Como sabéis, el día viernes 25 recién pasado en Santiago se realizó, por la Unión Europea, un seminario con motivo de la entrada en vigencia de su Reglamento General de Protección de Datos (RGPD), llamado a constituirse en un estándar transfronterizo en la materia. En realidad ese día se realizó este evento en 3 lugares del mundo: Bruselas, Nueva Delhi y Santiago de Chile, pues todo indica que somos uno de los países prioritarios para la Unión Europea.
Tal vez la razón de ello es que nuestro país suscribió un tratado internacional vigente, el Acuerdo por el que se establece una Asociación entre la Comunidad Europea y sus Estados miembros, por una parte, y la República de Chile, que dice textualmente en su Artículo 202 “Las Partes acuerdan otorgar un elevado nivel de protección al procesamiento de datos personales y de otra índole, compatible con las más altas normas internacionales”.
¿Cuál es la más alta norma internacional en la materia?. A partir de ese momento lo es el Reglamento General de Protección de Datos, lo que significa que los estándares deben buscarse en su lectura, pues ese es el compromiso de nuestro país con la Unión Europea.
Recordemos que este tema es especialmente relevante en estos momentos, pues está en marcha en el Congreso Nacional una reforma total de la muy antigua y parchada Ley Nº 19.628, que regula el tratamiento de datos personales, y que lo que se pretende alcanzar como objetivo es que Chile adopte los estándares internacionales sobre la materia, y que nos den un bonito certificado de «país con un nivel adecuado de protección de datos» que nos habilite a participar sin restricciones en los mercados de servicios internacionales, a la vez que entregue a los ciudadanos una mejora sustantiva en la protección de todos sus derechos fundamentales.
Al evento fueron invitados a exponer actores relevantes del Congreso Nacional, el gobierno, las Universidades y la industria, siendo casi omnipresente durante todo el debate el elefante que había en la habitación y del que nadie hablaba directamente: la pretensión del Consejo para la Transparencia de ocupar también el rol de Autoridad de Protección de Datos, asunto para el cual ha desplegado un lobby feroz ante el Presidente de la República y demás autoridades públicas, e incluso en redes sociales y medios de comunicación para presentarse ante el público como defensor de los derechos de las personas en la materia (en el pasado, ha negado tener ese rol).
Ahora, el Seminario partió bien: el ministro de Hacienda, Felipe Larraín, hizo un fuerte discurso inaugural sobre la importancia de la adopción de estándares internacionales de protección de datos, con miras a la convergencia y participación de Chile en los mercados, asi como en su constitución como centro regional de innovación y exportación de servicios.
Pero a continuación habló la responsable de los mercados de capital del mismo Ministerio, quien matizó lo dicho por su superior indicando que había que tener cuidado, que esto podía afectar la economía, que la reforma de la ley era un primer paso, que había que respetar las particularidades de Chile, que tenían hasta el 7 de junio para presentar indicaciones al proyecto de ley y que podía suceder que la Autoridad de Protección de Datos terminara siendo el Consejo para la Transparencia. En resumen, insinuó que la reforma sería “a la chilena”, sin hacerse cargo de lo inútil que resulta todo el proceso legislativo si el objetivo se alcanza a medias, pues no nos señalarán como “país con un nivel adecuado de protección de datos”: tanto nadar para morir en la playa.
A su turno el directivo del Consejo para la Transparencia, Jorge Jaraquemada, explicó cómo debía ser idealmente una Autoridad de Protección de Datos de Chile, describiendo en realidad al propio Consejo para la Transparencia que representaba, pero sin mencionarlo.
Y a continuación el senador Felipe Harboe planteó dos cosas que me resultan preocupantes: la primera de ellas es que la nueva ley no podría sancionar a las multinacionales con domicilio en el extranjero, pues nuestro país era pequeño e irrelevante comparado con Europa. Supongo que se estaba refiriendo a la aplicación extraterritorial de la ley y no a la situación en la cual una empresa como Facebook o Google tiene una filial que vende publicidad y otros servicios en Chile, y que cuando realiza tratamientos ilegales de información alega que esas operaciones tiene su origen en EE.UU. y que ellas, las filiales, pobrecitas e inocentes, son una empresa diferente que solo comercializa publicidad y que no tienen responsabilidad ni relación alguna con los hechos. En nuestro país, y hasta ahora, la Corte Suprema cae redonda con esta falacia argumentativa, pero en Europa los tribunales superiores ya se dieron cuenta que las empresas son parte del mismo modelo de negocios y que las matrices y filiales son interdependientes: lo importante es dónde se realiza el negocio y eso es lo que les otorga jurisdicción a los tribunales locales.
Lo segundo que dijo el senador Harboe es que la institucionalidad no podía ser el centro de la discusión y que la Autoridad de Protección de Datos podía ser el Consejo para la Transparencia o no, siempre que fuera capaz de cumplir con los fines y objetivos de la protección de los derechos de los ciudadanos. Esto es muy ambiguo, pues puede interpretarse tanto como un apoyo a la idea de la creación de una Agencia de Protección de Datos, de carácter técnico e independiente, o como el rediseño total del Consejo para la Transparencia, que hasta ahora tiene un cariz político; en cualquier caso hay que tener presente que en esto el que define la institucionalidad es el Gobierno y al Congreso solo le queda aprobar o rechazar (o negociar para que el Gobierno cambie de idea).
En el panel siguiente debo admitir que prácticamente me dormí: con lenguaje cansino contaban sus experiencias el representante de la autoridad de protección de datos de México, país al que no se le ha reconocido como país con un nivel adecuado de protección de datos; el representante de Argentina, quien confesaba que solo le habían reconocido como país con un nivel adecuado de protección de datos bajo solemne promesa de solucionar la falta de independencia de sus autoridades y que no estaban seguros de poder adaptarse al nuevo Reglamento, y también habló el responsable de la Unidad de Flujos de Datos de la Comisión Europea, quien nadó en generalidades.
El tercer panel, el más destacado de todos, versó sobre las oportunidades comerciales y de negocios en el ámbito de la protección de datos, en que se planteó que el Reglamento General de Protección de Datos va a ser el estándar de facto exigible a las empresas que realizan tratamiento de datos, quiéranlo las empresas o no, en la medida que pretendan relacionarse directa o indirectamente con otros mercados.
La moderadora recordó a los presentes que el retraso en la adopción de Chile de estándares internacionales en la protección de datos tienen su origen en las propias empresas, pues en algún momento movieron toda su capacidad de lobby para asentar el discurso de que proteger los datos era una cuestión muy onerosa y una traba al libre desarrollo del comercio, idea que grabaron con éxito en el ideario de quienes hacen política y que, cuando empezaron a quedarse atrás en el acceso a los mercados globales de servicios, intentaron revertir sin margen de maniobra.
Vamos ya al problema de fondo, el que da título a esta columna: al escuchar las diferentes posturas de los diversos actores es claro que no existe una posición única o al menos aproximadamente uniforme en el Gobierno y en los demás intervinientes sobre cuál debe ser el contenido definitivo de la ley, por lo que es predecible que al 7 de junio se presente por el Ejecutivo y otros una serie de indicaciones al proyecto de ley en actual trámite que, en vez de mejorarlo, lo transformen en un nudo gordiano sin que nadie tenga el poder de alzar una espada y cortarlo.
Ojalá me equivoque, pero así como están las cosas, tener una nueva ley de protección de datos durante este año es solo una ilusión.
Concuerdo plenamente tu descripción / resumen del evento, dejo ese sabor a que parece que «chilenizaran» el estándar RGPD, con tal de tener algo, entendiendo que «somos un país pequeño y pobre».
Creo que faltó mencionar al final del segundo panel, el laaaargo silencio luego de la «única pregunta» de todo el congreso, que decía relación al desarrollo de nuevas tecnologías que dejan u obsoleto o ineficiente el nuevo reglamento al ser técnicamente incompatibles con algunas de sus obligaciones (blockchain y el derecho al olvido)
Para mi fue la mejor parte del seminario.
A lo mejor no fue que «casi» me dormí.