Protección de datos personales y dualidad de modelos de prevención: ¿espacio de mejora?
Diego Schaerer Asociado senior de Libre Competencia y Compliance, Morales & Besa. Juan José Prieto asociado senior de Propiedad Intelectual y Protección de Datos, Morales y Besa
- T+
- T-
Diego Schaerer y Juan José Prieto
El proyecto de ley que regula la protección y el tratamiento de los datos personales (boletín N° 11144-07/11092-07) que se encuentra en tramitación en comisión mixta del Senado incorpora numerosas innovaciones al régimen de datos en nuestro país. Entre ellas, surgen los Modelos de Prevención de Infracciones (MPI) como un mecanismo de autorregulación voluntario para permitir a los responsables de datos cumplir con esta normativa y prevenir la comisión de infracciones. Este proyecto refuerza la relevancia actual que han adquirido los programas de cumplimiento, especialmente con la nueva Ley de Delitos Económicos (Ley N° 21.595) y sus consecuencias en el diseño de los Modelos de Prevención de Delitos (MPD).
“Los delitos contemplados por la Ley N° 20.393 son, en muchos casos, ilícitos más reprochables y de consecuencias más gravosas que las infracciones relacionadas con los datos personales”.
Sin embargo, se evidencia una diferencia fundamental entre los modelos contemplados bajo estas dos normas legales, en cuanto a personas jurídicas: bajo la Ley N° 20.393, modificada por la nueva Ley Delitos Económicos, el MPD que cumpla con los requisitos legales y sea efectivamente implementado tiene la aptitud de eximir a la empresa de responsabilidad penal. En cambio, el proyecto de ley en comento plantea que el MPI no tendrá tal alcance, sino que -en el evento de ser certificado por la Agencia Nacional de Protección de Datos Personales- será considerado como una circunstancia atenuante al momento de determinar la responsabilidad por el tratamiento de los datos personales.
Resulta cuestionable la diferenciación que ambas normativas hacen en los efectos de sus respectivos modelos, toda vez que los delitos contemplados por la Ley N° 20.393 son, en muchos casos, ilícitos más reprochables y de consecuencias más gravosas que las infracciones relacionadas a los datos personales.
Y, sin perjuicio de ello, un MPD resultará a contar del 1 de septiembre apto para eximir a la empresa de responsabilidad por delitos que cometa bajo la Ley N° 20.393, mientras que ante infracciones a la protección y tratamiento de datos personales bajo la actual iniciativa se limitaría únicamente a atenuar la responsabilidad en presencia de un MPI.
El proyecto parece insinuar que deberán convivir en forma paralela ambos modelos, cada uno en los términos de sus propias leyes. Ello supone que los responsables de implementar estos programas de cumplimiento al interior de la empresa tendrán el desafío adicional de compatibilizar los modelos, lo que podría traer eventuales ineficiencias prácticas a la hora de dar cumplimiento a los deberes de dirección y supervisión respectivos.
En su lugar, teniendo ambos marcos legales una estructura similar en cuanto a los modelos de prevención, es recomendable avanzar a un sistema unificado y coherente que contemple un único programa de cumplimiento en estas materias, con efectos homogéneos y que permitan desarrollar una cultura de cumplimiento uniforme, evitando la proliferación de modelos que vuelvan impracticable su efectiva implementación.