93, fue aprobada en el '99 y si bien fue precursora en Latinoamérica, rápidamente quedó obsoleta. Hoy día, sobre todo con la pandemia, el comercio electrónico sabe mucho más del consumidor, sabe el nombre, sus hábitos, qué días y qué compra, con qué paga; a través de qué medio se conecta. O sea, sabe una infinidad de cosas y a raíz de eso, además, puede predecir nuestro comportamiento.
- ¿Qué tan malo es eso?
- No es malo siempre que se cumpla con las buenas prácticas, porque como no tenemos una norma que establezca el estándar, tenemos que seguir buenas prácticas, como por ejemplo lo que hace el reglamento europeo, que en el tratamiento de datos se centra en la persona.
- ¿Cómo así?
- Se debiesen tratar los datos de una persona cuando se cuenta con su consentimiento, si es necesario para ejecutar un contrato o cuando la ley lo autoriza. Hay otra fuente también que lo permite, que es el interés legítimo, que lo incorpora el proyecto de ley.
- ¿A qué se refiere con interés legítimo?
- Por ejemplo, que hoy día el Estado, las autoridades, pudiesen tratar datos sin consentimiento para efecto de la pandemia, porque se está velando por un bien superior, que es la vida y la integridad de las personas.
- ¿Cuáles son los principales vacíos que tiene la actual legislación y qué cubre el proyecto?
- El consentimiento pasa a ser una excepción al tratamiento de datos en la ley vigente; no tiene un catálogo de infracciones, no hay un órgano de control, los reclamos se hacen ante los tribunales de justicia; y con el proyecto se crea la Agencia de Protección de Datos.
- ¿Qué función cumpliría esta agencia?
- Como la de un Sernac, se va a poder acceder a una plataforma online para formular los reclamos. Las multas que tenemos en la ley vigente son de 50 UTM, eso es nada. Con el proyecto llegarían a 10.000 UTM.
- Tremenda diferencia...
- Lamentablemente, tenemos que ponernos duros, en cuanto a las multas, para que efectivamente exista una ejecución de la norma. Porque tenemos una norma sin dientes, difícil de ejecutar y obsoleta, porque no responde a la realidad actual de la tecnología. Los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) también se robustecen en el proyecto, es bastante proteccionista, porque empodera al titular del dato; se le dan herramientas para que se defienda si no quiere que traten sus datos.
- ¿Cuáles serían las atribuciones de la agencia y qué tan fuertes son? Se lo pregunto porque se teme que pase lo mismo que con el Sernac, que no tiene todas las atribuciones que debería para la defensa del consumidor...
- Tiene la atribución de investigar, tanto de oficio como a petición de parte, y también interponer las multas. O sea que va a tener facultades jurisdiccionales, que es lo que falta al Sernac. Y es un tema que la Agencia de Protección de Datos, como está redactado el proyecto hoy día, a nivel constitucional la garantía de la protección de datos podría ser objeto de un reclamo ante el Tribunal Constitucional.
- ¿Por qué?
- Porque la norma podría ser inconstitucional, dado que la agencia tendría funciones jurisdiccionales que sólo se le atribuyen a los tribunales de justicia, en la Constitución. Por otro lado, nuestro vecino Argentina tiene agencia, Perú, Colombia, Uruguay también la tienen.
- ¿Cómo se subsana ese problema que se generaría?
- Se le da independencia. Pero también es importante que las personas que integren este órgano de control tengan tanto el conocimiento técnico como jurídico, porque esto va a estar muy relacionado con la ciberseguridad, porque hoy día guardamos nuestros datos en el ciberespacio. El proyecto hace mención a medidas técnicas y organizativas adecuadas, en referencia a cuáles son las medidas adecuadas para resguardar esos datos.
- ¿Cuáles son esas medidas?
- Son aquellas que dicen relación con el acto de la técnica, es decir, el avance de las tecnologías, hay que estar actualizando los sistemas constantemente de manera de estar lo más al día posible para tratar de prevenir. Entonces, cuando se habla de que sea el Consejo para la Transparencia el que va a prestar las funciones de control y de protección de datos, como dice la indicación sustitutiva del gobierno, se cuestiona mucho. En algunos países se ha dado que cumplen estas dos funciones; sin embargo, en todos ellos primero se les dio protección de datos y luego asumieron transparencia.
- Al revés de nosotros.
- Claro, porque si uno lo piensa son fuerzas antagónicas: la protección de datos tiende a guardar a tener la confidencialidad de los datos y el Consejo para la Transparencia tiende a revelar. Si bien el CPLT ha hecho un muy buen trabajo y también vela por la protección de los datos en la administración pública pasa que ya viene con una visión de transparentar; es un perfil distinto, que se puede complementar sí. Creemos (...) que el volumen de trabajo que presenta la protección de datos, sobre todo cuando se implementa en un país por primera vez, en serio, genera un volumen de trabajo enorme y el CPLT tiene una labor que es fundamental y que ha hecho un muy buen trabajo, en cuanto a todo lo que es la probidad en la administración pública. Entonces, tampoco consideramos que pueda limitarse o dejarse en segundo plano por el volumen de trabajo.
- No hay acuerdo respecto de que sea el CPLT el que se haga cargo de resguardar los datos, ¿a qué cree que se deba?
- En los principios OCDE, cuando uno lee las recomendaciones que hace en estas materias, también vienen relacionadas con un órgano independiente, particularmente en la doctrina muchos abogados que discuten esta materia entienden que la propuesta del gobierno va a más por un lado presupuestario que por el lado de conocimientos y competencias. Y, ojo, que esta recomendación es prepandemia, puede que hoy día tenga más sentido por el lado presupuestario. Pero, quizás, no hay que mirarlo tan a corto plazo, sino más a largo plazo, pensando en que el tema de los datos es básico por todo lo que hablamos.
- ¿Cómo afecta a las empresas en sus negocios en el exterior que aún no haya norma, aunque ahora se le puso suma urgencia?
- Se podría decir que la falta de la Ley de Protección de Datos permite que se sigan tratando datos indiscriminadamente en Chile, que las empresas puedan llegar mejor a un consumidor y no sólo eso, sino que tengan modelos de predicción que determinen comportamientos, etc., sí; por otro lado, implementar la Ley de Protección de Datos puede significar un costo para la empresa, por lo que sería algo malo; pero hay que mirar las alternativas que Chile representa fuera. Chile debe aparecer más atrayente, necesitamos dar algo para que la inversión extranjera vuelva a Chile, la necesitamos más que nunca, porque el trabajo de fuente nacional no va a bastar para incentivar la economía. En ese sentido, necesitamos tener seguridad jurídica y en tema de datos ser competitivos. Entonces, a alguien que tenga un software como servicio, que implique el tratamiento de datos, le conviene más que tengamos un estándar casi universal para distribuirlo a distintos países.
- En ese sentido, ¿estamos en desventaja respecto de la región, por ejemplo, y de ser así perjudica a las empresas y a la atracción de la inversión?
-Totalmente. Y las grandes empresas ya se están preocupando de esto hace tiempo. Las que son multinacionales, obviamente, porque tienen que tener un estándar común. El compliance con distintos modelos a nivel multipaíses es muy difícil es poco eficiente; por lo tanto, tiene que optar por un estándar más alto, como muchas lo están haciendo.
- ¿Y cuáles son las medidas que han tomado para alcanzar un nivel internacional y poder competir en el exterior?
- Donde se comenzó primero fue en el sector financiero, porque tienen normas que ya lo están regulando en materias de seguridad de la información, en diciembre empezó a regir una norma que habla de los sistemas dela seguridad de la información de los bancos e instituciones financieras; ya les estaban estableciendo otras cosas que les adelantó la preocupación, como la prohibición de tener datos personales en la nube, los que están sujetos a secreto bancario. Después, cuando el proyecto de ley más la garantía constitucional en el 2018, eso hizo que se sumaran empresas de distintos rubros. En Alessandri tenemos clientes desde retail, bancos, seguros, educación, automotriz, de seguridad, agropecuarias, alimentarias, hoy día es un abanico mucho más grande de lo que partimos.
Generalmente la preocupación viene del área legal, pero nos ha pasado también que es de marketing o bien de gobierno de datos, el que hace la analítica del dato, como alertando que les van a cambiar las reglas del juego y puede que lo que estén haciendo hoy día con los datos, no lo puedan hacer a futuro. Al final, es un proceso de compliance, de lograr que la compañía alcance un estándar, tratar de garantizar el cumplimiento y prevenir el cumplimiento normativo. Además aquí hay un tema que vemos ahora comúnmente, que es el daño reputacional. Que afecta la marca y ese daño, al final, es el más difícil de reconstruir
- ¿Qué habría pasado con BancoEstado, a raíz de los hackeos, donde no se sabía qué había pasado con los datos, si hubiera estado en vigencia la nueva normativa?
- Mira, el hecho de que el proyecto de ley se haya atrasado –esto lo voy a unir con tu pregunta- ha generado que sectorialmente se comience a normar partes de esta materia y han empezado a aparecer incluso artículos chiquitos en una ley, como la de la portabilidad financiera, y hoy día existe un proyecto de ley que modifica la Ley de Protección al Consumidor, que dice que en caso de vulneraciones, tengo que avisar al Sernac. Entonces, ahora respondo tu pregunta, si hubiéramos tenido la ley de datos vigente, las normas vigentes de la CMF y ocurre lo del BancoEstado o lo del BancoChile, del 2018...De partida tenemos un tema súper complicado de la multiplicidad de autoridades que entrarían frente a un mismo hecho. Obviamente que el banco, en cuanto a riesgo, debería reportar inmediatamente a la CMF, pero sin duda que la agencia se constituiría y le pediría explicaciones; y, eventualmente, si hay datos personales involucrados se podría hacer una investigación y estar afectos a multas. Aquí también implicaría las obligaciones del responsable, es decir, de BancoEstado de acreditar qué es lo que ha hecho para prevenir, cómo trata los datos. Implica una revisión a fondo de cómo se tratan los datos y esto implica desde todo, de dónde se guardan los datos, qué datos tiene, qué reglas aplican.
El proyecto de ley es súper sabio, porque permite que la ley se vaya adecuando a partir de los principios, que plantea al inicio, y su interpretación, a través del órgano de control que también podrá dictar normas de carácter administrativo y resoluciones, circulares con recomendaciones y también está el principio de la autorregulación, lo que implica un modelo de cumplimiento.
- Se viene mucho trabajo entonces para el departamento de compliance de las empresas, porque cuando se dicte la normativa van a tener que hacer hartas adecuaciones.
- Sí, puede ser el departamento de compliance, porque el proyecto habla de un encargado de protección de datos y ese puede ser el oficial de cumplimiento, puede ser el abogado, lo importante es que esta persona tenga la suficiente independencia, que no tenga un conflicto de interés dentro de la empresa. Entonces, quizás, lo más fácil en un principio sería montarse sobre el plan de cumplimiento que la empresa ya tenga, porque la estructura es la misma. Pero también van a necesitar el apoyo de una persona que tenga un conocimiento más específico sobre la materia, en cuanto cómo se interpretan los principios, cómo se implementan.
- ¿Cuál es el rol de los directorios?
- El gobierno corporativo no tiene por qué saber de todas las materias, pero si no está bien asesorado es difícil que pueda establecer las estructuras necesarias para tener un estándar de protección de datos y de ciberseguridad.
- ¿Esta norma va a tener que ir actualizándose permanentemente?
- La norma, sin duda, que va a necesitar ajustes, sobre todo porque no hemos tenido cultura de protección de datos. Yo creo que es un buen proyecto. Necesita arreglar algunas cosas que ya hemos conversado con senadores y otros abogados. Los principios nos permiten ir adecuándonos y la autorregulación también. Pero esto no sólo rige para el sector privado, sino también para el sector público, por lo que se debería avanzar en la agenda de gobierno digital como un todo, con la interoperatividad que se necesita en el sector público es básico que el gobierno también haga internamente su revisión.
- En los próximos días asume un nuevo rol, ¿cuáles son sus objetivos en este nuevo desafío?
- Me invitaron a ser socia y cómo iba a decir que no, es un reconocimiento y es un reconocimiento a que lo hemos hecho bien y digo todos, porque es el equipo, si bien yo lidero el área. Han tenido la confianza en mí de darme libertad y creo que es una oportunidad, hoy el tema digital está presente en todo, cualquier empresa hoy día tiene una transformación digital en mayor o menor grado eso implica que necesita un partner legal que le pueda dar su mirada no solamente desde la propiedad intelectual. Nos caracterizamos mucho por tener una orientación business oriented, que de alguna manera nos metemos mucho en el negocio, de manera de ser un abogado que no dice que no sino que ayuda al empresario a adoptar la decisión con conocimiento de riesgo. Eso nos caracteriza. Con el equipo de Alessandri acompañamos muy bien en el día a día a nuestros clientes.
Yo creo que el tema de la inclusión también es fundamental, por experiencia es importante la inclusión no solamente por el tema de género, creo que tampoco llego donde estoy por ser mujer, sino por mis capacidades, pero creo que es muy bueno. Y también es un buen ejemplo para las mujeres de que las cosas sí se pueden hacer; de que cuando nos sacamos la mugre igual que los hombres tenemos reconocimiento. Por otro lado, en Alessandri trabajamos pro bono con distintas fundaciones y este año fui nominada por Chambers por Diversity Inclusion, entonces creo que es importante, no solamente se trata de hacer el trabajo, sino de poner un granito en la sociedad, si no venimos solamente a trabajar para vivir bien. Me siento súper apoyada por todos los socios. Es un tremendo estudio con una cultura detrás, una tradición. No puede haber mejor reconocimiento que esto.
VER MÁS
MARKET DATA
<%userdata?.email%>
Editar perfil
Salir
(Twitter)
Instagram
Facebook
LinkedIn
YouTube
TikTok
Alto contraste
abogados
