Ley de Datos: es clave comenzar a prepararse
El abogado Rodrigo Lavados enfatiza que la normativa que se tramita en el Congreso exige la implementación de proyectos de tecnología y sistemas que pueden ser importantes en tiempo y costos.
Entender qué significa para cada empresa el cumplimiento de las disposiciones de la ley de protección de datos personales, actualmente en trámite legislativo, es un paso que el abogado Rodrigo Lavados, socio de Cariola Díez Pérez-Cotapos, recomienda dar lo antes posible.
La Ley 19.628 sobre protección de la vida privada, que actualmente es la que regula la protección de datos, fue publicada en 1999. En 2017 se ingresó un proyecto que modifica gran parte de su articulado para alcanzar el estándar internacional en la materia, liderado por Europa y Estados Unidos, normativa que aún no ve la luz pero que tiene urgencia para su despacho legislativo.
“Siempre mi sugerencia, sobre todo para empresas medianas y grandes, es que hagan el ejercicio de tratar de entender qué significaría para ellos el cumplimiento de esta ley, sobre todo a nivel de sistemas, porque pueden caer en la cuenta de que puede requerir de proyectos más o menos profundos para ponerse al día, la mayoría de las veces de tecnologías de la información”, advierte Lavados.
Esos proyectos pueden tomar bastante tiempo de desarrollo y la ley considera un plazo de 18 meses para el cumplimiento. “Si empiezan cuando la ley entre en vigencia, pueden estar 18 meses tarde”, dice el abogado. “Como el cumplimiento de esta ley requiere un esfuerzo, es importante al menos dimensionarlo en términos de costo y tiempo para tomar las medidas oportunas y estar al día cuando la ley entre en vigencia”, complementa. Por otra parte, el profesional estima que las industrias intensivas en uso y protección de datos serán las primeras en ser fiscalizadas cuando se dicte la ley.
“Si empiezan cuando la ley entre en vigencia, pueden estar 18 meses tarde”.
Implementación costosa
Esta legislación busca poner a Chile al nivel del estándar occidental de protección de datos, uno de los compromisos del país al entrar a la OCDE. Un camino similar ha tomado Brasil, que acaba de estrenar su propia ley en la materia, muy similar a la chilena en tramitación. El tipo de ley que vamos a tener en Chile es más o menos similar al GDPR en Europa, al CCPA de Canadá o a la ley que recién empezó a
regir en Brasil. Responden a un estándar occidental de protección de datos, y ese barco ya zarpó. En realidad lo que estamos haciendo es poniéndonos al día, pero esto ya es una realidad del mundo moderno”.
Lavados agrega que implementar las exigencias de la legislación implica costos elevados. “Este tipo de legislaciones, en otros países, ha sido cara o muy cara de implementar, dependiendo del tipo de organización. Creo que éste ha sido uno de los factores que ha ralentizado el avance del proyecto de ley porque era un poco anticlimático sacar una ley cara en un período de crisis”, expresa.
En cualquier caso, a través del SERNAC se pueden dar acciones colectivas por infracción de datos personales, dadas las nuevas facultades que se aprobaron para este servicio y que aún no han entrado en vigencia. “Estamos hablando que en cuestión de semanas o pocos meses, el SERNAC va a tener esas facultades y todo indica, por el comportamiento que tiene el servicio, que las va a usar, no van a quedar guardadas en un cajón”, adelanta.
Creación de la Agencia de Protección de Datos
A principios de septiembre, con motivo del 9° Summit de la Fundación País Digital, el presidente Piñera anunció la creación de la Agencia de Protección de Datos Personales, una institucionalidad de carácter autónomo para resguardar la seguridad y privacidad de la información de toda la ciudadanía. Lavados explica que “una de las cuestiones fundamentales por las cuales se considera que la ley chilena no cumple con los estándares mínimos internacionales y el estándar al que Chile se comprometió cuando ingresó a la OCDE es que no hay una agencia administrativa de protección de datos, lo que tiene por efecto que la barrera de entrada para reclamar por infracciones de datos es muy alta, porque hay que contratar un abogado y presentar una demanda en tribunales”.
El abogado explica que, a pesar de estar vigente la ley de 1999, los muy pocos casos de reclamos por vulneración del derecho a la privacidad de datos personales se han dado a través de recursos de protección, que no involucran indemnización de perjuicios.
La existencia de esta agencia, exclusivamente dedicada a este tema, es clave para la aplicación de la ley cuando entre en vigencia. Por eso, el anuncio podría verse como un impulso en la tramitación legislativa, aunque ya el proyecto tiene urgencia desde principios de año, sin que eso haya significado mayor avance. “Hay que tener presente que ha habido otras instancias que se esperaba que le dieran empuje a esta ley y no han prosperado. Por ejemplo, hace un tiempo el gobierno lanzó la Agencia de Ciberseguridad, a la que afectaba la ley de protección de datos porque está relacionada, pero eso ocurrió hace alrededor de un año”.
Organismos competentes
De acuerdo a la experiencia de los países que van más adelantados en este tipo de normativas, es esperable que, al momento de entrar en vigencia la ley y la agencia comience a funcionar, se produzcan contiendas de competencia entre diferentes organismos del Estado frente a los reclamos que surjan por la vulneración de derechos. Por ejemplo, en el caso de datos personales de afiliados a las AFP, ¿la competencia será de la Superintendencia de Pensiones o de la agencia? Y si se trata de datos relacionados con temas financieros, ¿le compete a la Comisión para el Mercado Financiero o a la agencia?
“Como esta nueva normativa también afecta al sector público, es muy importante que en la punta de la pirámide haya una agencia que sea respetada y que vaya ordenando de quién es la competencia”, dice Rodrigo Lavados.