El lunes 26 de agosto se aprobó en el Congreso la Ley de Protección de Datos Personales, que regula la protección y el tratamiento de este tipo de información y crea la Agencia de Protección de Datos Personales. Esta nueva regulación plantea un especial desafío para la industria de investigación de mercado y opinión pública.
En este contexto, el pasado 17 de octubre, los socios de AIM pudieron asistir a una charla impartida por Macarena Gatica, abogada, socia y líder del área de Tecnología, Medios, Telecomunicaciones y Protección de Datos de Alessandri Abogados, donde se discutieron las implicancias de esta ley.
Una nueva definición del concepto datos personales
Otro de los cambios fundamentales que traerá la nueva legislación está en cómo se entienden los datos personales. Actualmente, estos se entienden como cualquier información de una persona que sea identificada o identificable, es decir, cuya identidad pueda determinarse directa o indirectamente mediante uno o más identificadores.
Sobre esto último, la nueva ley agrega que, para determinar si una persona es identificable, se deberán tener en cuenta todos los medios y factores que –razonablemente– se podrían usar para hacer esa identificación. Es decir, las empresas deberán revisar qué información gestionan y si es posible identificar a alguien mediante la combinación de distintos datos. En efecto, datos que antes no eran considerados personales podrían ahora estar sujetos a las nuevas normativas: por ejemplo, los datos compartidos por el Diario Oficial.
Cambios en el consentimiento: más control para los usuarios
El consentimiento es la piedra angular de la Ley de Protección de Datos Personales y busca resolver el uso indebido de la información personal por parte de las empresas. Un ejemplo típico es el de las tiendas retail, donde se solicita al comprador aceptar términos y condiciones que incluyen la política de privacidad. Con ello, la empresa puede usar los datos personales para múltiples fines no relacionados con la compra.
La nueva ley modifica este esquema al añadir nuevas características al consentimiento. Aunque actualmente debe ser informado, específico, por escrito y revocable, la nueva normativa exige que sea libre, previo al tratamiento de los datos, inequívoco y también podrá ser declarado de forma verbal.
Sobre la libertad en la entrega del consentimiento, se aclara que el consentimiento no será considerado libre cuando sea requerido en situaciones donde no es estrictamente necesario, como en el ejemplo del retail. “Este es un cambio tremendamente importante. Las empresas tendrán que ofrecer distintas opciones y preferencias a la persona para que pueda disponer libremente de sus datos”, señaló Macarena Gatica.
Nuevas bases de licitud para el tratamiento de datos
La actual ley vigente establece como fuentes de licitud para el tratamiento de datos las contenidas en la propia ley y a través del consentimiento del titular de los datos. Pero la nueva regulación incorpora nuevas bases como datos relativos a obligaciones económicas o comerciales; por el cumplimiento de una obligación legal; ejecución de un contrato; por un interés legítimo del responsable o de un tercero; y por formulación, ejercicio o defensa de un derecho en tribunales.
Durante la charla, Macarena Gatica destacó que este cambio ofrece a las empresas más herramientas para tratar datos sin depender exclusivamente del consentimiento. “Hoy sólo tenemos la ley y el consentimiento, y alguien podrá decir que estamos en una situación peor con la nueva ley, pero es todo lo contrario: tenemos más herramientas que nos permiten tratar los datos”, expresó.
Restricciones al uso de fuentes de acceso público
La ley vigente no exige restricciones para utilizar datos de fuentes de acceso público. Sin embargo, la Ley de Protección de Datos Personales introduce una importante limitación: los datos de fuentes de acceso público sólo podrán ser usados si se cuenta con una base de licitud, como el consentimiento. Además, estos datos están sujetos al principio de finalidad, es decir, se podrán utilizar sólo en el contexto para el que fueron creados.
Nuevos derechos para los titulares de datos
Entre las novedades más destacadas está el derecho a la portabilidad de los datos, que permitirá a los usuarios transferir su información personal entre distintas empresas. Además, la nueva ley introduce el derecho a oponerse a decisiones automatizadas, por ejemplo, cuando se cuentan con varios datos de una persona y se predice públicamente su situación económica, donde esta predicción se convierte en un dato personal.
Gestión de riesgos y prevención
Finalmente, la nueva normativa pone especial énfasis en la gestión de riesgos por parte de las empresas. Estas deberán implementar modelos de prevención para evitar infracciones en el manejo de datos, además de evaluar a sus proveedores y establecer registros de tratamiento de datos que detallen qué información se captura, para qué fines y por cuánto tiempo.
“Las empresas que cuenten con un modelo de prevención estarán mejor preparadas ante posibles denuncias”, explicó Macarena Gatica. “Ya hay empresas que están cambiando su estándar. Es momento de pensar qué hacemos primero: esperamos que nos pidan que cambiemos o nos adelantamos y marcamos la diferencia con la competencia”, concluyó la abogada.