El director del estudio de abogados, Carey, José Ignacio Mercado, detalló a En Estrado los alcances de la moción ingresada en 2017 por un grupo de senadores, y que busca actualizar la legislación vigente.
Por Equipo En Estrado.
En mayo recién pasado, la Cámara aprobó y despachó al Senado un proyecto que reestructura y perfecciona la normativa sobre tratamiento de datos personales.
La moción, ingresada en 2017 por un grupo de senadores, busca actualizar la legislación vigente desde 1999 a los estándares internacionales, con un nuevo esquema normativo para el tratamiento de datos personales y la libre circulación de esa información.
El director del estudio de abogados, Carey, José Ignacio Mercado, detalló a En Estrado los alcances de la propuesta para esta nueva normativa que ya está en su recta final.
¿Qué contenidos se actualizan en materia de datos personales sensibles?
En la ley actual, si bien existe una definición de datos sensibles, esta categoría especial no tiene una regulación muy desarrollada y articulada, limitándose la ley únicamente a establecer ciertas bases de licitud para su tratamiento, es decir, respecto a la ley, al consentimiento del titular y -en aquellos casos en que sea necesario- el tratamiento de esos datos para la determinación u otorgamiento de beneficios de salud.
El Proyecto de Ley, además de actualizar y detallar con mayor precisión su definición, introduce algunas novedades respecto a su regulación.
Primero, amplía y precisa qué se entiende por datos sensibles. El Proyecto de Ley define dichos datos como aquellos que se refieren a características físicas o morales de las personas; y a hechos o circunstancias de la vida privada o intimidad de las personas.
Algunos ejemplos de datos sensibles que el proyecto incluye son el origen étnico o racial; filiación política, sindical o gremial; situación socioeconómica; convicciones ideológicas o filosóficas; creencias religiosas; datos relativos a la salud y al perfil biológico humano; datos biométricos; e información relativa a la vida sexual, a la orientación sexual y a la identidad de género.
En lo que refiere a las bases de licitud para llevar a cabo tratamiento de datos sensibles en el Proyecto de Ley, la regla general es el consentimiento del titular. No obstante, el proyecto permite tratar estos datos sin autorización del titular bajo ciertas causales expresamente establecidas: primero, que el tratamiento se base la existencia de un interés legítimo realizado por una persona jurídica de derecho público o de derecho privado que no persiga fines de lucro y se cumplan ciertas condiciones expresamente establecidas en el proyecto; segundo, que sea indispensable su tratamiento para salvaguardar la vida, salud o integridad física o psíquica del titular o de otra persona o, que el titular se encuentre física o jurídicamente impedido de otorgar su consentimiento; y tercero, que lo mandate la ley, entre otras causales.
Para el caso de los datos biométricos, se requerirá además que el responsable del tratamiento proporcione al titular cierta información específica tal como la identificación del sistema biométrico usado; finalidad específica para la cual los datos serán utilizados, el periodo durante el cual serán utilizados los datos y la forma en que el titular puede ejercer sus derechos
Por otro lado, para el caso de una brecha de seguridad que afecten datos personales sensibles, el Proyecto de Ley establece que el responsable del tratamiento tendrá la obligación de notificar a los titulares de dichos datos.
Asimismo, se introduce el deber a los responsables de datos de realizar Evaluaciones de Impacto de Protección de Datos cuando los sistemas traten datos sensibles y la base de licitud sea distinta al consentimiento. Estas evaluaciones de impacto son análisis de riesgo con el objeto de prever potenciales vulneraciones y adoptar medidas con el objeto de mitigar sus impactos.
El Proyecto de Ley considera como “infracciones gravísimas” el vulnerar el deber de secreto o confidencialidad sobre datos sensibles, o tratar, comunicar o ceder, a sabiendas, datos sensibles. Estas infracciones gravísimas pueden llegar a hasta 10.000 UTM, y en el caso de empresas, hasta 20.000 UTM, por lo que el tratamiento de los datos sensibles requiere de medidas adicionales en lo que refiere a su resguardo.
Cabe mencionar, que el proyecto introduce también nuevas categorías de datos personales, para las cuales el legislador ha optado por regulaciones específicas, tales como datos de niños, niñas y adolescentes; datos con fines históricos, estadísticos, científicos y de estudios o investigaciones; y datos de geolocalización.
¿Cuáles son los principios que rigen el tratamiento de los datos de manera genérica en el proyecto de ley y en qué consisten?
Testimoniando el cambio de paradigma en el mundo de los datos personales, el Proyecto de Ley regula los principios que orientan el tratamiento de los datos. Éstos regulan la forma en que los responsables y encargados deben tratar los datos personales, siendo deber de los responsables cumplir con ellos. En este sentido, no son meras directrices voluntarias, sino que verdaderas obligaciones.
Al Principio de licitud, se suman el Principio de Finalidad, según el cual los datos personales deben ser recolectados con fines específicos, explícitos y lícitos (el tratamiento debe limitarse a esos fines); el Principio de Proporcionalidad que limita los tratamientos a aquellos que resulten estrictamente necesarios, adecuados y pertinentes en relación con los fines del tratamiento; el Principio de Calidad que obliga a mantener los datos personales exactos, completos, actuales y pertinentes en relación con su proveniencia y los fines del tratamiento; el Principio de Seguridad según el cual el responsable debe garantizar estándares adecuados de seguridad, protegiéndolos contra el tratamiento no autorizado o ilícito, y contra su pérdida, filtración, daño accidental o destrucción; el Principio de Transparencia e Información, relativo a la entrega al titular de toda la información que sea necesaria para el ejercicio de los derechos que establece esta ley, y el Principio de Confidencialidad que obliga al responsable de datos personales y quienes tengan acceso a ellos a guardar secreto o confidencialidad acerca de los mismos.
Los principios del tratamiento son relevantes ya que tienen una estrecha relación con las fuentes de licitud.
¿Cómo se relaciona el proyecto de ley con la ley de delitos informáticos?
Si bien tienen ámbitos de aplicación distintos, es posible encontrar ciertos puntos de contacto entre las dos regulaciones.
Los delitos informáticos introducidos con la Ley N° 21.459 pueden generar responsabilidad penal de la persona jurídica, al incluirse en el catálogo de delitos base de la Ley N° 20.393. Así, las empresas y personas jurídicas deberán identificar las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de los delitos informáticos e implementar protocolos, políticas y procedimientos específicos que permitan prevenir la comisión de los mencionados delitos. Para estos efectos, entonces, tendrán que realizar un levantamiento de riesgos que cubra estos nuevos escenarios de riesgo y actualizar sus respectivas matrices de riesgos y controles de sus Modelos de Prevención de Delitos.
En relación con lo anterior, una de las novedades del Proyecto de Ley de Datos Personales, es la regulación de “programas de cumplimiento” como un mecanismo de prevención de infracciones a la ley, programas que, en caso de cumplimiento de parte del responsable del tratamiento de los deberes de dirección y supervisión del respectivo programa certificado, pueden constituir una circunstancia atenuante a la hora de sancionar algún incumplimiento a la normativa.
En este sentido, es natural pensar que la experiencia madurada en estos años en materia de modelo de prevención de delitos pueda constituir una herramienta útil también en la preparación de los programas de cumplimiento en materia de datos personales, sin contar aquellos escenarios de riesgos que abarcan ambas regulaciones, para los cuales los modelos de prevención se podrían sobreponer.
¿Cuáles son los delitos que pueden vincularse a un dato personal sensible?
Todos los delitos informáticos, de alguna forma, podrían afectar o involucrar datos personales sensibles. Sin embargo, hay que destacar los delitos de acceso ilícito e interceptación de datos informáticos, considerando que todo acceso no autorizado puede tener como objetivo o puede afectar datos personales sensibles. También los delitos de falsificación informática, ya que el objeto de la falsificación podría justamente ser representado por datos personales.
Mención especial amerita del delito de receptación de datos informáticos, que sanciona el que, conociendo su origen o no pudiendo menos que conocerlo, comercialice, transfiera o almacene datos informáticos, provenientes de la realización de otros delitos informáticos. En este sentido, todo usuario de base de datos personales (sensibles o no) podría que verse afectado, en la medida que una falta de diligencia podría generarle responsabilidad penal, sobre todo en aquellos casos de compra de base de datos de procedencia u origen no claros. Todo lo anterior hace aún más imperativo contar con protocolos internos bien estructurados en materia de tratamiento de datos personales, incluyendo un control efectivo sobre la procedencia u origen de los datos tratados y las bases de legalidad respectivas, en línea con los nuevos preceptos y lineamientos diseñados en el proyecto de ley de datos personales.
¿Qué debe contener un modelo de cumplimiento en materia de datos personales?
En el contexto regulatorio actual, no existe una regulación del Modelo de Cumplimiento, sin embargo, el Proyecto de Ley lo introduce y lo regula como un “programa de cumplimiento”, detallando sus contenidos y sus beneficios. Además de esto, su cumplimiento puede consistir una atenuante frente a posibles sanciones a infracciones por parte de la Agencia.
La adopción de un modelo de prevención de infracciones constituye una opción voluntaria por parte del responsable de datos, no siendo obligatorio su elaboración e implementación dentro de las organizaciones.
Sin embargo, hay que recordar que el responsable de datos tiene una obligación de adoptar acciones destinadas a prevenir la comisión de infracciones. La implementación de un programa de cumplimiento puede ser un buen mecanismo para cumplir con dicha obligación general y para obtener la atenuante si se certifica el programa respectivo.
De acuerdo con el Proyecto de Ley, un modelo de cumplimiento deberá incluir, a lo menos: la designación de un delegado de protección de datos personales (DPO) con la definición de las facultades y medios a su disposición; la identificación del tipo de información tratada (incluyendo su ámbito territorial, la categoría, clase o tipos de datos o bases de datos que administra, y la caracterización de los titulares de datos); la identificación de las actividades o procesos de la entidad, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de infracciones; protocolos, reglas y procedimientos específicos que permitan programar y ejecutar las tareas o labores que involucren tratamiento de datos personales de una manera que prevenga la comisión de las referidas infracciones; (v) mecanismos de reporte interno, y mecanismos de reporte a la Autoridad de Protección de Datos sobre el cumplimiento de lo dispuesto en la ley de datos personales; y sanciones administrativas internas por incumplimiento.
