Esta discriminación hará que todo este régimen técnico, administrativo, operativo, de inversiones, normativo, infraccional y sancionatorio tan estricto se aplique en plenitud a las empresas domiciliadas en Chile y no así a las grandes aplicaciones o plataformas de alcance global.
Hoy se encuentra en su fase final de tramitación el proyecto de ley sobre protección de datos personales, que busca modernizar la Ley Nº 19.628, sobre protección de la vida privada –vigente desde el año 1999–, ajustándola al estándar y mejores prácticas internacionales. Así, el proyecto permitirá otorgar una mayor protección a los datos de las personas, creando toda una nueva institucionalidad que le dará “enforcement” a este derecho fundamental, tan relevante en la era digital.
En ese contexto, la comisión mixta, que revisa aspectos específicos del proyecto, tiene la oportunidad de lograr el justo equilibrio entre este derecho fundamental, la libertad de expresión y el flujo legítimo de estos en la economía digital en que vivimos. En nuestra opinión, este equilibrio se ve amenazado si no se subsanan ciertos puntos clave hoy en la discusión.
La Cámara eliminó las fuentes de acceso al público como base lícita de tratamiento, que había sido aprobada por el Senado. Su eliminación reduce sustancialmente el flujo de los datos, que hoy son públicos, y que son relevantes para aumentar la información que permita generar más información financiera, que haga más accesible el crédito a todos y que permita tener mecanismos de identificación y seguridad digitales. Sobre todo cuando la mayoría de las transacciones se realizan en forma digital y a distancia.
Se requerirá siempre del consentimiento del titular para enviarle información comercial, ofertas y otras de este tipo, aun si se ha conseguido dicha información en una fuente pública.
Esto tendrá un efecto en empresas pequeñas y medianas que entren a competir en los mercados, al no poder ofrecer sus productos a clientes nuevos que no han otorgado su consentimiento para ello. Afectará, también, la competencia en los mercados y a los proveedores más pequeños o entrantes que deseen ingresar a un mercado, y capturar clientes de empresas más grandes o incumbentes. Lo anterior, aunque sea contraintuitivo, consolidará a las empresas grandes con su clientela, e inhibirá la competencia al restringir más opciones a los consumidores.
Por otra parte, la Cámara duplicó el tope de las multas que puede aplicar la agencia a las empresas que transgreden la normativa, incrementándolo desde 10.000 UTM a 20.000 UTM, esto es, casi US$MM1,4. Además, siguiendo el criterio del GDPR, cuyo referente es el mercado europeo, estableció que dichas multas estarían en función de porcentajes de los ingresos anuales por sus ventas.
En nuestra opinión, esta magnitud de multas no se condice con nuestro sistema infraccional administrativo, ni con la realidad económica de nuestro país. En especial, considerando que la vulneración de este derecho fundamental, si bien es un pilar básico de una sociedad moderna, a su vez no es equiparable a aquellos en que se ve afectado el orden público económico, como en el régimen de libre competencia o la continuidad operacional de servicios esenciales o vitales, como el caso de la nueva ley marco de ciberseguridad. Asimismo, actuará en forma inevitable como un freno a la innovación tecnológica y comercial, por la magnitud de los riesgos que entraña, motor fundamental de la economía digital.
Finalmente, y a pesar de que los “grandes tratadores” de datos personales (Google, Facebook y otros conglomerados de aplicaciones digitales de múltiples fines), con sus prácticas en esta materia, son los que en Europa y en el mundo forzaron este tipo de regulaciones, la Comisión Mixta decidió exigirles solo que señalen un correo electrónico, para que puedan tratar datos u ofrecer servicios a titulares en nuestro país. La Cámara había exigido al menos la designación de un representante legal en el país. Esta discriminación hará que todo este régimen técnico, administrativo, operativo, de inversiones, normativo, infraccional y sancionatorio tan estricto se aplique en plenitud a las empresas domiciliadas en Chile y no así a las grandes aplicaciones o plataformas de alcance global que no tengan esa condición.