Columna de Romina Garrido y Marcelo Drago: No todo es perfecto en la reforma a la ley de protección de datos personales
La reforma a la ley de protección de datos personales chilena está decididamente inspirada en el reglamento europeo sobre la materia. Es un estándar regulatorio de convergencia global, donde la tendencia es considerar la protección de los datos personales como un derecho fundamental, poniendo a la persona y su dignidad al centro, reconociendo el control sobre sus datos personales.
Es un cambio copernicano. Un sistema regulatorio basado en un conjunto de principios esenciales, de cumplimiento obligatorio, donde la legitimidad, proporcionalidad y finalidad establecen el marco principal. Un sistema que reconoce derechos históricos, pero también modernos, que permiten desplegar la autodeterminación informativa en un ambiente de gigantes y cada vez más vertiginosas transformaciones tecnológicas. Con una autoridad pública con facultades interpretativas, normativas y sancionatorias que verdaderamente puede hacer cumplir la ley.
Buscar la convergencia implica seguir el reglamento europeo imitando sus elementos positivos y adaptarlos a nuestro sistema, junto a discernir aquellos elementos que pueden ser mejorados y actuar en consecuencia. En esto, el trabajo serio, sistemático y profesional que por largos meses se realizó en la Comisión de Constitución de la Cámara de Diputados debe ser reconocido.
Sin embargo, hay una materia en que aún resulta confusa y que incluso podría ir en la dirección contraria.
El reglamento europeo establece un sistema de sanciones basado en una proporción de la facturación de las compañías. En las hipótesis más serias y dolosas, llega a un máximo de 2% y 4% de la facturación anual. Su aplicación es excepcional, lejos del día a día de las autoridades de protección de datos presentes de los 27 países de la Unión Europea. Pero se han utilizado en momentos clave, como vimos en la multa que en mayo cursó la autoridad irlandesa ante una violación a gran escala de este derecho fundamental por una gigante tecnológica.
Se utilizan porcentajes de la facturación porque es justo. Para organizaciones pequeñas, la multa será pequeña. Para organizaciones gigantes, será proporcional a su tamaño.
En la propuesta chilena utilizamos esos porcentajes, pero se establecieron con un monto máximo, un techo de 20.000 UTM. Una estructura de multas de este tipo es a lo menos confusa, discriminatoria y regresiva. Discrimina y perjudica a las pequeñas y medianas empresas, en su mayoría chilenas, favoreciendo a las grandes, sobre todo a los gigantes tecnológicos, en su mayoría internacionales. Incluso ese techo, que puede sonar alto, es mucho menor a los más recientes que está aprobando el legislador en el proyecto de ley sobre ciberseguridad e infraestructura crítica de la información que llega a las 40.000 UTM.
El sistema de sanciones debe ser justo, ecuánime, progresivo, no discriminatorio, proporcional, buscando utilizar la misma vara para todos. El sistema aprobado hasta el momento va en la dirección contraria.
Las multas en protección de datos personales deben ser significativas, para proteger los derechos de privacidad de los individuos, fomentar el cumplimiento de las regulaciones en un ámbito muy difícil de fiscalizar, y garantizar que las organizaciones tomen en serio la protección de datos personales. Deben estar diseñadas de manera proporcional a la gravedad de las infracciones y para disuadir a las empresas de violar las regulaciones de privacidad.
Aún hay tiempo para enmendar. El llamado es lograr la mejor regulación para el país.
Romina Garrido Iglesias y Marcelo Drago Aguirre, abogados.