24 meses para la Partida: El desafío de prepararse para la nueva ley de protección de datos personales

Por Diego Córdova Yukich*.

Después de más de siete años de tramitación en el Congreso, se ha declarado como constitucional el Proyecto de Ley de Protección de Datos (Boletín 11.144), quedando pendiente únicamente su publicado como ley en el Diario Oficial.

Esta nueva normativa, ajustándose a los estándares internacionales sobre la materia, introduce importantes cambios en el panorama legal nacional. Entre sus principales novedades se encuentra la creación de la nueva Agencia de Protección de Datos Personales, órgano encargado de fiscalizar el cumplimiento de la ley y de sancionar las infracciones, cuyas multas previstas son altas. De allí que muchas empresas e instituciones oportunamente prioricen el cumplimiento normativo como una cuestión crítica.

Un aspecto clave de cara al futuro es el artículo primero transitorio de esta ley, el cual fija un plazo de 24 meses desde la publicación de esta ley en el Diario Oficial para la entrada en vigor de la misma. Esto significa que sus sanciones, obligaciones y derechos no serán aplicables sino hasta finales del 2026.

Así, si observamos la experiencia comparada, podemos ver situaciones similares en distintos lugares. En la Unión Europea, con su Reglamento General de Protección de Datos (RGPD), se otorgó un período de gracia de 24 meses, al igual que en Chile, desde abril de 2016 hasta mayo de 2018. En Brasil, con su Lei Geral de Proteção de Dados Pessoais (LGPD) de agosto de 2018, se estableció también un período de adaptación de 24 meses. Asimismo, en Japón, las modificaciones a su ley de protección de datos personales, aprobadas en 2020, contemplaron su entrada en vigor para abril de 2022.

Este plazo de 24 meses previos a su aplicación, en ningún caso debe considerarse como un tiempo de relajo, sino como una oportunidad para prepararse. Las empresas que no se adapten a tiempo arriesgan importantes multas y sanciones.

De hecho, si se mira la experiencia comparada como referente, este período de ajuste regulatorio significó importantes desafíos para las empresas de cara a la adecuación de sus prácticas a las nuevas exigencias regulatorias.

Al respecto, cabe advertir, esta adecuación normativa presenta desafíos que van más allá de la mera relación con clientes y usuarios. También será necesario revisar cómo son tratados los datos personales de empleados, contratistas y proveedores.

Así, algunos de los desafíos más importantes para las empresas durante este período de 24 meses está en la revisión de procesos internos, la creación de un inventario actualizado de datos y un análisis exhaustivo de las políticas de tratamiento y eliminación de datos personales.

Al mismo tiempo, la implementación de la nueva ley implicará, desde luego, una inversión importante en términos de tiempo, dinero y personal especializado: supondrá contratar expertos en protección de datos o bien la externalización de estos servicios a expertos, habrá que ajustar las políticas y procedimientos internos para cumplir con los nuevo estándares. También para muchas empresas significará realizar inversiones en tecnología, adopción de nuevas herramientas para la gestión de datos y sistemas para facilitar el cumplimiento normativo.

Un punto relevante a tener en cuenta es que la nueva ley, en un modo similar al RGPD de Europa o la nueva ley brasilera, habilitará nuevas vías para tratar datos personales, por lo tanto, será crucial revisar si el tratamiento de los datos personales llevado a cabo al interior de la empresa se encuentra amparado en alguna de estas nuevas fuentes de licitud para el tratamiento, de lo contrario habrá que obtener el consentimiento de los titulares de dichos datos. Tomando la experiencia europea como referente, esto significó la revisión de formularios, aplicaciones y plataformas digitales para garantizar que el consentimiento es obtenido ajustándose a las nuevas reglas. Al mismo tiempo se debió implementar mecanismos adecuados para que los usuarios pudieran ejercer oportunamente sus derechos.

A nivel interno, habrá un importante desafío para las empresas en torno a la formación, capacitación y concientización de su personal, especialmente a aquellos que en el desempeño de sus funciones realizan operaciones de tratamiento de datos personales. Al mismo tiempo habrá las empresas e instituciones deberán buscar asegurarse que sus proveedores y terceros cumplan con la normativa, esto en la experiencia europea significó la renegociación de contratos y asegurar que el los terceros proveedores o externos que prestar servicio a la empresa, cuenten con garantías adecuadas.

Otro punto relevante a tener en cuenta es que la nueva ley de protección de datos contempla gestiones específicas para la gestión de incidentes de seguridad, que significa notificar a la Agencia de Protección de Datos y, según el caso, a los titulares de datos afectados. Esto desde luego, supondrá implementar sistemas y procedimientos adecuados para la detección, reporte y gestión de brechas de datos en los términos definidos por la ley.

Finalmente, cobrará relevancia la designación de un Delegado de Protección de Datos, especialmente para el caso en que se decida adoptar un modelo de prevención de infracciones. Este rol, jugará un papel clave en la implementación de la nueva ley al interior de las organizaciones y como punto de contacto de éstas con la autoridad y con los titulares de datos.

En conclusión, la implementación de la nueva ley de protección de datos, tal como ocurrió en la Unión Europea no es sólo una cuestión técnica, implica un cambio cultural al interior de la organización. Así las cosas, aunque el periodo de vacancia legal de 24 meses parezca lejano, las empresas deben comenzar a prepararse ya. Al igual que una carrera de fondo, si bien la largada será dentro de 24 meses, para lograr un buen desempeño la preparación debiera comenzar ahora. ¡Manos a la obra!

*Diego Córdova Yukich. Abogado, Universidad Diego Portales, Máster en Derecho TMT y Protección de Datos Universidad Carlos III de Madrid. Abogado en Gutiérrez & Arrieta Abogados.