Las trabas que podrían atrasar el proyecto de ley de protección de datos a 2022

El 15 de marzo de 2017 ingresó al Congreso el proyecto de ley que regula la protección y tratamiento de datos personales y la creación de una agencia de protección de datos personales. Luego de tres años, avanzó de la Comisión de Constitución, Legislación, Justicia y Reglamento del Senado a la Comisión de Hacienda del Senado, donde está por concluir el primer trámite constitucional. Desde aquí debe recorrer un largo camino que incluye pasar a la Cámara de Diputados, volver al Senado y ser revisada por una comisión mixta para finalmente ser aprobada.

Según la abogada especialista en privacidad, ciberseguridad y propiedad intelectual del Estudio Jurídico Otero, Macarena López, la iniciativa sería promulgada y publicada el año pasado, junto al proyecto de delitos informáticos que también se tramita en el Congreso. Sin embargo, debido a la pandemia y a la falta de consenso entre los involucrados, se ha retrasado su tramitación, un tema que preocupa a varios actores, fundamentalmente por la aceleración de la digitalización este último año.

Pedro Huichalaf Abogado y exsubsecretario de Telecomunicaciones. Macarena López Abogada, Estudio Jurídico Otero. Claudio Magliona Socio Magliona Abogados.

Más aún, el exsubsecretario de Telecomunicaciones, Pedro Huichalaf, estima que el proyecto de ley no se aprobará durante esta administración presidencial y “podría estar vigente recién en 2022”, dice.

El abogado especialista en derecho de las tecnologías, telecomunicaciones y propiedad intelectual y socio de Magliona Abogados, Claudio Magliona, explica la demora en la tramitación, argumentando que por la Comisión de Hacienda del Senado “han pasado muchos proyectos relacionados con medidas económicas de alivio por la pandemia que han tenido protagonismo por sobre este tema”, afirma.

A su vez, la multiplicidad de actores involucrados en la discusión, ya sean económicos, financieros, sociales, institucionales, tanto del ámbito público como privado, “genera que existan muchas partes interesadas con intereses muchas veces contrapuestos”, dice Huichalaf, por lo que se hace necesario un estudio más detallado respecto de los estándares que debe seguir la regulación.

Principales disposiciones

El proyecto de ley busca actualizar la normativa vigente, que data de 1999, para ponerse a la altura de los compromisos adquiridos por Chile al ingresar a la Organización para la Cooperación y el Desarrollo Económicos (OCDE), estableciendo nuevos principios, obligaciones y formas de tratar los datos personales.

Dispone la creación de una agencia de protección de datos personales, un organismo autónomo encargado de velar por el cumplimiento de la normativa, que estará bajo el mandato del Consejo para la Transparencia y tendrá la facultad de imponer sanciones económicas frente a infracciones detalladas en el proyecto. “Contar con la aplicación efectiva de la normativa en un marco de certeza jurídica es esencial”, sostiene Magliona.

Asimismo, la iniciativa pone la responsabilidad legal del cumplimiento de los principios, obligaciones y deberes en quienes realicen tratamiento de los datos personales, “los que deberán garantizar estándares adecuados de seguridad para proteger la información contra el tratamiento ilícito, pérdida, filtración, daño accidental o destrucción”, explica López.

El modelo europeo

El principal marco normativo que se ha estado mirando como referencia para la discusión es el Reglamento General de Datos Personales (GDPR, por su sigla en inglés) de la Unión Europea (UE), que entró en vigor en mayo de 2018 para regular el almacenamiento, procesamiento, acceso, transferencia y divulgación de los registros de datos de los habitantes del continente.

“Se aplica a todas las organizaciones que recolectan y procesan datos personales de individuos residentes en la UE, independientemente de la ubicación de la empresa, por lo que están obligadas a obtener el consentimiento de las personas para poder almacenar y utilizar esa información”, comenta López.

En ese sentido, para Huichalaf todos los países que tengan empresas con negocios en países europeos donde se realice transferencia internacional de datos personales, “deben contar con estándares de protección similares al GPDR”, ya que, dependiendo de la naturaleza de la infracción, de su gravedad y de su duración, sumado al número de personas afectadas, se determinan sanciones que pueden llegar a cerca de US$ 24 millones.

“Es un referente entre muchos cuerpos normativos existentes sobre la materia, y se ha convertido en un estándar a seguir”, sostiene Magliona, agregando que como país debemos aspirar a obtener el reconocimiento y adecuación de nuestra normativa a la de la UE “para facilitar el intercambio de datos y oportunidades de negocios con Europa”.

Organismo fiscalizador

La ley que actualmente regula el tratamiento de los datos de carácter personal y almacenados en bases de datos o registros -que data de 1999- no cuenta con una institucionalidad detrás que vele por su cumplimiento. Hoy, la aceleración de la digitalización derivada de las cuarentenas por el Covid-19 ha puesto sobre la mesa la necesidad de contar con un marco jurídico que otorgue certezas a la protección de datos personales y de una institucionalidad que lo sostenga.
La abogada Macarena López señala que se requiere un "organismo o autoridad independiente que fiscalice el debido tratamiento de la información y permita un balance de la evolución de la transformación digital".
Dice que ante la falta de una institucionalidad clara en la materia, diversas organizaciones se están "arrogando" facultades en la dictación de normas sobre tratamiento de datos personales, lo que estaría generando regulaciones adicionales que no necesariamente aportan a la protección de la información.
Añade que "ha habido innumerables intentos de modificar la actual normativa y no ha habido acuerdo hasta ahora en quién debería ser la autoridad encargada de fiscalizar y regular la debida protección de datos personales. En el último tiempo la discusión se ha concentrado en si debe ser un organismo independiente o una parte del Consejo para la Transparencia, pero en ambos casos requiere de presupuesto y la creación de toda una estructura", dice.