Tres lecciones para Chile del fallo Schrems II

Óscar Molina Díaz

El manejo de información de contagios durante la pandemia, las implicancias en el teletrabajo y los múltiples incidentes de ciberseguridad fueron todos temas relevantes durante el 2020 para los ejes de privacidad y protección de datos. Sin embargo, en Chile no se le ha prestado la debida atención al fallo internacional más importante de los últimos años sobre datos personales, con consecuencias también para nuestro país.

El llamado caso Schrems II, fallado por la Corte Europea de Justica el pasado 16 de julio, no sólo invalidó el acuerdo existente entre la Unión Europea y Estados Unidos (Privacy Shield) sobre el cual miles de empresas se basaban para validar el flujo transfronterizo de datos personales entre ambos territorios, sino que estableció la necesidad de revisar en detalle las Cláusulas Contractuales Tipo ( “SCC” por sus siglas en inglés) que permiten realizar dichos flujos entre la UE y terceros países, tales como Chile.

Por poner un ejemplo, el fallo implica que una empresa francesa que contrata a una chilena para realizar un estudio de marketing desde Chile, entregándole una base de datos de su clientela europea, se vea impedido a realizar la tarea si las SCC son declaradas inválidas. Lo mismo respecto a una empresa chilena que contrata a una empresa de marketing en Europa, entregando esta última una base de datos de potenciales clientes. Es más, las nuevas SCC recomendadas por la autoridad europea tras el fallo obligan, entre otras medidas, a tener medidas técnicas de seguridad adecuadas, informar peticiones de acceso a dicha información por parte de autoridades locales y declarar que el ordenamiento jurídico del país de destino no contradice las SCC.

En definitiva, el territorio de destino de los datos debe ofrecer un nivel de protección sustancialmente equivalente a aquel en Europa, lo cual sólo se logra si el ordenamiento jurídico local no contradice las SCC. Cabe preguntarse qué porcentaje de las empresas chilenas están en condiciones de cumplir con estas obligaciones. Me temo que la pregunta en este caso es incluso más básica: ¿qué empresas chilenas conocen la existencia de las SCC, sus implicancias y el impacto sobre su negocio?

Este fallo es un llamado de atención no sólo a las empresas, sino también para nuestros actuales legisladores y futuros constituyentes. Con la presión de múltiples grupos de interés, ¿habrá espacio para mantener el avance que significó la consagración del derecho a la protección de datos en nuestra Constitución en 2018? Para nuestros actuales legisladores la lección es que debemos legislar de manera coherente, teniendo la privacidad en consideración en las discusiones de otras leyes tales como seguridad nacional, inteligencia, delitos informáticos, telecomunicaciones, etc.

Parece obvio, pero a veces se piensa que una reforma a nuestra ley de datos personales sería suficiente en sí misma para crear un ecosistema y cultura de protección de datos. La privacidad debe estar presente en cada iniciativa legal y debe entenderse cómo ella afecta los eventuales derechos y libertades, no sólo de ciudadanos chilenos, sino de toda persona que se encuentra en nuestro país. Queda mucho por hacer.