Una de las principales innovaciones de la nueva ley de datos personales es la incorporación de mecanismos de cumplimiento legal o compliance, cuyo objetivo es complementar la aplicación de la ley por parte de la Agencia de Datos Personales y promover el cumplimiento de la ley a través de mecanismos colaborativos. Uno de estos mecanismos es la implementación de modelos de prevención de infracciones, conocidos ya en otros ámbitos legales. Pero aquí es donde surge la pregunta, estos programas ¿son obligatorios o voluntarios? En el caso del sector privado, la respuesta es clara: sí. El artículo 49 establece que “[l]os responsables de datos podrán voluntariamente adoptar un modelo de prevención de infracciones consistente en un programa de cumplimiento”. La redundancia entre “podrán” y “voluntariamente” refuerza suficientemente el punto legal.
En el caso del sector público, la respuesta no es la misma, tenemos que hablar de un deber de compliance cuya modalidad de cumplimiento es alternativa. El artículo 44, inciso segundo, dispone que “los órganos públicos deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia o a los programas de cumplimiento o de prevención de infracciones del artículo 49”. Es decir, en este caso existe obligación de adoptar uno de los dos esquemas de cumplimiento: las medidas ad hoc diseñadas por la Agencia -una vez que esta exista y esté en funcionamiento- o el modelo de prevención del artículo 49, cuyo contenido al menos ya está meridianamente detallado en la ley.
Veamos la situación desde el punto de vista de las decisiones organizacionales y de negocio. Si la organización decide no implementar el modelo de prevención de infracciones, ¿debe igualmente cumplir con la ley? La respuesta es obvia: por supuesto. Es decir, el responsable del tratamiento de datos personales deberá ajustar su documentación, procesos, roles y un largo etcétera para evitar infracciones a los principios, obligaciones y deberes que impone la ley. Tendrá que adecuar su funcionamiento para responder al ejercicio de derechos de los titulares de datos. En otros términos, tendrá que realizar una serie de medidas que igualmente deberán ser implementadas bajo un modelo de compliance. Ante tal escenario, la utilidad del modelo de prevención se visibiliza con claridad. Permite tanto ajustar el cumplimiento a la ley como mitigar los riesgos asociados al funcionamiento de la organización. Si el costo de ese esfuerzo además permitiría, eventualmente, lograr una atenuante en un proceso sancionatorio, entonces el incentivo económico es nítido. Es cierto que ello requiere la certificación del modelo por la Agencia, pero en cualquier caso podría ser un costo marginal ante las exigencias obligatorias de cumplimiento.
En el caso del sector público, el dilema es aún más estrecho. Los órganos de la Administración, al tener que cumplir con una de dos alternativas, la vacancia legal favorecerá el pragmatismo de la opción por el modelo de prevención. En otros términos, un jefe superior del servicio debe optar entre intentar implementar el cumplimiento y esperar las medidas que recomiende la Agencia o adoptar el modelo de prevención del artículo 49, cuyo contenido es conocido y genera menos incertidumbre. Ante tal escenario, la opción por el modelo de compliance cae por su propio peso.
La importancia de implementar estas medidas de prevención al interior del sector público se ve complementada por el esquema sancionatorio de la ley, la cual incluye sanciones al jefe superior de servicio tales como multas del 50% de su remuneración mensual y su suspensión en el cargo de hasta 30 días, así como la remisión a la Contraloría General de la República para la realización de sumarios administrativos y sanciones de acuerdo al Estatuto Administrativo a los funcionarios infractores.
Los dos años de vacancia de la nueva ley representan la única ventana de oportunidad para avanzar en las medidas de cumplimiento indispensables para tener la casa ordenada al momento de su entrada en vigencia, medidas que se deben tomar no sólo en el sector privado sino también en todos los órganos del Estado. Puede sonar a un plazo extenso, pero la experiencia europea enseña que es ajustado. Llegó el momento de arremangarse y ponerse a trabajar.