* Entrevista publicada originalmente en Actualidad Jurídica DOE
En conversación con Actualidad Jurídica: El Blog de DOE, el coordinador del Diplomado en Protección de Datos de la Universidad Central, Pablo Viollier, se refirió a la Ley de Protección de Datos Personales, la cual ya fue aprobada por el Congreso y despachada para su promulgación.
En ese sentido, el experto anticipa que la implementación de la ley tendrá un impacto profundo en la cultura de los organismos públicos y asegura que estos deberán que ser mucho más cuidadosos en revisar cuándo están habilitados para tratar determinados datos personales.
¿Cómo calificarías la nueva ley de datos personales en Chile en términos de su avance respecto a la legislación anterior? ¿Qué aspectos positivos o innovadores resaltas?
Creo que todos los académicos y expertos en materia de protección de datos personales damos una bienvenida calurosa a la nueva ley que representa un tremendo avance respecto de la legislación actual, ya que está inspirada en el modelo europeo y, por tanto, es de carácter mucho más sofisticado y robusto.
Dentro de sus aspectos más positivos incluye la creación de una agencia administrativa de control que será capaz de fiscalizar el cumplimiento de las obligaciones establecidas en la ley.
En lo personal, yo rescato mucho las mejoras que se hicieron respecto del reglamento europeo, es decir, hay elementos del reglamento europeo que tenían errores, tenían confusiones y el legislador chileno no solamente copió y pegó -por así decirlo-, sino que, en ciertas materias, como por ejemplo la toma de decisiones automatizadas, aprendió de los errores de la legislación europea y los subsanó. Por lo tanto, tenemos una mejor legislación en materia de toma de decisiones automatizadas que en el reglamento europeo.
En tu opinión, ¿cómo garantiza la ley los derechos de los individuos sobre sus datos personales? ¿Hay áreas en las que considera que la ley podría mejorar?
La nueva legislación garantiza los derechos de los individuos no solamente a través de la consagración de los clásicos derechos ARCO, es decir, acceso, rectificación, cancelación y oposición.
Por un lado, amplía estos derechos, incluyendo el derecho a oponerse a la toma de decisiones automatizadas y el derecho a la portabilidad, pero al mismo tiempo, a través del establecimiento de una importante batería de obligaciones al responsable, está respaldado por una agencia que tiene musculatura regulatoria de forma tal de que la ley se haga efectiva.
Y, por último, los principios que están definidos dentro de la ley no solamente son orientadores y sirven para efectos interpretativos, sino que la infracción de los principios implica una infracción sustantiva a la ley.
¿Qué piensas sobre las obligaciones impuestas a las empresas por la nueva ley? ¿Crees que son adecuadas y viables, o considera que podrían representar desafíos significativos para las organizaciones?
Esta es una legislación que aplica tanto para personas naturales como para empresas y, en este sentido, sí creo que las obligaciones son adecuadas y viables.
Creo que la legislación tuvo en consideración, en varias de sus disposiciones, las diferencias que hay entre distintos tipos de organizaciones y, por tanto, estableció ciertos tipos dependiendo de si se trata de una pequeña y mediana empresa o de una empresa que trata grandes volúmenes de datos.
Eso lo podemos ver -por ejemplo- reflejado en la sección de las sanciones, en donde los límites de las sanciones, en términos del monto a pagar, está determinado por si se trata de una empresa pequeña y mediana o de una empresa de gran tamaño.
¿Cómo evalúas las medidas de seguridad establecidas por la ley para proteger los datos personales? ¿Son suficientes para enfrentar las amenazas actuales en el entorno digital?
La ley siguió sabiamente el principio de la neutralidad tecnológica. Eso significa que, más que establecer medidas específicas, que luego con el paso del tiempo pueden quedar desactualizadas, la ley establece la obligación de tomar todas las medidas de acuerdo con el estado del arte, del estado de la técnica, que garanticen el debido resguardo de la confidencialidad, disponibilidad e integridad de la información que los responsables manejan.
Y, por tanto, es un estándar que va mutando con el tiempo y que además depende del tipo de información que se resguarde y el volumen de información que se resguarde.
En conclusión, creo que la legislación, al mismo tiempo que protege el principio de finalidad, establece la flexibilidad necesaria para su aplicación.
¿Qué opinas sobre las regulaciones para la transferencia de datos personales fuera de Chile? ¿Crees que las restricciones son adecuadas para proteger la privacidad de los ciudadanos en un contexto global?
Tengo una opinión muy similar sobre la transferencia de datos personales fuera de Chile. Lo que se busca es equilibrar dos bienes jurídicos en juego.
Por un lado, la protección de los titulares, de los datos, y que por tanto los datos no vayan a jurisdicciones o lugares en donde no reciban un nivel adecuado de protección, pero también cierto nivel de flexibilidad para la realización de negocios intensivos en datos.
Por tanto, más allá de la regla europea de establecer cuáles países tienen niveles adecuados de protección, certificados por la agencia chilena -que es el modelo clásico europeo-, también se establecen mecanismos alternativos como el establecimiento de acuerdos que permitan resguardar los derechos de los titulares y permitir esta transferencia internacional de datos.
¿Cómo consideras que la ley impactará al sector público en comparación con el sector privado? ¿Existen diferencias en el enfoque de cumplimiento para cada sector?
Creo que la implementación de la ley va a tener un impacto bien profundo en los organismos públicos, específicamente en su cultura. Hoy, los organismos públicos están un poco acostumbrados a tratar datos a través del artículo 20 de la ley 19.628, que de forma bastante amplia les permite tratar datos en la medida en que se trata de materias propias de sus competencias, y eso es una habilitación bien amplia. Entonces, en general los organismos públicos tratan datos y la Contraloría siempre llega a la conclusión de que lo están tratando dentro de sus competencias.
En cambio, la nueva ley establece que ese tratamiento tendrá que realizarse dentro de sus atribuciones legales, que es una descripción más específica de aquellos casos en que podrán procesar datos. Así que tiene que ser en función de sus atribuciones legalmente otorgadas, y por tanto los organismos públicos van a tener que ser mucho más cuidadosos de revisar cuándo efectivamente están habilitados para tratar determinados datos personales.
Lo mismo pasa con todas las obligaciones de seguridad, de proporcionalidad, de minimización de datos, etc. Creo que no hay una cultura al interior del Estado de Chile y que se va a tener que crear con la entrada en vigor de esta nueva ley.
¿Cuáles crees que serán los principales desafíos en la implementación de la ley a corto y largo plazo?
Yo creo que, al corto plazo, los principales desafíos van a ser que los operadores jurídicos se acostumbren a la idea de que todo tratamiento de datos tiene que estar basado en una base legal de licitud, y que esa base legal de licitud hay que buscarla en la ley, hay que respaldarla y hay que transparentarla.
Del mismo modo, creo que va a costar un poco que la sociedad en su conjunto se acostumbre a que se acabó la idea de que, en la medida que un dato sea público, se puede tratar libremente.
Con la ley anterior, había una excepción para tratar datos personales en la medida en que se encontraran en fuentes accesibles al público. Eso no existe con la nueva ley y, por tanto, eso también va a significar un cambio de cultura muy importante dentro de los operadores políticos e incluso dentro de la sociedad en su conjunto.
Y, a largo plazo, creo que uno de los artículos más olvidados, pero más sofisticados e importantes de la ley es el artículo sobre toma de decisiones automatizadas, que en el fondo regula cómo van a operar todos los sistemas algorítmicos de decisiones automatizadas y todos los sistemas de inteligencia artificial. Es un artículo muy cortito, pero muy potente, y que creo que va a tener importantes repercusiones en la forma en que se desarrollan los sistemas de inteligencia artificial y que son regulados en Chile, en lo que se refiere a su relación con los datos personales.