Qué hacer ante la demora en la instalación de la nueva Agencia de Protección de Datos Personales

Bernardita Briones, miembro de Consejo de Ética y Autorregulación de la AMDD, y data protection officer de Enel en Chile.


A seis meses de la entrada en vigencia de la nueva Ley de Protección de Datos Personales, nos encontramos frente a una realidad que a muchos nos puede preocupar y sobre la cual me gustaría reflexionar.

Miro hacia atrás y recuerdo el curso sobre protección de datos personales que compartimos en la FEN, el curso online que el Consejo de Ética preparó con tanta dedicación, y tantas otras instancias diseñadas para que nuestros asociados conocieran la ley y pudieran prepararse de manera responsable y oportuna para su implementación. Y no cabe duda de que ese esfuerzo ha rendido frutos.

Sin embargo, muchos hoy se preguntan cómo avanzar si la nueva autoridad –la Agencia de Protección de Datos Personales, que debía estar constituida el 1 de junio pasado– aún no ha sido nombrada ni entrado en funciones.

Es cierto, se necesitan directrices y orientaciones para seguir implementando la ley con mayor certeza. Se requieren definiciones claras sobre cómo tratar los datos con fines de marketing, cómo transferirlos de forma segura fuera de Chile, qué requisitos deben cumplirse para que las decisiones automatizadas o los procesos de perfilamiento sean legítimos, cuándo corresponde realizar una evaluación de impacto, entre otros aspectos. La falta de lineamientos genera, sin duda, incertidumbre y frustración.

¿Qué hacer entonces?

La invitación es a no bajar la guardia y, mucho menos, a relajarse. La ley entrará en vigor en la fecha prevista y el derecho a la protección de datos será, finalmente, una realidad en nuestro país.

Con o sin autoridad instalada, sabemos que hay tareas que no pueden detenerse: seguir revisando nuestros procesos que implican tratamientos de datos; asegurar que cada uno de ellos cuente con una base de licitud y que, si no la tienen, es el momento para identificarlas; definir plazos de conservación, considerando siempre el principio de finalidad que tantas veces hemos comentado; avanzar en la elaboración de políticas y avisos de privacidad; identificar los riesgos que determinados tratamientos pueden implicar para los titulares y adoptar medidas efectivas para mitigarlos; gestionar las autorizaciones necesarias para el uso de imágenes de trabajadores o clientes; revisar y ajustar las cláusulas contractuales que regulan el tratamiento de datos por parte de proveedores, con mayor razón si nosotros mismos cumplimos ese rol; y continuar capacitando, generando conciencia y fortaleciendo la cultura organizacional en esta materia.

Que la lamentable demora en la designación de los consejeros que integrarán la Agencia de Protección de Datos Personales no se transforme en una excusa para detener el camino recorrido. Al contrario, es el momento de reforzarlo.

Recordemos siempre que todos somos protagonistas de este cambio.