Cada vez se imponen más exigencias para las empresas y para el Estado, a la hora de tratar nuestros datos personales. Un claro ejemplo se observa desde el Reglamento General de Protección de Datos de la Unión Europea (RGPD o GDPR), que opera como el estándar legal de facto para países latinoamericanos. Además, casos como el de Cambridge Analytica o las fugas de datos de clientes desde bancos o grandes empresas son graves escándalos que conocemos por los medios, pero a diario hay muchos otros incumplimientos de estas leyes, por lo que se requiere mayor cuidado y rigurosidad. A partir de lo anterior, destacamos tres ideas básicas para realizar Compliance de las normas sobre datos personales:
1. Las leyes de protección de datos se cumplen cuando se implementan
El cumplimiento implica necesariamente asumir costos para las organizaciones: públicas, privadas, grandes, medianas o pequeñas. Hay medidas concretas que deben ser adoptadas, sobre todo en procedimientos y controles de seguridad de las bases de datos.
No en vano, estas leyes se elaboran bajo un enfoque de riesgo, que aplica las distintas metodologías para evaluar y tratar los riesgos derivados del uso de datos personales. Se requieren controles concretos para mitigar la probabilidad y el impacto de incidentes sobre los datos personales que las empresas tienen en sus registros.
Ello, no solo mirando los evidentes riesgos tecnológicos y reputacionales, sino también el altísimo riesgo legal que conlleva un incumplimiento, por la posibilidad de ser demandado por los daños que ocasione el mal uso de los datos; las multas (que mundialmente suelen ser altas) por no cumplir los requisitos de la ley; y los posibles delitos vinculados a estafas, accesos no autorizados, fugas maliciosas de datos, etc.
2. No limitarse a los requisitos legales obligatorios, sino elevar voluntariamente el estándar de protección
Esta idea tiene dos partes. Primero, conocer la brecha de cumplimiento de los requisitos obligatorios que exige la ley actual (ley N°19.628) y tomar acciones para remediarla.
Para diagnosticar su brecha, le sugiero responder estas preguntas:
a. ¿Dónde guarda las autorizaciones por escrito en que el titular le permite utilizar sus datos personales?
b. ¿Informa con claridad y sin engaños al titular cuando pide su consentimiento?
c. Si compró una base de datos personales, ¿sabe el origen de estos?
d. ¿Sabe cómo actuar rápidamente cuándo un titular le pide acceso a sus datos o quiere que los actualice o elimine? ¿Quién canaliza esas peticiones? ¿Demora no más de dos días en responder?
e. ¿Tiene un sistema de gestión de seguridad para cuidar los datos personales?
f. ¿La obligación de guardar secreto de los datos que debe ir en los contratos de trabajo y en el reglamento interno dura indefinidamente o tiene un plazo?
g. ¿Qué metodología utiliza para disociar los datos? (¿Diso… qué?).
h. ¿Qué evidencia genera para demostrar que ha eliminado efectivamente los datos personales una vez que se cumple el plazo para usarlos o el fin para el cual se recolectaron? ¿Sabía que legalmente no puede mantenerlos?
i. Si contrata una empresa para que le preste un servicio utilizando los datos personales, por ejemplo, para que los almacene en la nube o los procese y le genere reportes, ¿tiene firmado el contrato de mandato especial y detallado que pide la ley o solo se confía en una cláusula de confidencialidad que no lo protege legalmente a Ud. ni a su mandatario?
Ahora bien, no solo hay que hacerse cargo de lo anterior -como mínimo-, sino que el Compliance de datos personales requiere también un esfuerzo extra. Para elevar el cuidado, existen instrumentos concretos, “modelos de prevención de infracciones”, que contienen una serie de medidas a implementar, por lo general, voluntariamente, aunque hoy se discute en el Congreso sobre la conveniencia de exigirlos obligatoriamente, dada la mala experiencia de los modelos de prevención de delitos contenida en la ley N°20.393, sobre responsabilidad penal de personas jurídicas.
Como estos modelos elevan los estándares, quienes los implementan correctamente pueden atenuar o, incluso, eximirse de responsabilidad ante algún incidente sobre los datos.
Estos modelos de prevención de infracciones parten de ciertos mínimos. Deben ser simples, directos, demostrables y estar alineados con los objetivos de la institución. Es un error creer que se trata de generar documentos inútiles y extensos que nadie leerá; consiste en formalizar decisiones de la empresa de manera clara, breve y precisa, tanto para el personal que debe implementarlo, como para quienes deben fiscalizar. A partir de estos modelos, surgen nuevas funciones, como la del delegado de datos personales, a quien hay que capacitar, dotar de facultades y entregarle recursos suficientes. Además, se requiere documentar programas de cumplimiento, donde se detallen los pormenores del tratamiento de datos específicos (tipos de datos, finalidades, responsables, comunicaciones, tipos de titulares, medidas de seguridad, enfoque de privacidad por defecto desde el diseño, etc.). Todo ello, complementado con una identificación, evaluación y tratamiento de los riesgos asociados a los datos.
3. Aprovechar la oportunidad de implementar hoy los modelos
En Chile hay un proyecto de ley de datos personales en trámite que favorecerá el Compliance con requisitos obligatorios más claros que los que actualmente existen y beneficiando a aquellas empresas que aumenten su nivel de protección mediante modelos de prevención de infracciones.
Esto genera un escenario propicio para implementar modelos de prevención desde ya, es decir, hoy es el mejor momento por las razones que paso a explicar:
Sea cual fuere la redacción final del proyecto de ley, los modelos de prevención forman parte de los estándares internacionales en protección de datos personales. De este modo, aunque nada se dijera finalmente -lo cual dudo- contar con un modelo facilitaría a la empresa el cumplimiento de las obligaciones de protección de datos, disminuyendo considerablemente sus riesgos.
Partir ahora significará, además, costos más bajos de parte de las consultorías especializadas que se contraten y que las empresas puedan trabajar a su propio ritmo, sin la presión de un plazo ante un órgano de control.
En definitiva, sugiero sentar desde ya las políticas, normas y procedimientos a partir de los cuales la empresa o el órgano público evolucionará a sistemas de protección más complejos y con una clara ventaja competitiva.