Para Fernández, las compañías tendrán nuevos desafíos que abarquen no solo en áreas específicas, sino que comprenderá a todas las áreas de una empresa que procese datos personales.
Para indagar sobre estos temas, en Actualidad Jurídica conversamos con Felipe Fernández, socio adjunto de EY Law, Chile, sobre el proyecto de ley de protección de datos personales que se discute actualmente en el Congreso y que está a punto de convertirse en ley, lo que traerá cambios importantes tanto en el marco legal como para las compañías en esta materia.
En primer lugar, ¿qué dice la actual ley de protección de datos personales sobre el régimen de responsabilidad?
Lo que dice la ley actual es una regulación que recoge los principios generales en materia de responsabilidad y es que los responsables que procesan datos personales tienen que utilizarlos con la debida diligencia y tienen que responder de daños tanto económicos o patrimoniales, como morales o extrapatrimoniales, en caso de que se cause un daño, pero de eso de manera bien sucinta. Eso sí, recogiendo lo que son las reglas generales de responsabilidad, no hay ninguna norma especial en ese sentido.
¿Qué otros problemas observa en la actual normativa sobre protección de datos personales?
Uno de los problemas más grandes de la ley actual es que, para poder ejercer algún tipo de acción o reclamo en caso de que alguien procese datos personales y en incumplimiento de la ley, los que tienen que actuar en ese caso son los propios titulares de datos, contratando un abogado y yendo a un tribunal civil para estar litigando durante años, lo que supone además altos montos de dinero para que finalmente un tribunal después de mucho tiempo diga que la empresa A, B o C, no procese más los datos personales de este titular de datos porque, por ejemplo, no se tenga el consentimiento.
A diferencia de otros sistemas, como en el derecho del consumidor donde está presente el Sernac, hoy en día no existe una agencia que de oficio que pueda resolver reclamos y eventualmente imponer sanciones. Entonces, toda la carga recae en la persona del titular de los datos lo que ha hecho que en definitiva se hayan presentado muy pocas acciones teniendo en consideración que la ley actual lleva 24 años de vigencia.
¿Y en materia de cumplimiento?
En temas de programas de cumplimiento, la ley actual no dice absolutamente nada. Eso no significa que muchas empresas puedan tenerlo y varias lo tienen, pero es más bien una medida voluntaria que trata de que las compañías procesen adecuadamente los datos personales ya sea de clientes, trabajadores, o proveedores, pero en definitiva son medidas que se adoptan voluntariamente y la ley no establece cuál es el beneficio de tener un modelo de cumplimiento que no te exige la ley. Si bien recoge mejores prácticas y hay temas reputacionales. Desde el punto estrictamente legal, la ley no lo exige y tampoco premia en el caso que una compañía lo tenga.
Se hace énfasis en el proyecto de ley sobre el delegado de protección de datos, ¿esta nueva figura es la misma al que se le otorga al guardián de datos o DPO en Europa, por ejemplo?
Es exactamente lo mismo, recibe distintos nombres dependiendo del país que se trate, pero en definitiva es un rol. Es una especie de custodio o guardián, como se dice en la UE, de los datos personales y es la persona que va a velar porque al interior de una compañía exista claridad respecto de donde se obtienen los datos; para qué se ocupan, con quien se contactan, etc. Pero en esencia, la figura es exactamente la misma.
¿Qué atribuciones y necesidades tendrá a cargo este delegado de protección de datos?
Todo eso está regulado en el proyecto y está súper detallado. Lo interesante es que al delegado de protección de datos personales se le otorga un rol súper importante, y ese rol parte, según el proyecto de ley, con la designación del delegado ya que debe ser la máxima autoridad directiva o administrativa de una compañía quien lo designe. Puede ser el directorio o el socio administrador. Es bien interesante, porque básicamente inviste a la figura del delegado de un rol bien importante dentro de la compañía, es una persona que en cierta forma responde a la alta administración. Además, lo que nos dice la ley y que también es interesante es que debe ser una persona que tiene que tener independencia en la toma de sus decisiones, que tiene que ser autónomo, que no debe tener conflicto de interés pero, sin embargo, no nos dice si tiene que ser un abogado o un ingeniero, y tampoco nos dice si el delegado tiene que estar ubicado en el área de una fiscalía, auditoría, o marketing, solo nos dice cuál es el rol.
En cuanto a cuál es el rol del delegado de datos, también el proyecto lo especifica y debe ser una persona que tiene que tener claro en el día a día cuál es el flujo de datos que se procesan en una compañía, tiene labores educativas por decirlo de cierta forma al interior de la compañía, tiene labores de reportes a la autoridad y ser un canal de comunicación directo con la agencia de datos personales que se va a crear, tiene que ser una persona que esté detrás de los protocolos y reglas que se establezcan para tratar de evitar que se genere o incremente riesgos sociales de procesamiento de datos. En definitiva, será la persona visible frente a los titulares de datos en el evento de que alguien presente algún tipo de requerimiento, por ejemplo, asociado a qué datos de una empresa de telecomunicaciones tiene. Así, el trabajo que hace el delegado es bastante y tiene que ser capaz de gestionar, dirigir y coordinar muy bien las distintas áreas de la empresa como, por ejemplo, dar instrucciones a ciertas áreas para que le entreguen información y cumplir con un requerimiento que le hizo la agencia en un breve plazo.
¿De qué manera se realizará la certificación de los programas de cumplimientos en las empresas?
El proyecto de ley dice que estos modelos para que sirva como atenuante de responsabilidad, tienen que estar certificados por la agencia de datos personales. Lo que además se dice en el proyecto es que, a través de un reglamento que tiene que dictarse, se van a establecer los procesos de certificación, plazos, y cuál es la información que se debe aportar para poder certificar. Lo que aún no está claro, es si será la agencia quien va a tomar el rol, o bien, esto se pueda delegar en auditorías o compañías certificadoras que es lo que pasó con los modelos de cumplimiento en materia de consumidores, donde el Sernac tiene distintas auditorías que están debidamente mandatadas para eso y que hacen el trabajo de certificación. Lo que además dice el proyecto es que esta certificación tiene una duración de tres años y que son revocables en eventuales casos particulares. Lo otro relevante relativo a la certificación es que el proyecto dice que las empresas que estén certificadas van a formar parte de un registro de cumplimientos y sanciones. Esto puede tener una consecuencia relevante en temas de negocio, ya que no se descarta que las compañías en el futuro puedan adoptar como norma de cumplimiento no tratar con compañías que hayan sido sancionadas, y tratar con solo las que están certificadas. Hay un tema reputacional que puede tener un efecto importante en los negocios para las empresas.
Con relación a la contingencia legal, ¿cómo llegan las industrias a estos nuevos cambios que contempla el proyecto de ley?
En general, las compañías grandes y que son intensivas en procesamiento de datos personales como de consumo masivo, telecomunicaciones, o la industria financiera que por regla general tiene matrices en la UE o en otros países que cuentan con legislaciones en esta materia mejores que las nuestras, están bien, ya que han iniciado estos procesos para determinar cuáles son los datos que eventualmente puedan existir entre lo que tienen y lo que exige el proyecto. Pero existen muchas otras compañías que todavía están a la espera para ver cuando sale la ley.
Se genera una especie de incertidumbre en esas compañías
Sí, efectivamente. Y quizás también desconocimiento respecto a un ecosistema que va a imponer cargas nuevas. Entonces, yo creo que esa incertidumbre produce una especie de no hacer nada por el momento, y el problema de esas empresas; que pueden ser chicas, medianas o grandes, es que cuando se dicte la ley puede que no les alcance el tiempo para adecuar procesos, sistemas, tecnologías, instrumentos legales, etc. que no solo toma tiempo, sino que también es caro. Ahí, la sugerencia siempre es: mientras antes, mejor.
¿Cuáles son los desafíos que tienen las empresas una vez que entre en vigencia la nueva ley?
Primero, hay que entender que la ley es transversal, no es una ley para las empresas de consumo masivo o para las Telcos, sino que es una ley que va a “golpear”, en el buen sentido de la palabra, a todas las industrias. Lo segundo, y que está relacionado con lo anterior, es que la ley va a impactar a todas las áreas de una misma compañía, no solo el área de marketing y recursos humanos, sino que también a producción, TI, etc. porque en cada área de una compañía se procesan distintos datos y para distintos fines. Hay que entender que, si bien puede haber áreas más intensivas que otras en el procesamiento de datos, la ley las va a golpear en todas las áreas, por lo que hay que tener una visión omnicomprensiva en el funcionamiento de la compañía en materia de datos personales. El tercer desafío es que la ley no se cumple con papel, no se cumple con cláusulas ni con términos de condiciones o contratos de proveedores; es una ley que requiere un brazo legal y también un lado que dice relación con entender muy bien procesos de sistemas y tecnologías. Hay que tener una visión holística respecto a que no es una ley que se cumple única y exclusivamente con abogados.