Las leyes de protección de datos personales son esenciales en el mundo moderno. A mayor tecnología, son más fundamentales para el ser humano. Primero, porque gracias a ellas se permite usar legalmente datos de otros. Segundo, porque ese uso se limita, estableciendo garantías para que podamos mantener nuestras libertades y derechos y no vernos arrasados por los sistemas.
Por ese motivo cada vez se imponen más exigencias para las empresas y para el Estado, a la hora de tratar nuestros datos personales. Un claro ejemplo se observa desde el Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR), que opera como el estándar legal de facto para países latinoamericanos. Además, casos como el de Cambridge Analytica o las fugas de datos de clientes desde bancos o grandes empresas, son graves escándalos que conocemos por los medios, pero a diario hay muchos otros incumplimientos de estas leyes, por lo que se requiere mayor cuidado y rigurosidad.
El cumplimiento implica necesariamente asumir costos para las organizaciones, sean públicas o privadas, grandes, medianas o pequeñas.
A partir de lo anterior, queremos destacar 3 ideas básicas para llevar a cabo compliance de las normas sobre datos personales:
1. Las leyes de protección de datos se cumplen cuando se implementan.
Esto significa que el cumplimiento implica necesariamente asumir costos para las organizaciones, sean públicas o privadas, grandes, medianas o pequeñas. Hay medidas concretas que deben ser adoptadas, sobre todo en materia de procedimientos y controles de seguridad de las bases de datos.
No en vano, estas leyes se elaboran bajo un enfoque de riesgo, en donde aplican las distintas metodologías para evaluar y tratar los riesgos derivados del uso de datos personales. Se requieren controles concretos para mitigar la probabilidad y el impacto de incidentes sobre los datos personales que las empresas tienen en sus registros.
Ello, no solo mirando los evidentes riesgos tecnológicos y reputacionales, sino también el altísimo riesgo legal que conlleva un incumplimiento, por la posibilidad de ser demandado por los daños que ocasione la mala utilización de los datos; las multas (que internacionalmente suelen ser altas) por no cumplir los requisitos a que obliga la ley; y los posibles delitos vinculados a estafas, accesos no autorizados, fugas maliciosas de datos, entre otros.
2. No limitarse a cumplir los requisitos legales obligatorios, sino elevar voluntariamente el estándar de protección
Por supuesto, esta idea tiene dos partes. Primero, debe conocer su brecha de cumplimiento de los requisitos obligatorios que exige la ley actual (ley N°19.628) y tomar acciones inmediatas para remediarla.
A modo de ejemplo, para diagnosticar su brecha, le sugiero responder preguntas como las siguientes:
a. ¿Dónde guarda las autorizaciones por escrito en que el titular le permite utilizar sus datos personales?
b. ¿Informa con claridad y sin engaños al titular cuando le pide su consentimiento?
c. Si compró una base de datos personales, ¿sabe el origen de los datos? (Le aseguro que mientras más detallada sea, es más probable que su origen sea ilegal).
d. ¿Sabe cómo actuar rápidamente cuándo un titular le pide acceso a sus datos o quiere que los actualice o elimine? ¿Quién canaliza esas peticiones? ¿Demora no más de 2 días en responder?
e. ¿Tiene un sistema de gestión de seguridad implementado para cuidar los datos personales?
f. ¿La obligación de guardar secreto de los datos que debe ir en los contratos de trabajo y en el reglamento interno dura indefinidamente o está sujeta a un plazo?
g. ¿Qué metodología utiliza para disociar los datos? (¿Diso… qué?)
h. ¿Qué evidencia genera para demostrar que ha eliminado efectivamente los datos personales una vez que se cumple el plazo para usarlos o la finalidad para la cual se recolectaron? (Sabía que legalmente no puede mantenerlos, ¿cierto?)
i. Si contrata una empresa para que le preste un servicio utilizando los datos personales, por ejemplo, para que los almacene en la nube o los procese y le genere reportes, ¿tiene firmado el contrato de mandato especial y detallado que pide la ley o solo se confía en una cláusula de confidencialidad que no lo protege legalmente a usted ni a su mandatario?
Bueno, ¿cómo le fue? Si pudo responder todo con seguridad ya es un primer paso; si además, tiene claro que cumple correctamente con lo anterior, felicitaciones. Sin embargo, la gran mayoría de las organizaciones no pasa esta prueba.
Existen modelos de prevención de infracciones que elevan los estándares de protección de datos y permiten atenuar o eximir responsabilidad por incidentes sobre los datos.
Ahora bien, no solo hay que hacerse cargo de lo anterior -como mínimo-, sino que el compliance de datos personales requiere también un esfuerzo extra, para elevar el cuidado. Para lograrlo, existen instrumentos concretos denominados “modelos de prevención de infracciones”, que contienen una serie de medidas a implementar por la empresa, por lo general, voluntariamente, aunque hoy se discute en el Congreso sobre la conveniencia de exigirlos de manera obligatoria, dada la mala experiencia de los modelos de prevención de delitos contenida en la ley N°20.393, sobre responsabilidad penal de personas jurídicas.
Como estos modelos de prevención elevan los estándares de protección de datos, quienes los implementan correctamente pueden atenuar o, incluso, eximirse de responsabilidad si ocurre algún incidente sobre los datos. He ahí su importancia práctica.
Estos modelos de prevención de infracciones parten de ciertos mínimos. Deben ser simples, directos, demostrables y estar alineados con los objetivos de la institución. Es un error creer que se trata de generar documentos inútiles y extensos que nadie leerá, sino todo lo contrario, consiste en formalizar decisiones de la empresa de manera clara, breve y precisa, tanto para el personal que debe implementarlo, como para quienes deben fiscalizar.
A partir de estos modelos, surgen nuevas funciones como la del delegado de datos personales, a quien hay que capacitar, dotar de facultades y entregarle recursos suficientes. Además, se requiere documentar programas de cumplimiento, en donde se detallen los pormenores del tratamiento de datos específicos (tipos de datos, finalidades, responsables, comunicaciones, tipos de titulares, medidas de seguridad, enfoque de privacidad por defecto desde el diseño, etc.). Todo ello, complementado con una identificación, evaluación y tratamiento de los riesgos asociados a los datos.
3. Aprovechar la oportunidad de implementar hoy los modelos
En Chile hay un proyecto de ley de datos personales en trámite que favorecerá el compliance con requisitos obligatorios más claros que los que actualmente existen y beneficiando a aquellas empresas que aumenten su nivel de protección mediante modelos de prevención de infracciones.
Esto genera un escenario propicio para implementar modelos de prevención desde ya, es decir, hoy es el mejor momento por las razones que paso a explicar:
Sea cual fuere la redacción final del proyecto de ley, los modelos de prevención forman parte de los estándares internacionales en protección de datos personales. De este
modo, aunque nada se dijera finalmente (lo cual dudo, porque es uno de los puntos centrales del proyecto), contar con un modelo implementado facilitaría a la empresa el cumplimiento de las obligaciones de protección de datos, disminuyendo considerablemente sus riesgos.
Partir ahora significará, además, costos más bajos de parte de las consultorías especializadas que se contraten y que las empresas puedan trabajar a su propio ritmo, sin la presión de un plazo ante un órgano de control.
En definitiva, sugiero sentar desde ya las políticas, normas y procedimientos a partir de los cuales la empresa o el órgano público evolucionará a sistemas de protección más complejos y con una clara ventaja competitiva al demostrar a sus clientes y trabajadores que respeta mejor sus derechos.
Nuestro Estudio ofrece servicios de compliance de protección de datos personales.
Más información aquí.