Después de un largo proceso legislativo que se extendió por siete años, el Congreso Nacional chileno despachó en agosto la tan esperada Ley de Protección de Datos Personales. Esta nueva legislación permitirá un cambio en la manera en que las empresas deben manejar la información personal de sus clientes.
Con un plazo de 24 meses para su implementación desde su publicación en el Diario Oficial, las pequeñas y medianas empresas se enfrentan a un desafío importante para adaptarse a estas nuevas exigencias.
Según José Antonio Lagos, CEO de Cybertrust Latam -empresa de tecnología para la seguridad de la información-, muchas organizaciones están enfocadas en proyectos de transformación digital, a menudo descuidando aspectos importantes como la ciberseguridad y la protección de datos. “El tiempo es acotado y la falta de experiencia en estos temas, así como el escaso apoyo de la alta dirección, pueden complicar la implementación efectiva de la nueva ley”, advierte.
La nueva normativa impone una serie de responsabilidades a las empresas, incluyendo la implementación de políticas de privacidad claras, la obtención de consentimientos explícitos y la adopción de medidas de seguridad adecuadas. Sebastián Moraga Nazar, abogado de Moraga y Cía., destaca que “las empresas deben implementar políticas de privacidad que aseguren el consentimiento informado de los usuarios y designar un encargado de protección de datos”. El abogado añade que, para cumplir con estas demandas, los emprendimientos pueden buscar asesoría en organizaciones como Sercotec, que ofrece programas a bajo costo para ayudar a las pymes en la adaptación a la nueva normativa.
Medidas clave para la adaptación a la nueva ley
Según Alejandro Lavín, gerente de negocios de Zeleri -compañía de gestión de pagos-, y Moraga, para cumplir con la nueva normativa, las pymes deben considerar cinco factores clave que son fundamentales para asegurar el cumplimiento de la normativa y evitar sanciones.
Implementación de políticas de privacidad: La ley exige que las empresas implementen políticas de privacidad claras y designen un encargado de protección de datos. Estas políticas deben asegurar el consentimiento informado y el resguardo adecuado de la información. Moraga enfatiza que el consentimiento debe ser explícito y verificable, ya sea mediante una casilla de verificación en sitios web o una firma en la política de privacidad en interacciones físicas.
Medidas de seguridad: Las empresas deben adoptar medidas de seguridad robustas, como la encriptación de datos, el acceso restringido y las auditorías periódicas. Estas prácticas son esenciales para proteger la información sensible.
Modelo de prevención de infracciones: La ley introduce tres categorías de multas, desde leves hasta gravísimas, con sanciones que pueden alcanzar hasta 20.000 UTM. Para evitar estas sanciones, las empresas pueden implementar un “Modelo de Prevención de Infracciones”, un programa de cumplimiento voluntario diseñado para prevenir violaciones a la ley.
Revisión de estrategias de consentimiento: Las empresas deben revisar sus estrategias de recolección de datos, obteniendo consentimientos explícitos y eliminando prácticas intrusivas como el spam. Este cambio es particularmente relevante para sectores que manejan grandes volúmenes de datos personales, como el comercio electrónico y los servicios financieros.
Capacitación y actualización de formatos: Alejandro Lavín señala que es clave actualizar las políticas de privacidad y formularios. “Los emprendedores deben asegurarse de que los clientes estén de acuerdo con la solicitud de datos. Esto implica actualizar tanto los formatos físicos como digitales para cumplir con los requisitos”, explica el vocero de Zeleri.
Sectores que se podrían ver afectados
La nueva norma también tendrá un impacto significativo en las prácticas de marketing y en varios sectores específicos. Según Lavín, las prácticas como el envío de publicidad no solicitada o el uso de datos para campañas sin el consentimiento expreso del usuario serán prohibidas.
En tanto, desde Zeleri consideran que los sectores más afectados serán el comercio electrónico, que maneja grandes volúmenes de datos de clientes para marketing y ventas, y los servicios, como el turismo, la salud y la educación, que gestionan datos sensibles. Además, advierten que las empresas fintech también deberán reforzar sus prácticas de seguridad debido a la naturaleza crítica de los datos que manejan, cuando la normativa empiece a regir.