Buscar

[EL MERCURIO] Ley de datos personales fortalecerá servicios digitales, pero exige ajustes a empresas

Si bien la manera de tratar la información de las personas cambiaría sustancialmente con la futura normativa, expertos creen que las empresas deberán modificar sus procedimientos, más que invertir en nuevas tecnologías.


Desde hace poco más de un año rige en la Unión Europea el Reglamento General de Protección de Datos (GDPR), que formaliza el derecho a la protección de los datos personales, además de normar cómo empresas y gobiernos en el bloque pueden hacer tratamiento de ellos. En Chile, el Senado debate un cambio a la Ley sobre la Protección de la Vida Privada y Datos Personales, que irá en línea con el GDPR. Entre las propuestas incluidas en el proyecto chileno está el requisito de obtener consentimiento para poder recolectar y usar datos personales, y la facultad de las personas de revocar ese consentimiento.

El senador Felipe Harboe (PPD) asegura que el texto establece 'un alto nivel de protección de los derechos de las personas, con un justo equilibrio para permitir el desarrollo de la industria de servicios destinados al tratamiento de datos y la economía digital'. Ese equilibrio incluirá un plazo de adecuación que sería de 18 meses tras ser promulgada la ley, dice el senador. 'Todo aquel que realiza tratamiento de datos de las personas debe cumplir con nuevos estándares de privacidad, sean empresas u organismos públicos', explica el senador Kenneth Pugh (ind., Chile Vamos). Entre esos estándares se cuentan, añade, 'medidas de seguridad técnicas como organizativas, la aplicación de principios de calidad de los datos, minimización, finalidad, notificación a la autoridad en caso de brechas, entre otras'.

También los motores de búsqueda como Google, destaca Harboe, deberán ser responsables de los datos de los que hacen tratamiento, 'pese al fuerte lobby' que han ejercido para evitarlo, agrega. Entre los puntos aún en discusión, especifica Pugh, está detallar las obligaciones del tratamiento de datos cuando este lo realiza un tercero, las sanciones que habrá para infracciones gravísimas —como el tratamiento fraudulento o la violación de la confidencialidad de datos sensibles— y la institucionalidad. Esto último ha sido, indica Harboe, 'complejo de resolver (...) es la principal diferencia que tenemos hoy en día'. De hecho, la propuesta de designar al Consejo para la Transparencia (CPLT) como la institución encargada de supervisar el respeto de los datos personales ha sido cuestionada. Como explica el analista de políticas públicas de la ONG Derechos Digitales, Pablo Viollier, 'el problema es la especialidad. No es que el acceso a la información y la protección de datos personales sean excluyentes (...) pero el CPLT ha tenido fallos polémicos en materia de datos personales.

Pareciera que al sopesar transparencia y privacidad de los datos personales de los ciudadanos dan una mayor importancia a la transparencia'. En la misma línea, Harboe llama a constituir 'una agencia especializada, apolítica y técnica', con 'la misma regulación e independencia' del CPLT, pero nueva y separada de este. Igualmente, Pugh señala que la autoridad pública a cargo 'debe estar dedicada exclusivamente a la defensa y promoción' de la protección de los datos personales, además de ser 'autónoma y descentralizada, altamente técnica y experta'. Lo ideal 'es que se cree un nuevo CPLT, pero solo para la protección de datos personales. Ahí, el problema es el costo', concluye Viollier. Ambos senadores coinciden en estimar que la ley pueda estar aprobada para marzo de 2020. Viollier no comparte ese optimismo: 'Esto se presentó en marzo de 2017, y solo ha pasado por el Senado'. Peor aún, el experto considera que 'si la ley no sale durante el gobierno actual, y uno nuevo decide no ponerle urgencia, o partir de cero, sería una tragedia de proporciones'.



Adaptación y oportunidades

La Cámara de Comercio de Santiago (CCS) destaca que la ley 'refuerza el principio de finalidad de los datos, que significa que los datos deben utilizarse solo para lo que fueron recogidos'. 'Si le das a una farmacia tu RUT para un descuento, y la empresa se lo entrega a una compañía de seguros, evidentemente se vulnera el principio de finalidad del dato', ejemplifica Harboe. 'Con esta ley se busca que los datos de los consumidores sean usados bajo su consentimiento e interés, por lo que las empresas deberán usar bases compuestas por personas que previamente, de manera libre y consciente, decidieron entregar sus datos', señala Rodrigo Ureta, presidente del Comité de Autorregulación de la Asociación de Marketing Directo y Digital (AMDD).

En la CCS recalcan que con la futura ley las empresas deberán tomar medidas para dejar constancia 'a través de un medio físico o tecnológico' del consentimiento expreso del cliente. Además, explican que las empresas deberán mantener en sus webs un enlace para que el público pueda conocer las bases de datos que administran. Las personas 'tendrán derecho de acceder de manera gratuita —una vez al año— a todos sus datos personales en bases de datos, públicas o privadas, y solicitar el bloqueo temporal de sus datos personales', agregan. ¿Qué tan complejo será para las compañías cumplir la futura ley? Patricio Soto, mánager de Telecommunications Research en IDC Chile, cree que, en general, 'las empresas están preparadas' porque, a su juicio, no necesitarán para cumplirla invertir grandes sumas en tecnología. Asimismo, Antonio Moreno, gerente de Ciberseguridad de Entel, destaca la importancia de un cambio de mentalidad: el desarrollo de 'la conciencia de lo importante que es el tratamiento de datos personales. Una empresa que manipula datos de terceros debe entender que esos datos son confidenciales y deben tener un tratamiento adecuado'.

El gerente general de IBM Chile, Mauricio Torres —al igual que la CCS—, pide que los datos anonimizados sean excluidos de los requisitos del proyecto. Eso está considerado, asegura Harboe, aunque advierte que 'cuando se trata de discusiones estadísticas no hay problema, el punto es que una vez anonimizados los datos no se los pueda desanonimizar'. Cristián Peña, analista senior de IDC Chile, cree que la dificultad de adaptación 'dependerá de las restricciones de la legislación', porque, recuerda, 'es posible hacer análisis de datos sin individualizar a las personas'. Con la adopción de la ley incluso podrían abrirse nuevos mercados para Chile. 'La idea es trabajar bajo un estándar homologado, porque el mundo digital no tiene fronteras', indica Ureta.

Y añade que 'muchas de las plataformas de inteligencia de datos que se usan en Chile vienen con medidas de seguridad incorporadas, como negar automáticamente el ingreso de datos hasta que se compruebe que son de la empresa y vienen con el consentimiento del usuario'. De hecho, para Harboe, 'las empresas chilenas van a empezar a tener problemas si no adecuan sus normas. La Comunidad Europea ha anunciado que todos los proveedores de empresas europeas deben cumplir los estándares del GPDR. Si no lo hacen, no pueden ser proveedores. Imagina la cantidad de negocios que se pueden perder'. Más aún, 'creo que aquí se va a desarrollar una industria, como ha ocurrido en otros países (...) vas a poder autorizar a una empresa para que use tu dato, por cierta suma de dinero. Tu dato va a tener un valor', concluye el senador.

Isidora Goyenechea 3250 of. 101 | Las Condes | Santiago | Chile
Fono:  2 323 7266  Cel: +56 9 7768 8775
contacto@vitalcomunicaciones.cl
  • instagram vitalcomunicaciones
  • facebook vital