Qué aprender de Europa para la nueva Ley de Protección de Datos Personales de Chile

Tras siete años de tramitaciones, Chile cuenta desde finales de diciembre con una nueva Ley de Protección de Datos Personales que amplía los derechos de los titulares de datos e impulsa la creación de la Agencia de Protección de Datos Personales y del Registro Nacional de Sanciones y Cumplimiento. Identificación de tratamientos de datos personales, análisis de riesgos y seguridad de los datos, o contar con un Delegado de Protección de Datos/Encargado de Prevención son algunos de los nuevos conceptos que traen consigo la nueva normativa.

Martín López de la Manzanara

Se trata de un importante avance que equipara al país a las legislaciones vigentes en los países más avanzados en la materia. La nueva legislación chilena, que está inspirada en la normativa europea conocida como Reglamento General de Protección de Datos (RGPD), recoge las principales exigencias de esta normativa, considerada una de las más completas en privacidad y protección de datos de todo el mundo. La norma del viejo continente fue aprobada en 2016 y está en vigor desde 2018.

Este marco europeo sirve de referencia clave para entender los retos a los que se van a enfrentar las empresas chilenas y las lecciones que pueden extraer de la experiencia en Europa. El principal problema con el que se encontraron las organizaciones de la Unión Europea fue el desconocimiento y la forma en la que se debía aplicar la nueva legislación. Esta inexperiencia afectó especialmente a las pequeñas y medianas empresas, que carecían de los recursos humanos y financieros para comprender completamente los requisitos y así, poder aplicar correctamente dicha normativa. Este mismo reto ya comienza a observarse en Chile, donde la necesidad de capacitación y formación especializada para el personal es crucial para garantizar el cumplimiento.

Otro desafío importante en Europa fue la implementación de medidas para proteger los datos personales de clientes, empleados, proveedores y partners. Esto incluyó la adopción de medidas legales y organizativas, así como de herramientas avanzadas para encriptar, proteger, monitorizar o custodiar datos personales conforme a la normativa, un esfuerzo especialmente complicado para las empresas con menos recursos. Además, muchas organizaciones tuvieron dificultades para mantener activas sus operaciones de negocio a medida que se adaptaban a la Ley, ya que tuvieron que realizar un trabajo de levantamiento de información para identificar los tratamientos de datos personales llevados a cabo, analizar su criticidad y sus riesgos, así como de actualizar procedimientos, contratos y sistemas.

En definitiva, se requirió la revisión completa de sus políticas en el manejo de datos personales, con la finalidad de establecer mecanismos efectivos para, entre otras cuestiones, obtener y gestionar el consentimiento de los titulares de datos, un aspecto central de la normativa que también será clave en Chile, definir cláusulas informativas a entregar a los titulares de los datos, gestionar en tiempo y forma los ejercicios de derechos de los mencionados titulares, como proceder ante una brecha o vulneración de seguridad o regular la relación con los proveedores con acceso a datos, conocidos como encargados de tratamiento o mandatarios.

En este sentido, y aprendiendo la lección que nos han dado las empresas europeas, la clave para que las empresas se adapten a la legislación se centra en realizar inversiones en tecnología y en recursos humanos, tanto internos como expertos externos, para mejorar así las medidas de privacidad y seguridad que garanticen una adecuada protección de los datos.

Además, el establecimiento de un enfoque GRC (Gobierno, Riesgo y Cumplimiento) en las empresas va a cobrar un protagonismo crucial, tal y como estamos viendo en las empresas europeas. Allí vemos cómo las organizaciones han desarrollado estrategias avanzadas que mitigan los riesgos que se asocian al manejo de los datos personales. Esta estrategia GRC es la que les permite evitar las consecuencias de no cumplir con la normativa, entre ellas las fuertes sanciones económicas o los daños reputacionales correspondientes.

Estas son las principales dificultades a las que se van a enfrentar las organizaciones chilenas, pero como no somos los primeros en desarrollar una legislación de estas características, podemos aprender de los demás.

El apoyo de partners especializados también ha sido clave para el cumplimiento en Europa. Estos socios ayudan a las organizaciones en la adecuación a la normativa, diseñan metodologías de análisis de riesgos y evaluación de impacto, facilitando una adecuada revisión de cláusulas, procedimientos o contratos, y proponiendo soluciones tecnológicas que automatizan tareas, y centralizan la gestión de datos mejorando la trazabilidad del sistema. La gran ventaja de este tipo de soluciones es que no solo facilitan el cumplimiento de la legislación, sino que también permiten a las empresas centrarse en sus operaciones principales sin incrementar significativamente los costes.

La cuestión es que los datos personales y las actividades de tratamiento se van incrementando a medida que el negocio va creciendo. Por ese motivo, una gran parte de las empresas europeas han apostado por implementar herramientas y aplicaciones que les permiten cumplir en todo momento con el RGPD y les proporcionan una trazabilidad de todo el sistema de gestión de protección de éstos, permitiendo que toda la información esté centralizada y en muchos casos, las tareas se puedan automatizar.

En conclusión, Chile tiene la oportunidad de aprovechar la experiencia y gestión previas de Europa para enfrentar los retos de su nueva Ley de Protección de Datos Personales, recientemente en vigor. Las organizaciones europeas lo han logrado sin incurrir en costos excesivos y de una manera más sencilla de lo que podría parecer. Sin lugar a dudas, las empresas chilenas también estarán a la altura del desafío, cumpliendo con la normativa de forma eficiente y transformando este reto en una valiosa oportunidad para fortalecer su resiliencia y competitividad.

Martín López de la Manzanara, director regional Adjunto LATAM de GlobalSuite Solutions.

 
También te puede interesar:
— La Corte Suprema y los datos biométricos
— Hay que adaptarse a la Ley de delitos económicos ya
— La importancia del análisis de riesgos con la ampliación de delitos económicos