Un esperado proyecto de ley sobre protección de datos se debate hace años en el Congreso. Una de sus novedades: crea un modelo de prevención de infracciones de privacidad.
Los modelos de prevención usualmente entregan herramientas a las empresas para facilitar el cumplimiento regulatorio, pero también, y muy especialmente, para incentivarlo.
El texto actual del proyecto, lamentablemente, tiene hoy ese vicio. A mi juicio, varios aspectos representan, en realidad, un garrote disfrazado de zanahoria.
Veamos por qué.
De partida, un pequeño error en el proceso de certificación sale carísimo. Se califica como infracción gravísima “entregar información falsa, incompleta o manifiestamente errónea en el proceso de registro o certificación del modelo de prevención de infracciones” (34 quaterJ). Es decir, si en el proceso de registro del modelo de prevención de infracciones omito un documento y la información es incompleta, la sanción asociada a la infracción es gravísima, cuya sanción mínima es de $250 millones. Esta infracción es la única de las gravísimas no asociada a malicia o culpa grave.
Otro punto complejo es el mecanismo de reporte obligatorio a las autoridades: no, gracias. El programa de cumplimiento, obligatoriamente, debe establecer “mecanismos de reporte hacia las autoridades para el caso de contravenir lo dispuesto en la presente ley” (el artículo 51 (c) iv). Un mecanismo de reporte interno de incumplimientos es eficiente y aumenta el awareness de los trabajadores, pero la institucionalización de una obligación de denuncia a las autoridades —es decir, generar una obligación de los trabajadores de reportar cualquier infracción a la ley de protección de datos cometida por la empresa o por sus compañeros de trabajo— es un desincentivo gigantesco a la adopción del programa de cumplimiento, y no es claro incluso si es constitucional.
Lamentablemente, la estructura misma de esta regulación es confusa: se establece una conducta obligatoria general de adoptar acciones para prevenir infracciones (art 48) y una conducta voluntaria específica de adoptar un modelo de prevención de infracciones (art 49). Seguidamente, la ley entiende que se configura un modelo de prevención de infracciones —que, recordemos, es voluntario— con la implementación de cualquiera de estas dos acciones: (1) la designación de un “encargado de prevención” o (2) la adopción de un programa de cumplimiento. Extrañamente, entre los elementos mínimos del programa de cumplimiento está la designación de un encargado de prevención —el que en sí mismo es también un modelo de prevención de infracciones—.
¿Dónde quedó, pues, la zanahoria?
El incentivo para que una empresa adopte un modelo de prevención de infracciones está en la configuración de una circunstancia atenuante: en caso de infracción, su culpa puede ser calificada con menor severidad.
En efecto, el art 36 N° 5 considera como una circunstancia atenuante “el haber cumplido diligentemente sus deberes de dirección y supervisión para la protección de los datos personales sujetos a tratamiento, lo que se verificará con el certificado expedido de acuerdo con lo dispuesto en el artículo 52”.
No es claro por qué no se redactó la atenuante derechamente como “haber certificado su modelo de prevención de infracciones” y se asoció al cumplimiento general de deberes de protección, lo que, a su vez, se verifica con un certificado.
¿Cuál es este certificado que me puede ayudar a obtener la ansiada zanahoria? Bajo el artículo 52, son objeto de certificación los modelos de prevención de infracciones y los programas de cumplimiento. Como un modelo de prevención de infracciones puede suponer tanto la designación de un delegado de protección de datos como la adopción de un programa de cumplimiento, se debe entender entonces que la sola designación del delegado puede ser objeto de certificación. Dicho de otro modo, “lo certificado” no es únicamente el programa de cumplimiento, sino también la otra modalidad de modelo de prevención de infracciones, que es el establecimiento de este delegado de protección de datos. No queda claro, entonces, cómo una designación puede ser objeto de certificación y tener el mismo valor que el establecimiento de un programa, el que tiene muchos más requisitos.
Además de lo mencionado, se entrega la menos robusta de las circunstancias atenuantes: si bien la regla general para las circunstancias atenuantes es que, bajo el artículo 37, el Consejo para la Transparencia puede “aplicar al responsable la sanción prevista para una infracción de menor gravedad”, para el caso de infracciones gravísimas con atenuante de programa de cumplimiento o modelo de prevención de infracciones “la multa podrá ser rebajada solo a aquellas asignadas para las infracciones graves”. Así, el efecto morigerador de la sanción, buscada mediante la implementación de un modelo de prevención de infracciones, solo permite rebajar la calificación de la sanción en un escalón y no en hasta dos, según la regla general.
Esperamos que en la Cámara de Diputados se revisen los incentivos que el proyecto de ley entrega a la autorregulación. A nadie le sirve una ley con “vocación de estante”. Necesitamos una ley de protección de datos moderna, acorde con estándares internacionales y, al final del día, aplicable.