En conversación con Actualidad Jurídica: El Blog de DOE, la socia de Uría & Menéndez, Leticia López-Lapuente quien participó en la presentación del libro “Expertos en acción: protegiendo datos personales bajo la nueva legislación” editado por Danielle Zaror, analiza los desafíos y oportunidades de la implementación de leyes de protección de datos en América Latina.
Con base en su experiencia europea, subraya la importancia de fortalecer la cultura jurídica, el rol activo de las autoridades y la preparación técnica de las organizaciones frente al avance tecnológico.
Desde tu experiencia en el ámbito europeo, ¿cuáles consideras que son los pilares fundamentales para construir un sistema robusto de protección de datos personales, y cómo se pueden adaptar esos principios a realidades latinoamericanas como la chilena?
El primer paso para asegurar la robustez de este derecho en Chile es trabajar en el conocimiento y en la concienciación sobre el derecho, tanto por parte de los ciudadanos como por parte de las empresas y autoridades. El derecho fundamental a la protección de datos cuenta con una importancia y un peso innegable en una sociedad cada vez más digital, que se nutre de tecnologías que funcionan con datos.
De poco sirve el reconocimiento legal del derecho y la aprobación de una normativa sólida si los ciudadanos no son conscientes de su derecho y exigen su cumplimiento, y si las empresas y el sector público que deben garantizarlo y cumplirlo no cuentan con guías claras por parte de la autoridad para saber cómo aplicar las nuevas obligaciones de forma adecuada.
En este trabajo de concienciación, las autoridades de protección de datos tienen un rol esencial. En países como España —y, en general, en la Unión Europea—, las autoridades de protección de datos llevan décadas ejerciendo esa labor de concienciación mediante la realización de campañas públicas y la publicación de guías y otras herramientas prácticas, dirigidas tanto al público general —por ejemplo, respecto a la protección de datos los de menores— como a sectores concretos de actividad —como, por ejemplo, guías de cumplimiento para pequeñas empresas o para sectores concretos, como el financiero o las telecomunicaciones—.
En un contexto global cada vez más marcado por el uso intensivo de tecnologías como la inteligencia artificial y el big data, ¿cómo se equilibra eficazmente el derecho a la privacidad con el desarrollo tecnológico y la innovación?
La experiencia europea nos muestra una normativa de protección de datos —en particular, el Reglamento General de Protección de Datos de la Unión Europea (conocido como RGPD)— que se aprobó en 2016 y que se empezó a aplicar en 2018, años antes del más reciente boom de la inteligencia artificial (IA). A pesar de ello, en la medida que una herramienta de IA trate datos personales, la normativa de protección de datos debe ser aplicada y deberá regir el uso de esa herramienta.
Ello está generando algunos desafíos. Por ejemplo, muchas empresas se plantean cuál es la base de legitimación, conforme al RGPD, para tratar los datos en sus herramientas de IA. Por ejemplo, surgen dudas de cuándo se requiere el consentimiento de los interesados y cuándo basta con interés legítimo empresarial, o sobre cómo cumplir con los principios de protección de datos, como el principio de minimización y proporcionalidad al usar la IA. Por ello, hay voces que plantean si la actual normativa de protección de datos es 100 % compatible con el desarrollo de esta tecnología tan esencial para el avance social y económico.
En mi opinión, muchos de estos retos y desafíos no son tales y pueden superarse, permitiendo un desarrollo compatible de la IA con la aplicación del derecho a la protección de datos establecido en la normativa actual; pero para ello es necesario que las autoridades competentes en protección de datos aporten a las empresas criterios claros y flexibilicen algunas interpretaciones para hacer posible dicha compatibilidad.
También ocurre que, siendo la expansión de la IA un fenómeno reciente, los legisladores europeos, chilenos y de cualquier región deberán estar pendientes de que esa compatibilidad se esté consiguiendo en la práctica. Por el contrario, deberán realizar alguna actuación o ajuste legislativo para garantizar el desarrollo, innovación y despliegue de la IA de forma compatible con el derecho fundamental.
La implementación de leyes de protección de datos muchas veces tropieza con barreras culturales, institucionales y económicas. ¿Qué condiciones mínimas deben existir para que una legislación como la chilena sea realmente eficaz y no quede solo en el papel?
Además de la concienciación sobre el derecho a la que he hecho mención anteriormente como pilar esencial para superar algunas de esas barreras, la experiencia europea de décadas nos ha demostrado que la normativa de protección de datos es compleja de implementar y que exige de un nivel importante de madurez de las organizaciones que la aplican.
Y ello, fundamentalmente, porque existen en la normativa dos planos de cumplimiento algo distintos. Por una parte, existen obligaciones bastante concretas que la normativa de protección de datos exige a las organizaciones y que estas podrán y deberán cumplir sin grandes complejidades interpretativas. Por ejemplo, en Europa es obligatorio para determinadas empresas contar con un registro de actividades de tratamiento, con un contenido mínimo, que las empresas saben que deben tener.
Por otra parte, la normativa de protección de datos europea y chilena también establecen una serie de obligaciones exigibles a las organizaciones que están formuladas en forma de principios: entre otros, transparencia, minimización, responsabilidad proactiva, limitación de los plazos de conservación, así como de una serie de obligaciones enunciadas de forma más imprecisa y menos concreta, como es la de obtener un consentimiento “informado” y “libre”.
Es en este segundo tipo de obligaciones legales —las que se enuncian de forma general o en forma de principios— donde las organizaciones pueden encontrarse con más retos y barreras interpretativas. Tendrán que interpretar y tomar decisiones en cada proyecto de tratamiento de datos que emprendan. Para cumplir con estas obligaciones, las organizaciones deberán establecer políticas concretas, deberán formar a su personal en protección de datos y deberán hacer un seguimiento continuado.
Es por ello por lo que digo que se exige madurez organizativa para el adecuado cumplimiento de esta normativa. Dicho esto, será esencial que la autoridad chilena competente en protección de datos ayude a las empresas en la interpretación y “aterrizaje” práctico de estas obligaciones, aportando criterios concretos de qué espera de las empresas y organismos públicos.
La noción de consentimiento informado ha sido tradicionalmente un eje en la protección de datos, pero también ha sido objeto de críticas. ¿Crees que este concepto necesita ser repensado ante los nuevos modelos de tratamiento masivo de información?
Desde luego. En protección de datos se habla a menudo de “cansancio” informativo. Con la mejor intención de ser cada vez más transparentes con los ciudadanos, se exige a las organizaciones que aporten información cada vez más detallada de cómo tratan los datos personales. Con esta exigencia, en ocasiones, se consigue el efecto contrario, que es que los ciudadanos no lean las políticas de privacidad porque las encuentran largas y complejas.
La normativa exige a las organizaciones, al mismo tiempo, que la información sea suficiente y completa, y que las políticas sean claras, escritas en leguaje sencillo y poco farragosas. Hemos visto en Europa casos de multas que, en la misma resolución sancionadora, recriminaban a una empresa al mismo tiempo que no se daba información suficiente a los usuarios y que, sin embargo, tenían una política de privacidad demasiado larga y compleja.
Ante este reto, tanto la normativa como la industria están trabajando en algunas formas de hacer la información más digerible y comprensible, por ejemplo, permitiendo que se dé la información de protección por capas (con una primera capa informativa en la que se resuma lo esencial y una segunda capa ya completa) o generando iconos normalizados que permitan, con una simple imagen, proporcionar al usuario una información útil de cómo se tratan sus datos (p. ej., si ves un icono de una cámara, entiendes que se está haciendo videovigilancia en el edificio).
Desde tu perspectiva como jurista y asesora de grandes organizaciones, ¿qué errores comunes observa en el abordaje corporativo de la protección de datos y qué buenas prácticas recomendarías incorporar desde el inicio del proceso de cumplimiento normativo?
Lo primero es tener una foto clara y actualizada de qué tratamientos está llevando a cabo la organización. En muchas ocasiones, existen tantas aplicaciones informáticas y tantos procesos en las organizaciones que nadie —y menos los equipos jurídicos y de compliance— tiene conocimiento de qué datos se tratan y para qué se están tratando. Por ello, el primer paso para un correcto cumplimiento de la norma pasa por identificar y documentar los tratamientos de datos que se están haciendo, generalmente a través de un registro de activades de tratamiento y, a partir de este, se podrán adoptar las decisiones de cumplimiento normativo adecuadas.
Por ejemplo, en mi experiencia, muchas veces cuando se hace este ejercicio preliminar es cuando la organización identifica qué proveedores tratan los datos o qué transferencias internacionales de datos se están realizando, entre otras cuestiones. Además, aspectos como dónde están alojados los datos personales de la empresa o qué proveedores tienen acceso a ellos son básicos para asegurar el cumplimiento normativo.
A partir de ahí, de esa identificación de los tratamientos, la normativa de protección de datos va a requerir que cada organización dedique tiempo a fijar políticas de protección de datos adecuadas y a implementarlas. Este debe ser un esfuerzo de toda la organización, empezando por la dirección, y no solo de los equipos jurídicos y de compliance. Por poner solo un ejemplo de las muchas obligaciones que se generan en la nueva normativa, para cumplir con uno de los principios —el de limitación temporal del tratamiento— las organizaciones deberán crear y aprobar una política de conservación de datos que determine cuál es el tiempo máximo que puede conservarse cada categoría de datos (p. ej., datos de candidatos o de empleados), trascurrido el cual deberán eliminarse.
Pero más allá de fijar en la política un determinado plazo, lo verdaderamente importante es que los equipos que tratan esos datos (siguiendo este ejemplo, serían los equipos de Recursos Humanos) son los que deben asegurarse de que se cumplen, eliminando los datos de sus herramientas cuando se haya alcanzado el plazo que la organización les ha fijado.
Finalmente, durante el lanzamiento de Expertos en acción, calificaste esta obra como un ejercicio “brillante y necesario”. Desde su experiencia internacional, ¿qué elementos de este proyecto editorial te parecen más innovadores o valiosos para fortalecer la cultura jurídica en materia de protección de datos en América Latina?
El libro aporta riqueza a la práctica porque plantea diversos puntos de vista y perspectivas del cumplimiento de la nueva norma chilena. En él, se abordan los retos que les esperan a las Administraciones públicas, a la autoridad de protección de datos y a las empresas privadas, y los roles que van a tener un peso específico en el cumplimiento de la norma, como son los delegados de protección de datos.
Es esa riqueza y esa conversación entre los distintos agentes públicos y privados lo que, en mi experiencia, facilitará una aplicación coherente de la normativa.