Nueva ley de protección de datos: La educación debe ser base de la cultura empresarial para un adecuado gobierno de datos
Con fecha 13 de diciembre de 2024 se publicó en el diario oficial la Ley N°21.719 que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales.
Con su publicación, se marca un hito en la materialización legislativa del derecho contenido en el artículo 19 N°4 de nuestra constitución, “El derecho a la Protección de datos Personales”. El desarrollo de dicha garantía constitucional estaba al debe desde hace ya varios años, atendido a que la antigua Ley de la materia, sin perjuicio de ser una de las primeras a nivel latinoamericano, debido a los trepidantes avances tecnológicos, se encontraba totalmente anacrónica y obsoleta.
El Estado legislador en su posición de garante, modifica la normativa tomando como ejemplo el Reglamento General de Protección de Datos Europeo (GDPR), implementando un catálogo específico de principios rectores, consonantes con el espíritu de establecer derechos y obligaciones para los titulares de los datos como para los responsables de ellos en su tratamiento. Asimismo, establece diferentes bases de licitud para el tratamiento de datos, especificando que el consentimiento debe ser libre, informado y específico, ampliando su forma de manifestación en la medida que muestre claramente la voluntad afirmativa del titular, reconoce al Interés Legítimo como base y elimina a las fuentes de libre acceso al público de las mismas.
Estos, entre otros cambios, elevan el factor educación a un lugar preponderante en la sociedad. Para que la nueva Ley sea efectiva y eficaz, la sociedad completa debe verse empapada del conocimiento de sus derechos, obligaciones y los mecanismos para hacerlos valer, en ello, cumplirá un rol fundamental la nueva Agencia de Protección de Datos Personales, que, en su labor proteccionista y fiscalizadora, contará con autonomía para llevar a cabo esa ardua labor. Esperamos que su implementación cuente con los recursos suficientes y necesarios para su funcionamiento y cumplimiento de sus objetivos.
En el mismo sentido, el sector privado cobra un rol fundamental en la correcta implementación de la Ley, donde las empresas tendrán un período de 24 meses para adecuarse y cumplir con la nueva normativa. Esto debe mirarse como una oportunidad para fortalecer la cultura empresarial y la conciencia colectiva de cada área en la empresa en que se tratan datos, capacitando a cada integrante de la organización, en términos que el tratamiento de datos personales se debe ejecutar de forma lícita, leal, transparente, ordenada y con la capacidad necesaria para dar una rápida y oportuna respuesta en caso qué el titular lo requiera, ya que de lo contrario y en caso de incumplimiento de la nueva normativa, las multas más graves pueden llegar hasta las 20.000 UTM (la que puede aumentar en caso de reincidencia).
Desde el punto de vista empresarial, el principal desafío que enfrentan los sistemas de gobernanza de datos es que la empresa debe tener claro que el desarrollo de su giro y misión debe ser compatible, consonante y coherente con la nueva normativa. Para lograr este objetivo será necesario implementar un efectivo Compliance de protección datos, que sea dinámico y vivo, donde la educación con responsabilidad desde el “Tone from the Top” resulta necesaria y fundamental, logrando que transversalmente desde el Directorio, hasta el último colaborador, comprendan qué datos tratan y que su tratamiento debe ser lícito, leal y responsable, respetando y conociendo el derecho a la autodeterminación informativa. La educación, por consiguiente, se transforma en un pilar fundamental que forma parte valores corporativos, siendo siempre de cargo de la empresa, y quién, al impartirla, no sólo fortalece el cumplimiento normativo, sino que también inculca a sus trabajadores el conocimiento y respeto por el derecho fundamental a la protección y resguardo de los datos personales.
En consecuencia, una efectiva implementación de la Ley generará, más que una carga, una multiplicidad de beneficios y atenuantes a las posibles sanciones, ya que la organización en su totalidad podrá responder de forma oportuna y efectiva frente a requerimientos, atenuando los costos, evitando incidentes de ciberseguridad, previniendo y mitigando riesgos, lo que se traduce en una maximización de utilidades. Este desafío se hace posible cuando se toma conciencia del principal activo que este cambio les genera: El fortalecimiento de la Confianza Empresarial, valor que luego de la pandemia es cada vez más demandado por los consumidores, quienes, conscientes de sus derechos, requieren no sólo un catálogo de buenas prácticas corporativas, sino que también la capacidad de demostrarlo.
Cynthia Gajardo Valdés
Abogada experta en tecnologías
Molina Matta & Asociados
