1. La consagración constitucional. Contrario a la lógica jurídica, esa que establece que habiéndose consagrado un Derecho Fundamental en la Constitución de la República cuya regulación detallada se encomienda a la ley, la norma de rango inferior, general y abstracta debería dictarse posteriormente, el año 2018 se legisló para -nuevamente[1]- modificar en la Constitución, en su artículo 4°, la nómina de los Derechos Fundamentales protegidos. A esta fecha, además del respeto -por parte de la sociedad- y de la protección -por el ordenamiento jurídico- a "la vida privada" y a "la honra" de una persona y su familia, se asegura a todas las personas "la protección de sus datos personales". Cuando se agrega una frase que dispone que "el tratamiento y protección de estos datos se efectuará en la forma y condiciones que determine la ley", dicha referencia alcanza a la Ley 19.628 del año 1999 (en adelante LPDP).
Somos de aquellos que entendían que en el concepto de vida privada, para algunos sinónimo de privacidad e intimidad más no de confidencialidad[2], cabía subsumirse el tratamiento -terminología legal[3]- o el procesamiento informático o computacional de datos personales o nominativos. De hecho, la LPDP vigente se titula "de la protección de la vida privada". Ello, quizás argumento válido hasta la ley 21.096 del 2018, se torna un argumento sujeto a revisión y cuestionado. A esta fecha también, se está proponiendo considerar a la protección de datos personales como un derecho distinto de la honra o la privacidad, el que tendría un contenido específico y diferente, lo que sería lo mismo que identificarlo como un Derecho Fundamental autónomo.
2. La omisión esencial de 1999. Las críticas de forma y en especial de fondo y la falta de idoneidad de la LPDP chilena se levantaron antes de su aprobación[4]. Cuando durante el debate en primer trámite constitucional se hacía un paralelo con la legislación comparada en que se dijo fundarse (la ley sobre Informática, Ficheros y Libertades de Francia de 1978, la ley de Alemania o “BDSG” de 1990 y la LORTAD española de 1992), emanaban de manera natural sus omisiones e imperfecciones. O cuando en el Senado, en segundo trámite, se formuló oposición a las ideas de (i) transformar a la Contraloría General de la República en una Autoridad de Protección de Datos, o en definitiva y posteriormente, de (ii) omitir su existencia "para no ser burocráticos" (léanse las Actas respectivas), era precisamente por lo esencial de que existiera una Autoridad de control ad hoc. La LPDP es poco idónea porque faltó rigurosidad en el trabajo legislativo de la época, que por ejemplo, además nunca citó o analizó debidamente una Directiva Europea de 1995, de la forma permanente que hoy se hace del Reglamento General Europeo del 2018.
3. Afectación de las carencias al compliance. Entramos a los ámbitos del cumplimiento normativo y la gestión de riesgos legales y reputacionales, no tan simples como a priori pudiera parecer. Hoy, cuando los reparos son unánimes y se argumenta sin base sólida que la falta de idoneidad de la institucionalidad jurídica local, en materia de PDP, deriva de que a fines de la década de los 90 no existía Internet, la omisión de un órgano de control o de una Agencia equivalente a lo que ha sido y puede hacer el Sernac para el derecho de los consumidores[5] o una Superintendencia ad hoc para la legislación  medioambiental, adquiere mayor relevancia en materia de "compliance". Porque puestos en el terreno de establecer modelos y programas de cumplimiento normativo y preventivo, analizándose los riesgos inherentes al procesamiento anónimo o sin registro de empresas que tratan la información nominativa exclusivamente con fines de lucro, es una utopía esperar -en resguardo de los titulares y propietarios individualizados- que se determinen acciones idóneas para evitar los daños reputacionales y los derivados del incumplimiento de normas legales y directrices internas[6]. La falta de esa Autoridad de Protección de Datos y de un Registro Público y obligatorio de Responsables de Bases de Datos (RBD), ha permitido -además- el surgimiento de un mercado, ganoso pero no regulado, de asesores en materia de compliance, que incorporan en su oferta tradicional la asesoría referida a los datos nominativos.
De existir el equivalente a la Unidad de Análisis Financiero  para promover la autoregulación del modelo de cumplimiento o sancionarse con las multas de la Ley 19.983, a concretos "sujetos obligados", o de establecerse sanciones penales en la ley 19.628 que nos sitúen en el contexto de la responsabilidad penal de las personas jurídicas de la ley 20.293, podría esperare un compliance riguroso y eficiente. La existencia de una Agencia autónoma y descentralizada funcionalmente es relevante, ya que el presupuesto esencial es que se trata de dar protección a un Derecho Fundamental, lo que aparece más importante que el lavado de activos y lo que también puede producir enormes beneficios económicos debido a un tráfico comercial, indebido y anónimo de bases de datos, sin autorización, sin consentimiento y para fines no declarados. Para la PDP en Chile hoy se ofrece lo que Adan Nieto denomina un modelo de cumplimiento normativo "autoregulado" voluntariamente y sin intervención pública[7]; empero, lo que este ámbito necesita y reclama, para que el compliance sea idóneo, es un modelo de "autoregulación regulada" -donde el Estado establece un marco general- o de "autoregulación  estimulada o coaccionada" -donde el Estado actúa imponiendo sanciones-, y no admite -en Derecho- el estándar de hecho hoy establecido sólo en sede de una precaria autoregulación.
4. En consecuencia, y de cara a sus elementos objetivos, será difícil alcanzar o aplicarse un modelo de cumplimiento normativo y una gestión adecuada de los riesgos -al menos legales- mientras no exista un modelo de cumplimiento ad hoc, idóneo y especial para el tratamiento de datos personales, que el proyecto modificatorio en curso de la Ley 19.628 tampoco establece. Era esperable sí, (i) porque el Legislador no ha entendido la importancia de los alcances del cumplimiento normativo y (ii) porque el mercado y los responsables de sistemas y bases de datos corporativas, que será regulado y gravado con fuertes multas graves, menos graves y leves, no está interesado en subir los estándares y que puedan ser fiscalizados y multados por ello.
Tampoco es mucho lo que puede esperarse de la autoregulación del mercado; (i) que no adoptará políticas internas idóneas; (ii) que no realizará un análisis preventivo de riesgos posibles y riguroso para su detección, identificación y cuantificación, para su gestión o administración y para su monitoreo y control; y, (iii) que no seguirá el rumbo de la adopción y certificación -sobre todo esto, de alto costo- de estándares específicos tales como las ISO 27001 sobre Sistemas de Gestión de Seguridad de la Información (SGSI), la 27002 sobre los controles de un SGSI y en especial la  27701, de Agosto del 2019, que especifica requisitos para establecer, implementar, mantener y mejorar continuamente un Sistema de Gestión de Información de Privacidad (PIMS) en la empresa[8]. Así por ejemplo y en concreto, si tenemos en mente -un solo elemento subjetivo esencial- en materia de PDP que el equivalente al Oficial de Cumplimiento de los modelos generales de compliance se denomina Delegado de Protección de Datos, la exigencia de que no sea un empleado de poca autonomía, de bajo presupuesto y de rango inferior en el sector privado o de que no sea un funcionario de carrera en el sector público no debiera ser transable.
El objetivo pues de implementar un programa de cumplimiento normativo, diseñando de motuo propio un modelo de organización y de gestión con la finalidad de prevenir irregularidades y evitar riesgos legales y reputacionales asociados al tratamiento de datos personales o nominativos, está abierto a las propuestas del mercado de las asesorías, lo que en definitiva, corre el riesgo cierto de no traducirse en un resguardo idóneo para el Derecho Fundamental de la protección de datos personales. Porque de quien los podría contratar, la administración o el gobierno corporativo -que es el elemento subjetivo de todo modelo- de muchas empresas dedicadas al negocio del tráfico de información o del intercambio de bases de datos, mediante contratos de cesión celebrados a espaldas de los titulares y propietarios de la información nominativa, no es dable esperar que se establezcan modelos idóneos de cumplimiento. (Santiago, 11 mayo 2020)

[1] La primera modificación al artículo 19 N°4 fue el año 2005, para suprimir la referencia a la "vida pública", lo que le daba un marco de tutela como Derecho Fundamental al Derecho a la Imagen Propia; recordemos, se suprimió por la posible amenaza a la libertad de expresión, a las libertades de opinión e información, y a que se pudiera entender que cabía tipificar el delito de difamación.

[2] La esfera de confidencialidad o secreto, en materia de PDP, alude a los sistemas, bases de datos o redes que para el tráfico de información deben poseer esta propiedad.

[3] En la LPDP, tratamiento es, en un configuración amplísima, "…cualquier operación  o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal,  o utilizarlos en cualquier otra forma".

[4] Véase el Cuaderno monográfico de la Universidad de los Andes (año 2001), disponible en https://www.uandes.cl/wp-content/uploads/2019/03/Cuaderno-de-Extensión-Jurídica-N°-5-Tratamiento-de-Datos-Personales-y-Protección-de-la-Vida-Privada.pdf

[5] La normativa actual del Derecho del Consumidor regula en alguna medida los planes de cumplimiento, su alcance y efectos, lo que fue precisado con la reforma introducida por la Ley N° 21.081, y en ellos el rol del Sernac es relevante.

[6] En otro escenario, el diseño de una Política Normativa adecuada apuntaría a evitar casos de accesos o revelaciones indebidas, de venta de bases de datos, o de uso no consentido de antecedentes nominativos.   

 [7] NIETO MARTN, Adan (2015), "Manual de cumplimiento penal en la empresa", Editorial Tirant Lo Blanch, p.36

[8] Véase la URL https://www.incibe.es/protege-tu-empresa/blog/conoces-nueva-norma-gestion-privacidad