Próxima Protección de Datos Personales en Chile: Ad Portas de un Nuevo Compliance

Por Ivonne Bueno*

El Proyecto de Ley de Protección de Datos Personales (proyecto), Boletín N°11.144, está en su recta final y todo apunta a que el el Congreso lo aprobaría este año. Ante esta situación, las organizaciones de toda índole debieran comenzar a prepararse desde ya,, dado que no sólo actualizará y elevará los estándares en la materia, sino que también creará una agencia especializada con facultades para dictar normas obligatorias, aplicar e interpretar la ley, fiscalizar su cumplimiento y, de manera significativa, dictar sanciones.

El régimen de infracciones contemplado en este proyecto guarda similitudes con el del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Este enfoque implica que el responsable de los datos personales debe asumir una responsabilidad proactiva en garantizar su seguridad, implementar medidas adecuadas para prevenir daños y responder por cualquier perjuicio que puedan sufrir los titulares de los datos (Puyol, 2020).

En efecto, el proyecto dispone que el responsable de dichos datos (persona natural o jurídica, pública o privada, que decide sobre los fines y medios del tratamiento) que infrinja la ley, será sancionado, sin perjuicio de las acciones civiles y penales que procedan.

Dentro de este marco, se definen distintos niveles de infracciones: leves, graves y gravísimas las cuales conllevan sanciones que parten desde la amonestación por escrito a una elevada multa de hasta 20.000 UTM (más de $1.300 millones), la que podría incrementarse incluso en un 50% en ciertos casos.

Asimismo, se establecen penas agravadas en caso de reincidencia, la suspensión total o parcial de las actividades de tratamiento de datos del infractor, y la incorporación de éste al Registro Nacional de Sanciones y Cumplimiento, a cargo de la Agencia, como una verdadera política de name and shame británica, que busca exponer al escrutinio público a una organización que se ha comportado de forma ilegal.

De esta forma, nuestro país pasará de un régimen con sanciones inocuas y sin enforcement efectivo, a un sistema sancionatorio serio, dirigido por un organismo técnico, con amplias facultades para resolver reclamos, condenar y determinar, discrecionalmente, la sanción.

Compliance como atenuante de responsabilidad

Frente a este riguroso marco sancionatorio, el proyecto contempla como atenuante de responsabilidad contar con un modelo de prevención de infracciones o programa de cumplimiento, certificado por la Agencia. Con ello, se incorpora a la legislación nacional un nuevo compliance de protección de datos personales, en algunos aspectos similar al contenido en la Ley N°20.393 de Responsabilidad Penal de las Personas Jurídicas, cuya normativa podría ser tomada como referencia en caso de vacíos legales.

Este programa es totalmente voluntario y debe contener ciertas condiciones mínimas para ser certificable, que son:

1. Designación de un Delegado de Protección de Datos (DPO), encargado de promover y participar de la política de protección de datos, supervisar su cumplimiento, capacitar, etc. En el fondo, será un verdadero arquitecto de decisiones (Thaler & Sustein, 2008), que procurará influir en la creación de una cultura basada en la protección de datos, y adecuar el comportamiento y la toma de decisiones de los distintos agentes corporativos, a los mandatos y prohibiciones de la normativa afín (Artaza 2019).

Dada su importancia estratégica, el DPO debe ser designado por la máxima autoridad directiva o administrativa de la organización. Por ejemplo, si es una entidad pública, lo designará el jefe de servicio; si es una sociedad anónima o una fundación, lo nombrará su directorio. Además, debe reunir condiciones de idoneidad, capacidad y conocimientos en la materia, actuar en forma autónoma en cuanto a las funciones que ejerce, ser independiente, desempeñando su cargo con neutralidad, y estar dotado de medios y facultades definidas para que su labor sea realmente efectiva.

2. Identificación del tipo y categoría de datos que trata la organización (dato personal/ sensible/de categoría especial) y de sus titulares (adulto/NNA), su ámbito territorial de operaciones (nacional/internacional), y las actividades o procesos que generen riesgos infraccionales (RRHH, marketing, externalización de servicios, etc.). Esto se traducirá en la necesaria elaboración de un Registro de Actividades de Tratamiento (RAT), herramienta tímidamente esbozada en el proyecto y generalmente obligatoria para el RGPD, cuya existencia es totalmente lógica si la organización pretende controlar y proteger adecuadamente los datos que trata. Un RAT más completo debiera agregar los fines del tratamiento, las categorías de destinatarios de datos, las transferencias internacionales de éstos, sus plazos de supresión, etc.

3. Establecer protocolos, reglas y procedimientos que guíen el accionar de los que tratan datos, a fin de prevenir la comisión de infracciones. Estas directrices, junto con cualquier normativa interna que respalde el programa de cumplimiento, deben ser integradas en el reglamento interno de la empresa o en los contratos laborales o de prestación de servicios. En el caso de estos últimos, su incumplimiento puede activar potencialmente la causal de despido por incumplimiento grave del artículo 160 N°7 del Código del Trabajo. Pero esto, por sí solo, no bastará para interiorizar a los stakeholders sobre los contenidos y alcances de estos documentos, por lo que su capacitación será esencial a fin de empoderarlos en hacer de estas normas verdaderas extensiones de sus comportamientos.

4. Procedimientos de denuncia, castigo y sanciones internas. Respecto de las denuncias, es probable que su eficacia esté dada por las garantías que se otorguen a los potenciales denunciantes, a fin de incentivarlos a hacerlo sin temor a represalias. La figura del denunciante anónimo (incluso con recompensa) y el derecho de indemnidad podrían ser instrumentos útiles en este sentido.

Las sanciones que se determinen deberán incluirse en el Reglamento Interno de Orden, Higiene y Seguridad para ser efectivas, y sólo podrán consistir en amonestación verbal o escrita y multa de hasta el 25% de la remuneración diaria del infractor.

5. Mecanismos de reporte interno de cumplimiento, y reporte a la Agencia de Protección de Datos acerca de vulneraciones a las medidas de seguridad, el que también deberán realizar ciertas entidades a la futura Agencia Nacional de Ciberseguridad, según la nueva Ley N°21.663.

En conclusión, el programa de cumplimiento de protección de datos personales que se establezca deberá ser un modelo preventivo de infracciones, caracterizado por su enfoque de prevención total de riesgo, adaptado por completo a las características y necesidades de la organización, y en constante actualización respecto de los cambios normativos y corporativos que se presenten. Como se podrá observar, sus beneficios son varios y significativos, y van más allá de su objetivo central de morigerar la responsabilidad. Un adecuado compliance contribuirá en el mediano plazo a crear una cultura interna de protección de la información, beneficiando a múltiples stakeholders; hará el negocio más sostenible y le otorgará una mejor reputación a la organización.

*Ivonne Bueno es parte de Women in Compliance Chile (WICC). Es socia de Habeas Data Consultores, presidenta del Observatorio Ciudadan@ Digital y profesora del Diplomado de la U. Central de Protección de Datos.

Referencias

Artaza, O. (2019). Compliance Penal: sistemas de prevención de la corrupción (p. 262). DER Ediciones.

Thaler R. y Sustein C. (2008). Nudges: Improving decisions about health, wealth, and happiness. Yale University Press

Puyol, Jaime (2020). Compliance y protección de datos: Dos caras de la misma moneda. Publicado en Confilegal. https://confilegal.com/20200227-compliance-y-proteccion-de-datos-dos-caras-de-la-misma-moneda/#_edn1

Proyecto de Ley de Protección de Datos Personales, Boletín N°11.144

Código del Trabajo

Ley N°21.663, Marco de Ciberseguridad

Ley N°19.628, Protección de la Vida Privada, de 1999

Ley N°20.393, Responsabilidad Penal Personas Jurídicas

Reglamento General de Protección de Datos