Una vez que entre en vigencia la ley, los desafíos para Contreras serán de reajustes y de aprendizaje tanto para las empresas como para las instituciones del Estado.
Sobre este tema, en Actualidad Jurídica conversamos con Pablo Contreras, académico de la Universidad Central de Chile e investigador principal en el Fondecyt Regular (Chile) acerca de “Los límites a la adopción de la decisiones automatizadas en la Administración del Estado” que se encuentra en ejecución, además de co-investigador del proyecto del Ministerio de Ciencia e Innovación (España) sobre las “Claves para una justicia digital y algorítmica con perspectiva de género”. El académico abordó la importancia y los avances que trae el proyecto de ley sobre protección de datos personales en nuestro país.
¿Cuál es el escenario internacional en la regulación de protección de datos personales?
El proyecto de ley tiene una importantísima influencia desde el Reglamento General de Protección de Datos de la UE. Este reglamento entró en vigencia el año 2018, tiene un desarrollo en los distintos países y en los órganos a cargo de su supervisión en la UE. Entonces, es bastante evidente la conexión entre el desarrollo europeo de ciertas instituciones y cómo esas se están trasladando y trasplantando al caso chileno y, como vamos a tener una nueva autoridad de control en materia de protección de datos personales, es altamente probable que observe la realidad europea para ver cómo interpreta y aplica las futuras normas de la reforma la ley de protección de datos personales.
Respecto del delegado de datos que está presente en el proyecto de ley ¿qué tareas y responsabilidades tendrá?
Se crea una figura que no existe actualmente en la ley 19.628. Es un delegado de protección de datos personales que es parte de las obligaciones que van a tener los responsables de tratamiento de datos. Este delegado no es solo el hecho de nombrar a cualquier persona, el proyecto obliga a que el delegado cumpla con ciertos estándares; que tenga una cierta trayectoria profesional idónea, que cuente con medios y facultades al interior de la empresa para poder realizar su tarea, y tiene que ser designado por la máxima autoridad administrativa o directiva de la institución. Eso significa que este delegado le reporta directamente a los máximos responsables de esa empresa, sociedad o institución.
En ese sentido, ¿cómo se va a relacionar el delegado con la Agencia de datos personales?
Es clave entender que el rol del delegado es un puente y un punto de interconexión con la Agencia. Si uno revisa sus funciones está el cooperar con la Agencia de protección de datos. Para poder asesorar al responsable del tratamiento de datos, se requiere seguir la jurisprudencia, los criterios, las instrucciones que vaya dictando la agencia; y además porque, en el evento de que exista un procedimiento sancionatorio en contra del responsable del tratamiento de datos, hay al menos tres de cinco atenuantes que están en el artículo 36 del proyecto de ley.
¿Qué especifica el proyecto de ley en materia de PDC y protección de datos?
Según el proyecto de ley, el delegado tiene la facultad de informar y asesorar a la institución. También tiene que promover y participar en una política de protección de datos, la función del cumplimiento de la ley al interior de la institución, y preocuparse por la formación permanente, es decir, de hacer o supervisar capacitaciones. Hay que pensar que las instituciones son dinámicas, que entran y salen personas, ascienden, etc., por lo tanto, es clave para generar y asentar esa cultura. Además, hay una cuestión que se incorpora en el segundo trámite legislativo que es identificar los riesgos asociados al tratamiento de datos de la empresa. No es lo mismo los tratamientos de datos de una clínica o un seguro médico, que los tratamientos de datos de una empresa que fabrica escobillas de dientes. Es obvio que los riesgos son distintos, por consiguiente, la identificación de los riesgos y las medidas para mitigar esos riesgos es una cuestión crítica que se agregó como responsabilidad del delegado.
¿Qué tipo de atenuantes se pueden presentar entre los programas de cumplimiento y las agencias regulatorias?
Las atenuantes son de distinto tipo y son básicamente cinco; una de ellas son las acciones unilaterales de reparación que haga la empresa o institución; después la ausencia de sanciones previas donde se tiene un registro de irreprochable conducta anterior. Por otro lado, hay atenuantes que requieren de un asesoramiento experto, en el sentido de que el delegado le da un consejo sobre cómo enfrentar la infracción. Por ejemplo, el artículo 36 establece que es atenuante la colaboración del infractor en la investigación administrativa que practique la agencia. Si una empresa tiene un delegado bien capacitado que conoce los estándares de la agencia, ese delegado va a hacer mucho mejor su trabajo cuando la agencia esté investigando y pueda colaborar con la agencia.
Lo mismo pasa con la atenuante de la autodenuncia: para autodenunciarse y lograr los objetivos dentro del marco de un proceso sancionatorio, claramente requiere ese asesoramiento experto. Por último, quizás la más relevante desde el punto de vista del compliance, establece que es atenuante el haber cumplido diligentemente con los deberes de dirección y supervisión para la protección de datos personales. Esto se verifica con el certificado con el programa de cumplimiento, y es la agencia la que fija los criterios para esa certificación. Por lo tanto, claramente las atenuantes están conectadas con el trabajo que una empresa hace de forma preventiva a través de sus programas de cumplimiento y a través de la figura del delegado en su trabajo cotidiano al enfrentar una posible infracción.
¿Cuáles son los desafíos a nivel institucional y de las empresas una vez entre en vigencia la ley sobre protección de datos personales?
Las empresas van a tener que comenzar un proceso de diagnóstico interno respecto de cuáles son sus brechas de cumplimiento de cara a los nuevos estándares normativos. Ese primer paso será completo y dependerá del grado de madurez en la gobernanza de los datos, y requerirá asumir ciertos costos importantes para preparar el camino a la entrada en vigencia de la ley. Obviamente hay empresas que tienen camino más avanzado. Algunas de ellas tienen controladores europeos, por lo que ya responden a una estándar de protección de datos que otras empresas no tienen ese tipo de capitales y no están obligadas ni acostumbradas. Hay todo un proceso en el que vamos a tener un nuevo regulador que va a aterrizar los estándares, entonces, va a ser un periodo de ajuste que va a tomar un tiempo y vamos a tener varios aprendizajes, tanto a nivel de las empresas como de la instituciones del Estado.