Consideraciones prácticas sobre la Ley de Protección de Datos

JUAN JOSÉ PRIETO Y RAIMUNDO HURTADO

La reciente aprobación por parte del Congreso Nacional de la nueva Ley de Protección de Datos Personales, actualmente bajo revisión del Tribunal Constitucional, introduce modificaciones sustanciales a la regulación vigente, incluyendo la creación de una nueva Agencia de Protección de Datos con bastas facultades sancionatorias.

Este cambio normativo representa un desafío significativo para toda empresa que trate datos personales, ya sea en mayor o menor medida. Así, las organizaciones deberán adoptar acciones adecuadas para cumplir con una serie de nuevas obligaciones en una materia que, hasta ahora, ha sido regulada de manera sumamente laxa y derechamente ignorada.

“Estos mecanismos deberán permitir a las empresas responder a las tres preguntas fundamentales: ¿Qué datos manejo? ¿Para qué los utilizo? ¿Estoy autorizado para tratarlos?”.

Ante este panorama, surge la interrogante de cuáles son las medidas concretas que los responsables del tratamiento de datos personales deben implementar para cumplir con la nueva legislación una vez que entre en vigor.

Un aspecto crítico en este sentido es la cultura al interior de las empresas respecto del tratamiento y gobernanza de los datos. El principal desafío para los responsables del tratamiento de los datos personales será identificar qué datos poseen, el motivo por el cual se está tratando dicha información y la base de legitimidad que autoriza a realizar dichas operaciones de tratamiento.

Lo anterior supone que los responsables deberán implementar mecanismos de control eficaces al interior de sus organizaciones, que les permitan responder adecuadamente ante la Agencia de Protección de Datos en caso de cualquier cuestionamiento al tratamiento realizado.

En la práctica, esto se traduce en la necesidad de implementar políticas, protocolos y modelos de cumplimiento robustos. Estos mecanismos deberán permitir a las empresas responder a las tres preguntas fundamentales: ¿Qué datos manejo? ¿Para qué los utilizo? ¿Estoy autorizado para tratarlos?

Otro punto relevante bajo la nueva regulación se refiere al deber de protección “desde el diseño y por defecto”. Dicha obligación implica que, previo a que un responsable trate datos personales, se deben considerar las medidas necesarias para proteger la confidencialidad y seguridad de los datos, así como aquellas que permitan garantizar que solo se recolecten aquellos datos personales estrictamente necesarios para los fines del tratamiento.

Si bien la nueva ley entrará en vigencia en un plazo de dos años contados desde su publicación, es crucial recordar que la experiencia internacional, particularmente en Europa (cuya legislación sirvió de base e inspiración para la nueva ley) y en otros países de la región como Brasil, ha demostrado que adaptarse a este tipo de cambios no es un proceso fácil ni rápido, de modo que las empresas deben aprovechar el tiempo de vacancia otorgado por el legislador y prepararse para enfrentar la nueva regulación proactiva y anticipadamente.