Felipe Harboe sobre Protección de Datos: “Los datos y las infracciones en materia de delitos informáticos también son considerados como elementos base de la Ley de Delitos Económicos”

Desde la Cámara Alta, el exsenador Felipe Harboe apoyó entusiastamente el proyecto de Protección de Datos Personales que crea la Agencia de Protección de Datos Personales. Ya fuera del Congreso ha sido expositor en las comisiones respectivas sobre la materia y, en la actualidad, es académico en el Diplomado de Protección de Datos de la Pontificia Universidad Católica. Su interés por esta materia lo llevó al Congreso Mundial de Protección de Datos, en 2018, donde compartió con el CEO de Apple, Tim Cook.

Su trayectoria en este ámbito lo convierte en un experto para conversar sobre la iniciativa que inicia este martes su última etapa de tramitación en la Comisión Mixta y sobre la cual señala que de ser aprobada “podríamos llegar a tener que la exportación de servicios informáticos profesionales en materia de Economía Digital podría llegar a ser la tercera o segunda área de exportación del país”.

En esta conversación con Diario Financiero, Harboe expresa su esperanza de que a marzo de este año, el Congreso despache la iniciativa a ley, ya que el periodo de adecuación que tendrán las distintas instituciones públicas y privadas, será de sólo 24 meses. En este sentido, comenta que “por eso es que ya hay muchas empresas que están adecuándose, porque están intentando cumplir rápidamente las normas que ya hoy en día están exigiendo mayor cuidado en materia de protección datos”, asegura.

- ¿Cómo le parece que está avanzando el proyecto?

- Lo primero, que es una buena noticia, es que el proyecto haya avanzado en la Comisión Mixta, porque llevamos siete años de tramitación y Chile echa mucho de menos una ley de protección de datos. Por un lado, la industria no tiene certeza jurídica de lo que puede y no puede hacer. Por otro lado, los titulares de datos, las personas naturales, siguen siendo afectados, todos los días, por envío de mensajes, correos electrónicos, de llamadas por teléfono y tráfico de datos; sin tener una autoridad a la cual recurrir. Entonces, es una buena noticia que esté avanzando. 

- A su juicio, ¿qué es lo positivo en que se ha avanzado?

- Creo que va a ser determinante que exista una autoridad especializada en materia de protección de datos. Esperamos que quienes ejerzan las funciones tengan los conocimientos obviamente y tengan la prudencia para entender que se trata de una función relevante para el desarrollo de la economía digital; pero también en la protección de los derechos de los ciudadanos. Lo segundo es que tener un marco jurídico moderno, ágil, que permita el tratamiento de datos, pero que lo regule, va a ser un beneficio para el país. Porque hoy Chile y muchas empresas se están quedando fuera de oportunidades de negocio, porque los países llamados “países adecuados” no pueden transferirle datos a empresas chilenas, porque son consideradas no adecuadas y arriesgan multas millonarias.

- ¿Cuánto favorecería a Chile esta normativa, desde el punto de vista de la inversión?

- Se estima que hoy día la exportación de servicios informáticos en general está entre cuarto y quinto lugar de las exportaciones chilenas, servicios especializados, etc. Con una Ley de Protección de Datos y con la adecuación del país, más las nuevas normas de ciberseguridad, la nueva Ley Fintech, el ecosistema jurídico administrativo, se estima que esto se podría duplicar, es decir, podríamos llegar a tener que la exportación de servicios informáticos profesionales en materia de Economía Digital podría llegar a ser la tercera o segunda área de exportación del país. Sería muy importante.

- O sea, es realmente un gran paso si esta ley se aprueba lo antes posible.

- Es un tremendo paso, desde el punto de vista directo de la certeza jurídica, del impulso de desarrollo de nuevos negocios basados en datos. Y, por cierto, un tremendo avance también del punto de vista de la protección de los derechos de los titulares.

- ¿Qué es lo que he estaría mal planteado en el proyecto?

- Creo que la forma de redacción que puso la Cámara de Diputados, en cuanto a disminuir el carácter de base de licitud o fuente de legitimidad a lo que se llama la fuente acceso público, es extremadamente perjudicial. Hay que cambiar rápidamente eso, porque el problema que se produce es que si no se considera la fuente de acceso público como una base licitud puede generarse un impacto en la cadena de información necesaria para certificar que las personas son quienes dicen que son. Me explico, un banco, una empresa o un condominio, no podría eventualmente justificar la existencia de una base de datos, que ha sido obtenida de una fuente acceso público, ni aun a riesgo de tener la posibilidad, por ejemplo, de compararla con la base de datos del Registro Civil. Eso es un problema.

Coordinación interinstitucional

- Desde su punto de vista, ¿cómo se ha abordado el tema de las multas?

- La Cámara de Diputados le sacó, en algunas partes, el techo a las multas. Y hay toda una discusión respecto a la proporcionalidad de las mismas. Yo creo que es clave que ahí la Comisión Mixta llegue a un equilibrio.

- ¿En qué línea?

- Un equilibrio que permita, por un lado, que la multa sea lo suficientemente alta, pero además lo suficientemente real, desde el punto de vista de la aplicación, que actúe como disuasivo y la infracción no sea incorporada dentro de los costos de producción; pero también que esa multa no sea expropiatoria o no signifique, en la práctica, una afectación de la estabilidad financiera de una mediana o pequeña empresa.

También se echa de menos que no hay una norma de coordinación interinstitucional y eso es un problema futuro. Porque como la ley de protección de datos se ha atrasado tanto, el legislador, para proteger a los ciudadanos, comenzó a poner ciertas facultades en materia de protección de datos, en diferentes leyes.

- ¿Cómo por ejemplo?

- En la Ley Pro Consumidor, el artículo 15 bis, le otorga competencias al Sernac en materia de relaciones de consumo, cuando hay infracción a la protección de datos; la Ley Fintech le otorga atribuciones a la Comisión para el Mercado Financiero, cuando la afectación de los datos se produce en el marco de la industria financiera. De igual forma, va a tener competencia la Agencia de Ciberseguridad y la ciberseguridad, es decir, los niveles de encriptación de una base de datos, también son materias propias de la Agencia de Protección de Datos. En consecuencia, lo que se requeriría para que esto sea eficiente y no haya contradicciones entre diferentes reguladores, es que se estableciera, en la Comisión Mixta, una norma de coordinación que inhiba a otros reguladores u otros fiscalizadores, cuanto la primera inicie un determinado tipo de acción fiscalizadora. Porque podemos tener un problema de un texto con múltiples interpretaciones, según sea el regulador. Y eso no es lo que busca en la ley, al contrario, lo que busca la ley es que haya, por un lado, protección de los derechos ciudadanos y, por otro, haya certeza para el desarrollo de la Economía Digital. Porque sin datos la Economía Digital no funciona.

- O sea, ¿una cierta uniformidad?

- Se llaman normas de coordinación, porque lo que buscan, por ejemplo, es que si en el marco de la relación de consumo, el Sernac ha iniciado una investigación y resulta que la Agencia de Protección de Datos toma conocimiento de esta acción, la pregunta es quién se va a inhibir en favor del otro. En virtud del principio de especialidad debería ser la Agencia de Protección de Datos la que dejaría sin efecto las facultades del Sernac, en este ejemplo, para que el Sernac se pueda abocar a lo que es su origen natural, que son las infracciones al consumidor, y dejarle a la Agencia de Protección de Datos todo lo que tiene que ver con los datos.

Órganos autónomos

- A propósito, ¿cómo se debería enfrentar el tratamiento de datos en esa norma respecto de los organismos autónomos? Se lo pregunto por la preocupación expresada por algunos senadores respecto del Ministerio Público.

- El Ministerio Público tiene un tratamiento especial, porque su fuente de legitimidad es la ley. Nadie podría esperar que un formalizado o un condenado tuviese que dar autorización para tratar sus datos, porque en estricto rigor es la ley la que se lo permite al Ministerio Público. Y eso, cuando uno observa la experiencia comparada, hay normas especiales para los órganos autónomos. Pero, una cosa es que haya normas especiales, lo que no se puede pretender es que no les alcance la ley. Todas las instituciones del Estado, el Congreso Nacional, el Gobierno, el Poder Judicial, el Ministerio Público, el Tribunal Constitucional, todas las instituciones deben quedar sometidas a la ley. Se podrán establecer ciertas excepciones, ciertas diferencias, pero dejar a las policías u otros fuera del marco de la protección de datos no parece adecuado, no es recomendable ni tampoco es la experiencia comparada.

- Sumando y restando, ¿qué espera del proyecto?

- Espero que sea abordado con altura de miras por los integrantes de la Comisión Mixta, no tengo dudas de eso; con buena voluntad. Aquí no debería haber diferencias políticas, el ambiente crispado que hay en el país no debiera alcanzar esta discusión, que podría ser perfectamente un punto de encuentro. Hay que mirar mucho la evidencia internacional, la experiencia, porque la norma que nos inspira en estas materias tuvo ciertos vacíos, que Chile está corrigiendo; y hay otras experiencias que también hay que mirar como Japón, Brasil, etcétera, que también podrían ser de mucha utilidad para nosotros. Entonces, yo esperaría que prontamente, ojalá durante el mes de marzo, si es posible, se despachara el proyecto de ley, para que comenzara a regir el periodo de vacancia y las empresas inicien su proceso de adecuación. A este punto es importante precisar que los procesos de adecuación institucional, sea en el sector público o privado, son procesos largos y demorosos, que implican adecuaciones de procesos y de estructuras internas. Sobre todo considerando que los datos personales y las infracciones en materia de delitos informáticos, por ejemplo, también son considerados como elementos base de la Ley de Delitos Económicos. En consecuencia, se va a requerir adecuar estructuras de empresas, en función de identificar cuáles son las bases de licitud de sus datos, adecuar procesos, garantizar seguridad y usar los datos, pero de manera adecuada.

- ¿De cuánto es el periodo de adecuación?

- Según el proyecto son 24 meses. Pero, seamos claros, son 24 meses nominales, porque lo que va a comenzar a regir en 24 meses, probablemente, es la implementación de la Agencia de Protección de Datos, la entrada en vigencia de todas las normas; pero, en la práctica, hoy tenemos un ecosistema jurídico administrativo de Economía Digital, compuesto por la Ley Fintech, la Ley Pro Consumidor, la Ley de Delitos Informáticos, la Ley de Delitos Económicos, la Ley de Ciberseguridad, que en su conjunto ya han adelantado la aplicación práctica de muchas de las normas de la futura ley. Por eso es que ya hay muchas empresas que están adecuándose, porque están intentando cumplir rápidamente las normas que ya hoy en día están exigiendo mayor cuidado en materia de protección datos. O sea, si no están adecuadas para enfrentar el proceso de incorporación de Inteligencia Artificial, más preocupación o más problemas van a tener, porque el régimen de multas, como decía, es bastante alto.