Día de la protección de datos personales, ¿Qué hemos aprendido de la autorregulación en los Modelos de Prevención de Delitos?

Por Rebeca Zamora y Juan Pablo González*

La próxima celebración del día internacional de la protección de datos personales es muy especial. Nos encontramos en un paradigma regulatorio, especialmente por pronta entrada en vigencia a inicios de diciembre de la reforma a la Ley Nº 19.628 (¡que pronto cumple 27 años!). Esta ha sido una normativa muy esperada por todos quienes han participado en el ecosistema regulatorio de la protección de información personal. Además, varios de los elementos que conforman la normativa se basan en la regulación europea, lo que nos permite ir avanzando hacia tener un nivel adecuado y promover el desarrollo de una fuerte economía digital.

Uno de los elementos distintivos de la normativa europea son los Códigos de Conducta. Estos son instrumentos de autorregulación que en ciertos sectores específicos económicos han voluntariamente establecido lineamientos para la aplicación de la normativa sobre protección de datos personales. Se encuentran regulados en los artículos 40 y 41 del RGDP, y deben ser aprobados por las Autoridades Nacionales de Protección de Datos Personales de cada país, al cual pertenecen quienes promovieron su diseño, debiendo demostrar la necesidad de que exista una regulación en el sector, que la adopción del código permite facilitar la aplicación de la normativa, que aporta garantías suficientes y dispone de mecanismos de supervisión adecuados. En ese sentido, la voluntariedad es clave, pero, además, la importancia de que el responsable del tratamiento de datos personales, a través de su adhesión, demuestre el cumplimiento de la normativa. A modo de ejemplo, podemos señalar algunos códigos de conducta aprobados en el sector de actividad publicitaria; farmaindustria, asegurador y telecomunicaciones en España.

La Ley Nº 21.719 que reforma la Ley Nº 19.628 sobre protección de datos personales, acorde al principio de responsabilidad (art. 3º letra e)), establece, además que “Los responsables, sean personas naturales o jurídicas, públicas o privadas, deberán adoptar acciones destinadas a prevenir la comisión de las infracciones [de la normativa]” (art. 48). Para ello, nuestra normativa propone la adopción voluntaria de un Modelo de Prevención de Infracciones, que consiste en un programa de cumplimiento. Si bien, el proceso de certificación, registro y por ende, supervisión, será detallado en un Reglamento (Nº 662) – que actualmente se encuentra en proceso de toma de razón en Contraloría General de la República- cuando se analiza los artículos 49 y 50 de la Ley Nº 21.719, puede encontrar algunas coincidencias con los Modelos de Prevención de Delitos (MPD) de la Ley Nº 20.393 y 21.595, por lo que la experiencia en el diseño e implementación de estos sistemas de cumplimiento, sin duda, nos ayudará a avanzar en la adopción temprana de la norma. Como sabemos, la Ley Nº 20.393 establece un modelo de “autorregulación semiforzado”, es decir, no estoy obligado a tener un modelo de prevención, si lo tengo, cumplo elementos mínimos que se complementan con regulación propia y de tenerlo, es mi defensa ante una imputación penal corporativa. No estoy obligado a tenerlo, pero si no lo tengo, no me beneficio de una causal exculpante de responsabilidad penal.

Del mismo modo, la normativa de datos personales, nos indica que el programa de cumplimiento debe contener al menos, los siguientes elementos: (a) la designación de un delegado de protección de datos personales; (b) la definición de medios y facultades del delegado; (c) la identificación del tipo de información de la entidad que trata, ámbito territorial en que opera; la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos; (d) la identificación de las actividades o procesos de la entidad, sean habituales o esporádicas, en cuyo contexto se genera o incremente el riesgo de la comisión de infracciones de la normativa; (e) el establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones; (f) Los mecanismos de reporte internos; (g) la existencia de sanciones administrativas, así como de procedimientos de denuncia o castigo de responsabilidades de las personas que incumplan el sistema de prevención de infracciones.

Por ello, la gestión de un Modelo de Prevención de Delitos debiera dejar varias lecciones del amplio espacio para la autorregulación que nos ha dejado el legislador y que ya son buenas prácticas adoptadas por el mercado: (i) cada empresa es distinta y tiene sus propios riesgos, por eso el “cut and paste” no sirve; (ii) no existe una fórmula única de hacer un MPD, lo importante es que sea una metodología que garantice una adecuada identificación de riesgos; (iii) El EPD/Sujeto Responsable que en este caso es el DPO, debe ser una persona preparada con reporte directo a la alta administración, autonomía y facilidades de supervisión, (iv) los MPD de papel son inútiles y hasta perjudiciales: mejor no tener un MPD que tener uno que se queda en puras intenciones; (v) el MPD se trabaja a diario con coherencia, esfuerzo, disciplina y diversidad; (vi) la disciplina es importante, pero sobre todo la equidad en la aplicación de cualquier sanción; (vii) de nada sirve llenarnos de políticas, procedimientos y protocolos si las personas no los conocen, ni siquiera reciben copias y menos si no son capacitados en ello; (viii) lo que no es evidenciable, trazable y almacenable, no sirve: las cosas deben probarse, no quedar en palabras al viento; (ix) los canales de denuncias sirven no solo para castigar, sino que para detectar incumplimientos, debiendo ser líneas seguras, libres de represalias y confidenciales y (x) el DPO no puede hacer su tarea solo, todos en la organización son parte de un mismo ecosistema de cumplimiento normativo.

Finalmente, y ante la inminente entrada en vigencia la reforma de datos personales, todo lo demás de nada importa si no hay un cambio cultural de fondo: las personas debemos aprender a valorar los datos personales propios y de otros, sobre todo si son sensibles. Revelar una enfermedad, un proceso de investigación, información sensible de terceros, la situación económica de alguien, su ideología política o religiosa, etc. no es un juego. Somos responsables de todo lo que manejamos.

*Rebeca Zamora, Socia HD

*Juan Pablo González, Director HD