Este ofrecimiento suele alegrarnos, despertando siempre nuestras mayores y mejores expectativas. Qué bien nos decimos a nosotros mismos, ya sabré yo que buen provecho darle.
El “dato” viene aquí dado el sentido de poder hacernos de una información que no está disponible para todos. Conocemos bien la evolución que desde una perspectiva legal ha tenido el tema, desde la nula consideración que existía en los ochenta y que permitió grandes e injustos enriquecimientos, hasta la situación que tenemos hoy día en que el dato o “información privilegiada”, en su verdadera dimensión, está debidamente regulada imponiendo serias responsabilidades en su manejo a quienes acceden y usan de ella indebidamente.
Pues bien, ocurre que ahora, para empresas y organizaciones, ha llegado el momento de preocuparse del tratamiento que le habrán de dar a otro tipo de dato, al dato puro y duro de las personas. Sí, a ése que en definitiva consiste en cualquier información que identifique o pueda identificar a una persona natural, como nombre, RUT, correo electrónico, dirección, datos de clientes, trabajadores, proveedores o pacientes.
Aún más, el concepto de tratamiento también es amplio: no solo almacenar, sino también recolectar, acceder, usar, transferir, analizar o eliminar datos. Es decir, si su empresa tiene una base de datos de clientes, planillas de personal, cámaras de seguridad o un formulario de contacto en su web, tenga bien claro que ya está sujeta a las disposiciones de la nueva Ley de Protección de Datos Personales (ley. 21.719).
¿Y qué ha ocurrido entonces con ellos? Pues, de alguna manera lo mismo que con el manejo de la información privilegiada. Hemos pasado de lo que en la práctica era un descampado absoluto en la materia, a una regulación que dispone la manera en que estos datos habrán de manejarse, e impone responsabilidades concretas si ello no se verifica debidamente, asociadas por cierto a sanciones que pueden eventualmente resultar gravísimas como lo son multas que pueden llegar hasta las 20.000 UTM. Como si fuera poco, no solo habrá que saber lidiar con el manejo de los datos, sino que enfrentarse al guardián de esta nueva institucionalidad, la Agencia de Protección de Datos, que nace a la vida con carácter autónomo y poder sancionatorio. En castellano simple, con dientes.
Este nuevo marco obliga a repensar cómo se recopila, almacena y utiliza la información personal, avanzando en tareas como el mapeo de flujos de datos personales en la organización, la implementación o actualización de avisos de privacidad y políticas internas, la designación de un responsable de datos personales cuando proceda, la implementación de medidas de seguridad tecnológicas y organizativas adecuadas, el establecimiento de protocolos para responder solicitudes de titulares de los datos, entre otras.
Si la tarea se acomete bien, creemos que la recompensa puede ir más allá de quedar al margen de graves sanciones y convertirse en una ventaja competitiva. La privacidad no es solo un asunto legal o tecnológico, es un nuevo estándar de gestión empresarial que no puede ignorarse.
Como frente a todo cambio legal profundo, la ley da un tiempo razonable para implementar los ajustes que necesariamente se deberán hacer al interior de las empresas, y así su vigencia comenzará en diciembre de este año. Habiéndose ya aparecido marzo, el tiempo es acotado para implementar las medidas y protocolos necesarios para cumplir con la misma. Si así no se hace, las consecuencias pueden ser devastadoras. Esto sí, créame que es un dato.
