Tras largos años de discusión parlamentaria, el proyecto que modifica la Ley N°19.628 de protección de la vida privada está listo para su publicación en el Diario Oficial de Chile y convertirse finalmente en ley, iniciando la cuenta regresiva de dos años para su entrada en vigor. Esta es una de las normas que más expectación ha generado en el último tiempo en Chile, por el radical cambio cultural que ocasionará su implementación.
Nuestra ley actual data de 1999. Bajo el imperio de esta norma nuestro país ha experimentado un proceso de transformación digital radical, comenzando con el auge de internet y de las tecnologías de la información, la masificación y penetración de la telefonía celular, el desarrollo del e-commerce, aparición de las primeras fintech, las redes sociales y la inteligencia artificial.
Sin embargo, la ley ha permanecido inmutable, salvo por pequeñas modificaciones que poco impactaron en su sustancia, insuficientes para resolver adecuadamente la tensión privacidad-tratamiento en el contexto de las economías digitales y la disrupción tecnológica.
Relacionado: Nueva normativa de protección de datos en Chile impulsa cambio cultural dentro de las empresas
Sumemos a lo anterior que, durante 25 años, no ha existido una política de estado sistemática que promoviera la protección de datos como un pilar del desarrollo. Los defectos estructurales de la norma (es una ley “sin dientes”) fomentaron una cultura de tolerancia y de “dejar hacer” (extendiéndose la idea de que el dato personal es un activo más de la organización responsable y que respecto de ellos se puede hacer casi todo), más que propender a la creación de una cultura de protección de datos.
Con la nueva ley, profundamente inspirada en el Reglamento General de Protección de Datos de la Unión Europea, pasaremos de “la nada al todo” en un brevísimo plazo. Un verdadero big bang jurídico.
Bastante se ha escrito sobre los desafíos que las personas u organizaciones que controlen datos personales enfrentarán para adecuarse a la nueva ley. Cada vez son más los que tienen una noción de los nuevos procesos, principios y medidas que obligatoriamente deberán implementarse para cumplir con este nuevo paradigma jurídico.
Sin embargo, menos atención se ha puesto sobre la integración de esta ley en un sistema jurídico preexistente, integrado por normas y autoridades que son anteriores a la aprobación de la nueva ley de datos personales. No deja de ser llamativo lo anterior porque la coordinación entre partes de un sistema jurídico resulta clave para promover la certeza jurídica, garantizando al sujeto regulado contar con criterios, pautas y lineamientos claros, previamente conocidos, objetivos y realistas que le permitan enfrentar adecuadamente un proceso de implementación normativa altamente complejo.
Más del tema: ¿Qué cambios impone la Ley Protección de Datos Personales a las empresas de marketing en Chile?
Producto de estos 25 años de “sequía” en materia de protección de datos, distintas autoridades sectoriales asumieron un rol de “agencia de protección de datos”.
Por ejemplo, la Comisión para el Mercado Financiero, dentro de sus facultades legales, ha establecido reglas relacionados con el tratamiento de datos personales, siendo las más evidentes aquellas relativas a la transferencia internacional de datos aplicables a las empresas que caen dentro de su esfera de fiscalización, o aquellas que puede dictar en el contexto del sistema de finanzas abiertas creado con la Ley Fintech.
Hemos sido testigos de una agenda legislativa que no ha seguido una “ruta lógica”:
- Tuvimos una Ley Marco de Ciberseguridad (con múltiples puntos de conexión con el mundo de los datos personales) antes que la nueva ley de datos personales, con su propia Agencia Nacional de Ciberseguridad.
- Nuestros legisladores presentaron proyectos de ley para regular el uso de sistemas de inteligencia atribuyendo competencia en la materia a la Agencia de Datos Personales mucho antes de que culminase la tramitación legislativa de la ley de datos personales que crea dicha entidad.
- La Ley Fintech data de comienzos de 2023, con múltiples referencias a la Ley N°19.628, regulando instituciones que son propias de esta última ley, como el consentimiento.
Para leer: ¿En qué consiste la regulación de los sitios de apuestas de Brasil?
Lo anterior ha ocasionado que los textos legales que se han aprobado durante los últimos 5 años y que de una u otra manera tienen impacto en la regulación de la privacidad y de los datos personales no logre de manera plena conformar un sistema jurídico coherente y coordinado. Un ejemplo sencillo es cómo se ha regulado el consentimiento.
El art. 12 de la nueva ley de datos personales señala que el consentimiento del titular debe manifestarse de manera previa, inequívoca, mediante una declaración verbal, escrita o expresada a través de un medio electrónico equivalente, o mediante un acto afirmativo que dé cuenta con claridad de la voluntad del titular. Por su parte, el art. 23 de la Ley Fintech, dentro de los requisitos que debe cumplir el consentimiento otorgado por el cliente de ciertos servicios ejecutados a través del sistema de finanzas abiertas, agrega que el consentimiento debe ser explícito.
Un acto afirmativo del titular que dé cuenta de la voluntad del titular, ¿satisface el criterio de ser un consentimiento “explícito”? Si la respuesta fuese “no”, ¿qué ley primaría? ¿Se entendería tácitamente derogada la norma de la Ley Fintech por ser anterior a la contenida en la nueva ley de datos personales? ¿O por tener la Ley Fintech una naturaleza especial primaría por sobre la regla general contenida en la Ley de Datos Personales?
Recomendamos: ¿Funciona un perfil de red social como un activo inmobiliario para un influencer?
¿Y qué sucede en el ámbito de la Ley de Protección al Consumidor, que en su artículo 3 letra a) señala expresamente que el silencio no constituye aceptación en los actos de consumo? El “silencio circunstanciado” ha sido proscrito del ámbito del consumo. En el ámbito de las relaciones de consumo, cuando se solicite un consentimiento para el tratamiento de datos personales de un consumidor, ¿podrá entenderse otorgado mediante un “acto afirmativo que dé cuenta con claridad de la voluntad del titular”? ¿O dicho mecanismo podría tener atisbos de ser un tipo de silencio circunstanciado, que se aleja del estándar legal contenido en la Ley de Protección al Consumidor?
Cuando la nueva ley de datos personales entre en pleno vigor existirán al menos 4 entidades competentes para conocer materias vinculadas o relacionadas con esta temática: la Agencia de Protección de Datos, la Comisión para el Mercado Financiero, la Agencia Nacional de Ciberseguridad y eventualmente el Servicio Nacional del Consumidor, sin perjuicio de otras autoridades sectoriales. ¿Serán sus criterios, lineamientos y prácticas consistentes entre sí? ¿Qué rol tendrán las cortes ordinarias cuando conozcan recursos interpuestos en contra de decisiones administrativas?
Que estas entidades actúen de manera coordinada será vital. De lo contrario, el regulado no sólo se enfrentará a las dificultades propias de implementar una norma compleja, sino que se expondrá a criterios o regulaciones no armonizados que afectarán la certeza jurídica, dificultarán el proceso de adopción de una cultura de protección de datos, fijando barreras de entrada artificiales que afectarán el desarrollo de una economía digital, desincentivando la innovación y cerrando mercados.
*José Ignacio Mercado es director de Carey.
Add new comment