El proyecto de Ley que reforma la legislación en torno a la Protección de Datos Personales en Chile está en tercer trámite constitucional. El mismo crea la figura del Oficial de Protección de Datos (DPO) cuya función es asegurar el cumplimiento de la regulación en este asunto. Sin embargo, en Chile este rol ya existe en algunas de las empresas de mayor tamaño del país. Según Andrés Pumarino, abogado especializado en Derecho y Tecnología de la Universidad Adolfo Ibáñez, en Chile “estamos en una fase incipiente” en esta materia.
Francisco Carrasco M.
En 2017 ingresó a tramitación un proyecto que modifica la actual ley que rige el tratamiento de los datos personales (ley sobre protección de la vida privada) en Chile. Este proyecto tiene como objetivo actualizar la regulación en torno a cómo se reciben, procesan, resguardan y comparten los denominados datos personales.
Pisapapeles
“En materia de Protección de Datos estamos en una fase incipiente porque Chile ha sido un data paradise en los últimos años”, destacó Andrés Pumarino.
El abogado, quien es profesor del Magíster de Ciberseguridad de la citada casa de estudios de la UAI, precisó que:
“Nuestro modelo había sido desregulado siguiendo el modelo norteamericano. Sin embargo, el modelo norteamericano en materia de protección de datos se ha ido cayendo a tal nivel que hoy diversos Estados están sacando normas en materia de protección de datos personales en Estados Unidos”.
Pisapapeles
Hoy, la delantera en normativa de esta índole la lleva la Unión Europea, cuyo Reglamento General de Protección de Datos (GDPR, en inglés) se considera la legislación más avanzada sobre la materia en el mundo. De hecho, otros territorios están tomando como ejemplo este reglamento para elaborar los propios a nivel local. Chile es uno de esos países.
Según la Comisión Europea, los datos personales son “cualquier información relativa a una persona física viva, identificada o identificable” junto con “las distintas informaciones, que recopiladas, pueden llevar a la identificación de una determinada persona”. Justamente, una de las discusiones hoy en la tramitación del mencionado proyecto en Chile está vinculada a cuáles son las definiciones precisas de dato personal, dato sensible, dato biométrico, entre otros conceptos.
Esas definiciones hacen parte de lo que actualmente se debate en el Congreso: en total 24 puntos en los que no hay acuerdo respecto no solo a conceptos sino también a la implementación de las normas.
¿En qué consiste la figura del Delegado de Protección de Datos?
Aunque este rol (DPD, DPO u Oficial de Protección de Datos, en inglés) es una de las novedades de la ley que aún no se aprueba, en Chile ya son muchas las empresas que cuentan con personas que desempeñan el cargo y que están activamente trabajando en la capacitación de equipos (Falabella, Claro, BCI, entre otras). Razones sobran; por un lado, optimizar la gestión de datos actual y anticiparse a la entrada en vigencia de una ley cuya aprobación —según afirman los expertos— es inminente.
Este delegado tiene la responsabilidad de asegurar que su organización esté cumpliendo correctamente con las disposiciones del reglamento normativo de la protección de datos. Y el nuevo proyecto de ley así lo designa, creando esta nueva figura.
Es así que sobre este asunto, Pumarino comentó:
Los DPO tienen que tener una capacidad o competencia bastante transversal porque tienen que ser capaces de entender las medidas técnicas, de informática, de ciberseguridad, y también de medidas legales.
Puntualmente, acerca del aspecto legal que se avecina, el abogado destacó que:
“... se van a encontrar con una ley de Protección de Datos Personales, una ley de Ciberseguridad (en espera de publicación en el Diario Oficial), normativas específicas de los reguladores” y agregó: “Hay que entender a nivel interno contratos, cláusulas contractuales con proveedores, clientes, de un conjunto de ámbitos que están siendo regulados y, por tanto, tenemos que ser capaces de mirar ese foco legal”.
Agustina Solinas
Sobre la especificidad del rol del Delegado de Protección de Datos, Pumarino expresó también:
Tienen que tener seniority para poder ir a hablar al Directorio, explicarle qué se está haciendo, al gerente general, a los gerentes legales o las áreas de tecnología o contraloría interna de las compañías.
Al mismo tiempo, estos responsables de velar por el resguardo de los datos oficiarán también de formadores hacia dentro de sus organizaciones. “Van a tener que poder capacitar, formar, educar, concientizar a los trabajadores en materia de protección de datos”, agregó Pumarino quien hace más de quince años se dedica al asesoramiento de empresas en temas vinculados a la implementación de la regulación de tecnología.
DPO en Chile: Tres niveles de implementación
Una vez aprobada la ley, lo cual se espera que sea durante el primer semestre de este año, hay un plazo de 24 meses para que la misma entre en vigencia. Ese período de transición es el que todas las empresas que tratan datos deben utilizar para adaptar sus estructuras y generar procesos adecuados para cumplir con la nueva ley.
Francisco Carrasco M.
De acuerdo con Pumarino, respecto a los Delegados de Protección de Datos, hay en Chile tres niveles de avance: los grandes retails y bancos que ya tienen instalados sus delegados, están armando equipos y procesos, aquellas empresas que recién se están planteando la posibilidad de abrir el cargo, pero que no lo consideraron en su presupuesto 2024 y, por último, el segmento pyme que —según considera— está atrasado en esta implementación.
En la Unión Europea, donde la legislación está avanzada, los organismos y agencias nacionales como Incibe entregan documentos modelo con los que las empresas pueden elaborar sus procedimientos, acortando los tiempos de implementación. Eso es una posibilidad que en Chile —por el momento— está cerrada. Lo más próximo a tener algo parecido sería la puesta en marcha de la Agencia Nacional de Ciberseguridad (ANCI) creada recientemente por la nueva ley (aun en espera de publicación). Pero claro, aplicaría únicamente para ese ámbito.
Agustina SolinasEn lo que resta a Protección de Datos Personales, resta esperar aún que se concrete el debate y discusiones pertinentes al tercer trámite del proyecto en curso para lograr luego la aprobación, promulgación y publicación de una ley que por fin esté actualizada a las necesidades que Chile tiene hoy en materia de Protección de Datos.
