En entrevista con Actualidad Jurídica: El Blog de DOE, el profesor del Instituto de Derecho Público de la Universidad Austral de Chile, Alberto Coddou, se refirió a la Ley de Protección de Datos Personales, la cual fue aprobada y despachada para su promulgación por el Congreso.
El experto destaca que la nueva normativa representa un avance significativo al reconocer la protección de datos como un derecho fundamental e independiente, separado de la privacidad. Además, asegura que esta legislación no solo aborda las preocupaciones actuales sobre la privacidad y la seguridad de los datos en la era digital, sino que también está diseñada con la suficiente flexibilidad para adaptarse a futuros desafíos emergentes.
¿En qué medida crees que la nueva ley refleja las preocupaciones actuales sobre la privacidad y la seguridad de los datos en la era digital?
La nueva ley es un reflejo fiel de las preocupaciones de nuestra era, partiendo no sólo de una concepción amplia de la privacidad sino del derecho fundamental a la protección de datos personales como un derecho independiente. Esto permite detectar casos en que puede haber una infracción al derecho a la protección de datos personales sin que se afecte la privacidad.
Además, tiene la suficiente flexibilidad para hacerse cargo de temas que no necesariamente son tan masivos hoy, pero que probablemente serán un problema grave en el futuro próximo, como el caso de los deepfakes.
Por otra parte, la ley ha recogido algunas de las críticas que se han hecho al Reglamento Europeo y a los problemas que se han generado en su aplicación práctica, por ejemplo, con respecto al derecho a oponerse a un tratamiento automatizado. En ese sentido, creo que es una ley que definitivamente refleja las preocupaciones de hoy, pero con un enfoque de neutralidad tecnológica y que pone el acento en el respeto y la protección de los derechos.
¿Qué impacto esperas que tenga la ley en la relación entre los consumidores y las empresas, especialmente en términos de confianza y transparencia?
Creo que el impacto lo iremos viendo de manera gradual, no sólo por la vacancia legal -el plazo de dos años para que entre en vigencia-, sino porque el impacto de esta ley supone un cambio cultural de carácter significativo. Para los consumidores, uno espera que el impacto se traduzca en una mayor conciencia acerca de la importancia de nuestro derecho a la privacidad y a la protección de datos personales.
Además, pierde importancia el consentimiento como hipótesis de licitud para el tratamiento de datos personales, lo que uno espera permita una mejor protección de los consumidores. De todos modos, será importante analizar cómo el rol de la Agencia de Protección de Datos Personales se coordine con las competencias que hoy en día tiene el SERNAC.
La nueva ley de protección de datos personales, así como la ley marco de ciberseguridad, establecen deberes de coordinación administrativa que deben tener, como último objetivo, la protección de los derechos de los consumidores.
Para las empresas, hay un cambio radical en la forma en que deberán abordar estos temas, y espero que aprovechen la vacancia para hacerse cargo de los altos estándares que deberán observar.
Quizás lo más notorio serán las obligaciones de asegurar el cumplimiento de estos deberes a través de un diseño por defecto, la obligación de elaborar evaluaciones de impacto en ciertos casos y los deberes de transparencia y confidencialidad. Todo ello se corona con la obligación, que es una verdadera carga probatoria, de acreditar la licitud de tratamiento.
¿Consideras que la ley ofrece mecanismos adecuados para la resolución de conflictos entre individuos y empresas en caso de violaciones de datos?
Si, sobre todo considerando la ineficacia del habeas data actual, y la creación de la nueva Agencia de Protección de Datos, que creo será clave en la determinación de estándares de conducta adecuados, adaptándose a los avances o al estado de la técnica.
Por otra parte, creo que el rol de la Agencia será clave en generar lineamientos u orientaciones que permitan prevenir el surgimiento de conflictos o abordar los mismos en etapas tempranas o iniciales, aun antes de que se inicien reclamos administrativos o judiciales.
Como en todo establecimiento de potestades sancionatorias en manos de órganos administrativos, será necesario un período de adecuación para ver cómo se gestionan los reclamos judiciales ante los mismos, y el modo en que puedan adecuarse con el deficitario funcionamiento actual del recurso de protección.
¿Cómo crees que la ley afectará a las pequeñas y medianas empresas (PYMEs) en comparación con las grandes corporaciones?
Esta ha sido una preocupación, a nivel global, en todos los casos en que se proponen regulaciones que cambian el paradigma o los estándares de conducta para los actores privados.
En algunos países, se ha criticado que estas regulaciones sobre tecnologías digitales están enfocadas o parten de la premisa del funcionamiento de las grandes empresas tecnológicas. Creo que la ley chilena, sobre todo en materia de sanciones, hace de manera correcta la distinción de acuerdo con el tamaño de la empresa, además de incorporar un modelo que algunos expertos podrían calificar como de regulación responsiva, en que los actores privados que serán objeto de regulación tendrán un rol fundamental en la prevención, mitigación y reparación de los daños que puedan surgir en una era marcada por el uso de tecnologías digitales.
Es evidente que, aquí, importará el tamaño o grado de modernización de la empresa. Sin embargo, será clave el rol de la Agencia en ir diseñando lineamientos u orientaciones sobre todo para aquellas PYMEs que no tienen los recursos institucionales para tener un rol más proactivo en la materia. Creo que las PYMEs tienen una oportunidad única de ser más competitivas, y diferenciarse, justamente por un uso adecuado y responsable de los datos de sus usuarios, clientes o trabajadores.
¿Cómo evalúas el equilibrio entre la protección de datos personales y la necesidad de las empresas de manejar información para sus operaciones?
Creo que, en general, la ley aborda este tipo de cuestiones con un carácter general, permitiendo que sean las dinámicas de los diversos sectores las que puedan ir adecuándose a los nuevos estándares. La ley no sólo contiene algunos títulos especiales que abordan ciertas industrias, sino que hay cláusulas que son particularmente intensas para cierto tipo de sectores.
En cuanto a este delicado equilibrio, creo que el asunto está muy bien regulado en relación con los consumidores o usuarios, pero creo que hay una gran deuda con respecto a la protección de datos personales de los trabajadores. El Código del Trabajo, recordemos, dice casi nada sobre el tema, aparte de una obligación general del empleador de proteger la intimidad de sus trabajadores.
El impacto de la nueva normativa en el ámbito laboral será muy relevante para mejorar el modo en que se aborda la transformación digital del mundo del trabajo. Los sindicatos deben adquirir un rol relevante en la materia, pero esto será un desafío para todos los actores, y espero que la protección de los datos personales sea un tema de abordaje a través del diálogo social.
¿Qué sugerencias tienes para mejorar la ley o para abordar aspectos que podrían no estar completamente cubiertos en la legislación actual?
El proyecto original, recordemos, establecía que la nueva normativa tendría un carácter supletorio con respecto a regulaciones especiales que actualmente entregan a diversos órganos del Estado potestades para el respeto y protección de datos personales, por ejemplo, en materia de derecho del consumo o de telecomunicaciones. Ese carácter supletorio se desechó durante la tramitación del proyecto, de modo que la nueva normativa no tendrá un carácter supletorio, sino general.
En ese sentido, será determinante analizar el modo en que se pueda llevar adelante este proceso de armonización regulatoria que seguramente no será fácil, sobre todo considerando el modo en que los órganos que actualmente detentan potestades querrán proteger sus diferentes ámbitos de expertise. Quizás se requiera alguna modificación en el camino, pero hay que ir viendo el modo que se solucionen casos de superposición de competencias entre la Agencia y el resto de los órganos del Estado.
Además, actualmente se está discutiendo el proyecto que regula los sistemas de inteligencia artificial, y ahí definitivamente quizás se requiera algún ajuste producto de un avance de la técnica, que son cuestiones que están a la vuelta de la esquina.
Otra cuestión relevante será ver cómo la nueva regulación aborda el tema de los datos inferidos, sobre todo considerando que gran parte de las afectaciones actuales al derecho a la autodeterminación informativa pueden generarse a partir de datos perfectamente anonimizados. Cómo regular los metadatos o el perfilamiento serán claves, y quizás en un futuro cercano ello requiera una modificación de las regulaciones sobre la materia.
Profesor del Instituto de Derecho Público de la Universidad Austral de Chile, Alberto Coddou