Uno de los principios estructurales de la nueva ley de protección de datos es el principio de licitud y lealtad, el cual exige que todo tratamiento tenga una fuente de licitud apropiada. Los responsables que manejen bases de datos que hayan sido organizadas de forma previa a la entrada en vigencia de la nueva Ley de Protección de Datos se enfrentarán a un gran desafío: la adecuación de sus bases de datos a la nueva regulación, lo que a todas luces supondrá una carrera contra el tiempo.
¿Qué se entiende por base de datos?
La nueva Ley de Protección de Datos Personales define como “bases de datos personales” a un conjunto organizado de datos personales, cualquiera sea la finalidad, forma o modalidad de su creación, almacenamiento, organización y acceso, que permita relacionar los datos entre sí, así como realizar su tratamiento.
Esto significa que, ya sea que los datos estén en una elaborada planilla computacional o en un simple cuaderno, si permiten relacionar datos y realizar su tratamiento, se consideran bases de datos.
La nueva ley se aplicará, en general, a todo tratamiento de datos personales que realice una persona natural o jurídica, incluyendo la recolección y almacenamiento de datos personales en bases de datos.
Desafío de los responsables: adecuar sus bases de datos a los nuevos requerimientos
Uno de los principios estructurales de la nueva Ley de Protección de Datos Personales es el de licitud y lealtad. Esto implica que cada tratamiento de datos debe tener una fuente de licitud o base legal apropiada.
Lo anterior supone un desafío importante para los responsables de datos que manejen bases de datos cuya recolección y tratamiento se haya iniciado con anterioridad a la entrada en vigencia de la nueva ley.
En definitiva, será necesario que los responsables evalúen de forma seria si sus bases de datos cuentan con una base de licitud adecuada y pertinente que les permita seguir realizando tratamiento de datos sobre estas bases de datos.
A modo meramente ejemplar, en aquellos casos en que los responsables lleven a cabo tratamiento de datos en virtud de la base jurídica consentimiento, deberán reevaluar si dicho consentimiento otorgado bajo el estándar de la legislación previa cumple con los nuevos requisitos de la nueva Ley de Protección de Datos, la cual impone condiciones ostensiblemente más elevadas. Así las cosas, en muchos casos se podría llegar a la conclusión de que esas bases de datos no cuentan con la base de licitud correspondiente, siendo necesaria una nueva base de licitud para continuar con el tratamiento.
¿Cuánto tiempo tendrán los responsables de datos para identificar una fuente de licitud apropiada para su base de datos?
El proyecto de ley presentado en 2017 contenía un artículo transitorio que establecía un plazo de cuarenta y ocho meses para que las bases de datos existentes se adecuaran a los términos de la nueva ley. Sin embargo, este artículo fue desechado, no prosperando en la propuesta final de la nueva ley.
Como consecuencia de lo anterior, los responsables de datos deberán tener sus bases de datos regularizadas al momento en que la ley entre vigencia. Es importante destacar que la nueva ley contempla un período de vacancia de 24 meses desde su publicación en el Diario Oficial. Aun cuando dicho plazo no es menor, la experiencia comparada demuestra que en algunos casos puede no ser mucho tiempo, por lo que el llamado es a llevar a cabo estas evaluaciones de las bases de datos cuanto antes.
¿Qué fuentes de licitud existen?
La nueva Ley de Protección de Datos establece que el consentimiento es la regla general para realizar un tratamiento de datos de forma lícita. Sin embargo, también considera lícito el tratamiento de datos personales sin el consentimiento del titular en ciertos casos, como en la celebración o ejecución de un contrato, el cumplimiento de una obligación legal, la satisfacción de intereses legítimos, entre otros.
Si el responsable de datos no puede vincular su tratamiento con una de las otras fuentes de licitud, enfrentará el desafío de solicitar el consentimiento de cada uno de los titulares que se encuentren en su base de datos, considerando que el consentimiento debe cumplir con ciertos requisitos: ser previo al tratamiento, expreso, libre, específico en cuanto a las finalidades, informado e inequívoco.
¿Qué pasa si el responsable no adecúa una base de datos a alguna de las fuentes de licitud establecidas en la ley?
El responsable se expone a una sanción grave, cuya multa podría ascender hasta 10.000 UTM.
En caso de reincidencia, la Agencia de Protección de Datos Personales podría aplicar multas de hasta 30.000 UTM, o hasta el monto correspondiente al 2% de los ingresos anuales por ventas y servicios y otras actividades del giro en el último año calendario.
Si bien la adecuación de las bases de datos en una corta ventana de tiempo es un desafío importante, también es una oportunidad para mejorar las prácticas de manejos de datos y garantizar la protección de los individuos en relación con sus datos personales.