Tras siete años de tramitación, el Congreso despachó ayer a ley el proyecto que regula la protección de datos personales. Se trata de una iniciativa que significa "un antes y un después en cómo se usa la información personal de los chilenos, en cualquier espacio u organización", en palabras del ex presidente del Consejo para la Transparencia (CPLT), Marcelo Drago.
En concreto, la nueva normativa busca proteger y regular el tratamiento de los datos de las personas, como el nombre, el domicilio, el número de teléfono o el correo electrónico. Para ello, crea la Agencia de Protección de Datos Personales, que velará por el cumplimiento en el contexto del nuevo marco.
De esta manera, la legislación impedirá que se utilicen datos personales de forma no autorizada. Por ejemplo, si una persona entrega información, como el número de teléfono, con el objetivo de tramitar un crédito, esos datos no podrán ser utilizados por la entidad que los maneja con otros fines. En relación al spam telefónico, el usuario podrá pedir que no se siga utilizando su información para ofrecerle servicios.
Todo esto cambiará la forma en que funcionan muchas empresas. Esto, no solo porque tendrán que limitar lo que hacen con los datos, sino que también porque deberán establecer ciertos protocolos y estarán expuestas a millonarias multas, cuyo valor estuvo en el centro del debate.
¿Cómo cambia el uso de los datos en las empresas?
Marcelo Drago explica que tanto las empresas como las organizaciones podrán utilizar datos personales solo si obtuvieron el consentimiento de las personas, si tienen una autorización legal, si van a preparar o ejecutar un contrato, si lo requiere para una defensa jurídica o si tiene un interés legítimo en su utilización entre otras 'fuentes de licitud'.
Asimismo, asevera que, incluso al poder usarlos, deben cumplir una serie de principios. De esta manera, los datos solo se podrán usar para los fines por los cuales fueron establecidos, por un tiempo limitado, con transparencia y con confidencialidad, además de otros criterios.
Se establece, también, que quienes estén a cargo del tratamiento de los datos serán responsables legalmente del cumplimiento de la ley.
Se establece, también, que quienes estén a cargo del tratamiento de los datos serán responsables legalmente del cumplimiento de la ley
Para Edmundo Varas, director de KPMG Law en Chile, "el cambio más relevante se da en las bases de legitimidad y principio de finalidad para el tratamiento de datos personales, en donde se refuerza la preminencia del consentimiento del titular, su carácter específico y se limita el tratamiento de éstos adquiridos de fuentes de acceso público".
Otro punto clave para las compañías tiene que ver con ciertas adaptaciones que deberán llevar adelante. Laura Flores, Gerente General iProspect destaca que se considera que las empresas deben contar con un protocolo lo más simple posible para atender inquietudes, reclamos o solicitudes de las personas en torno al uso y almacenamiento de los datos.
"Este protocolo -añade- debe considerar el plazo y canales en que la empresa recepcionará casos relacionados al uso y protección de datos personales, junto a claras indicaciones de cómo se procederá una vez recibida esa solicitud para dar claridad al titular de los datos".
Para el académico de la Facultad de Economía y Negocios UNAB, Gonzalo Escobar, "hay sectores e industrias, principalmente los servicios, que estarán mucho más afectados, por el hecho de que podían ocupar esta información sensible de las personas para, de alguna manera, hacer los servicios más a la medida de los clientes".
Mientras, para Cristóbal de la Maza, académico Facultad de Economía y Gobierno USS, "los negocios más afectados serán los mantengan datos personales protegidos. La ley exige su mantenimiento seguro, por lo que va a exigir nuevos protocolos procesos y sistemas de ciberseguridad para evitar su acceso no autorizado. Lo mismo aplica para servicios públicos que dispongan de información personal de un volumen importante de la población".
En esa línea, sostiene que "las compañías telefónicas en particular estarán sujetas a un alto escrutinio, considerando lo masivo que se ha convertido el uso de spam telefónico".
"Las compañías telefónicas en particular estarán sujetas a un alto escrutinio, considerando lo masivo que se ha convertido el uso de spam telefónico"
Cristóbal de la Maza, académico Facultad de Economía y Gobierno USS
Las multas
Uno de los aspectos sobre los que más se puso atención fue el de las multas. La iniciativa establece que para las sanciones leves estas irán desde una amonestación hasta alrededor de $330 millones. Una infracción como no enviar comunicaciones a la Agencia de Protección de Datos entraría en esta categoría.
Las sanciones graves, en cambio, alcanzan un tope de alrededor de $660 millones. En tanto, para las gravísimas, las multan llegan hasta los $2.320 millones. Un ejemplo de una infracción grave es ceder datos personales sin el consentimiento del titular. Un caso de transgresión gravísima es omitir de forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad de los datos personales.
En caso de que las faltas sean reiteradas, las sanciones pueden llegar hasta el 4% de los ingresos de las empresas. Este esquema, en todo caso, aplica solo para firmas de mayor tamaño.
Las críticas desde la industria
Desde FinteChile, gremio que agrupa a las startups financieras, apuntaron hacia las sanciones como "desproporcionadas y mal orientadas". Afirmaron a El Mercurio, así, que tendrán un "impacto negativo" en la competencia, innovación e inclusión financiera.
"Nosotros somos férreos partidarios de actualizar la legislación en materia de protección de datos. Pero ese artículo en específico relativo a las multas desincentivará enormemente a emprendedores a concretar iniciativas innovadoras en materia financiera e incluso fomentará la construcción de sofisticadas arquitecturas societarias para hacer frente a las penas mitigando los riesgos de quiebra, perdiéndose totalmente el espíritu de la ley", indicaron.
Por su parte, Fernando Fernández, director de Chiletec, ve una compleja implementación de la ley por obstáculos como la falta de conciencia y conocimiento del adecuado uso de los datos personales.
"Se requiere un cambio cultural profundo (...) Esta situación supondrá resistencia al cambio, lo que eventualmente podría provocar contingencias legales y financieras muy severas, como consecuencia de la imposición de multas", señaló a El Mercurio.
La Asociación de Bancos tampoco se mostró conforme. Señaló al medio citado que las multas en caso de reincidencia vulneran el principio de proporcionalidad.
En una línea distinta, el presidente ejecutivo de la Asociación del Retail Financiero, Claudio Ortiz, dijo valorar el proyecto por dar coherencia a normas ya dictadas, como el sistema de finanzas abiertas y el registro de deuda consolidada. "Ahora el desafío está en que las diversas agencias logren la coordinación necesaria para dar certeza jurídica".
