Chile tiene nueva Ley de Protección de Datos Personales: ¿qué significa para el ecosistema TI y cuáles son sus alcances?
Esta regulación actualiza lo concerniente al tratamiento, gestión y transferencia de los denominados Datos Personales. Además, crea una Agencia gubernamental, establece multas y cambia la estructura de las organizaciones que deberán adecuarse a esta normativa.
Chile continúa construyendo su fuerte virtual. Y hoy dio un paso más ya que -después de siete años- se despachó para ser revisado, promulgado y publicado el proyecto de Ley sobre Protección de Datos Personales. Esta normativa comprende la actualización de la antigua Ley sobre la Vida Privada (N° 19.628) y se suma al escenario regulatorio que el país está elaborando en pos de fortalecer sus economías digitales y estar a tono con las regulaciones de regiones como la Unión Europea, el territorio más avanzado en esta materia.
Estas nuevas reglas, configuran un escenario desafiante para todas las organizaciones y una oportunidad especial para el ecosistema TI. Esto, porque ahora deberá responder a diversas necesidades de las empresas que requerirán ya no “adelantarse a lo que se viene” sino “adecuarse por ley a un nuevo estándar”.
La nueva ley contará con un período de vacancia, pero no hay que olvidar que también se encuentra “corriendo” y en espera de su plena entrada en vigencia la Ley Marco de Ciberseguridad e Infraestructura Crítica. Más aún, en septiembre comenzará a regir la Ley de Delitos Económicos con un impacto interesante para organizaciones, pero sobre todo para canales, distribuidores, integradores TI y mayoristas.
En 2017 Chile inició el trámite constitucional por el que decidió actualizar la ley que regulaba el tratamiento de datos, la cual limitaba enormemente la acción frente al nuevo escenario tecnológico y dejaba al descubierto aspectos relevantes en materia de transferencia, resguardo, tratamiento y gestión de los denominados datos personales. Para esto, se basó en el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) que elaboró la Unión Europea y que viene implementando desde el 2016.
De hecho, la UE cuenta con robustas normativas de protección de Datos Personales, Ciberseguridad y reglamentos que avanzan en legislar espacios virtuales como las redes sociales. Ejemplo de esto son los reglamentos de Servicios Digitales y de Mercados Digitales los cuales apuntan a proteger a los usuarios y a regular el territorio digital.
¿Qué dice la Ley de Protección de Datos Personales de Chile?
De acuerdo con el proyecto aprobado, se considera dato personal a “cualquier información vinculada o referida a una persona natural identificada o identificable”. En el Artículo de definiciones, el cuerpo normativo establece que “se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante uno o más identificadores, tales como el nombre, el número de cédula de identidad, el análisis de elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
De esta manera, los datos de cada uno de los ciudadanos chilenos pasan a tener “derecho propio” cuando se traten tanto por personas naturales como jurídicas.
Además de definir conceptos como: dato sensible, almacenamiento de datos, tratamiento de datos o anonimización -entre otros puntos clave-, la ley deja en claro los principios por los que se regirá el tratamiento de los datos personales y los derechos de los titulares de estos datos (ARCO). En el mismo documento, se deja expresa la creación de la Agencia de Protección de Datos, los procesos sancionatorios y las reglas generales para efectuar el tratamiento de los datos.
La Ley de Protección de Datos en voces de los protagonistas
Si hay un segmento donde esta nueva reglamentación va a impactar, es en la industria tecnológica a nivel nacional y regional. Son las empresas tech de Chile las que deberán respaldar a las organizaciones en materias tan diversas y necesarias como: gestión de activos, trabajo con partners, ciberseguridad, automatización, almacenamiento en la nube, entre otros. Sin este trabajo conjunto, el marco regulatorio sólo queda en eso: un episodio documental.
Para que las leyes tech cobren vida como muros del “fuerte virtual” de Chile, es necesario un ecosistema de empresas, canales y partners robustos en distintas áreas.
“Cuando se promulgue esta ley las empresas van a tener que cambiar su modo de resguardar los datos”, aseguró Charles Ware, Líder de Ciberseguridad de IBM Chile. Luego de la aprobación en Diputados, el ejecutivo precisó a ITSitio: “Hoy día los datos de los clientes están guardados en servidores en la nube, servidores locales, en sus aplicaciones, no sólo en base de datos. Con la ley van a tener que tener sistemas para poder proteger estos datos”.
Durante la votación, algunos bloques no estuvieron de acuerdo con los montos de las multas para aquellos que no cumplan la ley. Además, el Artículo 55° quedó afuera por no haber logrado consenso durante el debate en la Comisión Mixta a la que el proyecto fue sometido previamente. Este apartado puede ser modificado posteriormente o quedar a criterio del nuevo órgano estatal que se creará: la Agencia de Protección de Datos.
Para César Pallavicini, CEO de Pallavicini Consultores y Presidente Comunidad Riesgo Operacional, la aprobación “impacta positivamente” ya que complementa a otras leyes recientes como la Ley de Delitos Informáticos, la Ley Marco de Ciberseguridad e Infraestructura Crítica y la Ley de Delitos Económicos. “Este conjunto de leyes, son un gran aporte, siempre y cuando los directivos de las empresas del sector privado, las consideren para cumplirlas y no sólo por el temor de las multas que implicarán el no cumplimiento”, sostuvo el especialista. “Debido a que estas leyes traen la creación de la Agencia de Protección de Datos y la Agencia Nacional de Ciberseguridad (ANCI), ambas serán entidades autónomas y con la facultad de sancionar y multar los incumplimientos de las empresas”, agregó.
Por su parte, Fabiana Ramírez, Investigadora de Seguridad Informática de ESET, mencionó que hay cuatro puntos que las organizaciones deberán tener en cuenta a la hora de la adecuación: “Entender las políticas y procedimientos para la recolección, almacenamiento y venta/compartición de datos personales, realizar una evaluación del estado actual de la empresa y definir los puntos de mejora para adecuarse a la ley, desarrollar una estrategia de pasos a seguir para alcanzar el cumplimiento basada en el análisis de las deficiencias. y desarrollar actualizaciones y mecanismos para el cumplimiento de la normativa, como políticas de privacidad, aceptación y exclusión voluntaria, actualizaciones de la web”.
Ley de Protección de Datos Personales: próximos pasos en Chile
El proyecto se despachó a ley, ¿y ahora qué sigue? El próximo paso es que el documento sea revisado por el Tribunal Constitucional, quien dará el visto bueno (o no) respecto al mismo y lo derivará para su promulgación y publicación.
Como la mayoría de las leyes, este nuevo cuerpo normativo tendrá un período de vacancia que brindará a las organizaciones el tiempo necesario para hacer los ajustes que requiera la ley, para evitar ser sancionados. Este período comenzará una vez publicada la ley y constará de dos años y seis meses.
“Tenemos que aprovechar de seguir siendo pioneros en latinoamérica, ya que somos el único país que tiene la Ley Marco de Ciberseguridad y una protección de datos personales moderna y actualizada”, apuntó César Pallavicini. “Nos faltaría la adopción de estándares de nivel mundial como NIST, CIS Control e ISO 27032”, concluyó el especialista.
