De cara a la presentación del libro “Compliance y protección de datos personales” —organizada por la Universidad Central y Actualidad Jurídica el blog de DOE, Pablo Contreras, director del Doctorado en Derecho y coautor de la obra, analiza los cambios estructurales introducidos por la nueva reforma, la evolución del concepto de protección de datos personales y las barreras que las empresas enfrentarán durante su implementación.
El evento se realizará el lunes 20 de enero, a las 9:30 horas, en el auditorio Carlos Blin Arriagada de la Universidad Central. La actividad contará con la participación de destacados expositores, y Contreras asumirá el rol de moderador durante la jornada.
En el libro abordas los cambios estructurales introducidos por la reforma. ¿Cómo evalúas la capacidad del marco legal chileno para equilibrar el derecho fundamental a la protección de datos personales con los intereses empresariales y gubernamentales?
La nueva ley chilena en materia de protección de datos personales establece, por primera vez, una protección formal a este derecho fundamental, creando una agencia encargada y un régimen de infracciones y sanciones. Sin embargo, también introduce reglas que, si se analizan detenidamente, amplían las posibilidades de tratamiento de datos personales en comparación con la legislación actual.
Por ejemplo, las bases de licitud, que son las condiciones legales para tratar datos personales de manera legítima, se amplían significativamente. Mientras que la normativa vigente contempla solo dos bases de licitud, la nueva ley incorpora varias más, incluyendo el interés legítimo. Esto permite que una organización pueda decidir tratar datos personales sin necesidad del consentimiento del titular, siempre que cumpla con ciertos criterios.
En este sentido, la ley combina un aumento en la flexibilidad para el tratamiento de datos con obligaciones más estrictas y un régimen sancionatorio robusto para garantizar su cumplimiento. Este balance busca proteger los derechos fundamentales, sin perder de vista las necesidades empresariales y gubernamentales.
Tú detallas un modelo de compliance en el libro. ¿Qué tan viable es su implementación en organizaciones con recursos limitados? ¿Qué rol juega la cultura organizacional en el éxito de este modelo?
El modelo de compliance, o de prevención de infracciones, busca facilitar e incentivar el cumplimiento legal. Si este modelo es certificado por la agencia reguladora, puede constituir un atenuante en procesos sancionatorios. Para organizaciones con recursos limitados, cumplir con la ley sigue siendo una obligación ineludible. La clave está en preguntarse cómo hacerlo de la manera más eficiente. Por ejemplo, el delegado de protección de datos puede ser interno o externalizado, ofreciendo flexibilidad para organizaciones más pequeñas.
La cultura organizacional juega un rol fundamental. Desarrollar una cultura de protección de datos implica comprender los conceptos clave de la ley, sensibilizar a los equipos y fomentar una conciencia sobre la importancia de los datos personales. Muchas organizaciones consideran este tema accesorio, pero los riesgos pueden surgir en áreas inesperadas, como relaciones con proveedores, empleados o comunidades. Una cultura sólida permite identificar y mitigar estos riesgos de manera efectiva.
¿Cómo ha evolucionado el concepto de protección de datos en el contexto chileno a partir de la reforma, y en qué medida esta transformación responde a estándares internacionales como el GDPR?
La evolución ha sido lenta, pero la nueva ley promete acelerarla. Chile fue pionero en América Latina al promulgar la Ley 19.628 hace 25 años. Sin embargo, esta normativa tuvo poco impacto práctico. En 2018, el derecho a la protección de datos personales fue consagrado como un derecho fundamental en la Constitución, pero no generó cambios significativos en la práctica. Con la entrada en vigor de la nueva ley, todas las organizaciones estarán obligadas a cumplir con sus disposiciones, supervisadas por una agencia especializada.
La ley chilena se inspira directamente en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Existen muchas similitudes, y expertos europeos participaron en el proceso legislativo, aportando valiosas lecciones prácticas en áreas como estándares de consentimiento, interés legítimo, inteligencia artificial, transparencia y reportes de fallas de seguridad. Esto alinea a Chile con las mejores prácticas internacionales.
En tu análisis, ¿qué barreras prácticas enfrentan las empresas al implementar mecanismos de reporte efectivos, y cómo podrían superarlas sin comprometer la competitividad del negocio?
Una de las principales barreras es la falta de diagnósticos claros sobre el tratamiento de datos, las bases de datos existentes, sus finalidades y el origen de la información. Muchas empresas tampoco gestionan adecuadamente la conservación y eliminación de datos, acumulando información innecesaria.
Para superar estas barreras, se recomienda iniciar con una auditoría de diagnóstico, establecer una línea base y crear matrices de riesgo. Este enfoque permite planificar la implementación de la ley de manera estructurada. Dado que la ley contempla un periodo de vacancia de dos años, las empresas tienen tiempo para ajustar su documentación, procesos y prácticas. Este trabajo es esencial para garantizar el cumplimiento sin comprometer la competitividad.
En el libro mencionas la importancia de identificar actividades de riesgo. ¿Qué metodología propones para priorizar riesgos en el contexto de procesamiento de datos y cómo evita que estas evaluaciones se conviertan en ejercicios meramente burocráticos?
Identificar actividades de riesgo requiere diferenciar entre protección de datos personales y ciberseguridad, áreas que se intersectan pero no se superponen completamente. Uno de los riesgos principales es determinar correctamente la base de licitud para el tratamiento de datos. Este análisis es jurídico, no técnico, y se debe considerar el tipo de datos, si son sensibles, y las operaciones involucradas.
La clave está en realizar evaluaciones prácticas que conecten el análisis de riesgo con acciones concretas. Esto evita que se conviertan en ejercicios burocráticos y garantiza que las empresas comprendan y mitiguen los riesgos regulatorios de manera efectiva.
¿Qué sectores productivos o administrativos en Chile están más expuestos a sanciones bajo el nuevo marco, y qué recomendaciones específicas harías para que estos sectores puedan anticiparse a posibles incumplimientos?
Sectores como el sanitario, donde se manejan datos sensibles, estarán bajo especial escrutinio. Otra área expuesta es el marketing directo, debido a su impacto en la ciudadanía, como en el caso del spam.
Estos sectores deben revisar sus bases de datos, la base de licitud de sus tratamientos y garantizar que las finalidades sean legítimas. Implementar programas de compliance y realizar auditorías de diagnóstico son pasos esenciales para anticiparse a fiscalizaciones o denuncias.
En tu opinión, ¿qué lecciones deja la experiencia de implementación de esta reforma para futuros ajustes legislativos? ¿Hay aspectos críticos que podrían requerir revisión o actualización en el corto plazo?
Un aspecto crítico es la tardía designación de los consejeros de la agencia de protección de datos, que será solo 60 días antes de la entrada en vigor de la ley. Idealmente, la agencia debería haberse establecido con un año de anticipación para emitir directrices claras y garantizar certezas a los actores involucrados.
La experiencia de implementación mostrará qué ajustes legislativos son necesarios, pero ya se identifica la importancia de un proceso más proactivo por parte del regulador.