En su participación en la presentación del libro «Compliance y Protección de Datos Personales» -realizada por la Facultad de Derecho y Humanidades de la Universidad Central de Chile, en colaboración con Actualidad Jurídica, el Blog de DOE -, la CEO de Idónea Consultores, Catherine Muñoz, compartió su visión sobre los desafíos y oportunidades que enfrentan las empresas chilenas con la nueva normativa.
La experta destacó la necesidad de transformar la cultura organizacional, conformar equipos multidisciplinarios y perfeccionar la legislación para garantizar una protección efectiva de los derechos de las personas.
¿Cuál crees que es el principal desafío que enfrentarán las empresas chilenas para adaptarse a esta nueva ley de protección de datos personales?
El mayor desafío es, desde el punto de vista cultural, entender que la implementación de la nueva ley de protección de datos implica una transformación empresarial. Esto no se trata solo de un cambio paradigmático, como una simple actualización de políticas, sino de una nueva forma de enfocar los tratamientos de datos, centrados en la protección de los derechos y libertades de las personas, dentro del contexto de sus propios negocios.
Es un desafío significativo porque, por un lado, requiere una gestión del cambio, y por otro, se debe entender que en la implementación no solo son necesarios abogados, sino también ingenieros, ya que los datos se encuentran dispersos en múltiples sitios. No es un tema exclusivo de un departamento, sino un asunto transversal a toda la empresa.
Catherine, en tu opinión, ¿cómo debería cambiar la cultura organizacional en Chile para que el cumplimiento en protección de datos se convierta en una prioridad estratégica y no solo en una obligación legal según la normativa?
Bueno, primero, debe contar con el apoyo de la alta dirección de las empresas, es decir, de los directorios y, en general, de toda la organización. Ellos deben entender la importancia de esta ley y las obligaciones que conlleva para ellos. En particular, los directores de empresas tienen un deber fiduciario, el cual puede ser sancionado si se vulneran los derechos, como en el caso de los datos personales. Por lo tanto, el cambio cultural debe comenzar desde arriba.
Luego, la organización completa debe entender que, como mencioné antes, los temas de protección de datos no son exclusivos del departamento legal ni del área de TI. Es un asunto transversal que involucra a toda la empresa. Por ejemplo, el principio de minimización de los datos debe ser entendido y aplicado no solo por el departamento de TI, sino también por recursos humanos y marketing.
En ese sentido, la cultura organizacional, especialmente en términos de compliance, implica gestionar equipos interdisciplinarios. No solo abogados, ni ingenieros o científicos de datos, sino todos deben conversar entre sí y usar un lenguaje común. Esto representa un desafío importante.
La protección de datos personales ya está en la agenda global y ha sido incluida en la agenda chilena. ¿Crees que ya estamos en sintonía con los estándares internacionales o piensas que aún hay aspectos por mejorar?
Sí, hay aspectos positivos, especialmente considerando que la normativa anterior era muy deficiente; no garantizaba los derechos mínimos. Todo el desarrollo de los derechos de los titulares es relevante, ya que esta ley está orientada a proteger los derechos de las personas, no a las empresas.
Las empresas deben entender que toda la implementación que realicen debe centrarse en la protección de las personas, no en la protección de las empresas. Este es un enfoque similar al del GDPR (Reglamento General de Protección de Datos de la UE).
Sin embargo, creo que esta normativa aún tiene espacio para mejorar. Por ejemplo, en el caso de nuevos modelos de prevención de infecciones, se exige un análisis de riesgo. Pero ese riesgo debe entenderse no desde la perspectiva de la empresa, sino como el riesgo de vulneración de los derechos humanos y libertades de las personas. Las matrices de riesgo deben adaptarse a esa realidad.
La ley también podría centrarse más en la realidad chilena. Hay aspectos normativos que aún no están completamente desarrollados y que se abordarán de manera reglamentaria por la nueva institucionalidad creada. Por lo tanto, es importante estar atentos, ya que hay muchos temas que aún no se han resuelto.
¿Hay alguna herramienta o metodología que consideres más efectiva para identificar los riesgos en el tratamiento de datos personales?
Primero, es fundamental entender que la gestión de riesgos en protección de datos es distinta a la gestión de riesgos en seguridad de la información. La ley de protección de datos está para proteger a las personas, mientras que la seguridad de la información protege a la empresa.
Los riesgos en protección de datos no son los de la empresa, sino los de las personas. Por eso, al identificar los riesgos y determinar el nivel de riesgo, debemos establecer controles específicos, como las medidas técnicas y organizativas que la ley establece.
Lo complejo es que, a diferencia de los riesgos tradicionales de seguridad de la información, en este caso no se trata del riesgo de la empresa, sino del riesgo para las personas. Por ejemplo, en temas de discriminación o vulneración de derechos, establecer el impacto y calificar el riesgo es más complicado.
En términos de herramientas y metodologías, lo más importante es entender este concepto básico, porque si no lo comprendemos, el enfoque será erróneo. Y hacerlo mal implica sanciones para la empresa.
Finalmente, ¿cómo visualizas el impacto de esta ley en la vida cotidiana de las personas en Chile, considerando que muchos ciudadanos aún no están informados sobre sus derechos en esta materia?
Aunque estén informados, la protección de datos no es parte de nuestra cultura. Los cambios culturales llevan tiempo. Necesitamos aprender a valorar qué significa compartir un dato.
No se trata de vivir en un ambiente de secretismo, pero sí de ponderar qué significa compartir mis datos: ¿qué pierdo yo? ¿Cuál es mi riesgo? Es necesario ser consciente de ello y luego tomar decisiones informadas. Las personas no suelen darles valor a sus datos, pero con la tecnología actual, pueden ocurrir situaciones que demuestran lo contrario.
Por ejemplo, en algunos países mal regulados, cuando voy a la farmacia con una receta médica, esos datos pueden ser vendidos a brokers de datos, quienes luego los introducen en sistemas de inteligencia artificial utilizados para la contratación de personas. Esto puede llevar a que nunca consiga un trabajo o me suban la prima del seguro. El mal uso de los datos por terceros tiene consecuencias reales, pero las personas no lo ven.
Además, la privacidad no solo afecta al empleo, sino también a otras áreas, como la financiación. Las personas deben entender las implicancias de compartir información, incluso en conversaciones privadas a través de aplicaciones como WhatsApp.
La educación es crucial en este contexto. Las personas deben visualizar algo que a menudo es abstracto: las posibles consecuencias de compartir sus datos. Por eso, la principal función del cumplimiento de la ley es educar, para que las personas sean conscientes de lo que comparten, qué pierden y cuáles son las consecuencias de eso.