Contexto regulatorio actual v/s Proyecto de Ley de Datos Personales
En el contexto regulatorio actual, no existe una regulación del Modelo de Prevención de Infracciones, sin embargo, el Proyecto de Ley lo introduce y lo regula como un mecanismo de cumplimiento, detallando sus contenidos y sus beneficios. Además de esto, su cumplimiento puede consistir una atenuante frente a posibles sanciones a infracciones por parte de la Agencia.
Por tanto, existen importantes diferencias entre la actual regulación y el Proyecto de Ley:
| Ley 19.628 | Proyecto de Ley de Datos Personales |
|---|---|
| No existe alusión en cuanto a autorregulación o implementación de modelos de cumplimiento o prevención de infracciones. | Se regulan los programas de cumplimiento como un mecanismo de prevención de infracciones, detallando sus contenidos mínimos y los beneficios de contar con uno. El cumplimiento por parte del responsable de los deberes de dirección y supervisión del programa certificado, pueden constituir una circunstancia atenuante. |
¿Qué es un Modelo de Prevención de Infracciones?
El modelo de prevención de infracciones en protección de datos es un mecanismo de autorregulación, consistente en un programa de cumplimiento, por el cual las organizaciones adoptan una serie de procedimientos y obligaciones con el objeto de cumplir la normativa y prevenir la comisión de infracciones.
¿Son obligatorios o voluntarios?
La adopción de un modelo de prevención de infracciones constituye una opción voluntaria por parte del responsable de datos, no siendo obligatorio su elaboración e implementación dentro de las organizaciones.
Sin embargo, hay que recordar que el responsable de datos tiene una obligación de adoptar acciones destinadas a prevenir la comisión de infracciones. La implementación de un programa de cumplimiento puede ser un buen mecanismo para cumplir con dicha obligación general.
¿Qué debe contener un Modelo de Prevención de Infracciones?
El contenido de estos programas de cumplimiento está regulado en el Proyecto de Ley. Deben contener, a lo menos, los siguientes elementos:
- Identificación del tipo de información que se trata, ámbito territorial, categoría, clase o tipos de datos o bases de datos que se administran, y la caracterización de los titulares.
- Identificación de las actividades o procesos, sean habituales o esporádicos, en cuyo contexto se genere o incremente el riesgo de comisión de infracciones.
- Establecimiento de protocolos, reglas y procedimientos específicos que permitan a las personas que intervengan en las actividades o procesos, programar y ejecutar sus tareas o labores de una manera que prevenga la comisión de las referidas infracciones.
- Mecanismos de reporte hacia las autoridades para el caso de contravenir la ley.
- Existencia de sanciones administrativas internas, así como de procedimientos de denuncia o castigo de responsabilidades.
- Designación de un DPO, estableciendo sus medios y facultades.
Supervisión del programa de cumplimiento
Se debe adoptar como una obligación expresa la observancia del programa de cumplimiento, ya sea a través de los (i) contratos de trabajo o prestación de servicios de los trabajadores, empleados o prestadores de servicios del responsable, como de los terceros que efectúen el tratamiento; o bien, (ii) en el RIOHS.
Registro Nacional de Sanciones y Cumplimiento
El Proyecto de Ley contempla la creación de un Registro Nacional de carácter público administrado por la Agencia que consignara los modelos certificados de prevención y los responsables de datos que los hayan adoptado, así como aquellos revocados; y las sanciones que se hayan impuesto a los responsables de datos que hayan infringido la ley. Las anotaciones permanecerán accesibles al público por el período de 5 años.
Incentivos para la adopción de programas de cumplimiento
El cumplimiento diligente de los deberes de dirección y supervisión de los programas de cumplimiento certificados constituye una circunstancia atenuante, lo que deberá ser considerada por la Agencia al momento de determinar el monto de las multas. Asimismo, la regulación y cumplimiento por parte de las empresas constituye una herramienta que fortalece la imagen corporativa, la ética dentro de la empresa y que contribuye a evitar posibles sanciones.