La Protección de Datos Personales se ha convertido en un tema de creciente preocupación en todo el mundo, y América Latina no es una excepción.
Con el aumento del uso de la tecnología y la digitalización de la información, la privacidad y la seguridad de los datos personales es un factor crítico para empresas, gobiernos y ciudadanos por igual. En este contexto, el compliance es esencial para garantizar el cumplimiento de las leyes y regulaciones aplicables por jurisdicción y proteger los derechos de autodeterminación informativa de los individuos.
Sobre la experiencia que aportan los especialistas de las firmas miembros de Compliance Latam, podemos identificar una serie de factores claves que son comunes en la mayoría de los países de la región.
• Cumplimiento legal: El cumplimiento de las leyes de protección de datos personales es obligatorio para las empresas que operan en América Latina. Cada país tiene su propia legislación en materia de protección de datos. El no cumplimiento de estas leyes puede dar lugar a sanciones significativas, incluyendo multas, y daños a la reputación de la empresa. Chile se encuentra próximo a tener una ley de protección de datos acorde a los estándares europeos. En este sentido, el compliance en protección de datos es esencial para evitar posibles sanciones y asegurar el cumplimiento legal.
• Confianza del cliente: La confianza del cliente es un activo intangible valioso para cualquier empresa. Los consumidores están cada vez más preocupados por la protección de sus datos y esperan que las empresas utilicen adecuadamente su información personal. El incumplimiento de las leyes de protección de datos puede tener un impacto negativo en la percepción de la empresa por parte de su público y puede resultar en una pérdida de confianza. En cambio, el cumplimiento adecuado de las normas de protección de datos puede fortalecer la reputación de la empresa y mejorar la relación con los clientes, lo que a su vez puede tener un impacto positivo en la retención de los mismos y en la generación de nuevos negocios.
• Competitividad en el mercado: El cumplimiento en la protección de datos puede conferir una ventaja competitiva a las empresas en América Latina. En un entorno empresarial cada vez más globalizado, el cumplimiento de las leyes de protección de datos puede ser un diferenciador clave para las empresas que buscan expandirse en mercados internacionales o establecer relaciones comerciales con empresas de la Unión Europea o Estados Unidos.
• Mitigación de riesgos: El cumplimiento en la protección de datos también ayuda a mitigar riesgos legales y reputacionales para las empresas. El incumplimiento de las leyes de protección de datos puede tener consecuencias graves, incluyendo demandas, sanciones económicas y daños a la reputación de la empresa. Además, en América Latina, algunas leyes de protección de datos, como la Ley N° 25.326 en Argentina, contemplan la responsabilidad penal de las empresas y de sus directivos en caso de incumplimiento.
• Mejora de la cultura organizacional: El compliance en la protección de datos también puede tener un impacto positivo en la cultura organizacional de las empresas. La protección de la información y su correcto tratamiento no sólo afecta a clientes o terceros, sino que también involucra a los trabajadores de las entidades. Un modelo de cumplimiento apropiado en la materia podría incluso aumentar el compromiso de los colaboradores.
Es importante tener en cuenta que las leyes varían en cada país de América Latina, y es fundamental que las empresas estén en cumplimiento de las regulaciones específicas para la región en donde operan. Algunos países, como Ecuador, Urugua y Brasil, cuentan con regulaciones robustas en materia de protección de datos, mientras que otros están en proceso de implementación o actualización de sus leyes.
“En Chile, nos encontramos próximos a la promulgación de la Ley Sobre Protección de los Datos Personales, normativa que eleva el estándar de protección de los derechos de los titulares, generando nuevas obligaciones a los responsables del tratamiento. Adicionalmente, contempla la creación de una Agencia Nacional Protección de Datos, órgano autónomo que tendrá facultades de investigar, fiscalizar, normar y sancionar con multas de hasta 20.000 UTM a las entidades que no cumplan con su aplicación”, explica Constanza Pasarin, asociada de albagli-zaliasnik.
“En el 2021, Ecuador expidió su primera ley de protección de datos personales. Esta Ley, inspirada en estándares europeos, ha significado la adopción de estándares de protección muy elevados. Esto ha generado muchas oportunidades y restos. Con respecto a las oportunidades, la protección de datos personales en un país que no estaba acostumbrado a hacerlo implica una importante mejora en los derechos de sus ciudadanos al tener un marco que regula y protege el uso de sus datos”, comenta Daniel Castelo, Director de Bustamante Fabara. Y agrega: “Para las empresas ecuatorianas, si bien lograr la conformidad con las disposiciones de la Ley es un reto importante, una vez logrado, representa una oportunidad para su expansión en mercados con un alto nivel de protección como Europa. En un entorno cada vez más digitalizado, estas oportunidades cobran más relevancia. En ese sentido, un adecuado cumplimiento de la normativa de protección de datos no solo evita cuantiosas multas, sino que también prepara a las compañías para su inserción en mercado internacionales.”
El compliance en la protección de datos personales es de vital importancia porque el cumplimiento de la normativa contribuye a proteger los derechos de las personas, fortalecer la confianza del cliente, y mejorar la competitividad en el mercado mitigando riesgos.
Para León Weinstok, Director de BLP Costa Rica, “un manejo inadecuado de los datos personales de los clientes, además de las eventuales demandas y reclamos que pueda generar, ocasionaría una pérdida de confianza de los consumidores hacia la marca. De esta forma, la desconfianza generada por el tratamiento inadecuado de la información sería trasladada a la empresa como tal, ocasionando una afectación a la imagen de la marca con la consecuente pérdida que ingresos que esto representa.”
Giuseppe Manini, Socio de CPB Abogados de Perú y especialista en la materia explica que “en el caso de Perú contamos con una Ley de Protección de Datos Personales que data desde el año 2011, sin embargo, su plazo de adecuación se extendió hasta inicios del 2015, año a partir del cual las fiscalizaciones por parte de la autoridad competente empiezan a tomar viada sin importar el tamaño o rubro del administrado e imponiéndose multas de hasta 100 UIT. Estas fiscalizaciones han ido incrementando en el tiempo, particularmente a través de la revisión de sitios web o plataformas electrónicas. En ese sentido y a efectos de persuadir riesgos de infracciones, destacamos la necesidad de establecer medidas de seguridad en materia de protección de datos personales alineadas con la legislación aplicable y materializando adecuadamente el deber de información que por ley corresponde a quienes efectúen tratamiento de tales datos personales”.
Las empresas y organizaciones que tienen una cultura de cumplimiento no sólo evitan sanciones y consecuencias reputacionales, sino que también pueden obtener ventajas competitivas, lo que redunda en mejores oportunidades de negocios.
Uno de los temas que ha cobrado más relevancia en materia de ESG es la privacidad y protección de datos personales que deben implementar las empresas como una métrica fundamental respecto a los procesos y prácticas de gobierno y ética corporativa.
Dentro de las transacciones en las que las medidas de privacidad y protección de datos con las que cuenta una empresa o la falta de estas toman particular importancia es a través de los procesos de auditoria en operaciones de fusiones y adquisiciones (M&A).
A este respecto, los puntos relativos a privacidad y protección de datos a considerarse dentro de este tipo de transacciones son:
Auditoria legal
Uno de los pasos más relevantes en los procesos de M&A es la auditoria legal a la empresa o empresas que serán adquiridas o que participarán en el proceso de fusión.
Durante este proceso la empresa que será vendida o fusionada pone a disposición del posible adquirente cierta información, relacionada con sus clientes, proveedores y empleados, entre otros; dicha información puede incluir datos personales sujetos a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
En virtud de lo anterior, algunas de las consideraciones más relevantes a tomar en cuenta son las siguientes:
Verificar que la sociedad vendedora determine e identifique la información y datos personales que potencialmente serán divulgados como parte de la auditoría. Respecto de ellos, se debe solicitar los avisos de privacidad con los que cuente la parte vendedora, a fin de revisar que cumplan con los requisitos que establece la regulación de protección de datos en México. Por su parte, el potencial adquirente debe también determinar a quién se les dará acceso a los datos protegidos, incluyendo asesores externos que participarán en la auditoría.
Previo a que se lleve a cabo la divulgación de datos personales, es indispensable confirmar con la vendedora que esta cuenta con los consentimientos necesarios para llevar a cabo la divulgación.
Asumiendo que se cuenta con las autorizaciones correspondientes, una vez se determine y delimite la existencia y alcance de la divulgación tanto la parte vendedora como la parte compradora y los demás involucrados como la empresa objeto de la operación, o sus accionistas (dependiendo el alcance de la operación), deberán celebrar un convenio de transferencia de datos en el que establecerán las disposiciones relativas al alcance y contenido de la transferencia. Además, se debe proporcionar al tercero una copia del aviso de privacidad que se proporcionó a los titulares para que dicho responsable receptor procese los datos de la misma manera que el responsable cedente.
Todo el tratamiento de datos por parte del responsable receptor debe estar de acuerdo con el aviso de privacidad, y asumirá las mismas obligaciones que bajo la LFPDPPP, tiene el responsable que transfirió los datos.
Lo anterior, supone un proceso que debe revisarse detenidamente ya que de igual forma entra en juego el tema de confidencialidad de la operación y el manejo de comunicaciones con asesores externos, stakeholders, como empleados o clientes. Así como el resto de las obligaciones que, en materia de protección de datos, dependiendo del alcance de la operación, será relevante garantizar al interior de la empresa vendedora, por ejemplo, contar con medidas de seguridad necesarias y proporcionales.
Posterior la firma del convenio antes establecido, la empresa vendedora podrá proporcionar al potencial comprador los datos personales para su análisis en los términos y parámetros establecidos en el convenio.
Finalmente, para el cierre de la auditoria legal desde el punto de vista de protección de datos, existen dos posibles escenarios ya sea que la operación se concrete y por tanto se confirme la transferencia del “control” sobre los datos o bien que esta no se lleve a cabo y por tanto el potencial comprador no asuma dicho “control”. A este respecto, si la transacción se concreta, entonces la información será controlada por el adquirente quien deberá respetar los términos del aviso de privacidad bajo los cuales se obtuvo la información o bien obtener nuevamente el consentimiento de los titulares bajo su propio aviso o bien, de no concretarse el potencial adquirente deberá devolver, destruir o borrar la información que se utilizó en la auditoria de acuerdo a los términos del convenio de transferencia de datos que se hubiere firmado.
El 5 de octubre de 2022 entró en vigencia la Resolución SDCU Nº 1502/2022 (la “Resolución”) a través de la cual la Secretaría de Defensa del Consumidor y el Usuario (“SEDECO”) reglamenta los artículos 6, 9 y 20 de la Ley 6.534/20 “De Protección de Datos Personales Crediticios” (la “Ley de Protección de Datos”), aprueba el “Procedimiento para la tramitación de denuncias de consumidores y usuarios finales” y crea un “Registro Nacional de Denuncias, Inspecciones y de Infractores”.
A continuación, un breve resumen de las nuevas disposiciones:
1. Consentimiento informado
La Resolución establece que el consentimiento informado otorgado por el consumidor final a un proveedor, en los términos del artículo 6 de la Ley de Protección de Datos, sólo es aplicable al proveedor que lo obtuvo de manera directa.
Tampoco podría entenderse otorgado de forma implícita a otros proveedores, quienes no formaron parte de la autorización directa.
2. Derecho al olvido de datos crediticios
La Resolución establece que el plazo máximo de 5 (cinco) años para la conservación de datos personales crediticios, establecido en la Ley de Protección de Datos, debe computarse desde la fecha de incumplimiento de la obligación, salvo las excepciones previstas en la norma legal.
3. Denuncias por incumplimientos de la Ley de Protección de Datos
La SEDECO, como autoridad de control podrá iniciar las investigaciones de presuntas infracciones a partir de denuncias recibidas o, de oficio.
A efectos de recibir las denuncias, la SEDECO habilitará en su página web oficial un módulo específico para denuncias relacionadas con incumplimientos de la Ley de Protección de Datos, donde los consumidores y usuarios podrán interponer sus denuncias, indicando datos como: (i) Nombre y apellido; (ii) Tipo y número de documento; (iii) Identificación y RUC del proveedor; (iv) Domicilio del proveedor; (v) Breve relato de la denuncia; (vi) Solución esperada – petitorio; (vii) Documentación probatoria.
La Resolución aprueba el procedimiento para la tramitación de denuncias en el marco de la Ley de Protección de Datos.
4. Registro nacional de denuncias, inspecciones y de infractores
La Resolución establece la creación de los siguientes registros:
Registro Nacional de Denuncias;
Registro Nacional de Inspecciones; y,
Registro Nacional de Infractores.
Estos registros son creados con fines estadísticos y, a efectos de verificar casos de reincidencia.
El desarrollo y la adopción de la inteligencia artificial presentan una serie de desafíos, siendo en el ámbito laboral uno de los escenarios de mayor impacto por las variables e información a la que se puede tener acceso y que habilita a tomar decisiones de forma automatizada.
Por ello, con fecha 10 de junio de 2022, el Ministerio de Trabajo de España ha dado a conocer una “Guía práctica y herramienta sobre la obligación empresarial de información sobre el uso de los algoritmos en el ámbito laboral”, insumo a tener en cuenta por las organizaciones empresariales puesto que el modelo español siempre ha servido de base para la dictación del marco regulatorio en nuestro país. Más aún, cuando el documento es dictado con la finalidad de cumplir con las obligaciones que establece el Reglamento General de Protección de Datos española y la denominado “Ley Rider” (artículo 64 del Estatuto de los Trabajadores).
“Cada vez es más habitual que las empresas usen algoritmos o sistemas de inteligencia artificial para tomar decisiones de forma automatizada que afectan a las personas trabajadoras en materia de contrataciones, determinación de horarios, evaluación de rendimiento, control de productividad, ascensos, despido, etc. Métodos que, en ocasiones, pueden ser desconocidos para las propias personas trabajadoras o candidatas a un puesto de trabajo, que pueden considerar que dichas decisiones son tomadas por personas humanas”.
La guía contiene 20 preguntas al objeto de que sea respondida por la empresa, y esté a disposición de los trabajadores con la finalidad de conocer y comprender los efectos del uso de algoritmos, así como sistematizar un único documento las obligaciones y derechos existentes en materia de información algorítmica.
Así, se contienen preguntas como las siguientes:
Qué tipo de tecnología utiliza el algoritmo.
Quién lo ha suministrado y cómo ha sido modificado.
Para qué decisiones se utiliza y en qué variables se basa.
Si hay intervención de personas cualificadas en los procesos de decisión y en qué medida participan.
Se trata en consecuencia de un avance e insumo de información que permite, de manera preventiva, y desde una lógica del Compliancepermitir analizar los impactos regulatorios del derecho comparado y de qué forma pudiesen incidir en nuestro país en un contexto de masificación de la inteligencia artificial.
Lo anterior, considerando aún más que, con fecha 22 de marzo del presente el Congreso remitió al Presidente de la República el texto aprobado del Proyecto de Ley que regula y sanciona los delitos informáticos (Boletín 12.192-25), el cual consagra una normativa que incorpora nuevos tipos penales que buscan resguardar la intromisión a los sistemas informáticos y el uso indebido de datos personales, siendo incluso aplicables a la persona jurídica.
En la misma línea, será necesario tener en consideración que el proyecto de ley de protección de datos personales (boletines refundidos N°11144-07 y N°11092-07), hoy en segundo trámite constitucional, sigue el modelo europeo en lo que respecta al derecho de oposición a valoraciones personales automatizadas. Esto significa que los empleadores deberán asegurar a los titulares–en este caso los trabajadores–, el derecho a obtener intervención humana en el tratamiento automatizado de sus datos (incluida la elaboración de perfiles laborales), a expresar su punto de vista y a solicitar la revisión de la decisión de que se trate.
Para obtener más información sobre estos temas pueden contactar a nuestros equipos Laboral – Compliance – IP, Tech and Data:
Francisca Franzani | Directora Grupo Compliance | ffranzani@az.cl
Constanza Pasarin, asociada de Albagli Zaliasnik, expone en este video tres riesgos que, sobre la base de la experiencia de la firma con sus clientes, son relevantes y transversales para todas las empresas.
