La posibilidad de contar, en el corto plazo, con un nuevo estatuto en materia de protección de datos personales que actualice la regulación contenida en la Ley N° 19.628 de Protección de la Vida Privada, se ve aun lejana. El boletín 11144-07 que modifica la mencionada ley continúa aun en su primer trámite en la Cámara de origen, por lo que no es posible prever que en el mediano plazo este proyecto de ley sea aprobado.
Por otro lado, la reciente publicación de la Ley N°21.398 que establece medidas para incentivar la protección de los derechos de los consumidores, también conocida como “Ley Pro Consumidor”, no solo impone nuevas obligaciones para los proveedores, sino que plantea una serie de desafíos para las empresas en materia de protección de datos personales, a través de la incorporación del artículo 15 bis a la Ley de Protección del Consumidor.
El mencionado artículo establece que “las disposiciones contenidas en los artículos 2 bis letra b), 58 y 58 bis serán aplicables respecto de los datos personales de los consumidores, en el marco de las relaciones de consumo, salvo que las facultades contenidas en dichos artículos se encuentren en el ámbito de las competencias legales de otro órgano".
El artículo 2 bis letra b) establece la aplicación de los procedimientos establecidos en la ley en aquellos casos en que las normas especiales no prevean mecanismos de resguardo del interés colectivo o difuso de los consumidores y de su derecho a ser resarcidos en forma. Por su parte, el artículo 58 de la Ley de Protección al Consumidor, establece expresamente las funciones que le corresponden de forma especial al Servicio Nacional del Consumidor (Sernac), entre ellas, fiscalizar el cumplimiento de las disposiciones de la presente ley y de toda la normativa de protección de los derechos de los consumidores.
En la práctica, y en virtud de este nuevo artículo, el Sernac se convertirá, de facto, en la autoridad de protección de datos que velará por el cumplimiento de la normativa correspondiente en el marco de relaciones de consumo. Así, toda vez que en el marco de una relación de consumo se puedan ver afectados los datos personales de los consumidores, el Sernac podrá intervenir.
No puede soslayarse el enorme impacto y efecto que esta norma tendrá en las empresas en materia de datos personales, que anteriormente no contaban con una autoridad con facultades para velar por el cumplimiento de las obligaciones y derechos que consagra la ley. No solo las empresas que mantengan un vínculo contractual directo con los consumidores deberán revisar sus protocolos internos y ajustar sus procedimientos a la ley, también deberán hacerlo aquellas que intervengan como intermediarios en el tratamiento de datos personales en la relación de consumo.
De lo comentado, el panorama es que está articulándose un eje “derecho del consumo/protección de datos personales” que, pendiente la aprobación de un nuevo estatuto especializado en materia de datos personales, regirá las relaciones de consumo que involucren su procesamiento. En la práctica, esto obligará a las empresas a revisar sus políticas de privacidad, términos y condiciones y contratos por adhesión; verificar que las bases de datos de consumidores se encuentren legítimamente pobladas con todos los consentimientos requeridos; revisar las relaciones contractuales entre el responsable de los datos personales de consumidores y sus respectivos procesadores, entre otros.
Sin embargo, la Ley de Protección al Consumidor entrega a las empresas una interesante herramienta que, a la espera de la aprobación de un nuevo estatuto de datos personales, puede ayudarlas a transitar una ruta marcada por una legislación rígida y antigua que no se ajusta a las necesidades actuales de proveedores y consumidores.
Dicha herramienta se presenta como una de las cuatro circunstancias atenuantes provistas por la Ley de Protección al Consumidor en la letra (c) del artículo 24, incorporado a este cuerpo normativo tras la publicación de la Ley N°21.081 del año 2018. A propósito de las sanciones por infracciones al estatuto de consumo, se establece el concepto de “colaboración sustancial”, entendiéndose que existe si “el proveedor contare con un plan de cumplimiento específico en las materias a que se refiere la infracción respectiva, que haya sido previamente aprobado por el Servicio y se acredite su efectiva implementación y seguimiento”.
Considerando que en Chile no existe normativa como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y que la Ley N°19.628 de Protección de la Vida Privada no contempla procedimientos de certificación en materia de datos personales, los planes de cumplimiento preventivo en materia de consumo pueden resultar una herramienta muy eficaz de compliance para las empresas, mientras no se dicte una nueva ley de protección de datos personales.
En concreto, las empresas que se embarquen en el diseño, aprobación, implementación y actualización constante de un plan de cumplimiento en materias consumo, no solo pueden mejorar el funcionamiento interno de sus compañías a través de la identificación de brechas, riesgos y su adecuada mitigación–resultado necesario de la cultura del compliance–, sino que también cuentan con un visto bueno de aprobación por parte del Sernac, de sus prácticas y protocolos.
Una de las virtudes de la normativa que a la fecha existe en compliance en materias de consumo, es que exige que los proveedores ajusten los planes a las necesidades concretas y características de su empresa. Con ello, las compañías tienen la libertad de diseñar planes que realmente se ajusten a sus necesidades actuales, pudiendo acotarlos de forma tal que permita concentrar la identificación de los riesgos en un área crítica, como, por ejemplo, en materia de datos personales.
En nuestro país, ciertamente, las exigencias y el nivel de cumplimiento normativo en compliance y otras materias especiales como la protección de los datos personales exigidos a las empresas, crecen para equipararse al estándar europeo, sin considerar o avanzar concretamente en el desarrollo o provisión de las herramientas que hagan posible aquello. De ahí que resulte necesario e incluso visionario buscar soluciones “alternativas” entre los instrumentos que prevé la ley.
La incorporación de los datos personales en las matrices de riesgo de las empresas pasa a ser hoy una necesidad real, considerando que el Sernac probablemente monitoreará y velará por el cumplimiento de esta normativa. La implementación de un plan de cumplimiento que entre otras materias incluya un capítulo de protección de datos personales puede ser una muy eficaz barrera de protección para las empresas.
