En conversación con Actualidad Jurídica: El Blog de DOE, el abogado y profesor investigador de la Facultad de Derecho y Humanidades de la Universidad Central, Pablo Contreras, se refirió al proyecto de ley de datos personales que se encuentra en su fase final de tramitación en la Comisión Mixta del Congreso.
Respecto a la iniciativa, el experto aseguró que tiene un alto estándar, debido a la similitud de sus normas con las del Reglamento General de Protección de Datos de la Unión Europea. En ese sentido, afirma que, de implementarse esta ley, Chile se posicionaría como un país adecuado internacionalmente.
Por otro lado, Contreras sostiene que, más que seguir perfeccionando normas del proyecto, lo que el país necesita en este momento es aprobar e implementar la ley lo antes posible.
¿Cuál es tu apreciación general sobre el proyecto de ley de datos personales? ¿Hay desafíos que tengamos pendientes aún?
En general, el proyecto de ley es bastante bueno. Tiene un estándar alto de protección, ya que las reglas que contiene son similares a las que establece el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por su versión en inglés). Por lo tanto, debería ser viable que nos declaren un país adecuado si aprobamos e implementamos correctamente este proyecto de ley.
El balance, en términos generales, es satisfactorio. Fue un proyecto que fue -de menos a más- resolviendo los problemas y las disputas que existieron con respecto a su contenido.
Sobre los desafíos, el proyecto de ley de protección de datos personales va a tener, primero, un desafío de instalación en su plazo de vigencia y en la creación de la Agencia Nacional de Protección de Datos Personales. Son dos desafíos pendientes en el sentido de que, no basta la mera aprobación de la ley, sino que después viene la implementación.
Y, además, la implementación va a ser en un contexto en que se debe insertar con distintas regulaciones nuevas y con nuevas agencias también, como lo es la Agencia Nacional de Ciberseguridad que, por ley, debe ser creada en el corto plazo.
Por lo tanto, los desafíos de coordinación regulatoria van a ser críticos en la forma en que estos mandatos se realicen.
¿Existen disposiciones específicas en el proyecto de ley para proteger datos sensibles, como información médica o datos biométricos?
Respecto a las categorías de datos personales, efectivamente el proyecto de ley establece datos sensibles. Hay una definición que incorpora distintos elementos y, en general, hay un mayor desarrollo de la regulación especial de ciertas categorías de datos.
Por ejemplo, los datos relativos a salud, a niños, niñas y adolescentes, los datos biométricos, los de geolocalización, los datos con fines históricos, estadísticos, científicos, etc. Quizás uno de los más importantes va a ser los de infracciones penales civiles administrativas y disciplinarias.
Estas distintas categorías de datos establecen reglas específicas respecto a cuáles son las fuentes o bases de licitud a partir de las cuales tratar estos datos.
Algunos de los datos más restrictivos son, por ejemplo, los datos de niños, niñas y adolescentes y los relativos a infracciones penales. En el caso de los datos de infracciones penales solo pueden ser tratados por los organismos públicos para el cumplimiento de sus funciones.
Por lo tanto, va a ser algo sumamente restrictivo y las organizaciones tendrán que revisar si tienen datos personales de carácter de infracciones penales porque, si no cuentan con la autorización legal y no son un organismo público, difícilmente podrán tratar ese dato.
¿Cuál es tu opinión respecto a las multas y sanciones que vendría a modificar esta iniciativa?
Con respecto al régimen de sanciones, bueno, comparado con la situación actual, la ley 19.628 -básicamente- no tiene un régimen de sanciones efectivo. Entonces, lo que hace el proyecto de ley es dar un salto drástico en esta materia. Primero, porque establece un régimen completo de infracciones leves, graves y gravísimas y también reglas de atenuantes y agravantes. Además, establece medidas como la suspensión de tratamientos de datos. Entonces, hay toda una reconfiguración del régimen de infracciones, que es clave en esta materia.
Y, en segundo lugar, hace una agravación de multas que permite ir desde la amonestación, hasta las 20.000 UTM en situaciones gravísimas. Este régimen no es equivalente al régimen del Reglamento General de Protección de Datos, ya que hay una regla que se discutió durante la tramitación de establecer alguna forma de sanción que corresponda a un porcentaje de la facturación anual de las empresas. Eso, hasta el momento, no se mantiene.
Después de esto, vamos a tener que ver cómo entender la coherencia de este tipo de infracciones y sanciones cuando comparemos con, por ejemplo, la ley Marco de Ciberseguridad. Dicha ley establece en sus hipótesis gravísimas multas hasta las 40.000 UTM.
Por lo tanto, puede ser que aquí exista una disparidad en el régimen de sanciones comparado con dicha ley, pese a que hay varios aspectos en donde se intersectan respecto a la protección de los bienes jurídicos en juego. Básicamente, ciertos activos de la información que son particularmente relevantes y sensibles.
¿Cómo se prevé la colaboración entre el sector público y el privado para garantizar el cumplimiento de la ley y la protección de los datos personales?
Una de las novedades del proyecto es la habilitación para adoptar un modelo de prevención de infracciones, un modelo compliance. Creo que este es uno de los puntos relevantes desde el punto de vista de la colaboración público-privada.
El modelo de compliance tiene un contenido mínimo fijado en el texto del proyecto y que establece cuestiones que se observan en el derecho comparado como una serie de reglas relativas, sobre todo a tener un delegado de protección de datos al interior de la institución u organización.
Este delegado además puede ser externalizado, por lo tanto, esto hace mucho sentido en el caso de pequeñas y medianas empresas, incluso en donde tener una persona contratada para aquello puede ser muy costoso.
Además, los modelos de prevención tienen que ser certificados y ahí será la agencia la que fije los estándares para la certificación. ¿Cuál es el incentivo para tener este tipo de modelos? El incentivo está dado por una atenuante. Si uno acredita que tiene un modelo de prevención de infracciones certificado ante la agencia, entonces automáticamente se le aplica una de las atenuantes frente a una eventual infracción.
Me parece que ahí hay un espacio de colaboración entre consultoras, estudios de abogados y la academia, para generar estándares y criterios relativos a el compliance en protección de datos personales y también la agencia fijando los criterios para determinar la certificación del modelo de prevención.
¿Se prevén revisiones periódicas del proyecto de ley para asegurar que siga siendo efectivo y relevante en un entorno tecnológico en constante evolución?
El problema de la obsolescencia regulatoria en temas de tecnología está siempre presente. Esta legislación, este proyecto de ley, se une a la tendencia de combinar reglas específicas con estándares que son interpretables, adaptables, ajustables, conforme a medida que va evolucionando la tecnología.
Por eso, por ejemplo, la ley establece una serie de principios que son relevantes en la aplicación de las reglas de protección de datos. El principio de finalidad, el principio de licitud, el principio de proporcionalidad, son algunos de ellos.
Y el segundo elemento que lo hace adaptable al cambio, es que va a haber una agencia administrativa especializada que puede estar estudiando los cambios tecnológicos y ver los desafíos que surgen para la protección de datos con esos cambios.
Si uno observa la realidad europea, en lo que hoy están trabajando las agencias de protección de datos de la Unión Europea es en cómo se protegen los datos personales frente a la irrupción de, por ejemplo, la inteligencia artificial.
Por lo tanto, ahí se puede observar que, pese a que cuando se crearon esas agencias y cuando se dictaron esas leyes, la inteligencia artificial no era una de las principales tecnologías que preocupaba en la protección de datos, hoy día tenemos autoridades de control que son capaces de tomar la legislación vigente, tomar los principios e interpretarlos para aplicarlos a esa realidad.
¿Consideras que hay algún punto del proyecto que deba ser mejorado o revisado nuevamente?
Todo proyecto de ley es perfectible, como dicen, pero en este caso yo creo que los diversos operadores jurídicos, más que seguir discutiendo el proyecto y tratar de mejorar o cambiar algo, hemos llegado a un punto en donde lo que es necesario es que el proyecto de ley se apruebe, se despache del Congreso, se publique como ley de la República y empiece a regir. Además, que exista una autoridad de control que empiece a aplicarlo.
Eso es lo que necesitamos, más que seguir discutiendo cuáles pueden ser las normas que todavía debiésemos empezar a mejorar. A estas alturas no tener ley es peor que seguir perfeccionando normas del proyecto.