Algunos aspectos centrales del GDPR son la consagración del conjunto de derechos denominados ARCOP (Acceso, Rectificación, Cancelación, Oposición y Portabilidad) y los principios que lo inspiran. Entre estos últimos, destacan aquellos dirigidos a limitar el tratamiento de datos, tanto desde el punto de vista del plazo, como de la cantidad y la finalidad, y el principio de responsabilidad proactiva, que impone a quien trata los datos el cuidado de su tratamiento y las correlativas responsabilidades, si este es negligente.
La atención al GDPR, con todo, no se justifica solo por sus efectos extraterritoriales: la semana pasada ingresó a trámite legislativo un proyecto que busca reformar la Ley 19.628, que regula estas materias en Chile. La propuesta busca reformar la normativa chilena con una clara inspiración europea, adoptando varios de sus estándares y principios (desde ya, consagrando los mismos derechos). Por si fuera poco, el proyecto crea la nueva Agencia de Protección de Datos, autoridad fiscalizadora de la ley y con capacidad para sancionar.
En este contexto, la protección de datos cobra un rol primordial e ineludible en el día a día de las empresas. Cuesta imaginar en el mundo actual, inmerso en las Tecnologías de Información, redes sociales, ventas y marketing online, un negocio que no realice cotidianamente el tratamiento de datos personales y en la medida que los trate, debe cumplir con las normativas aplicables (nacionales o extranjeras).
Cinco medidas preparatorias
En consecuencia, reformular desde ya procesos de tratamiento de datos para adecuarse al GDPR no solo resulta aconsejable, sino parece derechamente imperativo: dicha adecuación ya es de por sí necesaria si se desean tratar datos de personas en la UE, pero también adelanta el cumplimiento respecto de la ley chilena, evitando las urgencias y percances asociados a su inminente entrada en vigor. Para tal efecto, recomendamos implementar oportunamente algunas medidas preparatorias:
1) Identificar áreas de relevancia:
Un primer paso esencial de todo programa de cumplimiento es identificar los equipos, procesos y labores que involucran el tratamiento de datos personales. Por ejemplo, las áreas de atención al cliente, ventas y marketing directo usualmente tratarán datos personales de clientes y consumidores. La publicidad por medios de comunicación masiva y los procesos de contabilidad interna, en cambio, son áreas menos sensibles. Hay que destacar que el tratamiento de datos de los trabajadores también está sujeto a las mismas normas.
2) Conocer y revisar las bases para el tratamiento lícito de datos:
Tanto el GDPR como el proyecto chileno identifican un catálogo cerrado de razones por las cuales se pueden tratar de datos. Así, por ejemplo, el consentimiento del titular de los datos, el cumplimiento de un contrato donde el titular es parte o la realización de un interés legítimo de quien trata los datos pueden justificar el tratamiento. El reconocimiento de estas bases y su aplicación específica a cada empresa y, en un universo particular, a cada proceso dentro de esta, es esencial para asegurar el cumplimiento de las normas.
3) Limitar el tratamiento de datos:
Aun cuando la tendencia natural será tratar de acumular y tratar la mayor cantidad de datos (hoy por hoy la información es un activo cada vez más valioso), el espíritu de las normas de protección de datos apunta hacia la excepcionalidad: no debiesen tratarse más datos que los necesarios; no se debiesen usarse para fines distintos a aquellos para los cuales se obtuvieron (salvo que exista consentimiento del titular) y no debiesen conservarse en el tiempo más allá de lo requerido.
4) Uniformar un procedimiento para el tratamiento de datos:
Una vez identificados los procesos que involucran el tratamiento de datos, el tipo de datos tratados y las bases que permiten su tratamiento en cada caso, es aconsejable estandarizar un procedimiento que siga el flujo de la información. Para ello, la clave consiste en incluir dicho proceso en la concepción y diseño de los respectivos sistemas (más que una “capa” o validación ulterior). De este modo, se puede analizar el origen de la información (si proviene del titular o de terceros), su base legal de tratamiento, el uso que se le dará, la forma en que se tratarán los datos y se almacenarán, y el tiempo que se conservarán, entre otros aspectos. Se debe asegurar que el proceso dé certezas sobre la integridad de los datos, resguardando su confidencialidad -reduciendo al máximo los riesgos de filtraciones o hackeos- y corrección -eliminando o actualizando los datos caducos o incorrectos-. Especial atención debe ser dirigida a los llamados datos sensibles, cuyo tratamiento exige estándares especiales, y al tratamiento automatizado de datos.
5) Designar un encargado de cumplimiento:
Finalmente, es vital contar con una persona (o equipo) dedicada y especializada en el tratamiento adecuado de los datos personales. El GDPR, de hecho, exige este nombramiento. El oficial de cumplimiento debería participar en las etapas antes mencionadas y cerciorarse de que el procedimiento delineado no solo se adecúa teóricamente a la normativa, sino que se aplica en la práctica. Asimismo, debería asegurarse de que la empresa cuente con los medios y canales apropiados para que los titulares de los datos pueden ejercer los derechos que les confiere la ley.
Varios actores (principalmente del sector financiero) se encuentran trabajando tempranamente en la revisión y actualización de políticas y procedimientos de tratamiento de datos siguiendo las reglas europeas. A estas alturas no es muy visionario sostener que este será un elemento diferenciador importante dentro de las empresas, que están cada vez más expuestas al escrutinio público, y que en instancias han debido enfrentar duros conflictos con clientes y reguladores por la fuga y venta de datos personales.