La columna de Caterina Ravera y Constanza Pasarin: “La importancia de la ley de datos personales en las empresas”

Desde el año 2017, el proyecto de ley sobre protección de datos personales ha estado lentamente avanzando en su trámite legislativo. Sin embargo, se anticipa que, durante el primer semestre de 2024, este proyecto prolongado finalmente se convierta en ley, lo que representaría un hito significativo en la regulación de datos personales en Chile. La nueva ley establece un marco legal, que busca robustecer las obligaciones de los responsables junto con entregar mayores garantías y mecanismos de protección a las personas naturales. Con su aprobación, se espera dejar atrás la falta de mecanismo de cumplimiento de la actual Ley 19.628, y alinear la protección de datos al estándar internacional.

Además de la creación de la Agencia de Protección de Datos, la normativa da la posibilidad al responsable del tratamiento de contar con un modelo de prevención de infracciones que cumpla con ciertos mínimos. Entre estos requisitos se incluye la designación de un delegado de protección de datos, la identificación de la información tratada, los riesgos asociados, y protocolos para mitigar brechas, entre otros. La adopción de este modelo les permitirá a las empresas reducir el riesgo de infracción y mitigar las multas a las que puedan estar expuestas.

Dado que este cambio legislativo tendrá un impacto significativo en la forma en que las compañías manejan y resguardan los datos personales, es necesario su preparación para la adopción de estos cambios. En este contexto, las primeras preguntas que deberán plantearse las diferentes industrias son ¿Qué datos actualmente se almacenan por la compañía?, y ¿Cumplimos con las nuevas obligaciones tanto internamente como en nuestras relaciones con terceros?

Las empresas que adopten políticas sólidas y modelos de prevención de infracciones efectivos se beneficiarán al contar con un escudo protector contra sanciones. Además, fortalecerán su reputación e imagen corporativa, ya que es de esperar que las personas prefieren interactuar con organizaciones que cuenten con modelos sólidos y políticas transparentes.

La comisión mixta, tiene la ardua tarea de resolver algunos puntos clave las próximas semanas, oportunidad que además podrá tomarse para incorporar modificaciones que se han introducido recientemente en la normativa europea en la materia. Dentro de los aspectos claves que serán debatidos se encuentran: (i) la aplicación extraterritorial de la ley; (ii) definiciones respecto a los conceptos de dato personal y dato personal sensible; (iii) determinaciones respecto al derecho a cancelación o supresión de datos personales; (iv) obligaciones que la Ley establece a personas jurídicas no constituidas en Chile, (v) la eliminación de la recolección en fuentes de acceso público como fuente de licitud para el tratamiento, (vi) monto de las multas, entre otros.

Aunque los responsables del tratamiento dispondrán de dos años para cumplir con las nuevas obligaciones una vez que la ley sea publicada, una implementación temprana de procesos y mecanismo para el tratamiento de datos permitirá a las empresas anteponerse a los riesgos legales, económicos y reputacionales a los que se podrán ver expuestos. En última instancia, estar listo para estos cambios no solo es una obligación legal, sino una oportunidad estratégica para destacar en el mercado.

*Las autoras de la columan son abogadas de Albagli Zaliasnik