La necesaria protección de los datos personales de las personas es reconocida transversalmente por quienes legislan, por organizaciones y empresas de la economía nacional y que tratan datos para desempeñarse en sus respectivos giros. El vertiginoso auge del tratamiento automatizado y masivo de datos, unido al crecimiento exponencial de las tecnologías y la irrupción de las Fintech, trae aparejada la inevitable presión para proteger los datos de consumidores, clientes, trabajadores, proveedores y titulares de datos, todos con autodeterminación informativa resguardada desde 2018 por nuestra Constitución Política. Lo que se juega en la protección de datos personales son derechos y libertades de las personas, cuya afectación podría acarrear múltiples consecuencias. Ello ha llevado a los tomadores de decisiones a adquirir conciencia de la necesidad de invertir en medidas que garanticen la seguridad y confidencialidad de los datos, de limitarse a las finalidades para las cuales fueron recolectados y de observar los principios de proporcionalidad y finalidad en los tratamientos.

Con la nueva legislación, la conciencia de la empresa sobre el resguardo de los datos se transformará en una necesidad de sobrevivencia y cuidado patrimonial y reputacional, ya que el catálogo de infracciones y el régimen de sanciones asociado hará oneroso incurrir en conductas sancionables. A este respecto, creo prudente advertir que si bien un régimen estricto de cumplimiento y sanciones altas actúa como elemento disuasivo de incumplimientos e impide la incorporación del valor de las multas en los costos de producción, tampoco resulta recomendable instalar sanciones desproporcionadas cuyos montos podrían ser expropiatorios o afectar la continuidad de las empresas, ya que ello podría llevar a paralizar actividades de desarrollo tecnológico e innovación que requieren de flujos constantes de datos.

Al respecto, en su estado actual la reforma de protección de datos personales establece infracciones diferenciadas (leves, graves y gravísimas), sancionando también la reincidencia. Ahora bien, la sanción establecida para las infracciones leves puede ser de hasta 5.000 UTM — más de 300 millones de pesos— monto que podría dejar fuera de juego a muchas empresas. Lo anterior se verificaría, por ejemplo, en el caso de incumplir incluso parcialmente el deber de información y transparencia, u omitir enviar a la Agencia las comunicaciones previstas por la ley o sus reglamentos. Lo anterior se agrava al considerar que las infracciones leves actuarán como figura residual, al constituirse como tal la comisión de cualquier otra infracción a los derechos y obligaciones establecidas en la reforma que no sea calificada como grave o gravísima.

Finalmente, resultará determinante la capacidad de la Agencia especializada para generar mecanismos de información y capacitación previos a la entrada en vigor del régimen de sanciones, para permitir a las empresas y sus ejecutivos prepararse para un verdadero cambio cultural en el manejo y tratamiento de los datos que hoy administran.

Por Constanza Doña, abogada protección de datos, H&CO Abogados.