*Por Carlos Reusser M.
La nueva ley de protección de datos personales está a punto de publicarse, y con ella llega un cambio significativo para empresas e instituciones que manejan información personal: un aspecto fundamental del nuevo marco normativo es el tratamiento seguro de los datos personales, una exigencia que va más allá de lo técnico para incluir también aspectos organizativos y jurídicos.
¿Qué significa esto para una organización pública o privada? ¿Será necesario cambiar de proveedor de servicios de datos? A continuación, exploramos las implicancias a considerar.
EL PRINCIPIO DE SEGURIDAD
La nueva normativa exige que los datos personales sean tratados con altos estándares de seguridad. Esto incluye protegerlos contra accesos no autorizados, pérdidas o daños accidentales. La ley introduce el principio de seguridad, que establece lo siguiente:
“En el tratamiento de los datos personales, el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción. Las medidas de seguridad deben ser apropiadas y acordes con el tratamiento que se vaya a efectuar y con la naturaleza de los datos” (art. 3).
Sin embargo, es importante comprender que la seguridad no sólo abarca medidas técnicas, como encriptación o cortafuegos, sino también procedimientos organizativos y jurídicos. En este último ámbito, un elemento crucial es el reconocimiento de ciertos países como territorios “seguros” para tratar datos personales.
¿QUÉ PAÍSES SON CONSIDERADOS SEGUROS?
En el escenario regional, Argentina y Uruguay ya cuentan con reconocimiento internacional como países con un nivel adecuado de protección de datos personales (el reconocimiento lo hace la Comisión Europea por decisión fundada). Con la entrada en vigencia de la nueva ley, Chile también alcanzará este estatus, aunque el proceso tomará algo de tiempo.
Esto significará que empresas e instituciones chilenas podrán enviar, recibir y tratar datos personales de otros países reconocidos como seguros, sin necesidad de autorizaciones especiales. Por ejemplo, una empresa chilena podría ofrecer servicios de respaldo de datos de identidad de ciudadanos japoneses, sin hacer trámite alguno.
Ahora bien, no todos los países tienen este reconocimiento, pues muchos no cumplen con los requisitos que garanticen el adecuado respeto al derecho fundamental a la protección de datos. Algunos de ellos autorizan en su legislación, por ejemplo, que el gobierno acceda libremente a los datos almacenados, sin nunca informarle a los respectivos titulares. Otros van más allá: cuando la empresa tiene su casa matriz en su territorio, se atribuyen la potestad de capturar datos en cualquier lugar del mundo que dicha empresa tenga data centers.
Afortunadamente, la Agencia Española de Protección de Datos mantiene un listado actualizado de qué países son considerados seguros, que puedes consultar aquí, lo que incluye a algunos que han dejado de serlo (y las razones para ello).
¿QUÉ HACER SI MANTIENES DATOS EN PAÍSES NO SEGUROS?
Para las instituciones públicas y empresas privadas chilenas que realizan operaciones de tratamiento de datos en países que no tienen un nivel adecuado de protección de datos, la nueva ley plantea desafíos importantes. Pero también entrega tiempo para alcanzar soluciones viables. A continuación, algunas estrategias para cumplir con la normativa:
- Identifica si los datos son personales o no: Si los datos almacenados no permiten identificar a personas, no hay restricciones legales para mantenerlos en cualquier parte del mundo.
- Separa los datos: Si manejas datos mixtos (personales y no personales), evalúa tratar los datos personales en Chile y almacenar el resto en otro lugar.
- Opta por países seguros: Almacena los datos personales o en Chile, o en territorios con reconocimiento de protección adecuada.
- Usa encriptación robusta: Si decides mantener los datos en países cuyo nivel de adecuación no es reconocido, aplica estándares de encriptación comúnmente aceptados como seguros.
Estas opciones permiten adaptarse a las exigencias de la nueva normativa, sin comprometer la operatividad de la organización.
UNA OPORTUNIDAD PARA LA CONFIANZA Y LA COMPETITIVIDAD
La nueva ley no sólo representa una responsabilidad para las empresas e instituciones, sino también una oportunidad única para fortalecer la confianza de los ciudadanos; adicionalmente, cumplir con los estándares ayudará a posicionar a Chile como un país con ventajas competitivas que ni siquiera están al alcance, por ejemplo, de Brasil.
Adicionalmente, el país cuenta con infraestructura de primer nivel. Chile alberga data centers certificados Tier IV, los más avanzados del mundo, y se está implementando el Plan Nacional de Data Centers (PDATA) del Ministerio de Ciencia, que busca consolidar al país como un polo de atracción para esta industria en América Latina.
En este contexto, evaluar la continuidad de los contratos con los proveedores de servicios de datos puede parecer engorroso, pero es preferible tomar decisiones ahora y evitar problemas en el futuro.
CONCLUSIÓN: ES HORA DE PLANIFICAR.
Adaptarse a la nueva ley es clave para evitar riesgos y aprovechar las ventajas competitivas que ofrece este nuevo escenario, lo que conlleva evaluar la situación actual, planificar los cambios, tomar decisiones y orientar el rumbo.
No esperemos hasta el último momento. Si actuamos planificadamente y con visión estratégica, se puede hacer un papel muy digno en la adaptación a la nueva realidad legislativa.
*Carlos Reusser es Doctor en Derecho por la Universidad de Salamanca, Magíster en Derecho Constitucional por la P. Universidad Católica de Chile y abogado por la Universidad de Chile. Es el redactor de la Ley de Transformación Digital del Estado y actual presidente del Instituto Chileno de Derecho y Tecnologías.
