La nueva normativa sobre protección de datos personales que, durante años ha sido esperada por expertos, empresas y ciudadanos, está a punto de convertirse en ley. A la fecha, solo se encuentra pendiente su promulgación y posterior publicación en el Diario Oficial, con lo que empezará a correr la cuenta regresiva de 24 meses —contemplados por la normativa— para la entrada en vigencia de sus disposiciones.
Esta es una excelente noticia y un paso significativo en la protección de la privacidad y los derechos de los titulares de datos personales. Sin embargo, también representa un desafío para las empresas —tanto nacionales como extranjeras— que procesen datos personales de titulares y se encuentren operativas en territorio chileno.
El cambio que se avecina no solo es normativo: también es cultural. Las organizaciones deberán adaptar sus estructuras y procedimientos a una nueva forma de entender y gestionar la información personal. Por lo tanto, el llamado es a anticiparse y desarrollar una estrategia ante las demandas de esta nueva normativa, que cambia de cero a cien la forma en que veníamos relacionándonos con los datos personales.
Relacionado: ¿Qué cambios impone la Ley Protección de Datos Personales a las empresas de marketing en Chile?
La nueva norma se inspira en el Reglamento Europeo de Protección de Datos (GDPR), lo que representa una oportunidad para aprovechar los aprendizajes acumulados desde la entrada en vigencia de dicha normativa en 2018. Con esto, los sujetos obligados podrán, en la medida de lo posible, familiarizarse con ciertos conceptos, especialmente en cómo las distintas entidades reguladoras de Europa han ido interpretando la norma y sancionado a sus infractores.
Con respecto a esto último, la Agencia Española de Protección de Datos es un referente en cuanto a su actividad en materia de generación de recursos e instrumentos que permiten educar a la población y ser un aliado para las entidades obligadas en materia de cumplimiento y adecuación a la normativa.
No obstante, es fundamental destacar que, el cumplimiento con el GDPR por una empresa chilena no garantiza por sí solo que se esté dando cumplimiento a cabalidad a la nueva normativa chilena. Existen ciertos matices y diferencias que deben ser cuidadosamente analizados y ajustados.
De interés: Blockchain en la comercialización de energía
Las empresas tendrán un plazo de dos años para cumplir con los requisitos establecidos por la nueva normativa. Para muchos, este periodo puede parecer amplio, lo que podría llevar a subestimar la importancia de iniciar cuanto antes el proceso de adecuación. Sin embargo, este proceso debe iniciarse cuanto antes, especialmente para aquellas empresas cuyo modelo de negocio depende significativamente del procesamiento y análisis de datos personales.
En esa línea, el primer paso recomendable es realizar una auditoría exhaustiva en materia de protección de datos, que permita identificar las posibles deficiencias en relación con los requisitos normativos y elaborar un plan de acción para abordar esas carencias y garantizar el cumplimiento.
Asimismo, la nueva normativa impone la necesidad a las organizaciones de cuestionarse aspectos que, quizás hasta ahora, no consideraban necesarios, así como coordinar el trabajo de sus distintas áreas, en pos de conciliar y lograr un equilibrio entre su cumplimiento, el respeto a los derechos de los titulares y la eficiencia y eficacia de sus operaciones. Todo ello para mantener la operatividad y competitividad de cada empresa, particularmente en materias claves dentro de la era digital en la que vivimos, como lo es el marketing y el uso de la tecnología para la prestación de los servicios y la captación de clientes.
Más sobre el tema: A seis años de la Ley Nº 13.709, Ley General de Protección de Datos de Brasil
En este contexto, es esencial que las empresas tengan claridad sobre ciertos aspectos relacionados con el tratamiento de datos personales que realizan, fomentando una cultura organizacional enfocada en la protección de la privacidad, entre ellos: ¿qué datos personales recogemos y de quiénes?, ¿es necesario solicitar el consentimiento, o podemos ampararnos en una de las otras bases de licitud?, ¿con qué fines estamos recogiendo los datos?, ¿por cuánto tiempo los retenemos?, ¿es realmente necesario pedir todos estos antecedentes en consideración del fin para el cual los estamos recogiendo?, ¿tratamos datos personales de menores?, ¿tratamos datos personales sensibles?, ¿elaboramos perfiles en base a la información personal?, ¿con quién compartimos la información?, ¿transferimos información fuera de Chile?
Esta información deberá ser recopilada no solo respecto de clientes, sino también, de proveedores y de los propios trabajadores y colaboradores dentro la organización. Lo anterior, aun cuando dicho tratamiento no sea realizado directamente por la organización, sino que sea tercerizado a una empresa proveedora de servicios.
Al respecto, siempre existirá un límite a las cláusulas de responsabilidad que puede acordarse en materia de tratamiento de datos personales por terceros, y no será posible, en virtud de dicho encargo, transferirse aquellas responsabilidades propias de la empresa responsable del tratamiento de los datos en cuestión. En este sentido, será relevante empezar a poner especial foco en esta materia en las relaciones con proveedores.
En definitiva, la nueva ley, si bien representa un desafío importante, también abre una oportunidad para que Chile logre alinearse con los estándares internacionales en materia de privacidad, lo que, a su vez, facilitará el intercambio comercial internacional. Para las empresas, esta normativa ofrece la posibilidad de fortalecer la confianza del público, diferenciándose en un mercado cada vez más competitivo, como entidades comprometidas con la protección de la privacidad y la autodeterminación informativa de las personas. Esto se traduce en la capacidad de ofrecer a los usuarios el control sobre el uso que terceros hacen de su información personal, una cualidad que es cada vez más valorada por los consumidores en todo el mundo.
*Josefina Yávar e Isidora Opazo son socia y asociada de Cuatrecasas - Santiago, respectivamente.
Add new comment