Columna de Cristián Alzamora: Sanciones por protección de datos, nada que temer

La Ley de Datos Personales -a punto de salir del Congreso tras siete años de discusión- trae consigo un régimen de multas que, a grandes rasgos, se agrupan en tres líneas. Infracciones a deberes de transparencia, a la obtención deficitaria del consentimiento de los titulares de datos y, a una escala más grave, a un tratamiento fraudulento y masivo de datos sensibles.

Sin embargo, durante su discusión y especialmente ahora que el proyecto se zanjó en comisión mixta, han surgido ciertos temores por las eventuales multas que pudieran aplicarse. Los argumentos que se han esgrimido han descansado en prejuicios propios de cualquier nueva regulación en un mercado tan álgido como el de los datos y el de una concepción insuficiente sobre el espíritu que esta ley busca tutelar.

El régimen de datos descansa en distintos pilares, aunque para efectos de esta discusión son principalmente dos. El primero, balancear la tutela del derecho a la protección de datos personales, que es de carácter fundamental, con la libre circulación de los datos personales. El segundo, el enfoque orientado a la gestión de riesgos y la consecuente responsabilidad proactiva que, en definitiva, será el criterio preponderante para la aplicación de sanciones y la consideración de atenuantes y agravantes.

Para despejar la discusión, propongo que se tengan a la vista los siguientes acápites, a fin de aprobar de manera definitiva el proyecto de ley:

1. Proporcionalidad: La regulación en protección de datos personales es compleja y extensa. Sin embargo, su aplicación siempre estará sujeta a principios del derecho administrativo sancionador. La futura Agencia de Protección de Datos Personales deberá, entonces, evaluar la gravedad de la infracción y la imposición de sanciones en observancia a las atenuantes contempladas en la ley. Esto, sumado al régimen de responsabilidad proactiva, que en simple “ordena la casa y si te pasas, el asunto no será tan serio como temes”. En ello descansan las atenuantes y permitirá al sector privado prepararse a la nueva regulación que, en promedio, puede terminar en dos años, según la letra de la ley, o en tres o cinco, cuando se instale una cultura de privacidad.

2. Tendencia incremental: Teniendo en cuenta la experiencia comparada, especialmente el caso europeo, desde la entrada en vigencia del Reglamento Europeo, las sanciones han aumentado gradualmente, como es natural, especialmente tras eventos disruptivos como la pandemia, aunque tuvieron un inicio tímido. El monto de las multas que realmente han causado un impacto en la prensa están mediadas por infracciones graves e incluso de carácter formal, por ejemplo, las transferencias internacionales de datos personales a países no calificados como adecuados por la Unión Europea, materia de la que el proyecto se hace cargo.

3. Industria y certidumbre jurídica: Las sanciones no desincentivan la industria. Por el contrario, generan certeza jurídica, promoviendo la libre circulación de datos. El crecimiento empresarial no debería verse afectado, sino que potencialmente beneficiado por buenas prácticas y mejoras en sus activos reputacionales, tal como hemos visto durante el último tiempo, período en que el sector privado ha tomado las riendas y está preparando a sus organizaciones. Esto, sin perjuicio de que ya tenemos una regulación que castiga la divulgación indebida de datos personales, a nivel penal como infraccional, con la pronta entrada en vigencia de la Ley Marco de Ciberseguridad.

4. Montos versus infracciones: Continuando con la experiencia comparada, en Brasil las multas son altas aunque aplicadas proporcionalmente, lo que también sucedió en Europa. Sin embargo, lo que llama la atención de los medios, pueden ser los montos, pero aquellos están justificados por la gravedad de las infracciones y la posición que tienen los sancionados dentro del mercado.

5. Enfoque preventivo: La ley prioriza la prevención sobre la corrección. El Modelo de Prevención de Infracciones, de carácter voluntario, refuerza esta premisa. Cumplir con principios básicos y evitar infracciones comunes, como la obtención deficitaria del consentimiento, la falta de garantía de los derechos ARCOP y la omisión de garantías adecuadas para las transferencias internacionales; minimizarán los riesgos, especialmente para grandes empresas.

Es crucial que las organizaciones comprendan estas dinámicas y adopten medidas proactivas para proteger la privacidad, difuminando la confusión y determinando el espíritu preventivo que tiene la futura ley.

Por Cristián Alzamora, abogado TI