De contar con una normativa actualizada, podrían cursarse sanciones millonarias a empresas que incumplan estándares de seguridad de sus clientes y usuarios.
Ante los fallos en el resguardo de datos personales de millones de usuarios y conductores de Uber en Estados Unidos, el Consejo para la Transparencia a través de su presidente Marcelo Drago, insistió en el llamado las empresas a“ser leales y cuidar los datos de sus clientes desde ahora, pese a que no se haya modernizado la normativa en Chile”.
El titular del CPLT afirmó que de haber ocurrido una situación similar a esta empresa en nuestro país, la actual normativa de protección de datos personales no habría permitido a las autoridades tomar medidas acordes con estas brechas de seguridad y proteger a los usuarios, tampoco sancionar a la empresa. Esto, explicó el presidente del Consejo “deriva del retraso que muestra el marco legal vigente en Chile, lo que lo vuelve insuficiente y deficiente ante este tipo de situaciones”.
El presidente del CPLT resumió que “con la nueva normativa a la empresa se le habría impuesto una sanción millonaria por fallos de seguridad, por no informar oportunamente y por comunicar que estaba tomando medidas de resguardo de la información que no habría implementado”.
En el marco de la Conferencia Internacional de Autoridades de Protección de Datos y Privacidad que se celebró en Bruselas y cuya cuadragésima edición fue organizada por la Unión Europea, estas consideraciones adquieren mayor relevancia de acuerdo a lo planteado por el titular del Consejo, puesto que en Chile la discusión sobre casos de impacto mundial se da en un momento en el que se debate la modernización de la normativa, la que debe recoger estándares internacionales
La iniciativa sobre datos personales en trámite en el Parlamento permitiría sancionar a los organismos que incumplan la ley –públicos o privados-, dado que establece un régimen de infracciones y multas apropiadas, y una autoridad de control autónoma e independiente que podrá aplicar las herramientas y ejercer las facultades para asegurar el cumplimiento de los derechos y obligaciones establecidas en la materia.
Drago explica que el CPLT -que de acuerdo a la redacción actual del proyecto de ley se convertirá en esta autoridad de control- que “la influencia del Reglamento Europeo es global e ineludible. Se trata de un estándar cuya aplicación es inevitable. Y la labor quedó claro en esta cumbre internacional: tenemos que trabajar en la preparación del país para implementarlo. No es posible quedarnos esperando que se tramite y promulgue la ley o enfrentar casos de vulneración masivos para reaccionar a las necesidades y demandas actuales”.
Lo ocurrido con Uber se suma a un listado de situaciones que han ocurrido en los últimos años, afectando a empresas en Estados Unidos con usuarios en Chile (como Facebook y Equifax). Para el CPLT estas situaciones son “señales de alerta que requieren abordarse ahora en Chile desde la prevención, debida comunicación, reparación y aplicación de sanciones efectivas, porque en cualquier momento puede ocurrir algo así en nuestro país”.
En tal sentido el presidente del CPLT hizo hincapié en que con una normativa adecuada a estándares internacionales como el de la UE posibilitan “que multemos a las empresas por actuaciones negligentes, incluyendo faltas o vacíos en la comunicación de los hechos que vulneran los datos personales”.
¿Qué habría pasado en Chile con la nueva ley de datos personales?
En el caso de estar vigente la iniciativa de ley en trámite, empresas como Uber “al ser responsables del tratamiento de bases de datos personales de clientes y choferes, tendrían que adoptar todas las medidas técnicas y organizativas para garantizar la seguridad de esa información”. Además le obligaría a poner a disposición de los titulares de los datos información sobre la política y las medidas de seguridad adoptadas para proteger estas bases.
La entidad debería entregar reportes obligatorios y en detalle –incluyendo el número de titulares afectados- sobre el fallo o situación que le afecta al futuro Consejo para la Transparencia y la Protección de Datos Personales y a los titulares de los datos, acreditando a la brevedad las acciones implementadas para gestionar el episodio, e informar sobre las consecuencias de la filtración de datos y las medidas de resguardo o solución implementadas.
Finalmente, una de las principales materias que aborda la ley es el establecimiento de multas e infracciones a las empresas que vulneren o infrinjan las obligaciones de seguridad en el tratamiento de los datos personales y que omitan las comunicaciones o los registros en los casos de vulneración de las medidas de seguridad.
En el primer caso las multas van de 51 a 500 unidades tributarias mensuales, o, en el caso de grandes empresas, hasta el 2% del volumen de negocios anual del año financiero anterior. En tanto la infracción gravísima considera una multa de 501 a 5.000 unidades tributarias mensuales, o, respecto de grandes empresas, hasta el 4% del volumen de negocios anual del año financiero anterior. Lo dicho en caso de omitirse en forma deliberada la comunicación de las vulneraciones a las medidas de seguridad que puedan afectar la confidencialidad, disponibilidad o integridad de los datos personales.