Uno de los principales desafíos a los cuales se verán enfrentados las organizaciones es cumplir en tiempo y forma las solicitudes de Derechos ARCO que puedan ejercer los titulares de datos personales. Se trata de uno los pilares de esta nueva regulación, por lo que es esencial que los responsables de datos conozcan e implementen de forma efectiva procedimientos para cumplir con la normativa.
Breve contexto: Ley 19.628
Los derechos ARCO[1], esto es, los derechos conferidos a los titulares de datos para proteger sus datos personales se encuentran consagrados en nuestra ley vigente. En efecto, la Ley 19.628 (cuerpo normativo que data de 1999) regula los derechos de información, modificación, cancelación y bloqueo, además de conferir al titular de los datos un procedimiento de reclamación judicial frente a la no contestación o denegación improcedente de una solicitud por parte del responsable.
A pesar de que estos derechos y su procedimiento estén contenidos en la ley vigente, su ejercicio ha sido escaso, principalmente por dos razones: (i) la ausencia de una autoridad de control especializada en la materia, y (ii) las bajas multas asociadas al no pronunciamiento sobre la solicitud del titular o su denegación por razones distintas a la establecidas en la ley, que no superan las 10 UTM, o 50 UTM en caso de infracción económica, bancaria o comercial.
Nueva Ley de Datos Personales
La nueva Ley de Datos Personales constituye un cambio radical en lo que refiere a los derechos ARCO, tanto para los titulares de datos personales, como los responsables encargados de tramitar y resolver estas solicitudes.
La posibilidad de que los titulares puedan ingresar reclamaciones directamente a una autoridad de control especializada, como lo será la Agencia de Protección de Datos Personales, y no ante un tribunal civil, como se establece en la ley vigente, generará un cambio a nivel cultural y de cumplimiento sin precedentes.
Debido a lo anterior es muy importante que los responsables implementen procedimientos y protocolos adecuados para poder recibir y contestar las solicitudes de derechos ARCO de manera adecuada.
Protocolo de recepción de solicitudes
Todo protocolo de recepción de solicitudes debiera estructurar los mecanismos y herramientas tecnológicas de recepción de las solicitudes. Bajo la nueva Ley de Datos Personales, los responsables deben asegurar que estos mecanismos sean sencillos y permitan al titular ejercer sus derechos en forma expedita, ágil y eficaz. Para estos efectos, es recomendable disponer de un correo electrónico específicos para estos fines, un formulario de contacto u otro medio electrónico equivalente.
Asimismo, es recomendable que el protocolo contemple un registro actualizado de las solicitudes que se reciben, a fin de hacer un seguimiento de las fechas comprometidas para su respuesta.
Otro aspecto relevante que debe contemplar el protocolo son los mecanismos para verificar la identidad de quién realiza la solicitud, además de otros aspectos regulados por la nueva Ley de Datos Personales, como el ejercicio de derechos por parte de los herederos de una persona fallecida, entre otros aspectos.
Protocolo de contestación de solicitudes
Todo protocolo de contestación de solicitudes debiese establecer los roles y etapas necesarias para gestionar una solicitud de derechos ARCO dentro de la organización. Si bien algunas de estas solicitudes serán relativamente fáciles y rápidas de gestionar, otras involucrarán importantes recursos humanos y económicos del responsable. He ahí donde radica la necesidad de contar con un protocolo para poder prever este tipo de situaciones.
Algunos puntos importantes para considerar en este protocolo son los siguientes:
- Debiese abordar los posibles escenarios en donde es posible negar la respuesta a una solicitud, según los casos en que la ley excluya darles trámite. Estas situaciones deben ser debidamente analizadas, y la decisión justificada con un fundamento legal, puesto que el titular cuenta con un plazo legal para reclamar esta decisión y concurrir ante la Agencia de Protección de Datos Personales.
- El protocolo debiese establecer distintas etapas, según plazos internos determinados por cada organización. No hay que olvidar que la nueva Ley de Datos Personales amplía el plazo para contestar a las solicitudes, de 2 días hábiles, según la ley vigente, a 30 días corridos, prorrogables en igual plazo.
- Sin perjuicio de que los derechos ARCO son gratuitos, el protocolo podrá considerar exigir el pago de los costos directos en que se incurra para contestar una solicitud. Este caso únicamente se prevé en lo que se refiere al derecho de acceso y de portabilidad cuando se ejercen más de una vez en el trimestre.
[1] Se les denomina derechos “ARCO” ya que su nombre hace referencia a la inicial de cada uno de estos derechos: derecho de acceso, rectificación, cancelación y oposición. Sin perjuicio de lo anterior, se han ido incorporando nuevos derechos en jurisdicciones comparadas, como el derecho de portabilidad o el derecho de oposición a decisiones automatizadas. En razón de lo anterior dicho concepto no debe limitarse a los derechos reconocidos inicialmente.