Si bien la agenda legislativa ha sido intensa en diversas materias, continúa la discusión en la Cámara de Diputadas y Diputados del proyecto de ley que busca reemplazar la Ley 19.628 sobre Protección a la Vida Privada y Protección de Datos de Carácter Personal (“Proyecto de Ley”).
De hecho, el Proyecto de Ley se encuentra con “urgencia suma” para su discusión, lo que significa que tiene prioridad para su conocimiento y despacho por parte de la Cámara (urgencia que se puede ir renovando hasta la completa discusión del proyecto).
En el contexto de la discusión parlamentaria, el Poder Ejecutivo presentó algunas indicaciones importantes a tener presente ya que modifican, por ejemplo, en materia de multas y límites de responsabilidad, el tenor de la regulación que hasta hace poco conocíamos (“Indicaciones”).
En este sentido, algunas indicaciones relevantes que deberán ser discutidas por la Cámara de Diputadas y Diputados son las siguientes:
A. Responsabilidad en caso de infracción
Conforme a las Indicaciones, las infracciones:
a. Leves, serán sancionadas con multas de hasta 100 unidades tributarias mensuales, eliminándose el mínimo de 1 unidad tributaria mensual del Proyecto de Ley original.
b. Graves, serán sancionadas con multa de 101 a hasta 5.000 unidades tributarias mensuales o, en el caso de las empresas, multa de hasta la suma equivalente al 2% del total anual de las ventas globales del infractor en el año anterior, optándose por la de mayor cuantía.
c. Gravísimas, serán sancionadas con multa de 5.001 a hasta 10.000 unidades tributarias mensuales o, en el caso de las empresas, multa de hasta la suma equivalente al 4% del total anual de las ventas globales del infractor en el año anterior, optándose por la de mayor cuantía.
Con esta modificación se reincorporan como base de cálculo al Proyecto de Ley los ingresos que pudiera haber obtenido el supuesto infractor, de forma similar al Reglamento General de Protección de Datos de la Unión Europea
B. Fuentes accesibles al público y principio de finalidad
Las fuentes de acceso público dejarían, de acuerdo con las Indicaciones, de ser una excepción al principio de finalidad en el tratamiento de datos personales, en términos tales que los datos obtenidos de dichas fuentes deberán procesarse siempre teniendo en consideración la finalidad existente al momento de su incorporación en las fuentes de acceso público respectivas.
C. Derecho de portabilidad
Las Indicaciones proponen que el titular, en ejercicio de su derecho de portabilidad, tenga la facultad de requerir que sus datos personales se transmitan directamente de responsable a responsable de datos cuando sea técnicamente posible.
De esta forma, el titular de datos no tendría la carga de llevar sus datos personales, por ejemplo, de una empresa de telecomunicaciones a otra a la quiera cambiarse, sino que los datos deberían transferirse entre las empresas en cuestión.
D. Información que entregar al titular de datos
Conforme al Proyecto de Ley, el responsable de datos ahora debería además entregar al titular de datos información significativa sobre la lógica aplicada en el caso de que el responsable realice valoraciones personales automatizadas, lo que no estaba contemplado en forma previa a las Indicaciones.
Asimismo, las Indicaciones proponen eliminar la posibilidad de que el responsable no esté obligado a entregar la información ni a dar acceso a los datos solicitados por el titular, por ejemplo, cuando su comunicación resulte imposible o su entrega exija un esfuerzo desproporcionado o cuando su entrega imposibilite u obstaculice gravemente un tratamiento de datos con fines estadísticos o científicos.
E. Deber de adoptar medidas de seguridad
Las Indicaciones proponen regular las medidas técnicas y organizativas que deben implementarse para garantizar un nivel de seguridad de los datos personales por parte de un responsable y encargado de datos - teniendo en cuenta por ejemplo estado de la técnica, los costes de aplicación, fines del tratamiento o riesgos de vulneración - indicando que las mismas serán, entre otras:
a. La seudonimización y el cifrado de datos personales;
b. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d. Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Adicionalmente, las Indicaciones proponen que el deber de reportar vulneraciones a las medidas de seguridad recaiga solo sobre el responsable de datos y no sobre quien los procese por encargo o a nombre del primero.
F. Deberes de la Agencia de Protección de Datos Personales y transferencia internacional de datos
Las Indicaciones proponen que, para transferir datos personales al extranjero, la Agencia de Datos Personales no solo deberá poner a disposición del público modelos tipo de cláusulas contractuales, sino que además un listado de aquellos países que tengan un adecuado nivel de protección en materia de datos personales.
G. Relación con Ley del Consumidor
Finalmente, las Indicaciones proponen armonizar el Proyecto de Ley con la facultad que la Ley de Protección de los Derechos de los Consumidores le otorga al Servicio Nacional del Consumidor (“Sernac”) en caso de infracción de datos personales que pudieran tener lugar en el contexto de una relación de consumo, de forma tal que las facultades del Sernac podrán ejercerse siempre y cuando se cumpla con el principio de coordinación y dichas facultades no se encuentren dentro del ámbito de la competencia y atribuciones otorgadas legalmente a la Agencia de Protección de Datos Personales u otro órgano.
Todas las Indicaciones serán debatidas en futuras sesiones de la Cámara de Diputados por lo que es esperable que el Proyecto de Ley continúe avanzando exitosamente durante el presente año 2022.
En este contexto, ¿está preparada tu organización para enfrentar los desafíos que impondrá la nueva regulación de datos personales?
¿Cómo adecuar tu negocio a la nueva Ley de Datos Personales?
