Diputado Leonardo Soto: “Hoy día se plantea que los datos personales son el verdadero oro negro del siglo XXI”

El tan esperado proyecto de Protección de Datos Personales, que pondrá a nuestro país al nivel de los más altos estándares en esta materia, está a poco tiempo de ver la luz. Ello, porque sólo le resta pasar por el tercer trámite en el Senado y sus promotores esperan que la Cámara Alta no obligue a una Comisión Mixta. Uno de los impulsores de la iniciativa, el diputado Leonardo Soto (PS) está optimista por el avance que la moción significa para el país.

Entre otras cosas, en esta conversación con Diario Financiero, el legislador señala que el “intercambio fluido de información y datos personales, garantizados por legislaciones situadas en distintos lugares del mundo, va a favorecer enormemente el intercambio comercial con el viejo continente”.

-¿Cuál es la importancia de este proyecto?

-Es un proyecto de ley que regula y protege el tratamiento de los datos personales de todos los chilenos y, además, crea un procedimiento para esa protección con una Agencia de Protección de Datos Personales, que es un organismo público similar al Consejo para la Transparencia, pero que en este caso va a permitir interactuar con millones de chilenos para la debida protección de sus datos personales.

-¿Cuáles diría que son los pilares de este proyecto?

-Uno de los pilares fundamentales es que es una regulación moderna que protege los datos personales de los chilenos y establece un conjunto de principios y obligaciones que deben tener todas las empresas y entidades públicas que los tratan. Un segundo pilar tiene que ver con el funcionamiento de la agencia estatal a cargo de la definición más precisa de cómo se protegen nuestros datos personales y determina una regulación y un procedimiento de discusión y reclamación respecto de infracciones específicas. También va a tener capacidad sancionatoria de naturaleza administrativa, pero vinculante para las partes, con lo cual se produce un sistema de protección de datos personales muy superior al que tenía Chile, que le va a dar más seguridad a los chilenos respecto de su información personal y va a permitir un mayor intercambio comercial y de datos con los países del primer mundo.

-¿Cuáles son las características de la agencia de Protección de Datos Personales?

-Es un organismo estatal, descentralizado, que tiene patrimonio propio y autonomía legal para fiscalizar, regular, controlar y sancionar tanto a empresas privadas que incumplen las normas sobre el tratamiento y protección de los datos personales como también a organismos públicos. No hay entidades públicas que estén excluidas de las funciones que va a cumplir la agencia.

-¿Para la fiscalización, por ejemplo, de las entidades públicas, hay alguna coordinación con otra entidad sólo lo hace la agencia?

-En principio esta agencia especial tendrá competencia sobre los datos personales, ya sea que estén tratados, en poder, o siendo utilizados por empresas privadas o públicas. Sus dictámenes van a ser obligatorios y las sanciones tendrán igual carácter. No obstante aquello, pueden entrar en colisión con otra entidad pública que también tiene que ver con la información de las entidades públicas y privadas, que es el Consejo para la Transparencia.

-¿Cómo es eso?

-En el ámbito público pueden generarse algunas colisiones de derechos. Por ejemplo, si la Ley de Transparencia obliga a un ministerio a entregar información, que puede ser considerada sensible, de sus funcionarios o de sus usuarios, y la Agencia de Protección de Datos Personales, puede considerar que la difusión o información que se entrega sobre esos datos personales vulnera los derechos de esas personas.

-¿Cómo se resuelve eso?

-Estableciendo una debida coordinación de ambas instituciones. En algunas partes del mundo, la institución que protege los datos personales es la misma que fomenta la transparencia en el sector público.

-En eso hubo un debate

-Nosotros lo resolvimos estableciendo que la Agencia de Protección de Datos Personales  va a ser autónoma, pero cuando existan posibilidades de colisión de competencias va a haber una coordinación de competencia con el Consejo para la Transparencia, para que puedan buscar alguna norma común. Sin embargo, si estas instituciones se mantienen en sus propios criterios, que podrían ser discordantes o contradictorios, se podrá apelar ante la Corte de Apelaciones respectiva para que dictamine cuál de los derechos prevalece.

-¿Qué aspectos del proyecto le parecen los más relevantes de esta iniciativa?

-Primero es destacar la materia, todos los estudios sociológicos y económicos nos hablan de que en el siglo XXI gran parte de la riqueza va a estar determinada por los datos personales. Hoy día se plantea que los datos personales son el verdadero oro negro del siglo XXI,  el cual se disputan los grandes conglomerados y consorcios tecnológicos.

-¿Cómo se hace esta predicción?

-Básicamente porque hoy día las grandes empresas tecnológicas, mediante algoritmos e inteligencia artificial, capturan los datos de quienes interactúan en sus redes sociales -estamos hablando de Facebook, Twitter, Amazon- y configuran perfiles de consumidores. A partir de eso venden y entregan publicidad no solicitada por las personas. Y se dice que en algún tiempo más el volumen de información que van a tener estos gigantes tecnológicos va a ser tan grande que no tan sólo van a poder detectar cuando alguien quiere comprar un bien o servicio y entregarle publicidad a cambio, sino que van a poder anticiparse a los gustos y preferencias de las personas. Pero hay ámbitos donde no es conveniente que se anticipen a ellas e influyan en las decisiones.

-¿Cómo en cuáles?

-Como por ejemplo en la política. La información que existe hoy día en los gigantes tecnológicos permite personalizar tanto la información de una persona, de su celular o en su computador, que va cambiando sus decisiones de voto en resoluciones muy importantes para un país. Ahí está la experiencia del Brexit, donde todos los estudios posteriores -hay hasta juicios,  incluso películas que ilustran sobre aquello- dicen que hubo una alta influencia de Cambridge Analytics, una empresa que juntó la información de todos los votantes e influyó de manera no legal.

 Duras sanciones

-¿Qué obligaciones, según este proyecto, tienen las empresas que tratan los datos personales?

-Tienen un conjunto de deberes y obligaciones que me gustaría enfocar, en una primera mirada, a través de los derechos que tienen las personas. Este proyecto establece derechos sobre los datos de las personas, que se establecen como irrenunciables, incomerciables, son gratuitos también. Los derechos que tienen los consumidores se describen bajo la sigla ARSO que se refiere al derecho de acceso a sus datos personales, el derecho a rectificación de sus datos, el derecho a supresión de sus datos y el derecho a oposición que tienen todas las personas sobre el tratamiento de sus datos.

-¿Qué significa eso?

-Que, por ejemplo, una persona puede solicitarle a cualquier empresa que le informe qué datos tiene en su poder; qué tratamiento les está dando, es una especie de derecho de acceso a la información de cómo se están tratando sus datos. Se establecen plazos para que las empresas entreguen esa información y, lo más importante, se asocian sanciones graves cuando la empresa no cumple con el deber de información que tiene hacia las personas cuyos datos trata.

-¿Cuando hablamos de sanciones graves a que se enfrentan esas empresas?

-Uno de los aspectos más controvertidos fue el catálogo de sanciones que tiene este proyecto, porque pueden ser sanciones muy severas con respecto a empresas que trabajan en el mundo digital o son de tipo gigantes tecnológicos. Y están en línea, más o menos, con la legislación europea; y en los casos más extremos, donde hay infracciones gravísimas a la ley como revelación de datos personales, donde hay reincidencia por parte de la empresa y también una cantidad importante de afectados, las multas pueden llegar hasta un 4%de las ventas anuales de la empresa. Son tan altas, porque la idea es que sean disuasivas.

-¿Estos modelos de compliance son obligatorios? Si una empresa  tiene un modelo de prevención actualizado que busca disuadir, pero igual se incurre en un delito, ¿el haber tenido el modelo la protege de la sanción?

-Este proyecto, que sigue las recomendaciones de la OCDE,  promueve que al interior de estas organizaciones públicas o privadas, que son básicamente las de tamaño medio a grande o alto, tengan en su interior un conjunto de autoridades y prácticas internas que disminuyan de manera importante la posibilidad de que se infrinjan las normas sobre los datos personales por parte de las personas que tratan con ellos. Pero no por el hecho que tenga un modelo de prevención de infracción queda exento de responsabilidades, eso ninguna legislación del mundo lo permite, lo que sí aminora evidentemente o atenúa la responsabilidad.

-¿Es la agencia la que sanciona?

-Sí y con ella interactúan inicialmente tanto las personas propietarias de sus datos personales, como las empresas que los tratan. Se establecen directrices, fallos administrativos que van orientando acerca del sentido y alcance de algunas situaciones específicas; y la interpretación que hace la autoridad sobre esta ley. Sin embargo, como todas las legislaciones más avanzadas, se deja a salvo el derecho que tienen las personas a controvertir una decisión que no consideren satisfactoria de parte de la autoridad estatal ante los tribunales.

-¿Cuánto mejorará, si se puede cuantificar de algún modo, el intercambio comercial cuando esta norma esté vigente?

-Uno de los objetivos de este proyecto es modernizar el tratamiento de los datos personales de los chilenos, protegerlos; y, a la vez, a nivel internacional, que Europa declare a Chile “país adecuado”, esa es la expresión, en materia de protección de datos personales y le permita tener un intercambio libre y garantizado de los datos tanto de sus nacionales o residentes de Europa, como también de los chilenos. Y ese intercambio fluido de información y datos personales, garantizados por legislaciones situadas en distintos lugares del mundo, va a favorecer enormemente el intercambio comercial con el viejo continente. Esa es un objetivo es un objetivo de Estado.

-¿En cuánto tiempo, desde la promulgación de la ley, va a tener la agencia de protección de datos para su creación?

-Tiene una puesta en marcha que es bastante lenta, por el cambio que va a establecer esta nueva regulación no se va a implantar de la noche a la mañana, ya que podría chocar fuertemente con la cultura organizacional, empresarial y pública chilena y podría generar una conflictividad que podría superar las expectativas de los que hemos sido autores de esto. Y por eso la total vigencia de este proyecto va a comenzar después de dos años.