De acuerdo con la regulación europea, un registro de actividades de tratamiento de datos personales es a la vez un instrumento y una obligación que permite tener una visión completa de los diversos procesamientos de datos personales dentro de una organización y puede facilitar el cumplimiento de la regulación en materia de información personal. Si bien el proyecto de ley chileno del Boletín N.º 11.144–07 no lo señala de manera directa, lo menciona de manera indirecta a propósito de los modelos de prevención de infracciones y puede ser una herramienta poderosa para demostrar cumplimiento de la regulación. 

El proyecto de ley de datos personales chileno del Boletín N.º 11.144-07) que crea la Agencia Nacional de Protección y actualiza la normativa en la materia (se encuentra en su tercer trámite constitucional en Comisión Mixta en el Congreso) no solo conlleva para las organizaciones obligaciones asociadas a la transparencia y publicidad de las actividades de procesamiento de datos personales y la relación con terceras partes (ej. proveedores) o la adopción de medidas organizativas—como una política de privacidad o la actualización de sus cláusulas contractuales—, sino también un profundo conocimiento de los tipos de datos personales que se encuentran en los procesos de ésta.

A nivel europeo y en conformidad con el artículo 30 del Reglamento General de Protección de Datos Personales europeo (en adelante, el RGPD, por sus siglas en español), se establece la obligación del responsable en el tratamiento de los datos personales que lleve un registro de actividades de procesamiento (RoPA, por sus siglas en inglés). El RoPA es un instrumento que permite tener claridad de los tipos de datos que se utilizan, los fines, a quiénes se comunican, los plazos de almacenamiento y las medidas—tanto de índole técnica como organizativas—que se utilizarán, entre otra información, que lo complementen y enriquezcan; lo que permite tomar una serie de decisiones en consideración de los posibles riesgos de privacidad que se identifiquen en el procesamiento de datos y el cumplimiento de la regulación, estrechamente relacionado con el principio de responsabilidad proactiva (accountability, en inglés).

Nuestro proyecto de Ley no establece de manera directa la obligación de contar con un registro de tratamiento de datos personales y solo hace una mención, a propósito de los modelos de prevención de infracciones (artículo 49 y siguientes) que son una innovación jurídica para impulsar la autorregulación en cuanto a la adopción de acciones preventivas para reducir el riesgo de incurrir en infracciones en la normativa sobre protección de datos personales. Ahora bien, nuestro proyecto de ley señala que el programa de cumplimiento de privacidad debe contener, «la identificación de información que la entidad trata» (letra c) y «la identificación de las actividades o procesos de la entidad, sean habituales o esporádicas» (letra d), por ende, de manera indirecta establece la necesidad de contar con un inventario de los tipos de información personal y los usos en las diversas áreas de una organización. Además, si uno analiza los deberes como responsable que procesa datos personales—no solo de clientes sino también de colaboradores o terceros (por ejemplo, proveedores)—contar con una «visión clara» de las actividades de procesamiento de datos personales se torna esencial. Ello se vincula, inexorablemente, con la posibilidad que el modelo de prevención de infracción se encuentre con la aptitud de ser certificable (artículo 51 del proyecto) y, por ende, configurar una atenuante en caso de infracción de algunas de las obligaciones o deberes que establece la normativa (artículo 36, numeral 5).

En ese mismo sentido y para avanzar hacía un cumplimiento «efectivo» de la regulación, el establecimiento de un eficaz programa de privacidad que aborde temáticas como el ejercicio de los derechos de los titulares (ARCO–POL, acceso, rectificación, supresión, oposición, más los que propone el Proyecto, como portabilidad y oposición a decisiones automatizadas) que deben responderse dentro del plazo establecido por la normativa (30 días corridos siguientes a la última aprobación) implica la necesidad de contar con el conocimiento de la data del solicitante. Ahora bien, ello puede sonar simple y baladí, especialmente cuando se cree que la única data es aquella conocida por la organización, pero ello no es así; existen múltiples tipos de datos, estructurados y no estructurados, que están dentro de una compañía, o inclusive aquellos que son desconocidos completamente («datos oscuros») a través de copias locales en ciertos dispositivos o infraestructura tecnológica en la organización.

Igualmente, en relación con el deber de seguridad que establece el proyecto y especialmente en la obligación de reportar las vulneraciones a las medidas de seguridad (artículo 14 del proyecto), si bien no se indica un plazo, como en el caso del RGPD (72 horas), sí señala que debe realizarse «por los medios más expeditos posibles y sin dilaciones indebidas». El identificar las medidas adoptadas sobre la información personal y contar con un inventario—no solo de los sistemas informáticos que procesan activos de información sino, específicamente, los datos personales que se encuentran en dichos sistemas al igual que aquellos que son comunicados o transmitidos a terceras partes—permite reducir el riesgo para los derechos y libertades de los titulares de los datos personales en caso de brechas, por ejemplo.

Para concluir, cumplir con la identificación de toda la data dentro de una organización, desde un enfoque regulatorio, no es una tarea sencilla y, a pesar de que se intente realizar a través de entrevistas o mediante tecnología, es una tarea que excede la labor de una sola área y debe entenderse como un asunto estratégico de toda la organización. Entenderlo de esta forma es la manera más adecuada de lograr el cumplimiento normativo más allá de la formalidad y, si bien, el Proyecto de Ley Chileno no lo señala de manera expresa, si es uno de los requisitos que conformarán los programas de prevención de infracciones en materia de protección de datos personales, por lo que no se debe descartar del todo contar con ello para lograr el cumplimiento normativo.