Macarena Gatica L, presidenta del Consejo de Ética y Autorregulación AMDD, y socia de Alessandri Abogados.
Estamos en la cuenta regresiva para la entrada en vigencia de la Ley 21.719 sobre protección de datos personales. Algunos estiman que 24 meses de vacancia legal es un período extenso que permitiría con holgura ajustarse al nuevo estándar. Sin embargo, dicha adecuación podría afectar incluso el modelo de negocio de una empresa o cambios sustanciales que impliquen importantes inversiones en sistemas, procesos y, por sobre todo, un cambio cultural que pueden requerir un plazo más extenso que los 18 meses que restan para la entrada en vigor de la Ley.
Es común la pregunta por dónde comenzar. Lo primero es tener un diagnóstico que permita determinar los procesos de la organización que tratan datos, identificando la finalidad del tratamiento, los datos tratados, su vigencia, base de licitud, entre otros aspectos.
Además, el estado de cumplimiento que permitirá trazar un plan de trabajo con miras a la adecuación. En forma paralela, se recomienda la concientización de todo el personal de la organización, comenzando por su directorio.
Determinar un plan de capacitación permitirá ir construyendo el cambio cultural. Es difícil (por no decir imposible) que se gestionen riesgos cuando se desconocen cuáles podrían ser.
Con el diagnóstico se podrá construir un registro de actividades de tratamiento (RAT) y una matriz de riesgo, herramientas para la gestión de los riesgos asociados a la Ley de Protección de Datos Personales. Recuerden que la ley expresamente señala: “Los responsables de datos deberán adoptar acciones destinadas a prevenir la comisión de infracciones…” (Art. 48 Ley 21.719).
