Por Fabiana Ramírez, Investigadora de Seguridad Informática de ESET Latinoamérica.
Los datos personales se convirtieron en un activo de gran valor y la conciencia sobre su protección es cada vez más relevante. Las amenazas a la privacidad son más frecuentes, haciendo necesario actualizar las leyes de datos que rigen en cada país.
Aunque en Latinoamérica varios países se encuentran con legislaciones que son del siglo pasado, ―casi que de los albores de la popularización de Internet―, la mayoría de los Estados se encuentran trabajando para adecuarse a los tiempos modernos, con la Regulación de Protección de Datos Personales europea (2016) como faro.
En el caso de Chile, la legislación “busca perfeccionar las normas relativas al tratamiento de los datos personales de las personas naturales, de manera que éste se realice con el consentimiento del titular de dichos datos o en los casos que lo autorice la ley, asegurando estándares de calidad, información, transparencia y seguridad”.
El reglamento fue aprobado este 27 de agosto y lista para su publicación y promulgación, es por ello que a continuación responderemos algunas de las preguntas que pueden estar rondando la cabeza de los altos mandos en empresas y organismos, como también de los ciudadanos.
¿Hay sanción para las empresas responsables del uso indebido de los datos previo a la entrada en vigor de la ley?
Las sanciones no serán aplicadas inmediatamente. De acuerdo con la norma, la misma entrará en vigor el primer día del décimo tercer mes posterior a su publicación. En ese sentido, las bases de datos preexistentes cuentan con un plazo de dieciocho meses para adecuarse a los términos previstos en ella, contado desde su entrada en vigor. Teniendo en cuenta esto, se podría decir que, desde la publicación de la norma, las empresas tendrán un plazo de dos años y seis meses para adaptarse. Sin embargo, los derechos reconocidos por esta para los titulares de datos podrán ser ejercidos de acuerdo con sus términos desde la entrada en vigor.
¿A quiénes impacta la ley? ¿A ciudadanos y empresas de todo el mundo o solo de Chile?
Afectará a empresas de todos los tamaños, organismos públicos y a la información referida a ciudadanos chilenos, por tanto, repercutirá en empresas extranjeras que traten datos de ciudadanos o personas que habiten en el país.
¿Un sitio web fuera del territorio chileno al que acceden personas desde el extranjero se ve afectado por la ley?
Si el sitio web recoge datos personales de personas situadas en Chile y lo hace con el fin de suministrar bienes o servicios, deberá cumplir con la ley.
Si una persona fuera de Chile interactúa con un sitio web de una empresa o servicio que se ofrece en el país, ¿la ley tiene un impacto en estas personas?
En este caso, a pesar de que los datos provengan de personas que no se encuentren en el país, la forma del tratamiento estaría influida por la norma chilena. Sin embargo, esto colocaría a la ley chilena en una posición enfrentada a la ley del país en donde se encuentre el individuo y eso sería una cuestión para resolver por el organismo tratante de los datos para determinar cuál legislación es aplicable.
¿Las empresas lograrán estar preparadas en el periodo establecido?
Considerando el largo proceso de discusión, que la mayoría de las disposiciones que se sancionan ya son conocidas públicamente y que el plazo otorgado para acomodarse a la misma es bastante amplio, hay un plazo importante para adecuarse en tiempo y forma. Por esa razón, las organizaciones podrían empezar desde ahora a evaluar sus sistemas de gestión de la información para trabajar en políticas correctivas de ser necesario.
¿Cuáles son los principales desafíos para las pequeñas y medianas empresas?
La necesidad de cumplir con la normativa es independiente al tamaño de la organización. Quizás la diferencia entre unas y otras sea la del presupuesto establecido para la seguridad de la información. Usualmente, empresas grandes ya cuentan con áreas específicas que aborden las temáticas, en cambio, aquellas más pequeñas quizás aún no hayan contemplado esta cuestión. El desafío para ambas resulta en contar con presupuesto y especialistas dedicados.
¿Cuál es la autoridad competente para la aplicación de la ley?
La autoridad competente para aplicación y control de cumplimiento de las normas referidas a protección de datos será la Agencia de Protección de Datos Personales, organismo que se encargará de velar por la efectiva protección de los derechos que garantizan la vida privada de las personas y de sus datos personales. Tendrá potestad para imponer sanciones, multas y de dictar reglamentos para garantizar el cumplimiento de la ley.
¿Cuáles son los principales puntos que las empresas deberían atender en la implementación de procesos para cumplir con la nueva ley?
En primer lugar, si una empresa no está segura deberá buscar asesoramiento tanto jurídico como de especialistas técnicos en el ámbito de la seguridad de la información. Asimismo, para asegurarse deben considerar, al menos, los siguientes pasos:
- Entender las políticas y procedimientos actuales para la recolección, almacenamiento y venta/compartición de datos personales.
- Hacer una evaluación del estado actual de la empresa y definir los puntos de mejora para acomodarse a la ley.
- Desarrollar una estrategia de pasos a seguir para alcanzar el cumplimiento basada en el análisis de las deficiencias.
- Desarrollar actualizaciones y mecanismos para el cumplimiento de la normativa, como políticas de privacidad, aceptación y exclusión voluntaria, actualizaciones de la web, etc.
Chile se pondrá a la vanguardia por el bien de sus ciudadanos y por el correcto uso de los datos (también biométricos). El nuevo proyecto de ley requerirá que las empresas y organizaciones adecuen sus operaciones y políticas de seguridad, evitando el mal uso. Es así como se convertirá en uno de los países de la región que más ha avanzado en el tratamiento de una normativa que actualice sus leyes de protección, junto con Brasil, que en 2019 promulgó su Ley General de Protección de datos personales (LGPD).