Entrevista a María González Moreno, abogada con más de 20 años dedicada a la protección de datos, la privacidad y la ciberseguridad. Socia en ECIJA, firma líder en economía digital en Iberoamérica, donde lidera el área de tecnologías, medios y telecomunicaciones, destaca las lecciones aprendidas en Europa, y realiza algunas recomendaciones para la implementación de la nueva Ley de Datos Personales en Chile.
Licenciada en Derecho en la Universidad de Alcalá de Henares, con un máster en Derecho de las Nuevas Tecnologías en Aliter, María González presenció el proceso de aprobación en mayo de 2016 y la puesta en marcha en mayo de 2018 del Reglamento General de Datos Personales (RGPD) europeo, que –entre otros aspectos– sirve de base para la nueva Ley de Protección de Datos Personales en Chile, que entrará en vigencia el 1 de diciembre de 2026.
Lo hizo, primero, en su rol de abogado senior corporativo en Línea Directa durante 2017, y posteriormente en ECIJA como mánager y socia del área de privacidad.
“La implementación del RGPD fue un cambio absoluto con respecto a la norma anterior en relación, principalmente, al derecho a la privacidad de las personas naturales. Nos exigía tener un marco de cumplimiento y una responsabilidad más proactiva. Eso generó muchísima incertidumbre, ya que carecíamos en ese momento de interpretaciones de las autoridades de control, de guías y elementos que nos permitiesen aplicar lo que dice una norma en relación al día a día de los negocios”, explica la abogada.
Se trató de un período crítico, ya que no todos entendían que la adecuación no era algo que se lograba de un día para el otro. “En España somos de dejarlo todo para el último momento. Y eso provocó que muchas entidades llegaran al 25 mayo de 2018, cuando entraba la aplicación del Reglamento, sin la adecuación correspondiente. Recuerdo incluso tener llamadas el 24 de mayo con personas que nos pedían la adecuación para el día siguiente”, relata.
Lecciones europeas
Tras casi siete años desde que comenzó la aplicación del RGPD, María González destaca que “una fortaleza es que el marco de cumplimiento da bastante flexibilidad a las empresas, aunque deben hacer un trabajo interno para que, en el momento en que haya una reclamación o requerimiento, tengan capacidad de defenderse”.
Por otra parte, resalta el régimen de sanciones. “Al ser tan estricto –en Europa las multas llegan hasta los € 20 millones o el 4% de la facturación anual– ha hecho que muchas entidades, sobre todo aquellas que explotan los datos de los usuarios en forma indiscriminada, se tomen más en serio esta normativa. En España, con la norma anterior, la sanción máxima eran € 600.000 y los grandes players que explotan los datos preferían pagarla. Desde 2020 las sanciones empezaron a ser millonarias y las grandes entidades han visto que pueden impactar en su economía, reputación, confianza e imagen”, explica.
¿En Europa el sistema funciona sobre la base de denuncias de usuarios o el control del organismo que vela por el correcto funcionamiento del RGPD?
Ambas. El motivo principal por el cual el organismo controlador inicia un procedimiento sancionador o una investigación contra una entidad, suele ser por reclamación de usuarios. Pero también la autoridad en ocasiones suele coger sectores más críticos –educación, telecomunicaciones– y hacer una inspección de oficio.
Es decir, toma un sector, evalúa a determinadas compañías y efectúa una especie de termómetro de cumplimiento de cómo están esas entidades. Si detecta cosas que no están bien, exige la puesta en marcha de un plan de acción, cuya falta de implementación puede llegar a dar lugar al inicio de un procedimiento sancionador.
¿Hay algunos aspectos que se podrían mejorar de la reglamentación europea?
Un aspecto crítico que habría que abordar es la legitimización de los tratamientos de datos personales. Es decir, no pasar todo por el consentimiento, sino trabajar también otras bases de legitimación.
En Europa, por ejemplo, está el concepto de interés legítimo. Esto es cuando la entidad puede demostrar que su interés de negocio o interés en tratar un dato personal –como nombre, apellido y correo electrónico– está por encima del derecho a la privacidad.
Un caso práctico: si yo he comprado una revista, el proveedor de la misma podría acreditar que si ya le he comprado una vez, me podría mandar comunicaciones para que compre esa misma revista en el futuro o para que adquiera productos similares.
No sería necesario que yo dijese “infórmame de otras revistas o suscripciones”. Como ya hay una relación comercial previa, te habilita a seguir impactándote con productos y servicios similares. Es una causa de legitimación importante y en la que creo que se debería seguir trabajando.
Prepararse con anticipación
Para María González Moreno, a la luz de la experiencia europea, las empresas en Chile “están en un punto muy bueno para aprovechar estos dos años que tienen por delante y definir estrategias de cumplimiento”.
¿Qué recomendaciones haría para el proceso que hay en Chile?
Primero, prepararse con antelación y, segundo, mirar a Europa: no hay que inventar la rueda de buenas prácticas. Y una tercera sería alinear muy bien los intereses del negocio y de cumplimiento. Cumplir al 100% en Europa y en España es imposible. Lo más fácil sería paralizar el negocio y la explotación de datos y así no hay problema.
Por eso, hay que balancear esos riesgos de cumplimiento y alinear muy bien qué quiere el negocio y cómo podemos cumplir y, con en base en los distintos riesgos, ir haciendo esas estrategias para solventar todo esto.
En relación a la preparación, si, por ejemplo, la ley exige que, para enviar comunicaciones comerciales o publicidad es necesario el consentimiento expreso de los usuarios, en este período van a tener más libertad para definir estrategias y campañas que permitan recabar ese consentimiento conforme a la normativa que va a entrar en aplicación.
¿Qué pasó en España? Días antes de la entrada en vigor del reglamento, muchas entidades empezaron a lanzar comunicaciones masivas para recabar el consentimiento de los usuarios. Eso podía implicar que a una persona le llegaran correos electrónicos pidiendo el consentimiento desde muchas empresas. Varios de ellos quedaron en spam o sin contestar. Eso supuso que muchas bases de datos quedaron muy dañadas.
¿Qué se les podría decir a las empresas con operaciones internacionales?
Que intenten generar marcos normativos únicos, con las especificaciones locales que puedan existir, pero que sean lo más análogos posible. De esa forma, a nivel de grupo de empresas pueden garantizar el nivel de cumplimiento y, por lo tanto, ganar confianza, imagen en el mercado, ventas, etc.
¿Es difícil hacer la adecuación?
Difícil no es. La dificultad la encontramos en la resistencia al cambio que suele haber en la mayoría de las entidades. Para llevar a cabo la adecuación, se debería dedicar alguien que conozca la norma y que esté implicado con el negocio, que conozca la actividad de la empresa en concreto.
Si el proceso se hace desde el inicio, trabajándolo, interiorizándolo dentro la organización, con concientización, con formación, se interioriza rápido y requiere simplemente generar toda la documentación que exige la norma.
Pero si se hace de prisa y corriendo, puede ser más complicado.
Si una empresa llega preparada a diciembre de 2026 para la implementación de la ley, ¿qué debe hacer a partir de ese momento?
La adecuación es un proceso continuo de cumplimiento que no nos permite quedarnos de brazos cruzados. Tenemos que ser conscientes de que los negocios evolucionan, por lo cual tenemos que irnos adecuando. Obviamente, entre medio hay que velar por la revisión del cumplimiento. Por lo tanto, es un proceso continuo que las entidades deberían interiorizar para que no les resulte tan traumática la adecuación.
