En el estudio “Protect.Me”, llevado a cabo por PwC en 2017, uno de los resultados más sorprendentes fue descubrir que un 85% de los consumidores no haría negocios con una empresa si es que tiene dudas sobre sus prácticas de seguridad y privacidad. Aún más relevante, fue darnos cuenta de que un 92% de los encuestados consideró que las compañías deben ser proactivas en la protección de sus datos personales.
Estas cifras se dieron en un contexto mundial previo a la entrada en vigor de la normativa europea sobre protección de datos personales (GDPR), cuando el escándalo de Cambridge Analytica aún no se destapaba y en el que la pandemia del Covid-19 no se vislumbraba en el horizonte cercano. No es necesario ser profeta para decir que las dos métricas del estudio -de ser realizado hoy- estarían bastante más cercanas al 100% de lo que ya estaban en ese entonces, y es que, actualmente, todo es data y los consumidores lo saben.
Un salto a 2020
Algo que probablemente ya se ha visto -de alguna u otra manera- en los titulares, es que la pandemia aceleró los procesos de digitalización tanto de empresas en las que su negocio principal es digital, como de otras más tradicionales que nada tienen que ver con tecnología. Los expertos estiman que el e-commerce avanzó entre 5 y 10 años. Tanto startups como grandes compañías tuvieron que adaptarse rápidamente a los cambios y lograr tomar decisiones basadas en el comportamiento de sus usuarios. No es exagerado decir que hoy hasta el “boliche” de la esquina puede tener un negocio online y requerir datos personales de sus clientes. Lo que no se ha visto es cómo estos cambios llevan consigo un aumento exponencial en el tratamiento de datos personales.
En este contexto, de rápida tecnologización y digitalización, es preocupante ver que la base jurídico-normativa sobre la cual se está construyendo todo este salto tecnológico en Chile es una norma, la Ley 19.628 sobre Protección de la Vida Privada, que data de comienzos de los años 90 y que ya en ese entonces parecía obsoleta.
Ello marca un punto de inflexión para Chile, en contraste con jurisdicciones más avanzadas en este tema, como Europa, el Estado de California o el de Japón, que han vivido el salto tecnológico forzado por el Covid-19 bajo el paraguas de una institucionalidad de protección de datos personales acorde al siglo XXI. En términos simples, en estas jurisdicciones ya se cuenta con una normativa moderna, autoridades de control bien establecidas, con sanciones aplicables y aplicadas ante los incumplimientos, es decir, un marco en que los titulares de los derechos tienen vías efectivas para exigir su cumplimiento.
El que las empresas se vean forzadas a realizar los avances y desarrollos en sus modelos de negocios en un ecosistema de privacidad avanzado, en donde la protección de los datos personales es algo que ya está incorporado en la cultura empresarial -aunque sea por la fuerza- las hace pararse en una base más sólida que les permite construir hacia el futuro. Una vez que la pandemia se apacigüe, y los nuevos modelos de negocios queden, esto no significará una reconstrucción de lo ya sembrado por las compañías.
Lo interesante está por venir
¿Por qué es tan relevante que se construyan los modelos y soluciones de negocios desde la base de la protección de los datos personales? Cuando pensamos en la protección de datos personales en las empresas, por lo general pensamos en que esto se circunscribe a las áreas de cumplimiento, gobierno de datos y fiscalías o gerencias legales, pero esto es solo el comienzo. Hoy por hoy los negocios se estructuran a través de los datos de sus clientes, proveedores, empleados y potenciales terceros, sin importar el área del negocio o la industria. Esto quiere decir que también las áreas de Tecnologías de Información, marketing, operaciones, logística y recursos humanos no solo deben entender y estar conscientes de los datos personales que tratan día a día, sino incorporar su gestión en su operación diaria.
Pero no es que en Chile estemos en el equivalente a los tiempos bíblicos respecto de la protección de datos personales y que no exista en el país un marco mínimo de regulación al que los actores del mercado se deban adecuar. La Ley 19.628 consagra derechos de los titulares de los datos, categorías de datos personales y responsabilidades en términos generales. Es más, ya desde el año 2018 la protección de los datos personales está incluida en nuestra carta fundamental dentro del catálogo de garantías constitucionales.
Sin embargo, lo interesante es lo que está por venir. Desde el año 2017 se tramita en el Congreso el proyecto de ley de reforma a la actual normativa de protección de datos personales. Un proyecto que abarca de alguna u otra manera la mayoría de las grandes falencias que tiene nuestra norma actual e importa, desde las regulaciones más avanzadas, algunos aspectos que hoy no existen en nuestra ley. En general, se hacen más efectivos los mecanismos de ejercicio de los derechos de los titulares, se establece una autoridad de control y fiscalización y se endurecen -sobre todo en contraste con las actuales- las sanciones ante el incumplimiento. A su vez se incorpora el derecho a la portabilidad de los datos y se aclaran las fuentes de legitimidad de tratamiento de datos personales.
Pero sin entrar en mayor detalle respecto de los aspectos técnicos del proyecto, y aun sin estar este aprobado, ya podemos saber en términos generales cuáles son los parámetros a los que las empresas se deberán atener. Y esto es porque estas directrices ya están vigentes en las jurisdicciones de avanzada, y si queremos estar en línea con nuestros pares de la OCDE, el camino es bien conocido. Es razonable esperar que el trámite legislativo de la reforma a la Ley 19.628 avanzará con mucho mayor velocidad producto de los cambios que ha generado el Covid-19 y, por eso, dejar pasar el tiempo y no adaptarse a este cambio no parece una estrategia recomendable.
Ajustarse a los nuevos parámetros de protección de datos personales involucra un esfuerzo multidisciplinario; dejó de ser un ajuste normativo a discutirse meramente entre abogados. La experiencia europea y los mismos requerimientos legales del proyecto de ley nos indican que este cambio regulatorio involucra un levantamiento de todos los procesos de una compañía, acompañado de rotundos cambios culturales e incluso ajustes en los modelos de negocios. Y todo ello, no solo guiado por el cambio normativo, sino por la presión de los propios consumidores y clientes.
El gran problema de implementar un cambio tan relevante es el tiempo. En esto también miramos al viejo continente, en la implementación de GDPR se dio un plazo de implementación de dos años desde la publicación oficial de la regulación hasta su entrada en vigor, cuando faltaba un mes para el término de período se estimaba que entre el 50% y el 65% de las empresas no estaba listo para aplicar el nuevo marco normativo.
¿Y quién debe adaptarse?
Todos. Si bien existen sectores como la salud o las telecomunicaciones que tienen la protección de los datos más en su ADN por el tipo de negocio que realizan, la realidad es que no existe ninguna industria que no se deba preocupar de adaptarse. Y es que hoy, el que no trate datos y crea que esto no le afectará en su negocio, que “lance la primera piedra”.