La directora de propiedad intelectual de la Universidad Andrés Bello y socia-fundadora del estudio jurídico Ximena Sepúlveda Abogados, Ximena Sepúlveda, abordó -en conversación con Actualidad Jurídica- el proyecto de ley de datos personales que se encuentra en su etapa final en el Congreso Nacional.
En esa línea y tras la suspensión de la última sesión de la Comisión Mixta donde se discutiría la iniciativa, la experta asegura que no es posible seguir esperando más tiempo para que se dicte su necesaria actualización. Por otro lado, señala que, ante su eventual aprobación, será un desafío llevar la norma a la práctica, además de hacerla operativa y eficiente.
Hay varios expertos que han catalogado el proyecto de datos personales como “un hito histórico” para el país ¿También lo consideras así?
Constituye un avance, sin duda. Sin embargo, el retraso legislativo en la tramitación del proyecto de ley ha significado aumentar la brecha de «desprotección» de este derecho fundamental a nivel legal, lo cual no es compatible con el desarrollo exponencial que las tecnologías han experimentado en las últimas décadas.
La última sesión de la Comisión Mixta donde se discutiría el proyecto fue suspendida, lo que ha retrasado su posible aprobación e implementación ¿consideras que a estas alturas ya deberíamos contar con esta ley?
Evidentemente. Si hacemos el análisis duro, la ley actual tiene una data de 25 años. Basta solo imaginar cómo han variado las tecnologías en ese periodo para concluir que no es posible seguir esperando aún más que se dicte su necesaria actualización.
¿Qué impacto se espera que tenga este proyecto de ley en las empresas y organizaciones que manejan datos personales en Chile?
La ley involucrará obligaciones en un estándar mucho más significativo para los responsables del tratamiento de datos personales, imponiendo obligaciones derivadas de los nuevos principios que les exige: legitimidad, información, finalidad, proporcionalidad, calidad, responsabilidad y seguridad.
Esto se deberá cumplir mediante la aplicación de medidas técnicas u organizativas apropiadas que persigan la confidencialidad, integridad, disponibilidad y resiliencia de los datos, en relación con los riesgos y la naturaleza de los datos que serán objeto del tratamiento. Desde otra perspectiva, aumenta y mejora el catálogo de derechos de los interesados.
Por otro lado, una cuestión trascendental es la creación de la Agencia Nacional de Protección de Datos Personales, organismo público autónomo, descentralizado, de carácter técnico, con personalidad jurídica y patrimonio propio, encargado de velar por el cumplimiento de la normativa relativa al tratamiento de los datos personales y su protección.
Finalmente, se crea un Registro Nacional de Cumplimiento y Sanciones de carácter público y administrado por la Agencia, el cual consignará las sanciones impuestas a los responsables de datos, los modelos de prevención de infracciones y los programas de cumplimiento debidamente certificados.
¿Crees que el cambio en las multas y sanciones que trae la iniciativa son las adecuadas?
Sí, las multas son adecuadas, porque se gradúan de conformidad a la gravedad de la infracción y se aumentan en caso de reincidencia. De este modo, parecen estar acorde con las normas generales sancionatorias en nuestro país.
¿Cómo se compara este proyecto de ley con las regulaciones de protección de datos en otros países?
Si lo comparamos con el Reglamento General de datos de la Unión Europea (GDPR por su versión en inglés), estamos muy bajo en rango de protección de los datos personales, ya que se exigen menos obligaciones a los responsables de los datos, el catálogo de derechos es inferior, y -sobre todo- porque en el proyecto se mantienen ciertos casos en los cuales no se requiere el consentimiento del interesado, lo cual ha sido fuertemente criticado.
Es decir, con ello, se establecen escenarios donde el tratamiento es autorizado aún sin requerir el consentimiento del titular, lo cual en GDPR no se prevé, salvo en casos en que la ley lo autorice.
En esa línea, ¿hay algún punto del proyecto que crees que deba ser mejorado o revisado nuevamente?
Precisamente este último que menciono. Quizás también la obligatoriedad y el no dejar como algo facultativo el modelo de prevención de infracciones.
En el proyecto el responsable de datos -persona natural, jurídica, pública o privada- podrá adoptar por un modelo de prevención de infracciones, pero no es compelido a hacerlo.
¿Cuáles son los desafíos que tenemos pendientes en Chile en materia de protección de datos personales?
El mayor desafío es llevar la norma a la práctica, hacerla operativa y eficiente, de modo que efectivamente mejore el estándar de la protección de la información personal de los ciudadanos de nuestro país.
Además, operativizar la Agencia y darle un presupuesto que le permita cumplir eficazmente su labor de protección de los derechos de los interesados, es sin duda algo que debe abordarse con la seriedad y con los recursos que esto amerita.