En el marco del seminario “Multas y cumplimiento en la nueva ley de datos personales: desafíos y riesgos para las empresas”, organizado por DOE y Actualidad Jurídica, la abogada de la Cámara de Comercio de Santiago y fiscal de sus filiales, Tábata Torbellino, abordó los principales desafíos que enfrentan las pymes para adecuarse a la nueva normativa, advirtiendo sobre la importancia de avanzar desde ya en medidas de cumplimiento y cultura organizacional en materia de protección de datos.

Durante el seminario señalaste que la nueva ley de datos personales tendrá un impacto especialmente importante en las pymes. ¿Cuáles crees que serán las principales dificultades que enfrentarán este tipo de empresas para adecuarse a la normativa?

Yo creo que, en primer lugar, está el desconocimiento. Esta es una normativa nueva que, si bien se habla mucho, se habla mucho a ciertos niveles que generalmente tienen acceso las empresas más grandes. Entonces, el primer problema va a ser el desconocimiento que tengan las empresas respecto del alcance de esta normativa. Muchas no la van a conocer.

El segundo problema será que, una vez que conozcan la normativa, se van a enfrentar a una gran cantidad de cuestiones que deben adecuar. La norma es muy compleja, tiene mucha información, muchos artículos y muchas obligaciones repartidas a lo largo de todo el texto. Entonces, no es sencillo cumplirla.

Y, en tercer lugar, una vez que se conozca y se entienda la norma, viene la parte de asumir las obligaciones que establece la ley. Y eso es un tema económico. Hay que tomar medidas que implican costos, tanto en personas como en manejo de prioridades, consolidación de recursos y presupuestos.

Estas son cuestiones que las pymes, y en realidad todas las empresas, no tienen dentro de sus prioridades. Entonces, van a tener que implementar muchas medidas para las cuales van a necesitar recursos económicos y personas que probablemente no van a tener tan disponibles.

Existe la idea de que la protección de datos es un tema solo para grandes empresas. ¿Por qué esa percepción es equivocada?

La protección de datos es una normativa que está hecha para todas las empresas, sin excepción. La ley no establece obligaciones para empresas grandes y obligaciones distintas para empresas chicas. Las pymes no se eximen por cantidad de trabajadores o por ingresos.

Sí existen ciertos guiños para las pymes. Principalmente, porque la agencia podría establecer ciertas obligaciones diferenciadas de cumplimiento y, además, porque durante el primer año de vigencia de la ley, en lugar de recibir una sanción económica, las pymes recibirán una amonestación escrita.

Pero esas son salvaguardas. En ningún caso se establece que las pymes no tienen que cumplir ciertas obligaciones. Probablemente, en materia de seguridad, la agencia va a poder definir distintos grados de cumplimiento considerando el tamaño de la empresa.

No le van a pedir lo mismo a una megaempresa que a una empresa pequeña, pero sí le van a exigir cumplir.

Desde una mirada práctica, ¿cuáles son las primeras medidas que debería tomar hoy una empresa o una pyme para comenzar a cumplir con la ley?

Hay varias herramientas que las pymes podrían empezar a buscar. Internet puede ser una buena fuente de información, dependiendo de dónde venga esa información.

En la Cámara de Comercio estamos trabajando para disponibilizar ciertos modelos y documentos que permitan a las pymes avanzar en el cumplimiento de la ley sin costo. Evidentemente, las empresas con mayor capacidad económica debiesen buscar asesoría especializada, pero también habrá recursos gratuitos para quienes no puedan hacerlo.

Dicho eso, lo que tendrían que hacer hoy las empresas es una labor de revisión y una labor documental. Cualquier empresa debería revisar que sus contratos con trabajadores, reglamentos internos, contratos con proveedores y otros documentos incluyan cláusulas de protección de datos personales.

Es decir, que se resguarden los datos, que se mantengan confidenciales, que se usen solo para aquello para lo cual fueron solicitados y que no se pida más información de la necesaria.

Desde un punto de vista práctico, las empresas tienen que cambiar su modo de operar y preguntarse: ¿Qué datos estoy utilizando? ¿Es necesario tener estos datos? ¿Qué hago con ellos? ¿Dónde los guardo? ¿Los borro? ¿Cómo los protejo?

También pueden implementar medidas simples, como una política de borrado de correos, una política de privacidad en su sitio web, disclaimers en los correos, nombrar a un encargado de datos personales o establecer un procedimiento para los derechos ARCO.

Por ejemplo, crear un correo electrónico especial para esos efectos, hacer una política de privacidad o definir ciertos protocolos son medidas que las pymes deberían estar implementando desde ya.

¿Qué tan importante será que las organizaciones generen una cultura interna de protección de datos y no solo una serie de protocolos formales?

Eso va a ser mucho más difícil. Cambiar documentos puede ser trabajo, pero se hace. Cambiar la forma de hacer las cosas y tener inserta en la cultura de una empresa la protección de datos es mucho más complejo.

Procesos similares ya se han vivido con el SERNAC. Hoy la mayoría de las empresas tiene internalizado que puede haber un reclamo o una fiscalización. Eso está en el ADN de las organizaciones.

Lo mismo tendrá que ocurrir con los datos personales, pero es un proceso. No es inmediato.

Considerando que muchas pymes no cuentan con equipos especializados ni abogados, ¿qué tipo de apoyo o herramientas podrían facilitar la implementación de esta ley?

Hoy existen consultoras especializadas que están trabajando en esto, aunque evidentemente eso tiene un costo.

También hay materiales gratuitos disponibles en internet y algunas instituciones están trabajando en desarrollar herramientas de apoyo.

En la Cámara de Comercio de Santiago estamos trabajando para disponibilizar documentos de buena calidad para las pymes, de manera que quienes no puedan pagar una asesoría especializada al menos cuenten con un checklist de cumplimiento o ciertos documentos base para empezar con la implementación de la ley.

Durante el seminario hiciste un llamado a las empresas a “no quedarse sentadas”. ¿Cuál puede ser el costo de esperar demasiado para comenzar a prepararse?

La ley establece un estándar de diligencia. Habrá que ver cómo opera la agencia y cómo actúan los tribunales, pero lo esperable es que se revise si las empresas se están moviendo o no.

No me imagino, y espero no equivocarme, que la agencia empiece inmediatamente a sancionar, sobre todo a las pymes. Me imagino que se entenderá que existe un proceso de adecuación. Pero una cosa es que exista un proceso de adecuación y otra muy distinta es que las empresas no hagan absolutamente nada.

Lo que yo planteo es que las empresas tienen que avanzar de la forma en que puedan. Si es contratando asesoría especializada, fantástico. Si es buscando una política de privacidad en internet, estableciendo un programa de borrado de correos o haciendo capacitaciones internas, también sirve.

Porque al menos, si la agencia llega a tener algún problema, la empresa va a poder decir legítimamente: “Yo he hecho esto, esto y esto otro”.

En el caso de las pymes, existe este primer año en que solamente van a recibir una amonestación, una especie de marcha blanca. Pero eso no significa quedarse esperando un año sin hacer nada.

Porque si una empresa deja pasar el tiempo, puede encontrarse después con multas que, aunque parezcan pequeñas, se van acumulando. Y eso termina afectando directamente el presupuesto de las pymes, que son un motor muy importante de la economía chilena.

Por eso es tan relevante que las pymes empiecen a moverse desde ahora para poder avanzar en el cumplimiento de la norma.