BUSCADOR

Marcelo Drago sobre la implementación de la Ley de Protección de Datos Personales: “Es un desafío que requiere preparación en muchos niveles”

entrevistas

Categoría: entrevistas

Comparte:

El abogado y académico de la Universidad Central, además de presidente de la Asociación de Profesionales en Protección de Datos Personales, analizó los desafíos regulatorios, técnicos y culturales que impone la implementación de la Ley 21.719, que reemplaza a la normativa vigente desde 1999. En esta entrevista, advirtió que existe ansiedad y falta de preparación por parte de muchas organizaciones, y que el cumplimiento efectivo exigirá un cambio institucional profundo y sostenido.

¿Cuáles son, a su juicio, los elementos más transformadores de esta nueva normativa?

Según Marcelo Drago, esta nueva ley no solo viene a modernizar el marco legal existente, sino que introduce un nuevo estándar para el tratamiento de datos personales en el país. Antes de su llegada, para esta materia, solo existía la Ley 19.628. Una normativa promulgada en 1999 que buscaba proteger la vida privada y los derechos de las personas frente a la recopilación, almacenamiento y uso de su información. El problema, con los años, fue que esta no era suficiente para abarcar los cambios sociales y tecnológicos que estaba viviendo el país.


“Estábamos muy atrasados en esta materia. La legislación actual estaba superada por las circunstancias, por la historia, por la tecnología, por el desarrollo social, el desarrollo económico. Esta es una ley de una era “pre-internet de alta velocidad”, y no es compatible con la legislación actual. Es completamente inaplicable”, dijo el experto.

Este vacío institucional tuvo un impacto directo en la cultura jurídica del país. “Significó que la ley no se aplicara y que Chile se desarrollara sin una verdadera cultura en materia de protección de datos personales”, explicó.

Por eso, uno de los elementos más transformadores de la nueva Ley 21.719, que entrará en vigencia en diciembre de 2026, es que establece un marco robusto y exigible para el tratamiento de datos personales, alineado incluso con estándares internacionales y reforzando los derechos individuales de las personas frente al uso de su información.

Uno de los avances más relevantes es la creación de la Agencia de Protección de Datos Personales. ¿Qué importancia le atribuye a esta institucionalidad y qué aprendizajes podemos tomar de agencias internacionales?

El académico subraya que esta agencia será clave para que la ley se cumpla en la práctica. “Este tipo de regulación básicamente es posible de aplicar solo en la medida que exista una autoridad administrativa que haga cumplir la ley por todos nosotros. Cada uno, individualmente, es imposible que haga cumplir la ley  (…) Solo una autoridad de protección de datos, con dientes, puede verdaderamente hacerla cumplir. Por eso es esencial que exista”, explicó.

Hablando de aprendizajes de otras agencias internacionales, Drago destacó que en la discusión legislativa se optó por seguir el enfoque europeo, particularmente el modelo del Reglamento General de Protección de Datos (GDPR), que ha sido implementado con éxito en distintos países del viejo continente. Allí, agencias como la CNIL en Francia, el ICO en el Reino Unido o las autoridades de protección de datos de España, Alemania o Irlanda han demostrado que un regulador técnico, autónomo y con legitimidad pública puede transformar completamente el ecosistema de tratamiento de datos, generando mayor responsabilidad en empresas, instituciones y gobiernos. Eso es precisamente lo que se espera lograr con esta nueva ley.

Esta nueva legislación establece un catálogo de sanciones mucho más robusto. ¿Qué tipo de incumplimientos cree usted que serán más frecuentes?

Según Drago, como la nueva normativa es una adaptación chilena del Reglamento General de Protección de Datos (GDPR) de Europa, lo más probable es que las sanciones que han sido más frecuentes allá serán las mismas acá. En ese contexto, el incumplimiento más frecuente será no poder acreditar una fuente de licitud para tratar datos personales, es decir, no contar con una justificación legal válida que respalde ese uso.

La nueva ley exige que cada tratamiento de datos esté amparado por una base específica, como el consentimiento, una obligación legal, la ejecución de un contrato o el interés legítimo. Pero si esa base es el consentimiento, este debe cumplir con requisitos muy claros: no puede ser genérico ni forzado, sino que debe ser libre, específico, informado, inequívoco, previo y, en ciertos casos, expreso, especialmente si se trata de datos sensibles.

¿Cómo deben prepararse las organizaciones para acreditar una base de licitud clara en sus tratamientos de datos?

Para el experto, la preparación para cumplir con la nueva ley no puede dejarse para última hora, ya que implica una serie de medidas concretas y complejas que requieren tiempo y planificación. Como recomendación, el primer paso sería realizar un diagnóstico exhaustivo sobre las actividades de tratamiento de datos que realiza cada organización, para luego verificar si cuentan con una base de licitud adecuada. Si esa base es el consentimiento, deben revisar si fue otorgado correctamente, recopilar nuevos consentimientos, si es necesario, y asegurarse de que cumplan con todos los requisitos exigidos por la ley. Sin embargo, advierte que el consentimiento, aunque es una de las bases más comunes, no siempre es la más recomendable debido a su complejidad:

“El consentimiento, si bien es la fuente de licitud principal, no siempre es la más deseable. Justamente por la complejidad de estar recopilando estos consentimientos”, aseguró.

Además, las organizaciones deben identificar si pueden recurrir a otras bases legales, como el cumplimiento de obligaciones legales, la ejecución de un contrato o el interés legítimo. A partir de allí, deben elaborar un inventario de sus tratamientos de datos, asignar la fuente de licitud correspondiente a cada uno y actualizar toda la documentación necesaria: avisos de privacidad, contratos con proveedores, reglamentos internos, entre otros.

Uno de los elementos más innovadores es la obligación de realizar evaluaciones de impacto. ¿En qué casos se vuelven obligatorias?

Una de las herramientas más relevantes de la nueva Ley 21.719 es la evaluación de impacto en protección de datos personales, un mecanismo que permite anticipar los riesgos que puede generar una tecnología o procedimiento sobre los derechos de las personas. Según el abogado, la ley establece criterios generales que obligan a realizar esta evaluación cuando se trate de tratamientos masivos, intensivos o intrusivos de datos, especialmente si involucran datos sensibles o nuevas tecnologías. Por ejemplo, su uso será obligatorio en proyectos que utilicen biometría facial, huella dactilar, inteligencia artificial o sistemas de vigilancia digital.

“Si yo tengo una nueva tecnología, un nuevo proyecto, un nuevo modelo de gestión, una nueva forma de trabajar que implica uso intensivo de datos personales, o uso de datos sensibles de un modo intrusivo… es obligatorio desarrollar evaluaciones de impacto (…) Si no las desarrollo, me pongo una sanción gravísima de inmediato, entre las más altas que están en la ley”, agregó Marcelo Drago.

La ley otorga un rol protagónico a los principios, no solo como guías interpretativas, sino como reglas exigibles. ¿Qué principio cree que será más desafiante de cumplir?

Para el experto, el mayor desafío que enfrentan las organizaciones está en la correcta aplicación del principio de finalidad, que exige que los datos personales sean recolectados y utilizados exclusivamente para los fines específicos y legítimos que fueron informados al momento de su obtención. Este principio, además, se entrelaza con otros como la proporcionalidad, es decir, no recolectar más datos de los necesarios, y la limitación temporal, que impide almacenarlos o usarlos más allá del tiempo estrictamente requerido.

Considerando el plazo de entrada en vigencia y los ajustes que aún se requieren, ¿cuáles son los principales desafíos de implementación que enfrentamos?

“El gobierno convocó a una comisión asesora ministerial en materia de protección de datos personales, y nos convocó a un grupo de expertos justamente para discutir cómo debía prepararse el país para cumplir con esta nueva ley”, aseguró Drago.

Según él, el principal obstáculo para cumplir adecuadamente con la nueva ley es la falta de condiciones institucionales y técnicas claras a meses de su entrada en vigencia. A su juicio, es indispensable que la Agencia de Protección de Datos comience a operar antes del plazo legal, al menos parcialmente, para entregar lineamientos clave sobre cumplimiento, evaluaciones de impacto y transferencia internacional de datos. Pero además, enfatiza que se requiere una formación urgente de profesionales capacitados y un cambio cultural profundo dentro de las organizaciones.

“Esta fue una ley muy esperada. Hacía falta porque todos sabían que había un vacío regulatorio. Entonces, creo que hubo alivio cuando se despachó. Sin embargo, ahora veo en las organizaciones mucha ansiedad y preocupación de tomar todas las medidas que sean necesarias para dar cumplimiento”, finalizó el experto.

También te puede interesar

noticias

Proyecto sobre desalinización queda listo para convertirse en ley tras aprobación del Senado

noticias

Proyecto que obliga a Gendarmería a declarar intereses y patrimonio avanza a tercer trámite

jurisprudencia

Corte Suprema confirma rechazo de protección por no renovación de matrícula