Proceso de implementación de la modificacióna la Ley de Datos Personales- Chile. El rol de la auditoría.

Por Juan Pablo González Gutiérrez*

A meses de la entrada en vigencia de la Ley Nº 21.719 que reforma la Ley Nº 19.628 sobre protección de datos personales, varias organizaciones a nivel nacional han avanzando en el diseño de un Modelo de Prevención de Infracciones, en los términos indicados en los artículos 49 y 50 de la Ley. Entre los elementos que uno puede destacar se encuentra la designación del delegado de protección de datos personales con medios y facultades para su labor, y la existencia de un serie de actividades que permiten articular un programa de prevención de infracciones y por ende, de cumplimiento de las disposiciones de la Ley, entre los que se podría mencionan: la identificación de los tipos de datos que se tratan, su categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares; la identificación de las actividades o procesos de la entidad, ya sean habituales o esporádicas que permite identificar en un contexto específico la generación o incremento del riesgo de la comisión de las algunas de las infracciones contenidas en la normativa. Además, debe contener protocolos, reglas y procedimientos específicos que permitan dar operatividad al programa, mecanismos de reporte interno, y sanciones internas en caso de infracción de las obligaciones, así como la incorporación de estas obligaciones en los contratos de los trabajadores, empleados y prestadores de servicios, o como una obligación específica en Reglamento de Orden Higiene y Seguridad (RIOHS) de la organización. Lo antes mencionado, que una vez se implemente, permita acreditar ante la Agencia de Protección de Datos Personales -quién es la llamada a certificar que el Modelo reúna los requisitos y elementos que establezca la Ley- así como supervisarlos. Sin embargo, ¿qué hago una vez certificado como organización? Considerando que una vez obtenido el certificado que acredita el Modelo, éste tiene una duración de 3 años, en que sin duda, pueden existir ajustes en procesos internos dentro de la organización y por ende, las actividades que permitieron entregar la certificación.

Así como hemos sido testigos en el mundo de la autorregulación, los sistemas de cumplimiento y por ende, un “Modelo de Cumplimiento”, no es un mecanismo estático que una vez acreditado, permita dar por cumplida la obligación de diligencia, señalada expresamente en el artículo 48 de la Ley Nº 21.719, señalando que “los responsables de datos (…) deberán adoptar acciones destinadas a prevenir las infracciones”; siendo una obligación que no cesa en haber implementado el Modelo y ser acreditado, sino que implica un despliegue de acciones constantes asociadas a las actividades de tratamiento que tiene el responsable con los datos personales que maneja e implícitamente evaluar constantemente su desempeño. Por lo mismo, esta labor no es del delegado de datos personales, ya que este actúa como un asesor y lidera la implementación del Modelo, pero no define medios y fines que son actividades propias del responsable. Acá entra la tercera línea de defensa tiene un rol crítico.

La auditoría es “un proceso sistemático que consiste en obtener y evaluar objetivamente evidencia sobre las afirmaciones relativas a los actos y eventos”, por ende, en materia de cumplimiento; uno podría indicar que es una actividad que de manera imparcial realiza la revisión de las actividades y registros de una organización para verificar que se estén cumpliendo las políticas, protocolos, como otros elementos asociados al objeto de la misma, en este caso; el Modelo. 

Este enfoque, en la normativa nacional, ha sido recientemente reconocido en la Ley de Delitos Económicos (Ley 21.595), particularmente en las modificaciones a realizadas a la Ley sobre Responsabilidad Penal de las Personas Jurídicas (Ley 20.393), en particular sobre los Modelos de Prevención de Delitos, en que la certificación es sustituida por un enfoque dinámico, a través de “evaluaciones periódicas por terceros independientes y mecanismos de perfeccionamiento o actualización a partir de tales evaluaciones”, que permitan identificar oportunamente defectos organizacionales que acentúan o habiliten la comisión de alguno de los ilícitos contenidos en la normativa.

Si bien, nada se indica en la Ley Nº 21.719 sobre la necesidad de contar o realizar un proceso de auditoría, ya sea interna o externa, si es importante para efectos de ayudar a un real cumplimiento de las obligaciones que dispone esta regulación. En ese sentido, si uno analiza a algunas buenas prácticas, como por ejemplo ISO 27.701, sobre Sistema de Gestión de Información de Privacidad, este framework cuenta con varios elementos que un área de auditoría podría verificar sobre cuán efectivas son las acciones que están tomando dentro de la organización para mitigar los riesgos detectados, previa adecuación a la normativa nacional. Ahora bien, la ISO 19.011 (sobre directrices para las auditorías de los sistemas de gestión), nos indica los principios que son importantes para cualquier proceso de auditoría y por lo tanto, que este proceso sea válido ante eventuales procesos de fiscalización futuros de una Agencia u otro regulador sectorial. 

Estos principios son: (1) Integridad; (2) Presentación imparcial de los hallazgos, conclusiones e informe, debiendo ser exactas y veraces; (3) Deber de cuidado, es decir, empleo de diligencia y juicio en la labor; (4) Confidencialidad en el uso de la información, al tener acceso a diversos tipos de documentos y datos personales; (5) Independencia, que se traduce en que deben actuar sin sesgos ni conflicto de interés; (6) Enfoque basado en la evidencia, por lo que, las conclusiones deben basarse en evidencia verificables, y el proceso debe centrarse en las evidencias obtenidas; y por último (7) Enfoque basado en riesgos, presentando en el Informe riesgos y oportunidades. Por ende, su rol es fundamental no solo para tener una visión de un tercero imparcial e independiente, ya sea en su rol interno o externo, sino que le permita confirmar o presentar posibles deficiencias en el comportamiento de ciertos controles desplegados dentro de la organización o, el posible trabajo en silos con otras áreas de la misma, y por ende, ineficiencia dentro del entorno de control existente.

Para concluir, y considerando que hasta la fecha sigue en trámite de toma de razón el Decreto Nº 662, que aprueba el Reglamento que regula los requisitos, modalidades y procedimientos para la implementación, certificación, registro y supervisión de los Modelos de prevención (de infracciones), para aquellas organizaciones que se encuentren en el proceso del diseño e implementación de un Modelo o derechamente, en generar un programa de privacidad para mitigar los riesgos identificados en el tratamiento de los datos personales, se les recomienda que consideren involucrar activamente a los equipos de auditoría interna (sin afectar la independencia y autonomía en su labor), o evalúen la necesidad de contar en intervalos definidos (semestrales o anuales) de auditorías externas, que les ayuden a evaluar sus programas tempranamente, para que en el caso que se requiera corregir hallazgos detectados (ej. no conformidades) se realice desde un enfoque del riesgo de toda la organización y no solamente, uno de índole normativo y se encuentren en la mejor postura al 1º de diciembre del 2026.