En mayo, la sala de la Cámara de Diputados de Chile votó el proyecto de ley de Protección de Datos Personales, que creará la Agencia de Protección de Datos Personales (APDP), la autoridad que se encargará de instruir sobre las operaciones de tratamiento de datos, fiscalizar el cumplimiento de la ley e imponer sanciones cuando corresponda.
Esta nueva normativa, que actualiza la Ley 19.628 sobre Protección de la Vida Privada (de 1999), supone la puesta en marcha de todas las condiciones necesarias para reforzar los derechos de los titulares de datos y darle a Chile el marco adecuado para promover el desarrollo de la economía digital, mediante la protección y seguridad de datos personales y cumpliendo con los estándares internacionales.
Durante la penúltima semana de junio fue aprobada, en segundo trámite, la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (PLMC), norma que creará la Agencia Nacional de Ciberseguridad (ANC).
Esta ley define los principios para coordinar la ciberseguridad en los órganos estatales, proteger a la ciudadanía en el ciberespacio, aumentar la seguridad digital y reducir los incidentes de seguridad informática, mientras la ANC regulará la protección del ciberespacio chileno y coordinará a los entes a cargo de la ciberseguridad del país.
Podría interesarte: Ley 25.326, Argentina presenta proyecto de ley para reemplazar Ley de Protección de Datos
¿En dónde residen las preocupaciones sobre una posible duplicidad de competencias?
Puesto que ambos proyectos de ley están en discusión de manera paralela y pronto podrían entrar en vigencia, las agencias que ambos crearán coincidirán en ciertas funciones que podrían, de acuerdo con la abogada Constanza Pasarin, integrante de la mesa de ciberseguridad de la Asociación Chilena de Empresas de Tecnologías de la Información (Acti), duplicar las competencias entre ambas, comprometer la certeza jurídica (ya que los usuarios podrían no saber ante cuál órgano denunciar vulneraciones de datos o incidentes de ciberseguridad), presentar criterios divergentes sobre un mismo tema y afectar la eficacia de las acciones de protección de datos o ciberseguridad.
También existe la posibilidad de que ambas agencias choquen con la Comisión para el Mercado Financiero (CMF) y el Servicio Nacional del Consumidor (Sernac), que tienen ciertas competencias transversales con la ANC y la Agencia de Protección de Datos Personales.
A pesar del señalamiento de Pasarin, quien recomendó haya una efectiva coordinación entre las cuatro agencias (y que los diputados discutan por más tiempo ambas propuestas de ley), Carla Illanes, consejera de DLA Piper Chile, recalca que hasta ahora la principal incertidumbre ha versado sobre la aplicación práctica del deber de reportar (establecido en el artículo 14 del proyecto de ley de Protección de Datos Personales, el artículo 7 del PLMC y el artículo 22 de la Ley Fintech).
“Las indicaciones del Ejecutivo presentadas este 10 de julio han contribuido a aclarar la implementación de esta obligación un poco más, aunque creemos que aún se debe avanzar en este punto”, refiere.
Esto significa que en materia de protección de datos, el responsable y el encargado deberán reportar a la APDP, “por los medios más expeditos posibles, sin dilaciones indebidas, las vulneraciones a las medidas de seguridad que ocasionen la destrucción, filtración, pérdida o alteración accidental o ilícita de los datos personales que traten”.
Como no establece un plazo específico ni un medio determinado, no deja esta acción radicada a normas reglamentarias o de naturaleza técnica.
El Ejecutivo chileno precisó esta semana que los incidentes de ciberseguridad que puedan tener efectos significativos en los términos del artículo 23 del PLMC no serán aplicables a las entidades fiscalizadas por la CMF, “siempre y cuando dicha normativa fuere más exigente, por lo que esta materia, para los organismos regulados por la CMF la forma y condiciones de cumplimiento de esta obligación de reportar, quedará prescrita en la norma de carácter general que decrete la misma”.
Para no perdérselo: Frente a la jurisprudencia del acto aclarado, ¿cuándo sí hay que consultar al TJCA? Magistrado explica
La normativa es clara, concisa y específica
Entonces, ante el planteamiento de si los titulares y administradores de datos personales podrían no saber a cuál organismo dirigirse, Illanes asegura que no existirá conflicto alguno, ya que la redacción de ambas leyes no deja duda sobre que deberán efectuarse ambas notificaciones relativas al deber de reporte, pues el objeto jurídico que se protege con cada ley es específico.
“Sin embargo, reconocemos que lo que puede generar dudas para los regulados es el cómo se cumple este deber reportar en tiempo y forma a todas las Agencias”, menciona.
En este sentido, el escenario ideal es que cada Agencia desarrolle un sistema propio que permita cumplir este deber, “no obstante, en este punto, es importante tener a la vista que se encuentra vigente la Ley N° 21.180 de Transformación Digital del Estado, que establece los principios de interoperabilidad y cooperación para los órganos de la Administración del Estado, teniendo a la vista el alcanzar una Administración más proactiva”.
Relacionado: Régimen sancionador de la normativa de protección de datos entra en vigencia en Ecuador
Así que, cualquier duda o conflicto que surja, podrá resolverse mediante la incorporación de una norma expresa que resuelva la operatividad de esta obligación específica, por ejemplo, mediante la creación de una “ventanilla única” para este tipo de reportes, “que cumpla todos los requisitos de cada una de las regulaciones sectoriales y que permita remitir la información que corresponda encriptada a cada una de las Agencias, resguardando los principios de seguridad y confidencialidad”.
En caso de que de cualquier manera se creen duplicidades, hay antecedentes de resolución para estos conflictos, tal es el caso de España, donde la Agencia Española de Protección de Datos cuenta con la cooperación de los CSIRT (Computer Security Incident Response Team) y las autoridades competentes, cada uno con una clara separación de competencias, cuando se dan violaciones de datos personales.
Si aún así llega a haber choque de competencias e intereses, la recomendación de Illanes para evitarlas es citar a las comisiones y escuchar a todos los incumbentes a quienes aplicarán estas normativas, así como “tener en especial consideración los análisis regulatorios que realicen las entidades que ya existen, como la misma CMF, pues es un órgano que ya ha debido implementar este tipo de medidas y que podrá entregar luces sobre posibles conflictos regulatorios y problemas de índole práctico para los regulados”.
}
Add new comment