Las propuestas de expertos para mejorar el proyecto de Ley sobre Protección de Datos Personales

En su recta final en el Congreso está el proyecto de ley sobre Protección de Datos Personales. La moción, ingresada en 2017 por un grupo de senadores, busca actualizar la legislación vigente desde 1999 a los estándares internacionales, con un nuevo esquema normativo para el tratamiento de datos personales y la libre circulación de esa información. Entre otros, establece la creación de una Agencia de Protección de Datos Personales.

El proyecto de ley está en tercer trámite constitucional y, si bien tiene amplio apoyo, se espera que vaya a una comisión mixta. Abogados expertos consultados por DF señalaron que aún hay tiempo para mejorarlo y en sintonía con las legislaciones internacionales, como el Reglamento general de protección de datos (RGPD) de la Unión Europa (UE).

Claudio Magliona, abogado y presidente de la mesa legal de la ACTI
Acotar definiciones, plazos y competencias de instituciones

El abogado y presidente de la mesa legal de la Asociación Chilena de Empresas de Tecnología de la Información (ACTI), Claudio Magliona, ha participado en la discusión del proyecto de Ley en sus distintas etapas. Dijo que representa una clara mejora tanto para los responsables de tratamiento de datos, como para los titulares.
Pese a estar de acuerdo en general con el proyecto, le preocupan ciertos contenidos y aseguró que espera que los parlamentarios puedan avanzar para tener una ley “armónica y equilibrada”. Si bien valora que varios pasajes se inspiren en el RGPD, planteó que surgiría un problema con la motivación por “ir más allá” de los estándares europeos.
Para lograr el equilibrio, señaló que es necesario hacer correcciones. Por ejemplo, en el reglamento europeo los responsables tienen un plazo de 30 a 60 días para responder ante los requerimientos de los titulares. En cambio, en lo propuesto por los parlamentarios solo serían 15 días. “¿Por qué ahí no seguimos el estándar europeo?”, dijo.
También le genera dudas que se pueda solicitar la eliminación de datos personales, lo que en su opinión configuraría un conflicto con la libertad de expresión. “Es un tema bien sensible porque podría solicitar eliminar capítulos de la historia de Chile en que participé y eso no corresponde” y argumentó que el RGPD establece “causales taxativas para incurrir en la eliminación de datos”, en cambio, en el articulado local vendría “genérico”.
Magliona planteó que es necesario revisar algunas definiciones. Por ejemplo, en la de datos personales dijo que debe tener un límite, pues hoy, a través de la tecnología existente, “se puede identificar a alguien siempre”. Para mejorarlo, sería necesario distinguir que el dato biométrico tendrá una regulación especial, acorde con lo que dice el reglamento europeo.
Según Magliona, con la creación de la agencia, “habrá muchos organismos que tendrán facultades sobre los datos personales”, como el Servicio Nacional del Consumidor (Sernac), la Comisión para el Mercado Financiero (CMF) y la misma agencia. “La pregunta es qué pasará cuando se incurra en una infracción, por quién será sancionado. Será necesario una coordinación adecuada y establecerlo claramente”, dijo.

Romina Garrido, abogada y subdirectora de GobLab de la UAI
Corregir sanciones ambiguas a empresas y revisar exigencias

La magíster en derecho y nuevas tecnologías de la Universidad de Chile y subdirectora de GobLab de la Universidad Adolfo Ibáñez, Romina Garrido, ha participado desde la mesa de expertos y mesa técnica en la tramitación de este proyecto de ley.
Aseguró que es “muy necesario” para el país en vista del tiempo que ha pasado desde que se legisló en 1999. Dijo que si bien sigue los lineamientos del reglamento europeo -el estándar global-, no es su copia fiel, pues desde que se comenzó a aplicar este último habría mostrado problemas. “En la mesa técnica creemos que no todo puede ser copiado, no es una norma perfecta y tenemos que mirar nuestra realidad local”, señaló.
Respecto de qué aspectos se pueden mejorar, dijo que el principal es sobre las sanciones que establece el proyecto, que serían “ambiguas” en cuanto a su aplicación las compañías. “Hay unos rangos de diferencia entre las sanciones graves y gravísimas en que a empresas se les aplica un tope más alto, pero no está definido por el tamaño de estas. Es importante corregirlo” en una eventual comisión mixta, aseguró. Además, mostró preocupación porque, tal como está, no es claro que pueda proteger a firmas más pequeñas.
Garrido también recomendó revisar algunas de las exigencias que se establecen, que habrían quedado “muy al pie de la letra” del reglamento europeo, y que serían difíciles de cumplir preliminarmente una vez se publique la ley. Es el caso de la designación de un representante con domicilio en Chile para las empresas, aspecto que la abogada consideró “excesivo”.
En materia de ciberseguridad, la también directora de Fundación Multitudes dijo que es recomendable aclarar el plazo que tienen las entidades reguladas para notificar las brechas y dejar claro que no se debe dar a conocer el incidente, sino que el eventual compromiso de datos.
Garrido también alertó que podrían surgir conflictos con otras regulaciones, porque “nos hemos demorado mucho en legislar este tema (la ley vigente data de 1999) y han salido reguladores que se han hecho cargo, como la CMF en temas de fintech o finanzas abiertas. Se tendrá que resolver en la práctica y coordinación”, dijo.