Para la doctora en Derecho y asociada senior del estudio jurídico FerradaNehme, Bernarda Muñoz, el proyecto de datos personales que se está tramitando en el Congreso es indispensable para el progreso del país en varios ámbitos.
En ese sentido, Muñoz asegura que esta iniciativa le permitirá a Chile relacionarse de una manera segura y fluida con países más desarrollados. Además, la experta señala que la eventual aprobación de este proyecto ayudará a que los ciudadanos tomen conciencia de la importancia de la correcta utilización de sus datos personales.
¿Qué opinas sobre el proyecto de ley de datos personales que se encuentra en su última fase de tramitación en el Congreso?
Me parece que es una iniciativa que no solamente es buena, sino que es indispensable desde distintas aristas. El tema de la privacidad es un activo, es algo que -por más que no sea una exigencia legal- las empresas pueden y deben implementar en su operatividad para ponerse a tono con las exigencias del mercado. Hay una creciente preocupación por la privacidad y esta ley es muy importante en ese sentido.
Esta iniciativa también es muy relevante a la hora de relacionarse a nivel internacional, porque sabemos que la regulación estelar en esta materia es el Reglamento General de Protección de Datos (GDPR por su versión en inglés) en Europa, el cual está vigente desde hace más de cinco años.
Es decir, para comerciar con cualquier empresa en Europa, tener una normativa interna que esté a la altura del GDPR es muy importante. Además, eso va a permitir que Chile pueda ser sujeto de una decisión de adecuación por parte de la Comisión Europea, y que el flujo de datos personales de la Unión Europea a Chile sea mucho más expedito, porque nuestro país va a pasar a considerarse seguro en materia de datos, entonces, es algo indispensable.
Además, esta normativa es la piedra angular de una serie de iniciativas legislativas -de las cuales varias han sido aprobadas- como por ejemplo la ley marco de ciberseguridad, la ley Fintech, la ley de delitos informáticos y también las iniciativas que están dando vueltas sobre el proyecto de regulación de la inteligencia artificial.
Todas estas iniciativas se quedan un poco cojas, por así decirlo, si es que la ley de protección de datos no se aprueba finalmente. Por eso, es que es indispensable darle un “empujón final” a este tema.
Y bueno, también se entiende la preocupación de los legisladores y la necesidad de discutir cada artículo de manera exhaustiva, porque la ley cambia un poco el paradigma de cómo las empresas van a tener que operar, y bueno, también representa muchos desafíos a la hora de implementarla.
Entiendo que es algo que se va a ir haciendo paulatinamente, y rescato mucho que ya exista un acuerdo político en relación a la creación de la Agencia Nacional de Protección de Datos Personales, porque esta será el actor fundamental una vez que se apruebe la ley, no solamente porque va a fiscalizar, sancionar e investigar, sino porque también será un actor social esencial en la medida en que es necesario empezar a hacer entender a la ciudadanía de la relevancia que tiene la protección de sus datos personales.
Es decir, es necesario que haya un organismo público que sea el agente del cambio social que permita este incremento en la conciencia, y que va muy de la mano con lo que denominamos como “alfabetización digital”.
Esta iniciativa fue presentada en el segundo gobierno de la expresidenta Michelle Bachelet, es decir, lleva varios años durmiendo en el Congreso, ¿consideras que este retraso se debe a la poca conciencia que teníamos en Chile sobre la importancia de nuestros datos personales?
Absolutamente, creo que esa es una de las grandes razones por las cuales se ha demorado el trámite. En ambientes más jurídicos, algunos colegas dicen que el tema de la protección de datos sigue siendo muy de nicho, ya que afecta a las economías más desarrolladas y que tiene que ver con países que tienen necesidades más acotadas que los latinoamericanos.
Por mi parte, considero que es más bien todo lo contrario, porque en la economía extractiva, que también es aplicable para el ámbito de los datos personales, hay muchas iniciativas y emprendimientos de economías más desarrolladas que vienen a extraer datos de economías menos desarrolladas, porque saben que ahí no hay tanta regulación del Estado. Entonces, pueden entrenar sus sistemas de inteligencia artificial con todos los datos personales que puedan recoger, a través de economías menos reguladas.
Por esta razón, considero que es todo lo contrario. No son problemas del primer mundo, sino que justamente tenemos que proteger a nuestra ciudadanía de esta economía de la extracción, que también afecta a los datos personales y que es muy importante.
Muchas veces las personas dicen “que tomen mis datos, no tengo nada que esconder”, pero no tiene que ver con eso, sino con el control de los datos personales es una forma de libertad y los derechos que tienen los ciudadanos sobre eso. Tiene que ver más con la aceptación de derechos fundamentales de las personas y es muy importante que los Estados -justamente como está haciendo Chile- empujen estas iniciativas para la protección.
Hay expertos que aseguran que las sanciones deben ser revisadas, ya que podríamos arriesgarnos a que sean muy severas, ¿cuál es tu opinión respecto a las multas y sanciones que tiene este proyecto de ley?
En Europa también las multas son elevadísimas, e incluso en muchos casos no se observan los topes que prevén las regulaciones. La razón de esto es que se intenta que las empresas no adopten la sanción dentro de sus costos operativos, es decir, que a la empresa no le salga más barato, por así decirlo, infringir y pagar la multa, que comportarse de acuerdo con la normativa.
Entonces, esa es la razón por la cual las multas son tan altas, porque a la empresa no le va a ser viable infringir y pagar la multa, sino que va a tener que acomodar su operatividad interna para acomodarse al estándar.
Yo creo que este es un cambio de paradigma y estos cambios no son de un día para el otro. Es necesario que la agencia primero empiece con la difusión de instructivos y que ponga herramientas a disposición de las empresas para que empiecen a aprender a hacer las cosas de forma distinta.
Y, el tema de las sanciones, si bien es una etapa importante dentro de la implementación de esta ley, es posterior. Primero, tenemos que empezar con cosas que son más inmediatas, por ejemplo, que las empresas entiendan lo que representa adaptarse a este estándar, y luego -cuando ya haya cierta madurez-, me parece que las multas son necesarias.
Me parece importante destacar que es muy valioso para los estados que estas iniciativas se sigan produciendo y, por otro lado, que se protejan los derechos fundamentales de las personas. Creo que no debe perderse de vista que lo primero será una etapa de transición, un proceso al que le va a llevar tiempo adaptarse a esta normativa.
¿Cuál crees que serán los principales desafíos de adaptación que tendremos en Chile con esta eventual nueva regulación?
Creo que el principal desafío de las empresas será comenzar a hacer un levantamiento de qué datos personales tratan. Deberán reconocer cuáles son los datos personales, en ese sentido, creo que hay mucho desconocimiento sobre qué es un dato personal y en qué ocasiones los tratamos.
Esta ley va a ser de aplicación transversal a todas las empresas, porque ellas tratan datos personales. Aunque no se dediquen a eso, de todas formas, van a tener empleados, y colaboradores, que tendrán nombre, apellido y Rut, elementos que son considerados un dato personal. Todas las empresas tratan datos personales.
Entonces, lo primero que deberían hacer es un inventario de qué datos personales trato, con qué finalidad, por cuánto tiempo los retengo, a quién se lo transfiero, etc. Este es un relevamiento de toda su organización, no es algo que se puede hacer solamente en un área o en una gerencia, es algo que va a involucrar a todas las gerencias y a todas las áreas. Eso me parece que es un desafío muy importante, el primer desafío, por eso yo hablo de un cambio de paradigma y de acomodarse en un nuevo estándar.
Por otro lado, también, a nivel de políticas de compliance, estamos en un momento en donde está por entrar a regir la nueva ley de delitos económicos. Hay mucha exigencia puesta en las empresas en materia de compliance penal, y creo que esto se va a sumar a eso. Sin embargo, creo que también puede aprovecharse “el empujón” de reconocimiento de los procesos internos de las empresas para levantar en cuáles de estos se tratan datos personales, con qué finalidad y cuáles son las personas involucradas.
Me parece muy importante este tema, de hecho, es el principio que a mí más me gusta: el principio de minimización de los datos. Es decir, realmente ver en qué procesos el tratamiento de datos es necesario, qué datos son indispensables para cumplir con esa finalidad, y reducir eso lo más que se pueda. Bueno, todavía no se aprueba la ley, pero sabemos que va a ser un desafío.
¿Tienes alguna observación sobre la iniciativa? ¿Consideras que hay algún elemento que deba ser revisado nuevamente?
Sí, lo que más me preocupa del proyecto son las bases de legalidad y el consentimiento de las personas. Si bien esto puede sonar fantástico, es imposible que nosotros estemos consintiendo constantemente estos tratamientos.
Entonces, por ejemplo, en países europeos el consentimiento es solamente una de las bases de legalidad que se admiten y, en la práctica, se una base de legalidad residual. Es decir, se trata de primero pasar por alguna de las otras bases de legalidad, por ejemplo, el interés legítimo, la ejecución de un contrato o el cumplimiento de una obligación legal.
Creo que esta sería como la única “falla” que le veo al proyecto o quizás la más importante.