En el marco del seminario “Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas”, el director del Doctorado en Derecho de la Universidad Central de Chile y socio de DataCompliance, Pablo Contreras, abordó los principales desafíos que enfrentará el sector privado con la entrada en vigencia de la nueva normativa.
En entrevista con Actualidad Jurídica: el blog de DOE, el académico analiza las debilidades del modelo anterior, el rol de la nueva agencia fiscalizadora, los desafíos para las pymes y el impacto reputacional que podría generar el incumplimiento.
Usted ha señalado que la ley vigente “nació un poco muerta”. ¿Cuáles fueron las principales debilidades del modelo anterior y por qué era necesario un cambio estructural? Este es un diagnóstico bastante compartido entre la academia, la sociedad civil, el mundo privado y el mundo público. La ley actualmente vigente nació sin una autoridad de control, una agencia de protección de datos personales que pudiera interpretarla, regular administrativamente y, sobre todo, fiscalizar y sancionar los incumplimientos.
La experiencia comparada demuestra que este tipo de leyes, si quedan solamente sometidas a la administración de justicia y a recursos en tribunales, no funcionan. El otro elemento que hacía que no fuese aplicable es que el régimen de infracciones y sanciones es prácticamente inexistente. La nueva ley corrige todo eso y, por eso, viene preparada para promover su cumplimiento y sancionar severamente los incumplimientos.
¿Qué implica, en la práctica, pasar desde un sistema en que las personas debían recurrir a tribunales a uno con una agencia especializada en fiscalización y sanción? Tiene diversas implicancias. La primera consecuencia es que una agencia especializada está al día con el tipo de cuestiones que requiere el análisis del tratamiento de datos personales, sobre todo en las dinámicas tecnológicas que hoy enfrentamos.
La especialización es un gran factor para entender cuáles son los problemas asociados al cumplimiento de las reglas de protección de datos personales. Además, es una agencia que estará a cargo de regular, facilitar y promover guías de cumplimiento, pero también de fiscalizar de oficio o a denuncia de parte interesada y, sobre todo, de sancionar en primera instancia. Al existir conocimiento especializado, puede ejercer esas atribuciones en plenitud.
Por otra parte, que esto esté reservado a una agencia administrativa supone que las personas afectadas en sus derechos puedan dirigirse a esta institución sin tener que iniciar un juicio, contratar un abogado o enfrentar un procedimiento largo, engorroso y muchas veces poco eficaz.
Usted planteó que esta normativa podría transformarse en “el único compliance universal”. ¿Por qué cree que la protección de datos tendrá un impacto tan transversal en las organizaciones? El compliance en protección de datos es un compliance universal porque no hay organización que no tenga que hacer procesamiento de datos personales.
Todas las organizaciones —empresas, fundaciones, organismos del Estado, corporaciones— requieren tratar datos personales. Necesitan usar información de clientes, usuarios, beneficiarios, trabajadores, proveedores o del público en general. Incluso tener una página web supone una forma de tratamiento de datos personales, por ejemplo, mediante cookies. Lo mismo ocurre con un formulario de contacto o cualquier mecanismo de interacción con usuarios.
Por esa razón, este es el único compliance que efectivamente va a abordar a todas las organizaciones. Algunas tratarán más datos y otras menos, pero no hay organización que pueda funcionar sin tratar datos personales.
El nuevo régimen contempla multas que pueden llegar incluso a un porcentaje de la facturación anual de una empresa. ¿Qué tan relevante cree que será este factor como incentivo para el cumplimiento? El cambio en las multas es decisivo para incentivar el cumplimiento.
El hecho de tratar un dato sin la base de licitud correcta supone una infracción grave, y eso puede llegar hasta las 10 mil UTM, equivalente a aproximadamente 680 o 690 millones de pesos. Eso significa que no desarrollar un adecuado compliance en esta materia puede impactar severamente a una organización en caso de incumplimiento regulatorio. Por lo tanto, el cambio en las magnitudes y en el tipo de multas va a alinear a las organizaciones en torno al cumplimiento.
¿Existe el riesgo de que algunas empresas sigan viendo la protección de datos como un tema meramente formal o jurídico, sin comprender sus implicancias reales? Ese es un riesgo que aparece en cualquier normativa que impone nuevas obligaciones. Uno siempre puede quedarse solamente en el papel, pero evidentemente eso es un riesgo.
Si bien en una primera etapa algunas cuestiones documentales son relevantes, con el funcionamiento de la agencia y el ejercicio de sus atribuciones cada vez más va a importar la forma en que las organizaciones buscan cumplir con la totalidad de las obligaciones que establece esta ley. Son obligaciones cuyo cumplimiento debe acreditarse de manera proactiva. El responsable debe poder demostrar que verifica y cumple estas exigencias.
Por lo tanto, es una cuestión que supone un riesgo de incumplimiento importante y que, en el mediano plazo, probablemente será insoslayable.
Considerando la realidad chilena, ¿cree que las empresas —especialmente las pymes— están preparadas para enfrentar este nuevo escenario regulatorio? Las pequeñas y medianas empresas, así como las microempresas, van a necesitar mucho apoyo en esto, como ocurre en otros ámbitos regulatorios.
La agencia deberá implementar el estatuto diferenciado que tienen este tipo de empresas para cumplir con la ley. Esto es muy relevante desde el punto de vista de los deberes de información, transparencia y de la forma en que puedan desarrollar procesos de adecuación. Ahora bien, existe una regla especial que establece que no se puede sancionar con multa a las pymes hasta que hayan transcurrido 12 meses desde la entrada en vigencia general de la ley.
Eso da tiempo y una oportunidad para que tanto la agencia como las pequeñas y medianas empresas ajusten la carga regulatoria conforme a las directrices, instrucciones generales y recomendaciones que establezca la autoridad.
Más allá de las multas y sanciones, ¿qué cree que está realmente en juego con esta ley en términos de confianza, derechos y relación entre las empresas y las personas? Las multas son relevantes, pero no son lo único que incentiva el cumplimiento.
Las organizaciones requieren confianza para funcionar: confianza de sus clientes, de sus trabajadores, de sus proveedores y de la comunidad en general. Por lo tanto, una organización que no respeta los derechos de las personas, particularmente el cuidado de su información, es una organización que no inspira confianza, más allá del monto de la multa.
Además, existirá un registro público de las organizaciones que hayan sido sancionadas por esta ley. Por eso, es muy relevante que las organizaciones se tomen en serio el posible daño reputacional que esto implica.
