DF Lab Opinión/ Multas y protección de datos

La economía digital ha cambiado la forma de hacer negocios. Así, uno de los mayores riesgos que enfrentan las empresas es el daño reputacional y los perjuicios económicos que podrían sufrir al ser sancionadas por una autoridad de control. Un ejemplo claro: recientemente se publicó la aplicación de una multa de 1.200 millones de euros a la empresa Meta (denominada “récord”) dictada por el regulador de datos irlandés por no respetar el Reglamento General de Protección de Datos (GDPR) en las transferencias de datos de sus usuarios del Espacio Económico Europeo a Estados Unidos. Lo interesante de este caso es que las transferencias de datos fueron calificadas como reiteradas, sistemáticas y masivas, por lo cual la Decisión postula que existiría una grave negligencia por parte de la empresa.

GDPR ofrece distintas herramientas sancionadoras operacionales y financieras a las autoridades europeas para actuar en caso de infracciones a las normas de protección de datos, incluyendo una multa de hasta 20 millones de euros o un 4 % del volumen de negocio total anual mundial, además de un apercibimiento o una prohibición temporal o definitiva del tratamiento. En el momento de considerar la gravedad de la multa, cada autoridad debe garantizar que sean efectivas, proporcionadas y disuasorias, para lo cual tendrá en cuenta varios factores, como la naturaleza, la gravedad y la duración de la infracción, su intencionalidad o negligencia.

Ahora, ad-portas de la publicación de una ley en Chile que busca replicar la emblemática normativa europea de protección de datos, es pertinente por tanto preguntarse: ¿qué podría ocurrir en Chile en un caso similar de “presunta negligencia grave”?

El Proyecto de Ley que Regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (“PDL”) establece por primera vez un régimen general de responsabilidad, que incluye infracciones leves, graves y gravísimas, con sus respectivas sanciones. En el caso de las infracciones gravísimas, las multas podrán llegar hasta la suma equivalente al 4% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario, con un máximo de 20.000 UTM ($1.267 MM aprox.).

En efecto, de acuerdo con el mismo PDL, la reincidencia y el carácter continuado de una acción serán consideradas circunstancias agravantes a la hora de imponer una multa. Así, cada responsable deberá aplicar un enfoque proactivo, preventivo y centrado en el usuario. Una de las medidas voluntarias que se pueden implementar en ese sentido y que operará como atenuante, es que la entidad haya desarrollado y certificado un modelo de prevención de infracciones y un programa de cumplimiento.

En suma, estamos en un momento propicio para que las empresas revisen concienzudamente sus procesos internos y avancen proactivamente en implementar medios que les permitan adecuar su cultura organizacional hacia este cambio de paradigma.