Tecnología

¿Cómo afecta a Chile el nuevo Reglamento General de Protección de Datos de la UE?

Normativa que tiene aplicación extraterritorial y resguarda los datos de los ciudadanos europeos, dentro y fuera de sus límites geográficos, podría afectar a empresas nacionales que tratan datos personales y que están presentes en el viejo continente.

Por: Alejandra Melo Z. | Publicado: Viernes 25 de mayo de 2018 a las 04:00 hrs.
  • T+
  • T-

Compartir

“Actualización de nuestra política de privacidad” o “mejoras a nuestra política de privacidad”. Desde hace algunas semanas que recibimos mails con enunciados similares y que anticipan cambios en las normativas de privacidad de empresas de diversas áreas. Información sobre qué datos se almacenan y para qué, la posibilidad de eliminar información de manera permanente y los partners con los cuales se comparte información, son sólo algunos de los detalles que informan los correos electrónicos.

Imagen foto_00000004

Su llegada responde a las condiciones que establece el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea que hoy, 25 de mayo, entra en vigencia.

No es que la normativa involucre a Chile directamente, dado que el país aún no actualiza una legislación al respecto que data de 1999, cuando internet aún no era parte de la vida del común de los chilenos. Por este motivo, a la fecha el país tampoco cuenta con una Agencia de Protección de Datos Personales, entidad que valga decir, pudo haber hecho frente a una crisis como la de Facebook desatada por el manejo de datos sin consentimiento por parte de Cambridge Analytica. Su carencia hoy repercute en que el traspaso de información con los países de Europa sea más engorroso.

Pese a ello, la RGPD marca un hito, no sólo en el viejo continente, sino que también en el resto del mundo. ¿Por qué? Porque unifica la legislación de todos los países de la Unión Europea y eleva los estándares para el resto del orbe, con un objetivo claro: proteger más al usuario de la comunidad europea, frente al mal uso de sus datos, que van desde su número de identificación hasta su información genética. El detalle, y por qué involucra a países que están fuera de la UE es uno: la norma tiene carácter extraterritorial.

“Además de establecer estándares superiores de privacidad para las empresas, el reglamento tiene un alcance mucho mayor, porque rige directamente a todos los países de la UE también para empresas que no residen en Europa, pero que tratan datos personales de residentes europeos”, explica Jessica Matus, presidenta de la Fundación Datos Protegidos de Chile y organizadora de la conferencia sobre privacidad "La Unión Europea y América Latina: La Convergencia como Oportunidad". 

Con esto, agrega, se otorga a los residentes de la Unión Europea mayor control sobre sus datos personales y se exige que las empresas mantengan una protección adecuada de los mismos, con el fin de resguardar y garantizar el derecho de privacidad de las personas.

Con esto, detalla Astrid Schudeck, directora área Legal y Tributaria de PwC Chile, se busca que las personas tengan control sobre la información que traspasan, generando a su vez mayor corresponsabilidad con los mismos, entendiendo esto como que el titular debe saber y poder acceder a estos datos procesados y tratados.

“No es una norma esencialmente prohibitiva, sino que es una normativa que limita, regula y permite que las empresas puedan dar confianza a los usuarios de que sus datos personales están siendo protegidos. Lo importante es que en Europa, la protección de los datos está elevada a categoría de derecho fundamental”, comenta la ejecutiva de PwC.

¿Cómo afecta a las empresas en Chile?

Debido al carácter extraterritorial, podría afectar a empresas chilenas que tratan datos personales y que tienen establecimientos en Europa.

“Esto tiene impacto legal, en los procesos, y en lo sistémico. Nosotros lo abordamos desde varios ámbitos y entendemos que la adaptación es progresiva, y los clientes europeos lo que están haciendo es demostrar que se está avanzando y se están dando paulatinamente los pasos”, afirma Federico Morello, socio Asesoría y Consultoría Empresarial de PwC Chile, quien añade que también hay que considerar que la adaptación es dinámica y en la medida que se van incorporando procesos y nuevos datos, siempre tiene que estar contemplando cómo puede ir incorporando la normativa, la que a su juicio, establece un nuevo marco de transparencia.

El ejecutivo añade que para lograr adaptarse al RGDP es necesario realizar una análisis para corroborar qué puntos se están cumpliendo y cuáles no, hacer una revisión de sistemas y seguridad, haciendo mapas de tratamientos, gestión de riesgos e implementando medidas de resguardo.

Considerando esto es que desde hace un tiempo Microsoft adecuó sus sistemas y servicios a la legislación europea. “Rediseñamos nuestros propios sistemas e incorporamos controles de seguridad y privacidad directamente en nuestros productos para preparar a nuestra empresa para el cumplimiento del RGPD”, asegura Asier Crespo, director jurídico de Microsoft Ibérica, quien destaca que la compañía invierte más de US$ 1.000 millones al año en seguridad y aplica sus perspectivas globales para identificar amenazas y proteger los datos de sus usuarios”.

Pese a que Chile fue uno de los primeros países de Latinoamérica en contar con una normativa de protección de datos personales, no hubo actualización y con los años, y el avance de la tecnología, fue quedando retrasada respecto a otros países del mundo, así como también ante una protección real, algo que podría cambiar en poco tiempo.

Esto porque hace una semana y de manera unánime, el Senado aprobó el proyecto para convertir la protección de datos personales en un derecho constitucional. Pese a que aún falta la publicación y promulgación, la medida podría cambiar la forma en cómo se protegen los datos.

“La reforma al artículo 19, N° 4, que es la garantía constitucional de privacidad, se agrega la protección de datos personales como un derecho constitucional, y es algo para celebrar en el ámbito constitucional. Cuando se tiene una norma en la constitución, que protege los datos personales, significa que su violación puede dar lugar a un recurso de protección”, comenta Schudeck.

Compromiso OCDE

Pero no todo son buenas noticias. La reforma modifica directamente a la constitución chilena y no la ley N° 19.628 sobre protección de la vida privada. El proyecto de ley que modifica dicha ley se encuentra actualmente en tramitación e implica la creación de un organismo regulador, la Agencia de Protección de Datos Personales, cuyo trámite y discusión se exige de manera formal desde hace más de 10 años.

A ello se suma que de no cumplirse una actualización, Chile rompería un compromiso pendiente con la OCDE en materia de privacidad de datos.

“Chile ya se ha dado tiempo suficiente para discutir una normativa de protección de datos y creemos que el estándar de Europa, que se ha puesto en práctica podría regir para todos”, asegura Matus, quien agrega que parte de las indicaciones al proyecto de ley, se hizo considerando modificaciones, conceptos y derecho que establece la UE, o sea, a la portabilidad de datos, al olvido y más. Pese a ello, dice, el problema con la creación de la agencia recae en otro punto clave: ¿quién se va a hacer cargo de esta materia?

¿Cuáles son los principales puntos del RGPD?

El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), es la nueva ley que rige en los países de la Unión Europea y establece qué pueden hacer las empresas y las personas con sus datos personales. Estos últimos comprenden datos de identidad física, genética, fisiológica, psíquica, cultural, y en línea, como dirección IP y localización.
Promulgado en 2016, el RGPD entra en vigencia hoy y sustituye a las distintas leyes de cada país de la Unión Europea, buscando unificar la legislación para proteger más al usuario y a su vez, actualizar normas que datan de 1995.
Cristián Cabezas, solutions Director en Dimension Data Chile, detalla que las organizaciones europeas deben respetar cinco disposiciones de consentimiento personal: derecho a ser olvidado sin demora indebida; a optar por no participar, o que den su consentimiento de forma activa para compartir información personal; a solicitar y recibir información que detalle qué datos personales se procesan y con qué fines; a la portabilidad de datos; y a oponerse a que una organización maneje sus datos personales.
Las empresas que no se apeguen a la actual normativa, arriesgan a fuertes sanciones, como multas nivel 1, que implican el pago del 2% del volumen de ingreso anual de la empresa o 10 millones de euros, el que sea mayor y las de nivel 2, o graves, que alcanza el 4% anual o 20 millones de euros.

 Imagen foto_00000005

Lo más leído