Tras casi dos años de la entrada en vigencia del Reglamento General de Protección de Datos de la Unión Europea −GDPR, por sus siglas en inglés−, su influencia en el resto del mundo ha sido indiscutible: mientras en California comenzó a regir la Ley de Privacidad del Consumidor, en Chile se tramita en Senado la nueva Ley de protección de datos personales. Un hito que obliga a la industria local a prepararse para las nuevas regulaciones.
Desde que se aprobó el 25 de mayo de 2016 hasta que entró en vigencia, pasaron justo dos años: durante ese tiempo todas las empresas, organizaciones e instituciones de la Unión Europea tuvieron que adaptarse para dar cumplimiento a una regulación que no solo influiría en la UE, sino que movería a toda la industria internacional. Se trata del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), que se transformó en una famosa normativa sobre el tratamiento de datos personales, cuyo incumplimiento pueden dar pie a multas de hasta 20 millones de euros. Una normativa que afecta a cualquier entidad o persona que trate datos personales de residentes de la UE.
“El mundo se ha ido movimiento hacia el estándar que nos impuso el GDPR; básicamente, porque este es un reglamento que tiene una vocación transnacional”, dice el abogado Raúl Arrieta, socio de la oficina Gutiérrez y Arrieta Abogados, especializada en derecho y tecnología, para explicar que este reglamento es aplicable a cualquier responsable en el tratamiento de datos, con independencia de que se encuentre localizado o no dentro de la Unión Europea, en la medida que trate datos personales de residentes de la UE.
Desde ahí, varias legislaciones en el resto del mundo comenzaron a ponerse a tono con tal reglamentación. En enero pasado, de hecho, comenzó a regir en California la Ley de Privacidad del Consumidor de California (CCPA), y otros estados como Mississippi, Hawaii, Maryland o Massachusetts también han considerado modificar sus legislaciones. En Latinoamérica, Argentina y Uruguay tienen leyes acordes al GDPR, mientras que en Chile desde 2018 se discuten modificaciones legislativas importantes en torno al tema.
La nueva ley de datos personales en Chile, que debería entrar en vigencia a fines de este año o inicios del próximo, se basa en el famoso reglamento europeo GDPR: incorpora una agencia administradora, eleva notablemente las sanciones, e incorpora principios legislativos orientados a la privacidad y seguridad.
Chile tuvo la primera Ley de protección de datos personales de Latinoamérica, que fue hecha en 1999. “Su principal problema es que fue concebida como un instrumento que permitiera desarrollar la mayor cantidad posible de negocios, dándole seguridad o certezas al mercado económico y financiero. Una premisa que, si bien es relevante, comete el error de olvidarse que con el tratamiento de los datos personales se puede afectar los derechos fundamentales de las personas”, señala Arrieta. Y en ese sentido, agrega, la legislación vigente es débil no porque no reconozca los principios del tratamiento de datos ni los derechos que tienen las personas como titulares de los datos personales, sino porque lo hace de manera imperfecta, “dejando abiertas las puertas para que se haya abusado de los datos personales al no existir un sistema que permita supervisar y sancionar los tratamientos inadecuados”.
La futura ley
En términos específicos, explica Pablo Viollier, abogado especializado en derecho y tecnología, y analista de políticas públicas en la ONG Derechos Digitales, la actual legislación no cuenta con una agencia administrativa ni fiscalizadora de protección de datos personales, por lo que las personas tienen que recurrir a tribunales, lo que es una barrera de entrada excesivamente amplia. Además, las multas son de bajo monto y poco disuasivas.
El nuevo proyecto reforma prácticamente por completo la ley vigente. Por una parte, crea una agencia administradora y fiscalizadora; eleva notablemente las sanciones −multas pueden llegar hasta los 500 millones de pesos y, en caso de reincidencia, hasta los 1.500 millones−; e incorpora una serie de principios legislativos en torno al tratamiento de datos. Por ejemplo, el principio de finalidad −informar el uso que se le dará a un dato−, principio de minimización de datos −recolectar la menor cantidad de datos posibles−, principio de privacidad por defecto −configurar por defecto la privacidad de los titulares, en los diversos sistemas de recolección de datos−, y principio de seguridad −establecimiento de responsabilidades para administradores de bases de datos, según naturaleza de datos que almacenan−.
De este modo, con la nueva ley, que debería entrar en vigencia a fines de 2020, o incluso a inicios de 2021, se va a elevar notablemente el estándar de protección de datos personales. “Esto le va a poner una especie de coto al tratamiento de datos indiscriminado que se produce en la industria chilena. Por ejemplo, en las ventas de bases de datos por debajo de la mesa, la utilización del rut en el perfilamiento, y todos aquellos casos en que se recolecta información para una finalidad y luego se utiliza para una otra distinta”, comenta Pablo Viollier.
Para el abogado de la ONG Derechos Digitales, Pablo Viollier, lo que se viene es un cambio de paradigma, pues la próxima regulación consagra como base fundamental la autodeterminación informativa.
Los desafíos para la industria
Cuando la nueva ley entre en vigencia, las distintas empresas que trabajan con tratamiento de datos deberán tener una política expresa y precisa sobre el uso que se les da a estos, su finalidad, el tipo de datos tratados, etc. “De lo contrario, la falta de una política implicará una infracción al principio de transparencia y va a ser sancionado”, comenta el abogado Raúl Arrieta. Pero, a juicio del experto, lo que puede ser más duro para las empresas es que tendrán que demostrar la fuente de legitimidad con la que realizan las operaciones de tratamiento de datos. “Una empresa que trata los datos personales con fines de marketing, basado en el consentimiento del titular, no solo va a tener que decir que cuenta con el consentimiento del titular para tratar sus datos, sino también demostrar que ese consentimiento se haya otorgado en los términos que establece la ley, así como precisar el tiempo por el cual los datos va a ser tratados, si estos serán comunicados a terceras personas, etc.”, ejemplifica el abogado. Y continúa: “La nueva ley traerá el reconocimiento de la libre circulación de la información y potenciará la industria de los servicios globales y, así, tendremos a Chile de una buena vez como un hub de servicios digitales para los diferentes países del mundo”.
Por otra parte, añade Viollier que el gran desafío de la industria es adecuarse a este cambio de cultural. “Esto va a significar un cambio de paradigma. La ley que rige actualmente no tiene como principal objetivo proteger la autodeterminación informativa, que es un derecho fundamental, sino regular el negocio de tratamiento de datos personales. Pero la nueva ley que hoy se tramita, tiene otra orientación que sí está alineada con la reglamentación europea: consagrar como base o derecho fundamental la autodeterminación informativa”, concluye. En este sentido, estará a la altura de la regulación europea.
Cuando la nueva ley entre en vigencia, las empresas que trabajan con tratamiento de datos deberán tener una política expresa y transparente. “Tendrán que precisar la finalidad de los datos, el tiempo por el cual van a ser tratados, o si estos serán comunicados a terceras personas, etc.”, comenta el abogado especialista Raúl Arrieta.