Datos personales: Protección y el desafío que viene
En trámite en el Senado, el proyecto de ley que pone al día a Chile con la legislación internacional establece duras sanciones y crea la Agencia de Protección de Datos, que velará por que se cumplan los principios y derechos que consagra la iniciativa legal.
En Europa, a partir de mayo de este año, el Reglamento General de Protección de Datos (GDPR) exigirá que todas las empresas realicen cambios importantes en la forma en que recopilan y procesan los datos de los consumidores. Se estima que ello tendrá un impacto signi?cativo para los especialistas en marketing que utilizan datos de los consumidores para impulsar campañas específicas y eficaces, ya que se aplica a cualquier empresa que ofrezca bienes o servicios en la Unión Europea.
Dada su importancia, la World Federation of Advertisers (WFA) elaboró una Guía para Marketeros sobre este reglamento, advirtiendo que el GDPR cambiará significativamente cómo y cuándo las empresas pueden utilizar los datos, que afectará a casi todas las grandes compañías multinacionales y que las empresas corren el riesgo de pagar grandes multas por incumplimiento.
Lo que viene para Chile
La protección de datos personales es un tema de relevancia mundial que también está en la contingencia chilena, con un proyecto de ley presentado el año pasado que modificará la Ley 19.628, que data de 1999.
Las sanciones que impone este proyecto -que está el primer trámite constitucional en el Senado con urgencia simple- a organizaciones que traten mal los datos de que disponen, van desde una amonestación hasta una multa de 5 mil UTM –unos $250 millones-. Además, crea la Agencia de Protección de Datos.
Empresas y organismos públicos estarán bajo la lupa de este organismo, al que cualquier persona puede recurrir para reclamar por un mal uso de sus datos personales. Ahora bien, aclara el abogado Raúl Arrieta, director jurídico de la IAB, socio de Gutiérrez & Arrieta Abogados, y quien monitorea de cerca la tramitación del proyecto, la legislación tiene un carácter preventivo y busca en primer lugar fomentar el correcto uso de los datos.
“Este proyecto se ha ajustado mucho al estándar internacional, a legislaciones que podrían considerarse modelos para Chile como las directrices de la OCDE, el reglamento de la Unión Europea, la legislación española y algunas latinoamericanas que están más avanzadas que la chilena. Consecuentemente, es un proyecto de ley que está bastante bien encaminado a posicionar a Chile como un país adecuado en lo que se refiere a tratamiento de datos personales”, opina el abogado.
La legislación implicará un cambio cultural y organizacional importante. Arrieta advierte que “las empresas y el sector público van a tener que asumir algo que suena obvio pero que en la práctica no se respeta, y es que los datos personales son de las personas, no de las empresas ni del Estado. En consecuencia, cuando tienes una empresa u organismo público tratando datos personales, está tratando algo que es ajeno, que no le es propio, y por ello tiene que tener muchísimo cuidado con la forma en que lo hace”.
Con respecto a la legislación vigente, el proyecto la perfecciona adecuándola al estándar internacional, porque no obstante existe un reconocimiento de los derechos relativos al tratamieneto de los datos personales no hay una institucionalidad que vele por su cumplimiento, ni sanciones ante su vulneración. “Que alguien trate mal tus datos te significa presentar una demanda en un tribunal, litigar 10 años, acreditar daño moral, etc. El esfuerzo de reclamar es tan alto que no se hace, y eso es un cambio sustantivo en lo que viene. Porque más allá del perfeccionamiento al régimen de principio y de derecho, se crea la Agencia de Protección de Datos Personales como un organismo autónomo que tiene personalidad jurídica propia, que va a tener presupuesto asignado en la ley de presupuesto y que tiene por objeto velar por el cumplimiento de la ley, fiscalizar y sancionar a quien trata mal los datos. Tendremos al propio Estado velando por el desarrollo de la democracia al propender al incremento de la tutela efectivo de los derechos constitucionalmente reconocidos”, explica.
Al mismo tiempo, se crea un catálogo de sanciones que van desde la amonestación escrita y hasta multas de 5000 UTM, aproximadamente $250 millones. “Son pocas las agencias que podrían sobrevivir a que le apliquen una multa de ese monto-dice el abogado-. Puede impactar de manera muy dura y, consecuentemente, hay que tomarse el tema muy en serio. Desde ese punto de vista, el desarrollo gremial es súper relevante, porque uno debería pensar que los primeros llamados a ayudar a sus socios a disciplinarse son los propios gremios, premiando, creando modelos de prevención de infracciones que sean estándares, generando mecanismos de autorregulación, buenas prácticas, etc”.
El proyecto de ley establece siete principios para el tratamiento de los datos personales: licitud, finalidad, proporcionalidad, calidad, responsabilidad, seguridad e información.
Nuevo escenario
“Se construye un escenario nuevo que nos obliga a repensar y tomar decisiones respecto a lo que hacemos con los datos”, precisa Arrieta. Menciona, por ejemplo, que en general se tiende a pensar que esta materia tiene que ver con los datos de clientes, pero también aplica a aquellos de los empleados de una compañía. Imágenes y fotografías también constituyen datos personales en la medida que permitan indentificar a una persona determinada, lo que genera la obligación de contar con el consentimiento de su titular para publicarlas o difundirlas con cualquier fin.
Asimismo, prácticas como recolectar datos por si sirven más adelante entrarían en conflicto porque la recolección de los datos es desproporcionada para la finalidad que se está declarando, y además existe el riesgo de tener una sanción mayor si se pierden los datos, por el simple hecho de que es mayor la cantidad de datos perdida.
“Uno debería tratar de acostumbrarse a tratar los datos mínimos necesarios que sirvan para cumplir la finalidad puntual, y eso obviamente va a tener que cumplir mecanismos mucho más racionales a la hora de pedir información, implicará un cambio cultural muy significativo”, explica.
El proyecto prevé un plazo de 4 años desde que entra en vigor para que se aplique plenamente, sin embargo, los cambios culturales, organizacionales, comerciales, contractuales, de proceso, etc. son tan significativos que el plazo pasará de manera muy acelerada. Con respecto a la Agencia de Protección de Datos, su rol es educar, evaluar y sancionar los reclamos que se le presenten, dándose un plazo máximo de 6 meses para resolverlo, lo que apunta a que se corrijan de manera muy expedita las prácticas que puedan efectar los derechos de las personas. La multa que pueda derivarse del proceso es a beneficio fiscal.
Derechos ARCO
La ley en trámite reconoce los derechos ARCO: acceso, rectificación, cancelación y oposición, a los que se agregó un quinto: portabilidad. “Básicamente lo que buscan es devolver a la persona el derecho a controlar su información. La protección de datos gira en torno a que las personas puedan controlar quién trata su información, cómo, para qué y por cuánto tiempo”, explica Arrieta.
Los derechos son irrenunciables, no admiten que sean limitados por medio de ningún contrato o convención y su ejercicio debe ser gratuito.
El derecho de acceso básicamente es la facultad que tiene cualquier persona de pedir información al responsable sobre el tratamiento que da a sus datos.
Cuando los datos sometidos a tratamiento son inexactos, incompletos o errados, el ciudadano tiene derecho a pedir que se rectifiquen. El clásico ejemplo es pedir que se actualice el estado civil luego de haber contraído matrimonio.
Con el derecho a la cancelación, una persona puede pedir que se eliminen sus datos cuando la situación por la cual eran tratados cambió. Por ejempo, solicitar la salida de un boletín de morosidad por haber cancelado la deuda.
El derecho de oposición permite que la persona se oponga a que se traten sus datos en ciertas circunstancias, una de las cuales es que se estén usando con fines de marketing directo. Sin embargo, precisa el abogado, el proyecto introduce una excepción: salvo cuando sea en el marco de una relación contractual. “Por otra parte, no han eliminado el artículo 28 b de la ley del consumidor, en virtud del cual me pueden mandar marketing directo hasta que yo diga lo contrario, entonces eso todavía está desconectado, falta coherencia legislativa. Además, está bien alejado del nuevo estándar internacional, que reconoce la actividad de marketing como parte del interés legítimo que tiene cualquier empresa de desarrollar su actividad, más allá de ponerle ciertos límites”.
La portabilidad de los datos es un derecho nuevo que está recién incorporado en el reglamento europeo que entra en vigor en mayo de 2018, sobre el que no hay experiencia práctica. Es la facultad que tiene el titular de los datos para pedir al responsable que le entregue sus datos personales en un formato estándar para llevarlos a otra parte para que continúe su tratamiento.
Auditoría de datos
A partir de esta nueva legislación, se reconfigurará la relación entre los distintos responsables. Por ejemplo, entre avisadores y agencias con respecto a los datos que se utilicen para las campañas. “Hoy viene una empresa que me pide una campaña, y para eso voy a tener que pedirle cosas respecto a la forma en la cual me entrega la información, va a tener que entregarme ciertas autorizaciones y garantizarme cosas de cara a la ley. Por ejemplo, ante una campaña de mailing, que es lo más simple, el que me mande los datos va a tener que hacerse responsable de que tiene autorización para usar esos correos con la finalidad de desarrollar la respectiva campaña”, detalla Arrieta.
En el mundo se ha implementado un sistema de evaluación de impacto en la protección de datos para verificar que estén siendo bien tratados. “Significa enfrentarme a cada uno de los procesos que desarrollo en mi compañía e inventariar los datos que se usan: qué datos, cuáles son personales, cuál es la legitimidad para tener esos datos, tengo el consentimiento, hay una ley que me autoriza a tratar esos datos, y así voy a empezar a analizar todas las hipótesis que prevé la ley. Si termino todas las hipótesis y me doy cuenta que no tengo legitimidad, tengo que borrar el dato. Y después que veo si tengo legitimidad, paso al siguiente requisito: finalidad, proporcionalidad, y así sucesivamente. Y todo eso hay que poder demostrarlo”. Si bien esta clase de sistemas no están expresamente exigidos en el Proyecto de Ley, lo que sí es relevante es que se incorpora la posibilidad de que las empresas implementen modelos de prevención de infracciones y con ello se pueda atenuar la responsabilidad de los responsables de tratamientos de datos infractores, finaliza.