Día de la Protección de Datos Personales ¿Qué hemos hecho en pandemia y qué nos espera?

Un nuevo 28 de enero para recordar la importancia de los Datos Personales nos abre las oportunidades para retomar cómo podemos mejorar nuestras prácticas respecto a esta materia, no sólo a nivel personal, sino también a nivel colectivo como país y en cada una de las organizaciones en que nos desempeñamos profesionalmente.

Si bien para el año 2020, ya comentábamos que el 2019 había sido un año de importantes avances en materias de datos personales y que se encontraban pendientes grandes desafíos, el transcurso del año nos demostró tener aún mayores retos ante una situación de pandemia que sumada a las herramientas tecnológicas con las que contamos hoy en día, acrecientan los riesgos tanto para la ciudadanía como para las empresas.

En este sentido, a nivel nacional han existido importantes avances a nivel regulatorio. Si bien el proyecto de modificaciones a la ley de Datos Personales sigue en discusión, distintas autoridades regulatorias han dado cuenta de la importancia de esta materia, lo que ha llevado a que se discutan normas sectoriales que pueden impactar decisivamente a cada industria, como:

  • Nuevo Reglamento que regula el sistema No Molestar o Antispam: Publicado con fecha 13 de febrero de 2020, validó los efectos del sistema al hacerlo parte del derecho a solicitar la suspensión del envío de las comunicaciones referidas en el artículo 28 B (las comunicaciones promocionales o publicitarias enviadas por correo electrónico, correo postal, fax, llamados o servicios de mensajería telefónicos) de la ley Nº 19.496, concretando una nueva vía para el ejercicio de oposición a un determinado tratamiento. Más detalles en el link.
  • Nueva Ley de Portabilidad Financiera: Promulgada con fecha de 3 de junio y con un reglamento publicado el 8 de septiembre, la norma vino a facilitar la portabilidad financiera de personas, micro y pequeñas empresas para que se puedan cambiar, por estimarlo conveniente, de un proveedor de servicios financieros a otro, o de un producto o servicio financiero vigente a otro nuevo contratado con el mismo proveedor. Más detalles en el link.
  • Modificaciones al Capítulos 20-7 de la RAN: Estas modificaciones hicieron posible la externalización de servicios en jurisdicciones que no teniendo una calificación país en grado de inversión, tengan leyes de protección y seguridad de los datos personales adecuadas, incluso si se tratan de actividades significativas o estratégicas. Más detalles en el link.
  • Incorporación del nuevo capítulo 20-10 a la RAN: Dicho capítulo fijó los lineamientos mínimos para la gestión de la seguridad de la información y ciberseguridad, basadas en las buenas prácticas a cumplir por las entidades bancarias, filiales, sociedades de apoyo al giro bancario, y emisores y operadores de tarjetas de pago no bancarios. Más detalles en el link.
  • Nuevo Reglamento Regula Farmacia Digital y Prescripción Electrónica: Concretó la implementación de la esperada modalidad para venta de medicamentos a través de e-commerce o farmacia digital, pudiendo realizarse la venta de medicamentos a través de los portales web de las farmacias respectivas con el consecuente despacho a domicilio de los consumidores haciéndose cargo de los riesgos sanitarios asociados. Más detalles en el link.
  • Firma del Acuerdo de Asociación sobre Economía Digital: nuestro país firmó el Acuerdo de Asociación sobre Economía Digital (DEPA, por su sigla en inglés) formando parte del primer acuerdo internacional sobre economía digital en el mundo. Más información en el siguiente link.
  • Consulta norma sobre gestión de Riesgo Operacional y Ciberseguridad para compañías de seguros: La CMF puso en consulta norma sobre gestión de Riesgo Operacional y Ciberseguridad para compañías de seguros, la cual contiene importantes nuevas exigencias, como el establecimiento de principios rectores en materia de ciberseguridad y riesgo operacional para las empresas de seguros, involucrando directamente a los Directorios; la necesidad de realizar una autoevaluación cada 2 años para medir el grado de cumplimiento y cerrar eventuales brechas; y obligaciones de reportes a la CMF respecto a incidentes de ciberseguridad (dentro de 30 minutos desde su ocurrencia) y de compartir información con el resto de la industria. Más información en el siguiente link.
  • Consulta pública para el reglamento sobre acciones vinculadas a la atención de salud realizada a la distancia, empleando tecnologías de la información y comunicaciones: Con fecha de 13 de enero fue publicada en el Diario Oficial la invitación del Ministerio de Salud a la consulta pública sobre la propuesta de Reglamento sobre acciones vinculadas a la atención de salud realizada a distancia. El proyecto del Reglamento tiene como objeto regular la implementación y desarrollo de acciones vinculadas a la atención de salud realizadas a distancia, incluyendo todo tipo de acciones necesarias para la promoción, prevención, diagnóstico, tratamiento, rehabilitación y cuidados al final de la vida, por medio o con apoyo de Tecnologías de la Información y Comunicaciones. Más información en el siguiente link.
  • Avance del Proyecto que Establece medidas para incentivar la protección de los derechos de los consumidores: Por último, también se ha destacado el avance del Boletín 12409-03, el cual contempla dentro de sus articulados el art. 15 bis que viene a señalar que las normas relativas al tratamiento de cualquier tipo de datos personales de los consumidores se considerarán normas especiales de protección de los derechos del consumidor, con lo que el SERNAC vendría a transformarse en un órgano relevante e instituciones como demandas colectivas podrían darse en este contexto. Asimismo, genera una obligación de reporte de violaciones de seguridad a los consumidores. 

Por otro lado, a nivel internacional también ocurrieron importantes hechos que impactaron el mundo de la Protección de los Datos Personales, como por ejemplo el caso Schrems II, que nuevamente vino a declarar la invalidez de la decisión de adecuación relativa al Privacy Shield estadounidense, en tanto las normas internas de Estados Unidos relativa al acceso y la utilización por las autoridades estadounidenses de los datos transferidos (principalmente en el marco de investigaciones por fuerzas de seguridad estatales) no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas en el Derecho de la Unión Europea, y porque los ciudadanos europeos no tienen acceso a los mismos recursos de los que disponen los nacionales estadounidenses contra el tratamiento de datos personales por parte de las autoridades de aquel país. Ello vuelve a poner hincapié a una regulación contractual por parte de las organizaciones involucradas, lo que impone muchas veces importantes modificaciones en la forma de hacer que pueden tener empresas que se encuentran fuera de la Unión Europea, como podrían ser las empresas chilenas.

Así, la protección a los Datos Personales se mantiene como un tema relevante y que ha tomado más importancia en el último tiempo, lo que se ve reflejado en que se ha vuelto a poner urgencia en el proyecto de modificación a la Ley de Datos Personales.

Para más información puede contactar a:

Eugenio Gormáz | Socio | egormaz@az.cl

Óscar Molina | Director de TI, privacidad y medios | omolina@az.cl

Andrea Céspedes | Asociada | acespedes@az.cl