Rodolfo Herrera.
¿En qué consiste GDPR?
Desde la década de los ‘70, Europa ha liderado la regulación de la protección de datos personales en el mundo. En ese sentido, ha reconocido derechos a las personas para mantener un cierto control sobre sus datos, cuando son usados por otros. Además, ha establecido obligaciones básicas si se utilizan datos personales. Así fue, por ejemplo, con el estándar normativo que se generó a mediados de los ‘90, a través de la Directiva 95/46/CE, con la que se dio uniformidad a esas leyes en la Unión Europea y que fue un modelo imitado en otros países. El Reglamento General de Protección de Datos (General Data Protection Regulation – GDPR) -de 2016, pero que comenzó a regir en 2018-, reemplaza esa Directiva, actualiza esa regulación a la realidad del ciberespacio y, sobre todo, la fortalece, con normas obligatorias y aplicables directamente a todos los países de la Unión Europea.
¿A quién está dirigida?
Aunque se trata de una normativa europea que se aplica directamente a los países miembros de la Unión, está dirigida no solo a las organizaciones públicas y privadas establecidas en dichos países.
Si una organización realiza tratamiento de datos de personas que residan en la Unión Europea, aunque no esté establecida en alguno de esos países, también debe cumplir el Reglamento.
De igual modo, se aplica si la empresa contrata servicios de terceros que procesan los datos de personas residentes en la Unión Europea, por ejemplo, cuando se externalizan servicios en la nube para almacenar datos personales de sus trabajadores o de sus clientes.
¿Hay un rubro específicamente afectado por esta normativa?
En realidad, no hay un rubro específico, ya que el tratamiento de datos personales es transversal a nuestras actividades. Por supuesto, aquellas empresas que prestan servicios de tratamiento de datos o que administran bases de datos de sus empleados o sus clientes, deben tener especial preocupación por cumplirla. Es decir, en la medida en que el organismo procese o almacene datos de personas naturales residentes en la Unión Europea, sea un órgano público o una empresa privada, se ve obligado a cumplir las normas de protección de datos personales que contiene el GDPR.
¿Cómo se extrapola a Chile? ¿Suma valor seguir el estándar?
Si hay una empresa establecida en Chile que trata datos de personas residentes en la Unión Europea, debe respetar esas obligaciones, de lo contrario, está expuesta a multas como si estuviera en Europa. Además, no podrá recibir esos datos si le son transferidos desde la Unión Europea. Sin perjuicio de ese caso, es recomendable igualmente implementar la regulación europea como un estándar internacional más completo y correcto que la legislación chilena vigente. De esta forma, junto con elevar el estándar de protección y equipararlo a niveles internacionales, las organizaciones estarán mejor preparadas para implementar la nueva Ley de Protección de Datos Personales local hoy en trámite.
¿Cuál es el impacto práctico de GDPR para empresas en Chile?
Si la empresa chilena realiza tratamiento de datos de residentes en Europa, es necesario que implemente medidas organizativas, técnicas y normativas que permitan cumplir con las obligaciones exigidas en el GDPR. En concreto, a lo menos debe contar con procedimientos transparentes para la recolección de datos, analizar sus riesgos de infracción a esa normativa y adoptar medidas de seguridad apropiadas para mitigarlos, junto con disponer de procedimientos expeditos para facilitar el ejercicio de los derechos que se reconocen a los interesados o titulares de tales datos. Lo anterior, puede significar modificaciones contractuales con clientes y proveedores, además de formalizar decisiones organizativas.
¿Cómo varía el escenario para los usuarios y su poder sobre la información?
En lo medular, el escenario para el usuario previo al Reglamento en la Unión Europea, no cambia en su esencia, sino que se actualiza y fortalece. Se reconocen nuevos derechos como la portabilidad de datos, el derecho al olvido y el derecho a la explicación frente a decisiones automatizadas por algoritmos.
El principal cambio aplica a las obligaciones de quienes utilizan los datos, ya que se requieren evaluaciones de impacto sobre protección de datos y el régimen de sanciones se endurece.
¿Qué cambia GDPR del escenario normativo actual en el país?
Si bien el Reglamento no modifica la normativa chilena actual de manera directa, sí fuerza a que las organizaciones no establecidas en Europa que procesen datos de residentes en dicho continente, adopten medidas, sobre todo a nivel contractual, para reconocer los nuevos derechos e integren acciones de seguridad basadas en sus propios riesgos.
Como se trata de una normativa avanzada que uniforma legislaciones de protección de datos y, más aún, que puede imponerse fuera de la Unión Europea, constituye un estándar normativo de facto que inspira las leyes de protección de datos de otros países. Es el caso de Chile, ya que el proyecto de ley en trámite tiene fuerte inspiración en el Reglamento.
¿Cuáles son las sanciones de su incumplimiento?
El incumplimiento de las normas del Reglamento se sanciona con multas, con montos que se fijan según la gravedad de la infracción. Para determinar el monto se considera el volumen del negocio, la actividad del infractor, la intencionalidad, la reincidencia o los perjuicios causados. Por ejemplo, si la infracción es menos grave, como incumplimientos de obligaciones generales o de seguridad de los datos, las multas pueden llegar hasta 10 millones de euros y, si son graves, como infracciones sobre transferencias internacionales de datos o de los derechos de los interesados, pueden alcanzar hasta 20 millones de euros.