Por Marcela Inzunza.
Abogada. Directora de InCompliance Consulting.
En un mundo cada vez más digitalizado, la protección de datos personales se ha convertido en un imperativo global. La Ley N.º 19.628, que ha regido la protección de la vida privada en Chile desde 1999, se enfrenta ahora a un escenario tecnológico y social radicalmente distinto, poniendo en relieve la necesidad de una legislación que se adapte a los desafíos contemporáneos. Este contexto global, marcado por legislaciones pionerasccomo el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, establece un paralelo relevante para la situación chilena.
Recordemos que Chile, al unirse a la OCDE en 2010, se comprometió a alinear sus leyes con estándares internacionales. Este pacto es el motor detrás del proyecto de ley presentado en 2017, que busca una transformación integral en la protección de datos personales. Siguiendo la senda del RGPD, considerado el estándar de oro en la materia, el proyecto chileno promete establecer un nuevo paradigma en la protección de datos, con un impacto significativo en todas las industrias.
Es así como el proyecto de ley chileno introduce elementos innovadores y refina los existentes, inspirándose en modelos como el RGPD:
- Principios de tratamiento de datos: establece principios de licitud, finalidad, y proporcionalidad, alineándose con el enfoque del RGPD sobre el tratamiento de datos basado en el consentimiento inequívoco e informado.
- Autoridad de control: propone la creación de la Agencia de Protección de Datos Personales, un ente administrativo para supervisar y sancionar, similar a las autoridades de control del RGPD en cada Estado Miembro de la UE.
- Medidas de seguridad y reporte de vulneraciones: exige medidas robustas de seguridad y la obligación de reportar vulneraciones, una resonancia directa con el enfoque del RGPD sobre la notificación de brechas de datos.
- Obligaciones de documentación y Compliance: incluye la necesidad de políticas de privacidad transparentes y evaluaciones de impacto, reflejando la importancia del RGPD en la evaluación de riesgos y la transparencia.
- Prevención de infracciones y Delegado de Protección de Datos: introduce programas de cumplimiento y la figura del Delegado de Protección de Datos, alineándose con el enfoque proactivo del RGPD en Compliance.
- Infracciones y sanciones asociadas: establece sanciones sustanciales que pueden llegar hasta 20.000 UTM (USD M1.472 app.), resaltando la seriedad con que se tomarán las infracciones bajo el nuevo marco.
Para las organizaciones, este cambio representa un desafío significativo, requiriendo una adaptación de sus políticas y prácticas internas. Sin embargo, esta transición no solo beneficia a los individuos protegidos, sino que también fortalece la confianza en el manejo de datos en una era crecientemente digital.
Aunque la implementación completa de estos cambios será un proceso gradual, la colaboración de todos los actores asegurará que Chile no solo cumpla con los estándares internacionales, sino que también se posicione como líder en la protección de datos en América Latina.
Si bien es cierto que la nueva ley de protección de datos personales en Chile representa un avance significativo, no está exenta de críticas y obstáculos. Algunos de los puntos críticos más destacados incluyen:
- Complejidad y costo de implementación: La transición a la nueva normativa podría ser compleja y costosa, especialmente para pequeñas y medianas empresas (PYMES), que podrían no tener los recursos necesarios para adaptarse rápidamente a los nuevos requisitos. Este cambio implica inversiones en tecnología, capacitación y, posiblemente, la contratación de personal especializado, como delegados de protección de datos.
- Ambigüedad en algunas disposiciones: Determinados aspectos de la ley pueden ser percibidos como abiertos a interpretaciones diversas, lo que podría llevar a incertidumbre legal. Por ejemplo, la definición de «interés legítimo» o los criterios específicos para las evaluaciones de impacto podrían no estar claramente delineados, lo que entorpece su aplicación práctica.
- Desafíos en la fiscalización y cumplimiento: La efectividad de la ley dependerá en gran medida de la capacidad de la Agencia de Protección de Datos Personales para fiscalizar y hacer cumplir las reglas. Si esta entidad no cuenta con los recursos, la infraestructura o la independencia necesaria, podría limitar su eficacia en la supervisión y sanción de incumplimientos.
- Preocupaciones sobre la protección de datos sensibles: Aunque la ley establece regulaciones específicas para el tratamiento de esta categoría, podría haber preocupaciones sobre si estas medidas son suficientemente robustas, especialmente en sectores donde se manejan grandes volúmenes de información delicada, como en el ámbito de la salud o las finanzas.
- Impacto en la innovación y economía digital: Existe el riesgo de que regulaciones muy estrictas puedan inhibir la innovación y el desarrollo de la economía digital. Las empresas podrían verse desalentadas de emprender iniciativas que impliquen el uso de datos personales debido a la complejidad legal y el temor a posibles sanciones.
- Desafíos en la armonización internacional: A pesar de los esfuerzos por alinear la legislación chilena con estándares internacionales, persisten desafíos en la armonización con otras jurisdicciones, lo que podría afectar las operaciones de empresas multinacionales y el flujo transfronterizo de datos.
En resumen, el proyecto de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales en Chile, hoy en Tercer Trámite Constitucional, representa un paso importante hacia una mayor protección de los datos personales en Chile. No obstante, es crucial abordar las dificultades que trae aparejadas para asegurar un equilibrio entre la protección de la privacidad, la viabilidad económica y la innovación en la era digital.
