En nuestra vida cotidiana, muchas veces no estamos conscientes de la cantidad de datos personales que diariamente entregamos a terceros, mediante el uso de aplicaciones en nuestro celular, la navegación que hacemos en internet o nuestros hábitos de consumo reflejados en una tarjeta de crédito, ni sabemos de qué modo se utiliza esa información. Con el fin de tener un regimen legal acorde a un estándar internacional que regule el tratamiento de dicha información, el pasado 13 de marzo finalmente se firmó el proyecto de ley que busca actualizar e introducir modificaciones sustanciales a la actual ley No. 19.628 "Ley Sobre Protección de la Vida Privada", comúnmente llamada Ley de Protección de Datos.

Si bien aún es incierto si se logrará aprobar el proyecto antes que finalice este gobierno y si en dicho proceso el proyecto no sufrirá ulteriores modificaciones, es importante reconocer que se trata de un gran avance respecto a la ley actual. El mismo proceso pre-legislativo fue ejemplar, en cuanto se convocó a la sociedad civil, gremios y organizaciones no gubernamentales a participar en la elaboración del mismo. Se buscó consensuar posturas y recoger la opinión de quienes más saben del tema en el país. Algo digno de imitar, en un contexto legislativo que no se ha caracterizado por el diálogo o consenso.

Ahora bien, al analizar el fondo del proyecto, existen varios puntos destacables. Entre ellos, resalta la creación de una verdadera institucionalidad encargada en velar por el correcto tratamiento de los datos personales de los ciudadanos y el otorgamiento de facultades fiscalizadoras y sancionadoras, contra entidades públicas y privadas, contra violaciones a la nueva normativa.

Se solía decir que la gran falencia de nuestra ley anterior, era que "no tenía dientes", refiriéndose a que no tenía adecuados mecanismos de fiscalización ni sanción, más allá del recurso de habeas data, rara vez usado. En contraste, el actual proyecto contempla  la creación de una Agencia de Protección de Datos, con autonomía y presupuesto propio, encabezado por un Director seleccionado por sistema de Alta Dirección Pública, el cual junto con velar por el cumplimiento de la norma, tiene entre otras misiones realizar acciones de difusión e información a la ciudadanía en relación al respeto y protección del derecho a la vida privada y a la protección de sus datos personales.

Respecto a la sanciones, éstas pueden llegar a ser considerables dependiendo de su gravedad.  Por poner un ejemplo, no disponer de una dirección de correo electrónico a través del cual los titulares de datos puedan dirigir sus comunicaciones o ejercer sus derechos conlleva una multa de 1 a 50 UTM. Infracciones gravísimas como comunicar o ceder a terceros, a sabiendas, datos personales sensibles sin el consentimiento del titular, puede significar una sanción de 5000UTM,  que podría llegar a triplicarse hasta los 15000UTM, si ha existido reincidencia.

Si bien algunos señalan que en regímenes comparados, en la práctica la mayoría de las sanciones efectivamente  aplicadas son de mucha menor magnitud, se hace necesario poner estas cifras en su contexto internacional. La Information Commisioner's Office (ICO) la institución a cargo de velar por el cumplimiento de la Ley de Protección de Datos en el Reino Unido, el año pasado aplicó multas por un total de más de dos millones de libras esterlinas (1600 millones de pesos), incluyendo la multa individual más alta impuesta hasta el momento a una misma empresa en dicho país, 400 mil libras esterlinas (aproximadamente 320 millones de pesos). La Agencia Española de Protección de Datos ha impuesto multas, en los casos más graves, de hasta 300 mil euros (más de 200 millones de pesos).

En definitiva, la correcta protección de los datos personales de cada ciudadano es algo que en economías desarolladas es fuertemente fiscalizado. Dentro de nuestros compromisos legislativos al ingresar a la OCDE estaba justamente actualizar nuestra normativa a este nuevo estándar.

Otro rasgo destacable, que se contempla expresamente, es la coordinación con el Consejo de la Transparencia, organismo que tiene entre sus misiones velar por la transparencia de la información pública y el Derecho de Acceso a la Información Pública. Otra cara de la misma moneda, por lo que se busca tener una aproximación completa al tema de la información.

Las transferencias internacionales se contemplan en detalle, poniendo requisitos precisos para transmitir nuestra información a terceros países que no tengan un estándar adecuado para su tratamiento. Esto resulta particularmente importante en un contexto en que es común la tercerización de servicios, a países con costos menores pero sin el mismo nivel de protección legal.

Desde un punto de vista jurídico, resulta interesante destacar que si bien se mantiene la regla general que el titular de los datos debe entregar su consentimiento al tratamiento de datos, salvo excepciones, se detalla con precisión las distintas formas que puede tomar este consentimiento. Este puede tomar la forma verbal, escrito, por medios electrónicos o mediante un acto afirmativo que de cuanta con claridad la voluntad del titular. Lo importante es que sea una manifestación inequívoca. Sin duda esto aclara las dudas y dificultades que imponía el estándar anterior, de consentimiento previo informado y escrito, para el correcto funcionamiento de actividades que al momento de la redacción de la ley original no eran comunes, pero hoy forman parte de la vida diaria, tales como navegar por internet, compartir información por apps, ingreso a lugares de videovigilancia, etc.

Finalmente, cabe destacar que el mismo proyecto entiende que los cambios en nuestra legislación no pueden imponerse de manera repentina, por lo que establece un periodo de 48 meses, contados desde la entrada en vigencia de la ley, para adecuar la base de datos constituidas con anterioridad a la nueva normativa. La ley misma no entratrá en vigencia sino 13 meses después de su publicación, por lo que se ha tomado una decisión consciente de darle a los distintos actores la oportunidad de adecuarse al nuevo escenario.

En conclusión, se trata de un proyecto de ley que eleva nuestro actual estándar en la materia y obliga tanto a nuestros organismos públicos, como entidades privadas, a tomar consciencia del tratamiento de nuestra información, algo que hasta la fecha ha sido subestimado tanto por nuestras autoridades, como por la ciudadanía.