Implementación de Nueva Ley de Protección de Datos Personales en Chile y desafíos para el sector Fintech.
Datos personales: Cualquier información que se pueda relacionar con una persona específica o que permita identificarla. Por ejemplo, nombre, rut, domicilio, email, teléfono, grabaciones de video, etc.
Contexto General y Alcance
La nueva norma de Protección de Datos Personales en Chile, recién aprobada en agosto de 2024, viene a responder a una necesidad imperiosa de actualizar y robustecer el marco legal vigente para la protección de datos personales, inspirada en el Reglamento General de Protección de Datos (GDPR) de la Unión Europea y permitiendo a Chile ser declarado por la Comisión Europea como país con un nivel adecuado de protección de datos. Este avance regulatorio es crucial en un entorno donde la digitalización y el manejo masivo de datos han incrementado los riesgos asociados a la privacidad. La normativa vigente, la Ley N° 19.628 sobre Protección de la Vida Privada, ya no era suficiente para enfrentar los desafíos actuales, lo que impulsó su modificación a una ley más robusta y acorde a los estándares internacionales.
La nueva legislación buscará establecer un marco legal moderno que garantice la protección efectiva de los datos personales de las personas. La ley se aplicará a cualquier tratamiento de datos realizado por entidades o personas constituidas en Chile, o cuando el tratamiento afecta a titulares de datos que se encuentran en el país, incluso si el responsable o encargado del tratamiento está ubicado en el extranjero. Los objetivos principales incluyen proteger los derechos de los titulares de datos, regular el flujo transfronterizo de información y garantizar la transparencia en el tratamiento de datos personales.
Nuevos Desafíos para los Abogados In-House en el Contexto del Open Banking
La nueva Ley de Protección de Datos en Chile impone retos significativos para los abogados in-house, especialmente en el sector Fintech, donde el manejo de datos sensibles es una parte integral de las operaciones diarias. Esta situación se complejiza aún más con la convergencia de esta regulación con la Ley Fintech, especialmente en el contexto del Open Banking. Este marco regulatorio permite la compartir ciertos datos financieros entre diferentes entidades, previo consentimiento del cliente, lo que genera un entorno donde la interconexión de sistemas y la transmisión de datos personales se vuelven complejas y propensas a riesgos.
Desde un punto de vista jurídico, los abogados in-house deben garantizar que las prácticas de Open Banking se alineen con las estrictas exigencias de la nueva Ley de Protección de Datos. Esto incluye asegurar que las transferencias de datos entre entidades cumplan con los principios de minimización y proporcionalidad, es decir, que solo se compartan los datos estrictamente necesarios y que las medidas de seguridad sean acordes al riesgo que representa su tratamiento. Además, es esencial que se garantice la licitud de cada transferencia, ya sea mediante el consentimiento informado del cliente o a través de otras bases de licitud reconocidas por la ley, como el cumplimiento de obligaciones contractuales o intereses legítimos debidamente ponderados.
Los contratos con terceros que participen en el ecosistema de Open Banking deben contener cláusulas específicas que garanticen el cumplimiento de las obligaciones en materia de protección de datos, tales como la obligación de implementar medidas de seguridad adecuadas, la notificación de brechas de seguridad, y la limitación de la subcontratación sin el consentimiento expreso del responsable de los datos.
Otro aspecto clave es la gestión de riesgos asociados al Open Banking. Los abogados in-house deben liderar la Evaluación de Impacto en Protección de Datos Personal (EIPDP) cuando las actividades de tratamiento presenten un alto riesgo para los derechos de los titulares, evaluando posibles lesiones a los derechos de los usuarios. Esto incluye situaciones como el análisis masivo de datos transaccionales, la monitorización continua del comportamiento financiero de los usuarios, o la transferencia de datos sensibles a múltiples entidades dentro y fuera del país. Estas evaluaciones deben ser documentadas y servir como base para la implementación de medidas adicionales de protección, asegurando que cualquier operación de tratamiento esté justificada y mitigada en términos de riesgos.
Desde una perspectiva jurídica, uno de los principales desafíos radica en la necesidad de garantizar que los mecanismos de tratamiento de datos estén en total conformidad con los principios de licitud, lealtad y transparencia que establece la nueva ley. El rol del abogado in-house se extiende más allá del simple cumplimiento; implica también la anticipación de riesgos y la implementación de medidas preventivas robustas. Esto requiere que las Fintech adopten un enfoque proactivo hacia la privacidad desde el diseño y por defecto, lo que significa que los abogados in-house deben trabajar estrechamente con los equipos de tecnología y desarrollo para integrar medidas de protección de datos en todas las fases de desarrollo de productos y servicios. Este enfoque multidisciplinario es crucial para garantizar que la privacidad no sea un añadido posterior, sino una característica central de todas las iniciativas tecnológicas.
Conclusión
El contexto actual, especialmente en empresas de tecnología como las FinTech, el compliance debe ir más allá de la simple adhesión a la ley, enfocándose en establecer una cultura corporativa centrada en la protección de datos como un valor esencial. Los abogados in-house deben liderar la creación de políticas internas claras, capacitaciones y mecanismos de reporte que permeen toda la organización, además de desarrollar un modelo de prevención de infracciones que asegure tanto el cumplimiento legal como la efectiva protección de los derechos de los titulares de datos. Este liderazgo jurídico es crucial en un entorno regulatorio dinámico, donde la adopción de buenas prácticas y la promoción de una cultura de accountability no solo evitarán sanciones, sino que también fortalecerán la confianza de los clientes, posicionando a las empresas de tecnología en Chile como líderes en la protección de datos y la transparencia en el mercado regional.
Por Vicente García Tellechea , Head of Legal en Levannta.
Si quieres seguir aprendiendo sobre el mundo Fintech y protección de datos, suscríbete a nuestro Newsletter para conocer cada detalle.
¿Dudas? Visita Levannta.com o agenda una reunión con nosotros aquí: AGENDAR
Nos vemos en el próximo Levannta Newsletter 👋🏻.
#Financiamiento #Inversión #Startups #Pymes #SaaS