Considerando la situación regulatoria que se encuentra viviendo nuestro país, muchas empresas se enfrentan a un nuevo desafío: acaban de implementar o adecuar un Modelo de Prevención de Delitos en función de la Ley N° 21.595 de Delitos Económicos, y ahora deben adaptarse a la Ley N° 21.719 de Protección de Datos Personales, que trae consigo exigentes obligaciones preventivas y establece elevadas sanciones —hasta 20.000 UTM— en caso de incumplimiento.

Con la próxima entrada en vigencia de la Ley de Protección de Datos Personales, será clave diseñar e implementar un Modelo de Prevención de Infracciones en esta materia y coordinarlo de manera eficaz con el Modelo de Prevención de Delitos, con el fin de minimizar riesgos legales y reputacionales. El reto está en lograr que ambos modelos convivan de forma eficiente, resguardando la especialización y autonomía de cada área.

¿Cómo enfrentar de forma estratégica este nuevo escenario?

La recomendación principal es no tratar el cumplimiento de la Ley de Protección de Datos Personales como un tema aislado, sino que se lleve adelante de manera sincronizada con la gestión de las exigencias en materia de compliance penal, reconociendo siempre que ambos modelos de prevención persiguen finalidades distintas y requieren enfoques específicos.

El Modelo de Prevención de Delitos tiene por objeto prevenir la comisión de determinadas figuras penales — y, naturalmente, salvaguardar la responsabilidad de la empresa—, mientras que el Modelo de Prevención de Infracciones en materia de datos personales busca que, en el tratamiento de información que permita identificar directa o indirectamente a una persona física, se garantice su privacidad y se evite el uso o divulgación indebida de esta información.

Dicho lo anterior, lo primero que debe hacer la organización es identificar y evaluar los riesgos específicos de datos personales: revisar qué tipo de datos personales maneja la empresa, cómo se almacenan, procesan y protegen, para identificar vulnerabilidades que puedan derivar en incumplimientos. Esta información debe quedar íntegramente detallada en una matriz de riesgos.

Esta matriz deberá convivir paralelamente y en forma coordinada con la matriz de riesgos en materia delictiva. El análisis de riesgos penales sigue una lógica distinta a la del tratamiento de riesgos en protección de datos, por lo cual se recomienda definir un marco común de clasificación de variables, que permita comparar, visualizar y priorizar riesgos, aun cuando respondan a naturalezas distintas.

Una vez confeccionadas las políticas, protocolos y controles integrantes del Modelo de Prevención de Infracciones en protección de datos personales, resulta crucial asegurarnos de que se encuentren armonizados y en coherencia con la normativa interna y controles del Modelo de Prevención de Delitos, para luego integrar la formación y comunicación ética en compliance penal y protección de datos en un programa único para la organización. Aunque los riesgos sean distintos, la cultura de cumplimiento debe ser transversal.

Las capacitaciones a los estamentos de la organización deben tener como eje central la integridad y responsabilidad de los colaboradores, incluyendo aspectos en materia de protección de datos, responsabilidad penal y toda otra materia relevante y aplicable a la organización. Es importante tener en consideración que si bien la formación y el entrenamiento en materia de datos personales se dirige a todos los niveles, debe tener especial foco y orientación en quienes gestionan información sensible.

Un elemento esencial para ambos modelos son los canales de denuncia a través de los cuales los colaboradores y terceros pueden reportar un incumplimiento o sospecha fundada de un ilícito. En este escenario, la empresa podría adecuar el canal de denuncias penal existente para que también pueda recibir denuncias relacionadas con vulneraciones de la privacidad o filtración de datos, edificando un canal de denuncias único con clasificación del tipo de incidente (penal o de datos personales).

Otro de los aspectos fundamentales en materia de datos personales es la función que desempeña el Delegado de Protección de Datos, quien debe hacerse cargo de supervisar, al interior de la organización, el debido cumplimiento de la normativa vigente y aplicable en la materia.

La persona que asuma este rol debe contar con la idoneidad, capacidad y conocimientos especializados necesarios para el adecuado ejercicio de sus funciones. Para ello, se requiere que: i) esté familiarizada con los procesos internos de la organización y la interacción entre sus distintas áreas; ii) posea conocimientos técnicos y jurídicos actualizados; y iii) sea un profesional íntegro, con habilidades de comunicación efectiva que le permitan impartir formación y atender consultas relacionadas con la materia.

Se recomienda que el Delegado de Protección de Datos trabaje en estrecha colaboración con el Sujeto Responsable del Modelo de Prevención de Delitos, a fin de desarrollar una visión integral y coordinada del riesgo, fortalecer una cultura organizacional basada en el cumplimiento ético y construir un sistema robusto que asegure la efectiva aplicación de ambas normativas.

Por último, es importante mencionar que, atendido el entorno regulatorio actual, es crucial monitorear y actualizar ambos modelos, ya que esto asegura su vigencia, efectividad y capacidad para proteger a la organización frente a sanciones legales y daños reputacionales. La inacción o desactualización de los modelos no es opción para una empresa responsable. Ignorar los riesgos legales y/o reputacionales asociados a la prevención de delitos y al tratamiento de datos personales no solo compromete la viabilidad de la empresa, sino también su legitimidad social.

Chile transita hacia estándares legales y de buenas prácticas cada vez más exigentes. Hoy no es suficiente implementar programas de cumplimiento aislados, sino que es necesario coordinar de forma efectiva y práctica el Modelo de Prevención de Delitos con el Modelo de Prevención de Infracciones en datos personales, siendo conscientes de sus notables diferencias pero también entendiendo que ambos comparten un objetivo común: proteger a las personas y resguardar la integridad de las organizaciones. (Santiago, 17 de junio de 2024)