Yuraszeck, además, proyecta que los desafíos para la industria serán de carácter cultural, ya que Chile no posee actualmente una cultura de protección de datos personales adecuada.
Sobre aquello, en Actualidad Jurídica conversamos con Nicolás Yuraszeck, socio de Magliona Abogados, acerca del proyecto de ley de protección de datos personales y los nuevos cambios que traerá a la actual normativa; los desafíos que comprenderá en el ámbito institucional y los objetivos que deberán adquirir las empresas con esta nueva normativa.
Respecto al proyecto de ley sobre protección de datos personales que se discute en el Congreso ¿cuáles son las principales mejoras que realiza a la actual ley 19.628?
El proyecto de ley efectivamente se pone a la par con el momento actual que vive la tecnología. Lo primero que hace es incluir datos que antes no estaban considerados como datos biométricos, de perfil biológico, los datos de geolocalización; esto en cuanto a su naturaleza. En cuanto a las categorías especiales, establece una especial protección a los datos relativos a la salud y también una protección especial a datos que pertenecen a niños, niñas y adolescentes. Esto obliga a los responsables de tratamiento mayores estándares de protección, como por ejemplo, en materia de seguridad, de confidencialidad, temas de integridad, complicación de datos; pero por sobre todo en el uso de la finalidad específica para el cual fue autorizado inicialmente la entrega de esa información.
En relación a los contenidos del proyecto de ley, ¿qué dice en materia institucional?
Un aspecto que es muy importante es la inclusión de la institucionalidad. Hoy día, la ley Nº 19.628 descansa sobre una lógica que, si yo me veo expuesto a un tratamiento abusivo de mis datos personales, yo me puedo dirigir únicamente a un tribunal de justicia, en específico, un tribunal civil, con todas las barreras que eso significa.
¿Y en cuanto a los principios rectores que integra?
Efectivamente lo que hace el proyecto de ley es sistematizar los principios rectores. No quiere decir que hoy la ley actual vigente no tenga principios rectores, pero lo que hace el proyecto es sistematizar, aclarar y establecer como carta de navegación, para que no solamente a las empresas adecúen su política de tratamiento de datos personales, sino que también la Agencia como autoridad tenga como norte estos principios. Sobre esa base de principios está la facultad de emitir, interpretar y sancionar a quienes infrinjan o cometan un tratamiento abusivo.
Acá hay muchos principios que son tomados en su mayoría por el GDPR (Reglamento General Protección de Datos), y son bastante importantes como el principio de responsabilidad; básicamente quiere decir que quienes realicen tratamiento de los datos personales serán legalmente responsables del cumplimiento de los principios, obligaciones y deberes de conformidad a las leyes; el principio de licitud, donde puede realizar el tratamiento dentro del marco normativo establecido en la ley. Además, hay un principio de información que obliga a las empresas a que de manera proactiva informen a sus distintos consumidores o clientes sobre las políticas de tratamiento de datos personales.
¿Qué nuevos derechos contempla el proyecto de ley sobre protección de datos personales?
Además de los derechos ARCO, se incluyen dos nuevos derechos, como lo es el derecho específico de oposición a decisiones automatizadas, que en resumidas cuentas es la facultad que uno tiene para exigirle a un responsable de tratamiento de datos personales para que haya una intervención humana. Una máquina puede tomar una decisión objetiva, pero va a ser objetiva en base a los datos que se le entrega, y muchas veces puede pasar que esos datos sean erróneos, desactualizados, falsos, etc.
El otro derecho que se incorpora es el de la portabilidad, que es un derecho que uno tiene para solicitar a un determinado responsable que entregue toda la información que tiene en un formato genérico compatible con cualquier tipo de sistema para evitar el famoso «compra huevo”. Supongamos el caso de una compañía de teléfonos, uno tiene un contrato de prestación de servicio de telefonía móvil y se quiere cambiar, y en vez de estar dando nuevamente los datos y evitar el riesgo de propagación de esos datos, lo que se hace es solicitar a la primera compañía
Otro tema importante es el oficial de privacidad de los datos personales, ¿qué tareas y responsabilidades tendrá esta persona?
Va a ser una materia novedosa el oficial de protección de datos. Su función principal será estar a cargo del diseño, implementación y las respuestas a los distintos requerimientos que pudieran existir por parte de los titulares de datos personales, tomando todas las medidas del caso, ya sea para evitar futuras infracciones o minimizar el impacto de eventuales infracciones. Para ello, tiene que ser una persona interna de la empresa que pueda tener conocimiento de la cultura y la política de tratamiento de datos personales, pero a la vez, que tenga una independencia del punto de vista técnico, administrativo y económico para que pueda cumplir con las distintas obligaciones que establece la ley. Esta persona será la línea directa con la Agencia frente a cualquier requerimiento.
En cuanto al régimen sancionatorio, ¿qué dice la iniciativa?
El proyecto de ley tiene una lógica de carácter administrativo porque hoy la ley lo que establece, está asociado a reglas generales en materia de reparación de daños, es decir, la persona se va a juicio y tiene que probar que la acción u omisión imputable de la empresa que realizó un tratamiento indebido de datos personales, se provoca un daño, y ver cuál es la magnitud del daño, el monto del daño, etc., esa lógica hoy se abandona y se establece básicamente un catálogo de faltas graduales que pueden ser leves, graves o gravísimas, y cada una está asociada a un techo de montos en Unidades Tributarias Mensuales. En el caso de infracciones leves las multas pueden llegar a ser 100 UTM; en los casos graves pueden ser hasta 10 mil UTM, y las gravísimas pueden alcanzar las 20 mil UTM. Hay que tomar en consideración que en nuestro derecho no existen otros cuerpos normativos que establezcan multas tan altas, salvo en normativas como la de la protección de la libre competencia.
Por último, ¿cuáles serán los desafíos a nivel institucional y para las empresas cuando entre en vigencia la ley?
Los desafíos son varios, principalmente porque esto va a cambiar totalmente la estructura y el paradigma de las empresas en cuanto a los datos personales. Hoy los datos personales no son un gran tema de discusión para el tema de los clientes, porque Chile no tiene una cultura en materia de datos personales. Tienes que pensar que Europa lleva 40 años de discusión en esta materia y nosotros todavía damos con mucha facilidad el rut en las farmacias, damos nuestro teléfono y datos personales sin preguntarnos a dónde van a parar o para qué van a ser utilizados. Entonces, el primer desafío será de carácter cultural donde las empresas tengan una conciencia absoluta de que los datos le pertenecen a las personas y no a ellos, y tener que utilizar estos datos para las finalidades que fueron expresamente autorizadas.
En términos legales e institucionales, el desafío será establecer de manera clara que la Agencia de Datos se posicione como la gran autoridad en materia de protección de datos, tratando de excluir a otro organismo que poco a poco han tratado de meter la cola en esta materia, como el Sernac, a propósito de la facultad que tiene de representar a un número importante de consumidores que han sido violentados en sus datos personales. En resumen, ante una proliferación de autoridades, tienen que haber certezas jurídicas y que frente a una misma infracción, no se forme una fila de fiscalizadores.