Protección de datos personales
En 1999 se creó el Euro como moneda única de la Unión Europea, en Venezuela tomó posesión el presidente electo Hugo Chávez, mientras que en Estados Unidos salió a la venta el disco Californication de los Red Hot Chili Peppers. En Rusia, Boris Yeltsin renunció a la presidencia, dejándola en manos de su sucesor, el entonces primer ministro, Vladímir Putin, y en Chile se promulgó la Ley 19.628 sobre Protección de la Vida Privada, normativa vigente hasta el día de hoy en lo concerniente a la protección de datos personales.
El párrafo precedente sirve como introducción a uno de los grandes problemas que nos enfrentamos como país en cuanto a la protección de los datos personales: no contamos con una ley que se adecúe al tratamiento de los infinitos datos que se producen cada día, debido principalmente a un exponencial avance de la tecnología. Hoy estamos viviendo lo que se denomina la “cuarta revolución industrial”, en la cual la tecnología equivale a las máquinas y los datos son el combustible. Es, entonces, imprescindible contar con una normativa adecuada a la realidad fáctica que regula.
La legislación vigente sobre protección de datos personales es extremadamente desactualizada. Establece únicamente los supuestos básicos que debería tener una ley que regula materias de esta importancia. No regula de manera adecuada los principios que rigen al tratamiento de datos y no se pronuncia de varias materias que son muy relevantes, como la transferencia de datos internacionales, entre otras. Adolece de varios aspectos básicos que debe tener toda norma legal imperativa, como la falta de una entidad fiscalizadora y de control que vele por el correcto tratamiento de los datos, y no presenta sanciones para aquellas personas naturales o jurídicas que utilicen los datos en contravención a la ley.
El 13 de marzo del año 2017 se envió al Congreso un proyecto de Ley que modificaría sustancialmente la regulación al respecto, elevando la protección de los datos personales para así satisfacer estándares internacionales y cumplir con las directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE), equiparándose a la General Data Protection Regulation (GDPR), que es una legislación modelo en esta materia. El proyecto está aún en trámite legislativo.
En 2018, la Ley 21.096 ya había solucionado uno de los problemas mencionados anteriormente, otorgando rango constitucional a la protección de los datos personales, mediante su incorporación al art. 19, N°4, que indica: “Art. 19. La Constitución asegura a todas las personas: 4º.- El respeto y protección a la vida privada y a la honra de la persona y su familia y, asimismo, la protección de sus datos personales. El tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley”. Esto tiene gran importancia, particularmente porque hace viable la interposición de un recurso de protección por el titular de los datos que ha sido perjudicado por el mal uso de ellos.
El actual proyecto de ley ordena varias materias muy necesarias, señalando precisamente cuáles son los principios que promueve la protección de datos, regulando de manera detallada los requisitos del consentimiento, perfeccionando, además, otros conceptos tales como las fuentes de acceso público, datos sensibles y tratamiento automatizado de datos, entre otros.
¿En qué me influye como empresa que se vigorice la protección de los datos personales? La respuesta es simple. El nuevo proyecto de ley trae consigo una reformulación empresarial, tanto en materias de políticas internas como en la necesidad de generar una cultura de privacidad y protección de los datos que se utilizan. A continuación, ahondaremos en algunas de las obligaciones que se nos presentarían con su promulgación.
Toda ley trae consigo nuevos derechos y deberes. Esta normativa, en particular, menciona las sanciones que podrían recaer sobre una persona jurídica que actúa en contravención al texto legal. La sanción para infracciones leves puede ir desde una amonestación escrita hasta multa de 100 unidades tributarias mensuales, las infracciones gravísimas pueden llegar a tener multas de 10.000 unidades tributarias mensuales. En el caso de las empresas, la multa podría llegar a corresponder hasta un monto equivalente a 4% del total de las ventas anuales, para lo cual se consideran las del año anterior.
El art. 38 establece sanciones accesorias. Una de ellas señala que, en caso de que se impongan multas por infracciones gravísimas reiteradas -en un período de 24 meses-, la Agencia de Protección de Datos Personales, que es el ente fiscalizador y que tiene capacidad para sancionar, podrá disponer la suspensión de las operaciones y actividades de tratamiento de datos que realiza el responsable de datos, hasta por un término de 30 días. Esta medida se podrá prorrogar indefinidamente por períodos sucesivos de 30 días, hasta que el responsable cumpla con lo ordenado. De lo anterior, se deduce que, de no cumplir con esta normativa, la Agencia tiene la facultad de suspender las actividades y operaciones de empresas hasta que se cumpla con las medidas ordenadas para subsanar la infracción.
Por ende, se hace imperativo adaptarse a la nueva legislación con antelación a la promulgación de la Ley. Solo a modo de ejemplo, en la Unión Europea, se han aplicado muchas sanciones. Una de las más noticiosas fue la multa que cobró la Comisión Nacional de Informática y Libertades de Francia a Google, por 50 millones de euros. ¿La razón? Falta de transparencia y consentimiento para personalizar la publicidad. A WhatsApp también le llegó sanción de 225 millones de euros por uso inadecuado de la información recopilada, mientras que a Amazon la multaron por 746 millones de euros, por malas prácticas en la recopilación de datos.
Los datos que hoy protagonizan esta revolución digital son un gran aporte, pero hay que tratarlos como se debe, como la ley indica. Y la misma norma del proyecto todavía en estudio, en su art. 49 establece ciertas maneras para atenuar la responsabilidad de las empresas, por medio de un modelo de prevención de infracciones, que supone la designación de un encargado de prevención o delegado de protección de datos personales, y la adopción de un programa de cumplimiento.
Para más información sobre esta materia, contactar al abogado Juan Hurtado – jhurtado@palma.cl