Aplicaciones y sitios web en Estados Unidos, China y Chile muestran el uso que se le puede dar a los...
Chile y Perú comienzan 2025 con nueva ley y nuevo reglamento de protección de datos
El aumento de ciberataques, el uso malicioso de la IA multimodal en ataques más sofisticados y un incremento en ataques a la cadena de suministro de software son algunas de las problemáticas que vendrán este año y los subsiguientes.
- 6 enero, 2025
Belén SalvadorA finales de 2024, tanto en Chile como en Perú, se llevaron a cabo cambios en la forma en que se norma la protección de datos y seguridad digital.
El 13 de diciembre se publicó en el primero la Ley 21.719 que “Regula la protección y el tratamiento de los datos personales y crea la agencia de protección de datos personales”, que entrará en vigencia en 2026, mientras que en el Perú, el 30 de noviembre de 2024 fue publicado el Decreto Supremo No. 016-2024-JUS, mediante el cual se aprueba el nuevo Reglamento de la Ley 29.733 de Protección de Datos Personales.
Además, el 24 de diciembre se publicó en Chile el Decreto con Fuerza de Ley que fija la planta de personal de directivos de la Agencia Nacional de Ciberseguridad, que fue establecida previamente por la Ley 21.663 marco de ciberseguridad, publicado el 8 de abril de 2024.
Adaptación y costos de la protección de datos
En este escenario, las empresas de ambos países se enfrentan a un desafío regulatorio. “2025 va a ser un año intenso respecto de desafíos en materia de seguridad digital. Es un año en el que la colaboración multidisciplinar se hace fundamental para enfrentar el nuevo escenario que se presenta”, comenta la abogada española radicada en Chile Belén Salvador, actual gerente legal de In Motion Servicios y quien, con anterioridad, trabajó implementando la normativa europea en España, durante los primeros años de su vigencia.
Matías Rojo PicandMatías Rojo Picand, miembro de la Asociación de Profesionales en Protección de Datos Personales y consultor legal en temas tecnológicos en Data Legal Consulting, destaca de la Ley 21.719, que actualiza la normativa chilena a estándares internacionales alineados con el GDPR, adopta principios como licitud, lealtad, finalidad, proporcionalidad, calidad y seguridad, pero además crea nuevas figuras, como el delegado de protección de datos personales y la figura de la evaluación de impacto. También establece un régimen de sanciones más robusto, explica, con multas de hasta 20.000 UTM (US$ 1.336.000) y fortalece el consentimiento como base de licitud del tratamiento.
En términos de desafíos, Rojo Picand señala que el período de adaptación de 24 meses (de 36 meses para las pymes) podría resultar corto para muchas organizaciones, así como también que su implementación conlleva costos significativos, además de que la complejidad técnica requerida podría superar la capacidad actual de muchas empresas, especialmente si son pymes.
Bajo la misma línea, Belén Salvador considera que la adaptación no va a ser fácil ni económica: “Las sanciones son muy altas y se ha pensado poco en las empresas pequeñas. Dicho lo anterior, me parece importante centrarse en los aspectos positivos. Es vital crear consciencia de que la ley no es un impedimento para el desarrollo del negocio —aunque en un principio muchas organizaciones puedan sentirla como tal—, sino un avance valioso para otorgar confianza a todas las partes y poder operar internacionalmente sin necesidad de permisos especiales».
«En mi experiencia durante la implementación de la normativa europea en España, comprobé que el sentimiento era principalmente de frustración e impotencia; las empresas debían adaptarse para evitar las elevadas multas asociadas, pero nadie sentía que fuese beneficioso y terminó resultando lo contrario”, reflexiona.
José María MartínOtros desafíos que la abogada destaca son que queda fuera de la regulación el tratamiento de datos personales por parte del Congreso, el Servicio Electoral y otros, conforme al título VIII. Además, señala que la propia Agencia de Protección de Datos que se creará a futuro tendrá que solventar dificultades propias como nueva institución: “El mayor desafío es que no se convierta meramente en un ente fiscalizador, sino que, como garante del cumplimiento y protector del derecho fundamental a la privacidad de los datos de todos los ciudadanos, ayude en la medida de lo posible a que el cumplimiento no sea excesivamente oneroso o complejo, proveyendo herramientas gratuitas y de fácil uso para ello. Con esto se ayudaría a que pequeñas y medianas empresas puedan realizar una autoevaluación efectiva y la adaptación que precisen”.
Seudonimización, portabilidad y evaluaciones de impacto
José María Martín, abogado de compliance y protección de datos de PAGBAM Schwencke, comenta que la ley puede dificultar la innovación en ciertos sectores, especialmente para los data brokers, al limitar el uso de datos para el desarrollo de nuevos productos y servicios: “Un efecto no deseado, al elevar el standard de compliance en toda industria, sería un posible encarecimiento de los precios de los bienes y servicios en el mercado, derivado de la exigencia de un estándar de cuidado y diligencia más alto en el tratamiento de los datos de personas a las empresas, con el consiguiente aumento de sus costos”.
“Si bien la nueva normativa representa un avance significativo en la protección de datos personales, su implementación efectiva va a requerir de un esfuerzo sin precedentes en el desarrollo de capacidades técnicas y jurídicas. La nueva legislación introduce conceptos técnicos complejos como la seudonimización, la portabilidad de datos y las evaluaciones de impacto entre otros, que van a requerir jueces y abogados con conocimientos específicos en tecnología y protección de datos, además el sistema judicial deberá modernizar su infraestructura para manejar casos relacionados con violaciones de datos y ciberseguridad, requiriendo inversiones considerables en tecnología y sistemas de información”, añade Picand.
Oficiales de protección de datos en el Perú
Con respecto al nuevo Reglamento de la Ley de Protección de Datos Personales de Perú, José Carlos Gonzales, socio en DíezCanseco y profesor del curso de derecho de las telecomunicaciones en la Universidad Nacional Mayor de San Marcos, resalta que fue publicado tras cerca de 12 meses de realizarse comentarios al mismo, sin realizarse una previsualización para recibir nuevas recomendaciones por parte de la comunidad académica, profesional y los mismos sujetos obligados: “Esa sería una desventaja del reglamento, ya que sus reglas no han sido conversadas de manera que se haya creado una conciencia en toda la sociedad sobre el rol que juegan la privacidad y protección de los datos personales”.
José Carlos GonzalesGonzales añade que otra de las desventajas del reglamento es que algunos de los criterios que usa deben definirse mejor: “Un ejemplo claro es la precisión de la notificación de los incidentes de seguridad cuando estos generen la exposición de ‘grandes volúmenes’ de datos personales. No se ha precisado qué se debe entender por ‘grandes volúmenes’. De otro lado, por ejemplo, tampoco se ha precisado cómo se acreditará el perfil del Oficial de Protección de Datos, por lo que deja un espacio gris para las entidades obligadas que la Autoridad Nacional de Protección de Datos Personales (ANPDP) debe cubrir antes de la entrada en vigencia de estas disposiciones”.
Erick Iriarte, socio del área del derecho de la información y tecnología de Iriarte & Asociados y CEO de eBIZ Latin America, opina que otros elementos problemáticos en el reglamento son el plazo de 48 horas para una declaración de brecha de datos, la falta de reglamentaciones puntuales respecto de la portabilidad o el choque de la exigencia de oficiales de seguridad o enlace local con las compañías extranjeras, pues puede ser cuestionable desde el punto de vista de los tratados de libre comercio y la falta de mecanismos de revisión continua: “Pudo haberse aprovechado este reglamento para generar un sistema de mejoras continuas en lugar de tener que esperar otros 10 años, con una serie de cambios sociales tecnológicos y que pudieran afectar al despliegue adecuado de esta legislación”.
Erick IriarteEn el tema de los oficiales de protección de datos encargados de velar con el cumplimiento de la ley dentro de las empresas, Gonzales comenta que el mercado peruano de profesionales con conocimiento en materia de protección de datos personales se encuentra poco desarrollado, lo que dificultaría la búsqueda de personas que puedan cumplir con el cargo.
Antes que eso, añade, cada empresa deberá realizar un examen interno para saber con precisión si se encuentra dentro del ámbito de aplicación de esta obligación: «Para empresas del sector financiero o salud podría resultar más sencillo de entender que deben designar un oficial; sin embargo, qué pasa con aquellas empresas que se encuentran en el sector educativo y que manejan datos personales, pero no en volúmenes similares a los de una entidad financiera; o, en el caso de las empresas que proveen servicios de administración de edificios, por ejemplo. Habrá que ver cómo se desarrolla finalmente la capacitación de estos especialistas”.
El profesor añade que la ANPDP ha venido incrementando sus acciones de fiscalización y capacidad para imponer multas de manera sostenida a lo largo de los años, pero la publicación del reglamento podría significar un golpe para la organización, ya que no ha sido acompañada de un incremento de presupuesto o la dotación de mayor autonomía para los órganos fiscalizadores y resolutivos: “Hoy por hoy, la detección de incumplimientos se concentra en entidades que podrían ser consideradas como ‘conocidas’ o cuyo modelo de negocio implique un contacto frecuente con las personas. Sin embargo, con la inclusión de nuevas infracciones y el aumento de obligaciones, más operadores se verán implicados en incumplimientos y, además, estos se repartirán en un ámbito geográfico nacional. La ANPDP debe extender su presencia en el interior del país”.
Inteligencia artificial, cibercrimen y capacitación
“Con el avance de la inteligencia artificial va a ser necesaria la supervisión de los desarrolladores de modelos de IA en su calidad de responsables del tratamiento de los datos utilizados para el entrenamiento de estos modelos, aún resta por saber si Chile al respecto adoptará el dictamen 28/2024 publicado el 27 de diciembre del 2024 por el Comité Europeo de Protección de Datos, de ser así será también un desafío importante”, opina Belén Salvador sobre futuros conflictos.
Para Matías Rojo Picand algunas de las problemáticas que vendrán en 2025 y subsecuentes años son el aumento de ciberataques, el uso malicioso de la IA multimodal en ataques más sofisticados y un incremento en ataques a la cadena de suministro de software: “Estas amenazas demuestran necesidades de adaptación como el desarrollo de competencias en ciberseguridad, implementación de sistemas de prevención proactivos, fortalecimiento de la colaboración público-privada en materia de ciberseguridad y una actualización constante frente a nuevas formas de ciberdelincuencia. También será necesaria una coordinación interdisciplinaria entre áreas legales, técnicas y de seguridad de la información para hacer frente a tales problemáticas”.
Erick Iriarte señala que el 24 de diciembre se firmó la Convención Internacional contra el Cibercrimen de Naciones Unidas y que unos días antes, el 12 de diciembre, Perú firmó el Convenio de Budapest sobre la Ciberdelincuencia, que le da mayores capacidades para la cooperación técnica internacional al país: “Por lo menos hay una intencionalidad política declarada. Aun así, no hay juzgados especializados en temas digitales, eso es una carencia a la larga y el sistema jurídico peruano todavía necesita una normativa sobre ciberseguridad, que sea la que englobe todos estos esfuerzos que se intentan hacer en legislaciones aisladas”.
José María Martín considera que en Chile se requerirá de capacitación y formación para cumplir adecuadamente con sus disposiciones, tanto a nivel público como privado: “Parte de este desafío implica que los operadores jurídicos comprendan los principios de protección de datos personales, incluyendo derechos de los titulares, obligaciones de los responsables del tratamiento y procedimientos para la gestión de incidentes; y, sobre todo, criterio al momento de imponer o ratificar sanciones. También será crucial garantizar la capacitación continua de los operadores jurídicos en herramientas digitales y en la gestión de incidentes de seguridad, así como promover una cultura de cumplimiento normativo y responsabilidad en el uso de datos y ciberseguridad”.
También te puede interesar:
— El principio de finalidad en la nueva ley de protección de datos chilena
— Corte Suprema chilena implementa mecanismo de protección de datos personales en buscador de jurisprudencia
— Protección de datos podría afectar el libre acceso a la jurisprudencia