Con fecha de 24 de noviembre de 2024, el Tribunal Constitucional de Chile emitió su resolución favorable sobre el proyecto que regula la protección y el tratamiento de datos personales, como la creación de la Agencia de Protección de Datos Personales. Por ende, el Ejecutivo tiene un breve período para la firma del decreto promulgador, y posteriormente, se procederá a publicar en el Diario Oficial el texto de la nueva normativa. Una vez publicada la norma—y en conformidad al artículo primero transitorio—, las organizaciones contarán con un período de 24 meses desde la publicación en el Diario Oficial para ajustar sus actividades de tratamiento de datos personales en curso, como aquellas futuras que desee realizar, a esta regulación. Sin perjuicio de ello, existen varias disposiciones que están supeditadas a la dictación de un reglamento que, de acuerdo con las normas transitorias, deberán dictarse dentro de los seis meses desde la publicación de la ley; por lo que, sin lugar a duda, el plazo de dos años (24 meses) para que las organizaciones puedan ajustar sus procesos a los deberes y obligaciones, se volverá un desafío empresarial.
Una consulta que ha surgido bastante a nivel nacional, y especialmente por varias organizaciones de diversos tamaños, es ¿por dónde partir? Si bien, el Proyecto no nos dice directamente y solo establece el plazo de vacancia legal, hay algunas disposiciones que nos ayudan a esclarecer ello. Por ejemplo, si uno analiza el artículo 14 del aprobado proyecto respecto de las obligaciones del responsable a saber informar sobre la licitud del tratamiento que realiza; asegurar que los datos se recojan de fuentes de acceso lícitas, y que el tratamiento se limite al cumplimiento de estos fines; comunicar o ceder información exacta, completa y actual; suprimir o anonimizar los datos personales del titular; cumplir con los demás deberes que establece la ley; uno podría afirmar que el conocer los tipos de datos personales y las actividades en que se trata dicha información permite identificar si las operaciones de la organización pueden presentar un escenario que altera los posibles riesgos de privacidad que tenía en consideración.
Importante es recordar que, a diferencia del Reglamento General de Protección de Datos Personales, nuestra futura ley no obliga a que el responsable cuente con un registro de las actividades de tratamiento de datos (RAT/RoPA — artículo 30 del RGPD), aunque para el fiel cumplimiento de una serie de obligaciones como, por ejemplo, a propósito del deber de transparencia e información (artículo 14 ter). Esta establece la necesidad de publicar “las categorías, clases o tipos de datos que trata; la descripción genérica del universo de personas que comprenden sus bases de datos; los destinatarios a los que se prevé comunicar o ceder los datos; las finalidades de los tratamientos que realiza; la base de legitimidad del tratamiento; y en caso de tratamientos que se basan en la satisfacción de intereses legítimos, cuáles serían estos” (letra d), como también información sobre la existencia de transferencia internacional de datos (letra h), el período durante el cual se conservarán los datos personales (letra i), la fuente de la cual provienen los datos personales y, en su caso, si proceden de fuentes de acceso al público (letra j), entre otros. Sin duda, un instrumento como un registro de actividades de tratamiento permitirá la adopción de una decisión informada sobre los posibles riesgos de privacidad que pueden presentarse a través de actividades en que se procesan datos personales, como los sistemas en los cuales se encuentran ubicados, las medidas técnicas y organizativas adoptadas en dichas actividades y, por ende, corregir o agregar medidas que sean efectivas para ello.
Asimismo, el programa de cumplimiento que conforma los modelos de prevención de infracciones (artículo 49) siendo de carácter voluntario, dentro de los elementos mínimos que debe contener son: “c) la identificación del tipo de información que la entidad trata, el ámbito territorial en que opera, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos” y “d) la identificación de las actividades o procesos de la entidad, que sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de las infracciones”. Por ende, en conformidad con el principio de transparencia e información, la necesidad de conocer los tipos de datos y las actividades de procesamiento de la información se torna un elemento importante para identificar los posibles riesgos de privacidad.
Frente a los posibles riesgos en las actividades en que se procesan datos personales, nuestro proyecto reconoce de manera expresa la adopción de una metodología de evaluación de riesgos, aunque se limite al impacto que puede tener una actividad de tratamiento (artículo 15 ter). Respecto del propósito, de la naturaleza, alcance, contexto, tecnología utilizada o fines, las actividades en que se procesan datos pueden producir un alto riesgo para los derechos de las personas titulares de los datos personales. Por lo tanto, el responsable deberá realizar, previo al inicio de las operaciones, una evaluación (EIPD), que será obligatoria en los casos en que: (i) exista una evaluación sistemática y exhaustiva de aspectos personales de los titulares de datos, (ii) se basen en el tratamiento o en decisiones automatizadas como la elaboración de perfiles y que se produzcan en ellos efectos jurídicos significativos; (iii) haya un tratamiento masivo de datos o a gran escala; (iv) el tratamiento implique observación o monitoreo sistemático de una zona de acceso público; (v) tratamiento de datos sensibles y especialmente, protegidos, en las hipótesis del consentimiento.
Debido a la cantidad de obligaciones que el aprobado proyecto impone a las organizaciones que son responsables del tratamiento de datos, algunas entidades han decidido iniciar este proceso conociendo su estado inicial en relación con los requerimientos normativos que conformarán la pronta ley, estableciendo su estado actual para fijar una hoja de ruta (roadmap) y establecer una estrategia para abordar las acciones correctivas y con ello demostrar proactividad al momento de abordar el desafío de cumplimiento dentro del período que fija la normativa. Esto es especialmente interesante, tomando en cuenta las obligaciones que establece la normativa al responsable de contratar con encargados que cuenten con garantías similares respecto del tratamiento de los datos encomendados y, especialmente, a propósito de lo indicado en el artículo 15 bis del proyecto.
Para finalizar, la futura ley reconoce el principio de responsabilidad (artículo 3 letra e), que indica que quienes realicen tratamiento de los datos personales, en caso de incumplimiento de los principios, obligaciones u otras disposiciones, deberán responsabilizarse de las posibles infracciones a la normativa, por lo que la necesidad de adoptar un enfoque proactivo, se extiende no sólo a los responsables sino también a terceras partes como proveedores o contratistas, por lo que, frente a este desafío, será crucial adoptar una estrategia desde ya.
Juan Pablo González Gutiérrez es abogado y académico en derecho y nuevas tecnologías.
