La nueva Ley de Protección de Datos Personales —pendiente de aprobación por el Tribunal Constitucional y publicación— ha levantado preocupación en el ámbito empresarial, sobre todo considerando las altas multas que establece, las cuales pueden llegar a 20.000 UTM e incluso más en casos de reincidencia. Atendida esta situación necesitamos establecer una estrategia para afrontar este nuevo desafío.

Cuando hablamos de tratamiento de datos personales con diversos actores, no es extraño escuchar afirmaciones como 'yo no trato datos' o 'la ley no aplicará a mi empresa, somos muy pequeños'. Considerando esto, es necesario partir la conversación con dos aclaraciones: primero, dato personal es cualquier información referida a una persona natural identificada o identificable, y tratamiento de datos personales involucra cualquier operación, incluido el almacenamiento, por tanto, el solo hecho de gestionar la nómina de una empresa, independientemente de que tenga una pequeña cantidad de trabajadores, ya implica el tratamiento de datos personales. Segundo, la nueva Ley de Protección de Datos Personales aplica a todos, independiente del tipo de entidad o su tamaño.

Así, y teniendo en cuenta los alcances de la normativa, se pueden establecer tres pilares fundamentales para lograr un correcto cumplimiento.

El primer pilar, y del que se ha hablado bastante, es la arista de cumplimiento legal u organizativo, la que incluye contar con contratos de encargo, cláusulas y avisos adecuados; requerir el consentimiento cuando corresponda; generar políticas y procedimientos, entre otros.

El segundo pilar, al cual se le ha dado menos protagonismo, es la arista técnica. De nada servirá tener los mejores contratos, cláusulas y políticas, si no contamos con herramientas técnicas que permitan su cumplimiento. Desarrollar una correcta gobernanza de la información dentro de las organizaciones implica necesariamente contar con programas que permitan realizar un seguimiento del ciclo de vida del dato, etiquetarlo, establecer segmentación de perfiles, medidas de seguridad y otras consideraciones técnicas.

El tercer pilar, y el más importante de todos, es la generación de un cambio cultural a nivel organizacional. Hasta ahora, no se ha priorizado el correcto uso de los datos personales, por lo que de nada servirá invertir en cumplimiento legal y en herramientas técnicas, si no logramos una real conciencia de su importancia. Necesitamos crear en las personas que se relacionan directamente con la información, en el día a día de la entidad, la inquietud respecto al correcto tratamiento de la información, para que así puedan identificar cuándo estamos frente al uso de un dato personal o cuándo es necesario levantar una alerta respecto de un requerimiento de datos por parte de un proveedor o cliente. La aplicación de este cambio cultural será lo que al final del día nos brinde una mayor protección a todos.

En definitiva, para lograr un real cumplimiento de la ley, será fundamental que las organizaciones asimilen que la tarea no es responsabilidad únicamente en la gerencia legal o de TI, sino que es una tarea de todos sus integrantes.