/ Órganos de control en la protección de los datos personales
6 de Enero, 2020Urge definir cuál será la autoridad que finalmente tenga a su cargo la protección de los datos personales y deberá quedar claro el rol que tendrán los modelos de cumplimiento y, en general, la autorregulación ante incidentes o denuncias por infracciones.
Una de las grandes interrogantes que nos mantuvo expectantes durante el año 2019 fue aquella relacionada con el órgano de control que asumiría el rol de garante en materia de datos personales. Si bien en agosto la Comisión del Senado aprobó que el Consejo para la Transparencia (CPLT) tuviera este papel, esta decisión todavía no es definitiva ya que el proyecto que modifica la ley 19.628 aún tiene pendiente su paso por la Cámara de Diputados, donde no está claro si se ratificará el acuerdo alcanzado en la cámara alta.
Como era de esperarse, a falta de una autoridad clara en esta materia, diversos órganos han extendido sus potestades fiscalizadoras -en algunos casos a falta de texto legal expreso- para reclamar su intervención en la protección de datos personales.
El primero de ellos, naturalmente, ha sido el CPLT. Ya en el año 2008, con la entrada en vigor de la ley 20.285 sobre acceso a la información pública, se estableció como parte de sus funciones y atribuciones la de “velar por el adecuado cumplimiento de la ley 19.628 […], por parte de los órganos de la Administración del Estado.” Y es que, con el último acuerdo del Senado, el CPLT tendrá una difícil tarea en ponderar el ejercicio de la transparencia, por una parte y la privacidad por el otro. Si bien se ha argumentado que esto no supondría problema alguno ya que ambos derechos son “caras de una misma moneda”, la probabilidad de que la protección del primero se vea mermada por una atención casi exclusiva del segundo es bastante alta. La experiencia internacional nos ha demostrado lo anterior ante el crecimiento exponencial de los requerimientos y denuncias por violación a la protección de los derechos personales.
Luego, el Servicio Nacional del Consumidor (Sernac), en relación con la protección de los derechos de los consumidores, se ha aproximado a esta materia disponiendo que los proveedores que utilicen cookies deben dar aviso de aquello, vinculándolo -casi forzosamente, a nuestro juicio- al concepto de información veraz y oportuna.
Con un enfoque más ceñido a la ciberseguridad, la Comisión para el Mercado Financiero (CMF) ya ha dictado tres recopilaciones actualizadas de normas (RAN) y recientemente dispuso como normativa en consulta la que será la cuarta RAN, relacionada con la gestión de la seguridad de la información y ciberseguridad, que se espera entre en vigencia en marzo de este año.
En septiembre de 2019 la Superintendencia de Salud, junto con otras ocho superintendencias, demostraron su compromiso firmando un convenio de colaboración en materia de ciberseguridad con el Ministerio del Interior, como parte de un trabajo coordinado entre los entes reguladores frente a los cada vez más crecientes incidentes, fraudes y ataques cibernéticos.
Pese a que es positivo y destacable que todos estos actores estén tomando conciencia y manifestado su interés en la protección de los datos personales, es necesario que esta convicción sea nutrida por un hilo conductor con directrices y criterios claros, evitando así una multiplicidad de razonamientos dispares y la existencia de diversas multas para un mismo caso, lo cual iría en contradicción con el principio non bis in idem.
Ante esta situación creemos que es fundamental que como primera medida el estándar de Chile en esta materia se incremente a partir de la dictación de la ley que modifica a la actual ley 19.628. En ella urge definir cuál será la autoridad que finalmente tenga a su cargo la protección de los datos personales (sea el CPLT o la aun no descartada Agencia para la Protección de Datos Personales, como ente autónomo e independiente) y deberá quedar claro el rol que tendrán los modelos de cumplimiento y, en general, la autorregulación ante incidentes o denuncias por infracciones. Asimismo, deberá existir una coordinación en la fiscalización y una revisión del alcance efectivo de las potestades de cada uno de los órganos que hemos comentado a fin de garantizar el respeto a los principios constitucionales vigentes y a la libre iniciativa económica, sobre todo para el caso de emprendedores y Pymes.
Será preciso que la tramitación de este proyecto de ley pueda avanzar en el Congreso y elevar al país como puerto seguro en estas materias, de manera de incentivar el desarrollo de Chile como polo tecnológico y crear un ecosistema cibernético seguro, que garantice la adecuada protección que merecen nuestros datos personales.
Asociado – Alessandri Abogados