Nuestro Congreso Nacional acaba de aprobar el texto, que da un nuevo contenido a derecho relativo a la protección de datos personales en nuestro país. De este modo, la antigua Ley N°19.628 de Protección de la Vida Privada, será actualizada a los más altos estándares de protección del ciudadano. Efectivamente es un hito y un cambio de paradigma de lo que hemos conocido hasta ahora.
Probablemente, el gran cambio de paradigma está en que desde ahora en más, el sujeto de protección y el centro de toda las estructura normativa que se avecina, es la persona (natural).
Hoy vivimos en un entramado en que la información sobre nuestros nombres, número de cédula de identidad, domicilio, teléfono, correo electrónico, lugar de trabajo, enfermedades, hábitos comerciales, es transada y tiene valor en el mercado. De algún modo, nuestros datos son funcionales a las reglas y paradigmas que impone el mercado.
¿Quién no ha vivido alguna de estas situaciones? recibir correos no deseados; querer darse de baja de una base de datos y que el sistema no lo permite o es tremendamente engorroso; recibir llamados telefónicos para ofrecer productos (a veces sólo tienen el número y preguntan por el nombre de quien responde); postular a un trabajo y que revisen todo su comportamiento en redes sociales; que usen la tarjeta de crédito obteniendo las credenciales de otra fuente (y uno sin enterarse de la fuga de información); incluso es ampliamente conocido que si se ingresa los nombres de una persona en cualquier navegador un portal ofrece inmediatamente el resultado sobre si mantiene causas en el sistema judicial (demás está decir que no hay un responsable a quien pedir la baja del sistema, ¿y si esos datos son erróneos?).
En nuestro concepto, al menos son dos las claves en la nueva institucionalidad que deberían apoyar que el cambio de paradigma tenga efectividad: responsabilidad por el tratamiento, derechos asignados al titular de los datos y un órgano cuya razón de ser es la protección de los datos personales.
Los derechos del titular se han ampliado y corresponden a: los derechos de acceso, rectificación, supresión, oposición y específicamente a oponerse a decisiones automatizadas, bloqueo del tratamiento y también el derecho de portabilidad.
La ley establece que estos derechos son de carácter personal, intransferible, irrenunciable y gratuito. Los responsables del tratamiento de datos tienen un plazo de 30 días corridos para responder a las solicitudes de los titulares. En caso de denegación o falta de respuesta, el titular puede presentar una reclamación ante la Agencia de Protección de Datos Personales.
En cuanto al responsable de los datos se introducen una serie de obligaciones para los responsables del tratamiento de datos personales, con el objetivo de garantizar la privacidad y seguridad de la información de los titulares. En primer lugar, se define al responsable de datos y en tal sentido se indica que es la persona natural o jurídica, pública o privada, que decide sobre el tratamiento de datos personales, determinando las finalidades y los medios para su procesamiento. Asimismo se regulan las obligaciones del responsable, en tal sentido se indica que el tratamiento de datos debe realizarse de manera lícita y leal, respetando los derechos fundamentales de los titulares y asegurando que los datos se utilicen conforme a la ley. Es menester que los datos personales sean recolectados con fines específicos, explícitos y legítimos, informados al titular en el momento de la recolección. La proporcionalidad es un aspecto fundamental, puesto que se deben tratar únicamente los datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los cuales son procesados. En cuanto a la calidad de los datos es preciso garantizar que sean exactos, completos y estén actualizados, adoptando las medidas necesarias para su corrección o eliminación cuando sea pertinente. Otro obligación del responsables es implementar medidas técnicas y organizativas apropiadas para proteger los datos personales contra el tratamiento no autorizado o ilícito, y contra su pérdida, destrucción o daño accidental. El titular de los datos debe contar con información clara y accesible sobre el tratamiento de sus datos, incluyendo las finalidades, la identidad del responsable y los derechos que le asisten. Es menester que los datos personales sean mantenidos confidencialmente incluso después de finalizada la relación con el titular, salvo que este los haya hecho manifiestamente públicos. Base esencial para el tratamiento de los datos es el consentimiento libre, informado y específico del titular, salvo en las excepciones previstas por la ley. En caso en que existan vulneraciones a la seguridad de los datos personales, el responsable está obligado a notificar a la Agencia de Protección de Datos Personales y, cuando corresponda, a los titulares afectados. Es relevante indicar que el incumplimiento de estas obligaciones puede conllevar sanciones significativas, incluyendo multas que, según la gravedad de la infracción, pueden alcanzar hasta 20.000 UTM, lo que equivale a $M1.345 aproximadamente.
Con la nueva regulación se crea la Agencia de Protección de Datos Personales. un organismo autónomo y descentralizado encargado de supervisar y garantizar el cumplimiento de la normativa en materia de protección de datos personales. La agencia tiene tareas de supervisión y fiscalización por lo tanto posee la responsabilidad de monitorear que el tratamiento de datos personales se realice conforme a la ley, tanto en el sector público como en el privado. También está facultada para que los titulares de datos presenten reclamaciones en caso de vulneración de sus derechos, ofreciendo soluciones y mediando en conflictos relacionados con el tratamiento de datos personales. Asimismo, la agencia está facultada para imponer sanciones en casos de infracciones a la ley, con multas que pueden alcanzar hasta 20.000 UTM, dependiendo de la gravedad de la infracción. Posee la potestad para elaborar y difundir guías, recomendaciones y regulaciones que orienten a las organizaciones en el adecuado tratamiento de datos personales, promoviendo buenas prácticas y el cumplimiento de la ley. Ella además, puede desarrollar programas de formación y campañas de sensibilización dirigidas a la ciudadanía y a las entidades que manejan datos personales, con el fin de fomentar una cultura de protección de datos y privacidad. En definitiva la agencia es el ente encargado de velar por la correcta aplicación de la Ley de Protección de Datos Personales en Chile, asegurando que los derechos de los titulares sean respetados y promoviendo una cultura de privacidad y seguridad de la información en el país.
Todos estos cambios son significativos e impactan diversos ámbitos o sectores. De esta manera el sector empresarial y comercial deberá solicitar el consentimiento a los titulares para el uso de sus datos personales y por ende necesitará ajustar sus políticas de privacidad y procedimientos internos. Los organismos estatales también tienen que garantizar la protección de los datos personales en su poder, implementando medidas de seguridad y confidencialidad. El sector financiero debe considerar que el tratamiento de datos financieros y crediticios debe realizarse con el consentimiento del titular y bajo estrictas medidas de seguridad, sin perjuicio de las medidas en torno a la evitar los fraudes y el lavado de dinero. En cuanto a las entidades que resguardan los datos de sus trabajadores, es preciso que, se asegure la confidencialidad y protección de la información personal de sus empleados, desde el proceso de selección hasta la finalización de la relación laboral.
En resumen, la nueva Ley de Protección de Datos Personales en Chile afecta transversalmente a múltiples sectores, imponiendo obligaciones que buscan poner al centro de la protección al individuo y asegurar sus derechos en lo referido al manejo de su información personal.
Una cuestión que no debemos perder de vista es que las empresas y responsables de datos deben tomar medidas de organización, técnicas, seguridad y gobernanza sobre los activos de información de hoy. Se trata, por cierto, de la protección del ciudadano, pero también de un deber de diligencia hacia la propia organización. Mostrarse proactivos hoy resguardará a las empresas en el futuro de pérdidas de activos críticos y, fortalecerá la imagen y reputación corporativas de cara a los malos momentos que pueden llegar. Dado que actualmente un sinnúmero de entidades con o sin nuestra autorización acceden a nuestros datos vale la pena preguntarse: ¿cuál será el impulso que tendrá la agencia en hacer efectivos nuestros derechos e implementar adecuadamente esta transformación significativa en la protección de nuestros datos?
