Desde su ingreso en el año 2009, Chile como miembro de la Organización para la Cooperación y el Desarrollo Económico (OCDE), adquirió el compromiso de reformar su regulación en un sinnúmero de temas, de manera de poder ser un país más competitivo, pero al mismo tiempo más igualitario. Lo anterior, con el claro fin de adquirir la “talla necesaria” y de esta manera pertenecer al selecto grupo de las economías más importantes del orbe. En esta línea, Chile, debía reformar su legislación, para garantizar, entre otros temas, una mejor educación, una mayor preocupación y protección de los temas ambientales, asuntos relacionados con la paridad de género, entre otras.
Asimismo, dentro de los compromisos adquiridos, está el de una reforma a la ley de protección de datos personales, de manera que exista un apropiado equilibrio entre el flujo de información (necesario sobre todo para otorgar un mayor dinamismo a la economía digital) pero al mismo tiempo, dándole una adecuada protección a la privacidad de los ciudadanos. Es conveniente señalar, que Chile cuenta con una ley de protección de datos personales, que data del año 1999 (Ley N°19.628) y que evidentemente se ha visto superada por el avance de las tecnologías. Solo a modo ejemplificador de lo anterior, consideremos que los parlamentarios de la época desconocían por completo conceptos con el de Big Data, Smart Data e incluso el de redes sociales, conceptos que actualmente nos dan esa impresión de que nos han acompañado desde tiempos inmemoriales.
¿Es una muy mala ley la de datos personales chilena? La respuesta es no, pero es perfectible, por cuanto si bien la ley no se hace cargo de los nuevos procesos tecnológicos y por ende de los nuevos desafíos que plantea en términos de tratamiento, si desde el punto de vista legal, establece principios, obligaciones y un procedimiento en orden de lograr la observancia de los derechos que derivan de un inapropiado tratamiento de datos personales. Dichos derechos encuentran su fundamento, en el derecho de la privacidad y de un adecuado tratamiento de datos personales (ambos garantizados en el artículo 19 N°4 de la Constitución).
¿Es acorde a los nuevos tiempos la actual legislación? Absolutamente no, por cuanto los volúmenes, la rapidez e inmediatez con los que se pueden transferir los datos personales, así como la sofisticación en nuevos usos que se puede dar a esa información (pensemos por ejemplo en la Inteligencia Artificial), obligan a una legislación a actualizarse (siempre un paso más atrás del progreso).
¿Es tan necesario contar con una legislación acorde a los nuevos tiempos? Absolutamente si, por cuanto las nuevas políticas de negocios obligan a un mayor estándar de responsabilidad en la protección de sus clientes, quedando en la insuficiencia el hecho que el tratamiento seguro y responsable de una empresa, se traducirá en un “valor agregado” del servicio prestado, permitiéndole diferenciarse de sus competidores, sino que se ha transformado en un “desde”, acrecentado por una ciudadanía cada vez más empoderada y conocedora de sus derechos y en especial celosa de su privacidad.
En este escenario, Chile está perdiendo el partido de la competitividad, en especial, porque al no contar con una ley lo suficientemente robusta, principalmente en: (i) no tener una institucionalidad administrativa autónoma única a cargo de la observancia de los derechos de las personas (actualmente todo es judicial, con los tiempos, costos e incertidumbres que ello implica); y (ii) no tener una regulación en materia de transferencia transfronteriza de datos, de manera que al no contar con la institucionalidad, tampoco se encuentra con principios o directrices a nivel legal, para el correcto resguardo, cuando un país no es considerado, en lo que se llama en la materia, un “puerto seguro”, a diferencia de países de la región como Argentina o Uruguay. Lo anterior le resta competitividad y nuevas oportunidades a Chile, imposibilitándolo muchas veces (mas bien a sus empresas) a realizar negocios con otros países, en especial con los europeos, quienes cuentan con los más altos estándares de protección y que se encuentran materializados en el Reglamento General de Protección de Datos Personales (GDPR por sus siglas en inglés).
En esfuerzos para revertir lo anteriormente señalado, es que el gobierno de la otrora Presidenta Bachelet, presentó en el año 2017, un proyecto de ley que tenía precisamente por objeto el de elevar los estándares de protección de datos personales, establecer nuevas obligaciones a quienes realizan tratamiento de datos personales (públicos y privados) y crear una institucionalidad garante de los datos personales, dotándolo de facultades sancionatorias e interpretativas. El proyecto de ley (actualmente detenido en la Comisión de Hacienda del Senado) tomó como carta de navegación el GDPR, adaptándolo a la realidad chilena, conforme a su tradición legal, económica y social, resultando un texto equilibrado entre información y privacidad como lo hemos señalado. Sin embargo, existe preocupación, por cuanto, la tentación de ceder al llamado de sirenas, que entonan la invitación de ser más estrictos (en algunos casos más que los europeos) es una posibilidad real, en especial, en cuanto a elevar multas equivalentes a porcentajes de ingresos de años financieros al año anterior de la comisión de la falta o incluso estableciendo sanciones accesorias, consistentes en impedir el tratamiento de datos personales en caso de reincidencia, por periodos de 30 días. Esto último, en el mundo físico, equivale a poner un candado a la entrada de un edificio de una empresa, indicándoles a los colaboradores que no pueden ingresar. La información en general y el dato personal en particular, es la materia prima de una economía digital, por lo que su impedimento puede tener dantescas consecuencias.
Por lo anterior, se requiere una ley de datos personales y se requiere ahora, los tiempos de pandemia y la contingencia social han expuesto la necesidad de resguardar nuestra información. Pero en especial, necesitamos una institucionalidad que asegure el correcto resguardo del tratamiento de datos personales, garantizado a través de un proceso administrativo, más accesible, más económico y eficiente. Finalmente es importante que esta institucionalidad sea única y especializada, de manera de evitar la proliferación de fiscalizadores, que pudieran ante una misma infracción, sancionar por competencias distintas y llevando a criterios incluso contradictorios, que pudieran impedir la construcción de una jurisprudencia administrativa sana. Lo anterior podría ocurrir con ocasión de las normativas vigentes de la Comisión del Mercado Financiero cuando hay brechas de seguridad en los bancos o en proyectos de ley en tramitación, como la del consumidor, que establece la obligación de notificación de brechas a consumidores en plazos de 24 horas (más estricto que GDPR que es a partir de las 72 horas), que en caso de incumplimiento, podría ser sancionado con multas.
