Por Victoria Aylwin.
Legal Manager ADP.
El proyecto de ley (PDL) busca modificar la Ley N°19.628 sobre protección de la vida privada, estableciendo un nuevo marco legal que se ajuste a los estándares internacionales de privacidad, lo que incluye el desarrollo de un modelo de prevención de infracciones (MPD) y la creación de la Agencia de Protección de Datos como autoridad de control (Agencia).
El PDL regula el deber de las organizaciones de adoptar acciones destinadas a prevenir infracciones, y la posibilidad de adoptar, un programa de cumplimiento, el cual deberá contener: I) Delegado de protección de datos personales. II) Medios y facultades del delegado. III) Identificación del tipo de información que se trata, ámbito territorial, categoría, clase o tipos de datos o bases de datos, y las características de los titulares (personas naturales dueñas de los datos). IV) Identificación de actividades o procesos que generen el riesgo de infracciones. V) Protocolos, reglas y procedimientos que permitan programar y ejecutar labores previniendo infracciones. VI) Mecanismos de reporte interno sobre el cumplimiento de la ley, y mecanismos de reporte a la Agencia. VII) Sanciones administrativas internas, procedimientos de denuncia y castigo de responsabilidades.
La Agencia estará encargada de certificar los modelos de prevención, e incorporará a las entidades certificadas el Registro Nacional de Sanciones y Cumplimiento. Contar con un MPD certificado permitirá verificar que el responsable ha cumplido diligentemente sus deberes de dirección y supervisión.
El PDL es un cambio rotundo de paradigma sobre los datos personales. Uno de los desafíos más relevantes será el desarrollo de un MPD, que tenga como base un sistema de gestión de datos que permita tener un control apropiado del flujo de estos dentro de la compañía aparejado a un adecuado sistema recolector de evidencias de compliance. Este reto impacta especialmente a las empresas más pequeñas, cuyo negocio se vincula al tratamiento de datos personales sensibles de los titulares, pues el PDL impone un estándar mayor de resguardo de dichos datos y estas organizaciones normalmente tienen un nivel de madurez inicial y recursos limitados.
Es de esperar que con la reciente aprobación de la nueva ley marco de ciberseguridad se asuma la premura de tener un marco regulatorio armónico para Chile. Desde la perspectiva corporativa, se ha reiterado que la aprobación oportuna de esta Ley nivelará a Chile en el circuito mundial haciendo nuestro mercado más competitivo, aumentando el prestigio país y generando mejores acuerdos comerciales. Sin embargo, es se debe destacar la externalidad positiva en la ciudadanía local. El incentivo por desarrollar un MPD redundará en que se acorte la gran brecha que existe entre consumidor y empresa dado el desequilibrio informativo actual.
Hoy es casi imposible que una persona sepa realmente qué sucede con sus datos, cómo se protegen o a quién(es) se transfieren. Con la aprobación del PDL será menos complejo para las personas saber cómo una empresa está tratando su información y los mecanismos de resguardo que utiliza. Esto indudablemente ayudará a mejorar la valoración de la ciudadanía en las empresas. Ahora éstas no sólo se “aprovecharán” de los datos, sino que también “deberán rendir cuentas”, lo que a la postre redundará en que el MPD será parte del core del engranaje corporativo y fundamento de la sostenibilidad del negocio. En el futuro es dable pensar que un consumidor privilegiará una empresa que tenga un MPD certificado por sobre una empresa que no lo tenga.
Existen seis elementos esenciales que toda empresa pequeña debiera considerar para adaptarse a este desafío, a saber: I) Registro de tratamiento. II) Deber informativo. III) Procedimiento de ejecución de derechos de los titulares. IV) Medidas de seguridad. V) Terceros relacionados VI) Cultura organizacional. VII) Asesoría externa.
A modo de síntesis, las organizaciones debieran comenzar por ejecutar un catastro de información, registrando las actividades de tratamiento que debe contener el tipo de datos que se recolectan, para qué son esos datos, con quién se comparten, cuánto tiempo se almacenan, si el tratamiento se fundamenta en el consentimiento del titular o en otras bases de legitimación legal. También se debe tener en cuenta que se deben implementar mecanismos para obtener los consentimientos e informar sobre quién es el responsable del tratamiento, el propósito, fundamento, cuánto tiempo se guardarán, si estos se van a compartir, donde se puede dirigir el titular del dato para pedir sus derechos o dónde puede reclamar. Todo lo anterior, permitirá cumplir con deber de información y el principio de transparencia. Paralelamente, las organizaciones debieran enfocarse en la seguridad centrada en los riesgos propios de la actividad (por ejemplo, el nivel de exposición de una app de venta de ropa versus una app médica que recolecta datos de salud es diametralmente distinto por tanto su impacto lo será también). Por eso es mandatorio ejecutar un análisis de riesgos o evaluación de impacto de privacidad.
Además, siempre se encuentran otros actores vinculados al tratamiento (por ejemplo servicios de hosting, software de gestión o plataforma laboral). Éstos son los encargados de tratamiento, terceros que prestan un servicio y para ello tienen que acceder a los datos controlados por la organización. Este vínculo tendrá que estar formalizado en un contrato de encargado de tratamiento. Entendiendo la naturaleza preventiva del MPD y que éste no es infalible (es imposible anular ciento por ciento el riesgo) es importante que todos los colaboradores piensen en privacidad como la base de la organización, por tanto a falta o falla de controles formalizados, la cultura organizacional y ética del dato de cada persona o del conjunto de la fuerza laboral debiera ser capaz de contener una eventual incidente. Finalmente, en algunos casos por la complejidad y/o naturaleza de la organización se recomienda que tenga un asesor externo con capacidades comprobadas, que oriente a la empresa dando una mirada experta y objetiva para procurar un resultado exitoso en la implementación del MPD.
El desarrollo de un MPD certificado no sólo genera la posibilidad de prevenir infracciones y/o acceder a atenuantes de responsabilidad, sino que -además- será una “oportunidad” valiosa de demostrar responsabilidad pública en estos temas. La existencia de un MPD personalizado potenciará la imagen de la organización en el mercado siendo percibida como una entidad proactiva y comprometida con el adecuado tratamiento del dato. Lo anterior será cada más palmario, pues hoy los titulares son consumidores cada vez más informados. El escrutinio público que apele a la ética en el tratamiento de la información se incrementará indiscutiblemente en los próximos años. ¡Siempre es mejor prevenir que curar!
