La reforma a la Ley Nº 19.628, sobre protección de la vida privada, está próxima a ser publicada. Partirá cambiando el nombre a esta ley, que se llamará “Sobre la protección de los datos personales”, sincerando su contenido. El impacto organizacional para el sector público y privado es importante: no sólo establece derechos para los titulares de datos, obligaciones para los responsables y encargados del tratamiento de datos, sino que instala una Agencia de Protección de Datos Personales, con facultades fiscalizadoras y sancionatorias y todo un catálogo detallado de conductas proscritas unidas a altas multas.
¿Cómo entra en vigencia esta ley? En este breve escrito revisaré las reglas de vacancia legal para ubicar a los operadores del sistema en el espectro temporal en donde tendrán que tomar decisiones.
En primer lugar, la regla de entrada en vigencia está en el artículo primero transitorio de la ley. Este establece que
“Las modificaciones a las leyes N°19.628, sobre protección de los datos personales, N°20.285, sobre acceso a la información pública, y N°19.496, que establece normas sobre protección de los derechos de los consumidores, contenidas en los artículos primero, segundo y tercero de la presente ley, respectivamente, entrarán en vigencia el día primero del mes vigésimo cuarto posterior a la publicación de esta ley en el Diario Oficial.”
Se trata de una norma aplicable a todo el articulado permanente de la reforma, incluyendo las reformas al Servicio Nacional del Consumidor (SERNAC) y el Consejo para la Transparencia (CPLT). Esto implica dos consecuencias principales:
- El contenido sustantivo de principios, derechos, obligaciones y sanciones entrará en vigencia al 24º mes de publicada la ley en el Diario Oficial. En términos simples, la ley tiene una vacancia de dos años. Mientras no entre en vigor, sigue rigiendo el texto actual de la Ley Nº 19.628.
- Mientras no entre en vigencia, tanto el SERNAC como el CPLT mantienen sus competencias actuales en materia de protección de datos personales. Por lo tanto, el SERNAC puede ejercer todas sus atribuciones respecto de la protección de datos en el marco de una relación de consumo (artículo 15 bis, Ley Nº 19.496) y el CPLT debe seguir velando por la protección de datos personales por parte de los órganos de la Administración del Estado.
En segundo lugar, hay reglas especiales de plazos para la instalación de la nueva normativa. Aquí encontramos las siguientes.
1. Reglamentos. El Ejecutivo deberá dictar el reglamento de la ley en el plazo de seis meses contados desde la publicación de la ley en el Diario Oficial (artículo segundo transitorio). Es esperable que aspectos procedimentales importantes sean definidos, como el plazo para reportar las fallas de seguridad de información, entre otras materias.
2. Agencia de Protección de Datos Personales. Respecto de la Agencia, la primera designación se efectuará dentro de los 60 días anteriores a la entrada en vigencia de la ley (artículo cuarto transitorio). Es decir, se debe proceder a la designación entre el mes 22º y hasta antes del día de entrada en vigencia.
Esto implica que la Agencia casi entrará a instalarse con la vigencia de la ley. Los consejeros “solo asumirán sus cargos una vez que la presente ley entre en vigencia” (artículo cuarto transitorio, inciso 3º). El diseño no contempla que la Agencia esté formada antes y que hubiera podido ejercer sus atribuciones para guiar a los operadores en la transición al nuevo estándar legal.
Es más, dentro de los primeros 90 días de entrada en vigencia de la ley, la Agencia deberá proponer sus estatutos al Presidente de la República. Por lo tanto, la institucionalidad estará todavía en gestación aun cuándo el articulado permanente ya estará en vigor, debiendo recibir denuncias y pudiendo adoptar interpretaciones sobre el alcance de la ley.
3. La regla de las pymes. Una de las últimas materias acordadas por la comisión mixta fue establecer un estatuto de vigencia diferenciada para las micro, pequeñas y medianas empresas. En términos simples, se les entregó un año de gracia ante eventuales infracciones y sanciones. El artículo sexto transitorio determina que, durante los primeros 12 meses de entrada en vigencia de la ley, en el evento de incumplimientos de estas empresas, “la Agencia podrá aplicar como sanción una amonestación por escrito, señalando a los responsables de datos la gravedad de la infracción, la conducta infractora, y las circunstancias atenuantes y agravantes de responsabilidad, si proceden”. A ello se añade la obligación de registrar la sanción, además.
La transición al cumplimiento normativo de la nueva ley de protección de datos personales tendrá un marco temporal de años pero una vez que entre en vigencia será sumamente exigente. El régimen de entrada en vigencia apostó por diferir en el tiempo su aplicación, pero la Agencia no podrá acompañar a las empresas con anterioridad a que se cumpla el plazo de dos años establecidos en la ley. Ello permite advertir que su instalación será muy exigente y que los operadores necesitarán criterios normativos que permitan facilitar su aplicación en sus actividades.
