Solo falta el visto bueno de la Cámara de Diputados para que el proyecto de ley de protección de datos personales sea una realidad. Pese a que la legislación contempla dos años para su implementación en las empresas, los expertos advierten que los cambios que requiere esta norma son profundos y que el tiempo de preparación es razonable, pero puede resultar ajustado. Por esta razón, la recomendación es que las compañías comiencen lo antes posible a adecuar sus procesos de tratamiento de datos.
Los estándares que exigirá la nueva norma son muy distintos a los actuales. Carla Illanes, abogada de DLA Piper, señala que la ley vigente en protección de datos fue promulgada en 1999 y se basa en una norma española de 1982. “El cambio es de cero a mil”, afirma. En la misma línea, Fernando Fernández, director de la Asociación de Empresas Chilenas de Tecnología (Chiletec), observa que la preparación en las empresas para la protección de datos es muy baja. “Hay una falta de conciencia y conocimiento generalizado sobre el uso adecuado de los datos personales. Si tú les preguntas a las organizaciones, grandes o pequeñas, no saben internamente qué es lo que hacen con los datos. En gran medida, el problema que existe hoy no es que las organizaciones de mala fe quieran hacer un uso incorrecto, sino que sencillamente no saben”, asevera.
Los expertos ven dos puntos en los que las empresas deben concentrarse para adaptarse a lo que será la nueva ley.
1 Titularidad de los datos
Uno de los principales desafíos es entender que los datos les pertenecen a las personas. Paulina Silva, directora de la Alianza Chilena de Ciberseguridad (ACC) y socia de Bitlaw, señala que, por fallas de la ley antigua, los datos son tratados como un commodity. “La importancia real de la protección de los datos personales y la gravedad de la infracción de esta norma no son temas obvios o intuitivos”, afirma. Que los datos les pertenezcan a las personas tiene varias implicancias para las empresas. Romina Garrido, directora de protección de datos de Prieto Abogados y subdirectora de GobLab UAI, explica que los ciudadanos van a tener cierto poder sobre su información y podrán preguntar a las compañías qué se hace con sus datos, para qué se están usando, quién los tiene y por cuánto tiempo. “(Para) preguntas así, en muchas ocasiones, es muy difícil hoy lograr una respuesta de una empresa. El principal desafío es justamente este cambio de paradigma que tiene que haber en las empresas, de comprender que los datos son de las personas”, indica.
2Ver la realidad de la empresa
Otro aspecto a considerar es que la nueva legislación entrega principios para el tratamiento de datos personales, pero la implementación dependerá de la realidad de cada compañía. Garrido señala que la legislación “dice que tienes que tratar los datos para cierta finalidad, resguardarlos con confidencialidad, tener medidas de seguridad, etc. Pero no dice cuáles. Cada empresa tiene que mirar su realidad y sus riesgos, y en base a eso tomar medidas de gestión. Y eso puede tomar mucho tiempo, porque implica cambios desde lo organizativo hasta cambios técnicos y culturales”. Andrés Rodríguez, socio del área de Tecnología y Protección de Datos de Barros & Errázuriz, explica que para un cumplimiento adecuado de la normativa las compañías tendrán que ajustar todos sus procesos internos. Además, deberán “garantizar que estos procedimientos se implementen internamente de manera correcta por parte de los trabajadores, lo cual implica un cambio de mentalidad bastante radical en cuanto al uso de los datos personales”.
Agencia de datos
No solo las empresas tienen un largo camino por delante. En la vereda regulatoria, se deberá crear la Agencia de Protección de Datos Personales —un organismo autónomo, dirigido por tres consejeros y que se relaciona con el Estado a través del Ministerio de Economía.
La principal preocupación de las firmas que tratan datos es que la implementación de la ley deje espacio para que estas industrias sigan creciendo en el país. Fernández comenta que “el llamado es a la mesura en la implementación de la ley”. Afirma que en la Unión Europea, de donde proviene la norma que inspiró a la legislación chilena, “hay mucha gente que dice que la regulación fue muy lejos. En Europa no hay ninguna empresa del tamaño de Google o Microsoft”.
Illanes cree que el tono de la norma en Chile lo va a dar el primer director o directora de la Agencia de Datos. En ese sentido, afirma que se debe resguardar que este organismo “sea eminentemente técnico y que sea capaz de resolver los problemas técnicos y jurídicos que se van a presentar. Todas las directrices y medidas de educación las entrega la agencia. Entonces, regulatoriamente eso va a ser lo más importante”.
1999
La norma vigente en Chile sobre tratamiento de datos se creó hace más de dos décadas.