Los datos personales se convirtieron en un activo de gran valor y la conciencia sobre su protección es cada vez más relevante. Las amenazas a la privacidad, cada vez más frecuentes, hacen necesario actualizar las leyes de datos que rigen en cada país.
Aunque la región Latinoamericana se encuentra en general con legislaciones que son del siglo pasado, ―casi que de los albores de la popularización de Internet―, la mayoría de los países se encuentran trabajando para adecuarse a los tiempos modernos, en general con la Regulación de Protección de Datos Personales (GDPR, por sus siglas en inglés) europea, de 2016, como faro.
En este contexto, Chile es uno de los países de la región que más ha avanzado en el tratamiento de una normativa que actualice sus leyes de protección, junto con Brasil, que en 2019 promulgó su Ley General de Protección de datos personales (LGPD).
El proyecto chileno fue confeccionado en el año 2017 y se encuentra en el tercer trámite constitucional: devuelto a su cámara de origen, el Senado, para aceptar modificaciones o adiciones.
El nuevo proyecto de ley requerirá que las empresas y organizaciones adecuen sus operaciones y políticas de seguridad para cumplir con las exigencias de esta ley, que vendrá a reemplazar la anterior de 1999.
En este contexto, y aunque aún falta conocer en detalle el texto que finalmente será aprobado, a continuación responderemos algunas de las preguntas que pueden estar rondando la cabeza de los altos mandos en empresas y organismos, como también de cualquier persona usuaria, adelantándonos a los puntos más importantes de esta ley exigirá.
Algunas preguntas y respuestas sobre la ley de protección de datos
¿Las empresas responsables del uso indebido de los datos personales previo a la entrada en vigor de la ley no serán sancionadas?
La nueva ley contendrá diversas sanciones frente los incumplimientos, sin embargo, las mismas no serán aplicadas inmediatamente. De acuerdo con la norma, la misma entrará en vigor el día primero del mes décimo tercero posterior a su publicación. Por otro lado, las bases de datos preexistentes cuentan con un plazo de dieciocho meses para adecuarse a los términos previstos en ella, contado desde su entrada en vigor.
Teniendo en cuenta esto, se podría decir que, desde la publicación de la norma, las empresas tendrán un plazo de dos años y seis meses para acomodarse a la ley. Sin embargo, los derechos reconocidos por esta para los titulares de datos podrán ser ejercidos de acuerdo con sus términos desde la entrada en vigor.
En conclusión, las sanciones solo tendrán lugar si pasados estos plazos las empresas continúan el incumplimiento.
¿A quiénes impacta la ley? ¿A ciudadanos y empresas de todo el mundo o solo de Chile?
La nueva ley afectará a empresas de todos los tamaños y también a organismos públicos chilenos y a la información referida a ciudadanos chilenos, por tanto, repercutiría en empresas extranjeras que traten datos de ciudadanos o personas que habiten este país.
¿Un sitio web fuera del territorio chileno al que acceden persona desde Brasil se ve afectado por la ley?
Si el sitio web recoge datos personales de personas situadas en chile y lo hace con el fin de suministrar bienes o servicios, deberá cumplir con la ley.
Si una persona fuera de chile interactúa con un sitio web de una empresa o servicio que se ofrece en Chile, ¿la ley tiene un impacto en estas personas?
En este caso, la ley implicaría que a pesar de que los datos provengan de personas que no se encuentren en el país, la forma del tratamiento estaría influida por la norma chilena. Sin embargo, esto colocaría a la ley chilena en una posición enfrentada a la ley del país en donde se encuentre el individuo y eso sería una cuestión para resolver por el organismo tratante de los datos para determinar la ley aplicable.
¿Crees que las empresas lograrán estar preparadas en el periodo establecido?
Considerando el largo proceso de discusión de la ley y que hoy la mayoría de las disposiciones que se sancionaran ya son conocidas públicamente y que el plazo otorgado por la ley para acomodarse a la misma es bastante amplio; es probable que las empresas puedan adecuarse en tiempo y forma. Las empresas podrían empezar desde ahora a evaluar sus sistemas de gestión de la información para poder iniciar a trabajar en políticas correctivas de ser necesario.
¿Cuáles son los principales puntos que las empresas deberían atender en el proceso de implementación de procesos para cumplir con la nueva ley?
En primer lugar, si una empresa no está segura de tener que cumplir con la ley, deberá buscar asesoramiento tanto jurídico como de especialistas técnicos del ámbito de la seguridad de la información. Las empresas que deben cumplir con la ley necesitan seguir un proceso que incluya al menos los siguientes pasos:
- Entender las políticas y procedimientos actuales para la recolección, almacenamiento y venta/compartición de datos personales.
- Hacer una evaluación del estado actual de la empresa y definir los puntos de mejora para acomodarse a la ley.
- Desarrollar una estrategia de pasos a seguir para alcanzar el cumplimiento basada en el análisis de las deficiencias.
- Desarrollar actualizaciones y mecanismos para el cumplimiento de la normativa, como políticas de privacidad, aceptación y exclusión voluntaria, actualizaciones de la web, etc.
¿Cuáles son los principales desafíos para las pequeñas y medianas empresas?
La necesidad de cumplir con la normativa es independiente del tamaño de la empresa. Quizás la diferencia entre unas y otras sea la del presupuesto establecido para la seguridad de la información. Usualmente, empresas grandes ya cuentan con áreas específicas que aborden las temáticas, en cambio, empresas más pequeñas quizás aún no hayan contemplado esta cuestión. El desafío para ambas resulta en contar con presupuesto y especialistas dedicados.
¿Cuál es la autoridad competente para la aplicación de la ley?
La autoridad competente para aplicación y control de cumplimiento de las normas referidas a protección de datos será la Agencia de Protección de Datos Personales, que será el organismo encargado de velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y sus datos personales. Tendrá potestad para imponer sanciones, multas y de dictar reglamentos para garantizar el cumplimiento de la ley.