Por Marcelo Drago y Pablo Contreras, socios de DataCompliance*
A 15 meses de la entrada en vigencia de la nueva Ley de Protección de Datos Personales en Chile, la futura Agencia encargada de su aplicación enfrentará una lista crítica de tareas urgentes, que deben resolverse incluso antes de abrir sus puertas. Estas decisiones no son meros detalles técnicos: son las condiciones mínimas para garantizar que los derechos de millones de personas puedan ser ejercidos y protegidos desde el primer día, y para que las empresas puedan operar con certeza jurídica.
Entre las prioridades más próximas se encuentra el habilitar el tráfico transfronterizo de datos personales. La Agencia deberá establecer un mecanismo expedito para reconocer como “países adecuados” a aquellos que ya cuenten con esa calificación por parte de la Unión Europea, evitando duplicar esfuerzos regulatorios y facilitando la interoperabilidad global. Asimismo, deberá aprobar y difundir cláusulas contractuales tipo que permitan la transferencia internacional de datos, resguardando los estándares chilenos de protección.
Otra urgencia es dictar una instrucción general sobre notificación de vulneraciones de seguridad de los datos personales, en coordinación con la Agencia Nacional de Ciberseguridad. Este sistema debe ser claro, eficiente y exigir a los responsables informar tanto a la Agencia como a los titulares afectados, detallando plazos, contenidos mínimos y protocolos de actuación. A esto se suma la necesidad de establecer criterios para autenticar a los titulares de datos que ejercen sus derechos, y de fijar los costos –si los hay– para acceder a la información o solicitar su portabilidad, evitando barreras arbitrarias.
En materia de cumplimiento preventivo, hay decisiones clave que requieren lineamientos claros. La Agencia debe definir qué tratamientos de datos requieren una Evaluación de Impacto por implicar riesgos altos, y emitir orientaciones mínimas sobre cómo realizar correctamente estas evaluaciones. El incumplimiento de esta obligación será una infracción gravísima, por lo que la falta de directrices dejaría en una posición muy riesgosa a los responsables de tratamiento.
Del mismo modo, urge poner a disposición contratos tipo entre responsables y encargados de tratamiento de datos, con cláusulas mínimas que aseguren el cumplimiento normativo en el tratamiento delegado. Y para avanzar en un modelo de cumplimiento autónomo, será necesario regular el procedimiento de certificación del modelo de prevención y de los agentes autorizados para ejecutarla.
Por último, pero no menos importante, la Agencia deberá desarrollar una matriz de riesgos para su fiscalización inicial, priorizando acciones en función del tipo de dato, del volumen de tratamiento y de la naturaleza de los responsables.
Todas estas decisiones requieren ser adoptadas antes de la entrada en vigencia de la ley. No son optativas: constituyen la infraestructura jurídica básica para que el nuevo régimen funcione. Su retraso podría traducirse en inseguridad jurídica, falta de protección efectiva de los datos personales y un incumplimiento sistemático desde el primer día. La Agencia tiene una oportunidad única de establecer un estándar alto, claro y operable. Para ello, el tiempo apremia.
