La implementación de la Ley N° 21.719 exige máxima precisión técnica y legal. Interpretaciones erróneas sobre derechos y obligaciones fundamentales pueden derivar en incumplimientos graves. A continuación, se profundiza en dos áreas críticas donde la confusión es habitual.
Es fundamental que los equipos legales y de tecnología comprendan cabalmente el funcionamiento de los derechos de los titulares (conocidos como ARCO-P: Acceso, Rectificación, Cancelación, Oposición y Portabilidad) y las herramientas preventivas que establece la nueva normativa.
1. Los Matices del Derecho de Supresión y el Desafío de la Portabilidad
Existe la noción generalizada de que el derecho de supresión (o cancelación) implica la eliminación inmediata e irreversible de los datos ("borrado físico") a simple solicitud del titular. Sin embargo, la normativa establece distinciones cruciales.
El Deber de Bloqueo: Cuando Eliminar no es una Opción Inmediata
En múltiples situaciones, la ley impide la eliminación inmediata de la información. Si un cliente solicita la supresión de sus datos, pero subsiste una obligación legal, contractual o judicial, la empresa no puede proceder al borrado.
Ejemplos comunes de impedimento:
- Obligaciones Contractuales: El cliente mantiene una deuda pendiente o un servicio activo.
- Requerimientos Legales: Normas tributarias (SII), laborales (Dirección del Trabajo) o sectoriales que exigen conservar registros por plazos específicos.
- Procesos Judiciales: Existencia de un litigio en curso donde los datos son relevantes.
En estos casos, procede el bloqueo de datos (Art. 8° ter):
- Definición: Consiste en la identificación y reserva de los datos con el fin de impedir su tratamiento para cualquier propósito distinto al que justifica su conservación legal.
- Implementación Técnica: Requiere segregar los datos, restringir severamente los accesos y asegurar que no sean utilizados en procesos operativos (como campañas de marketing). Una vez prescrita la obligación legal, se debe proceder a la supresión definitiva.
Portabilidad: Exigencia de Interoperabilidad
El derecho a la portabilidad (Art. 9°) va más allá del simple acceso. Obliga al responsable a entregar los datos personales en un formato estructurado, de uso común y lectura mecánica, permitiendo su transmisión directa a otro responsable si es técnicamente posible.
- Requisitos Técnicos: Formatos como XML, JSON o CSV cumplen este estándar.
- Incumplimiento: Entregar un PDF escaneado, una captura de pantalla o un archivo de texto plano desordenado no satisface este requisito y es sancionable.
2. La Evaluación de Impacto (EIPD): Una Obligación Preventiva
La Evaluación de Impacto en Protección de Datos (EIPD o PIA) suele ser vista erróneamente como un trámite opcional. La realidad es que es una herramienta de gestión de riesgos obligatoria para tratamientos considerados de alto riesgo (Art. 15 ter).
¿Cuándo es Mandatoria?
La ley exige realizar una EIPD con carácter previo a la puesta en marcha de tratamientos de alto riesgo. Casos típicos incluyen:
- Perfilamiento y Decisiones Automatizadas: Uso de algoritmos para evaluar rendimiento laboral, situación económica o preferencias, especialmente si producen efectos jurídicos significativos (ej. denegación automática de un crédito).
- Tratamiento a Gran Escala: Procesamiento masivo de datos (bases de clientes de retail, telecomunicaciones o banca).
- Datos Sensibles y Especialmente Protegidos: Tratamiento masivo de datos de salud, biométricos o relativos a menores de edad.
Metodología Rigurosa
Una EIPD no es un simple checklist. Es un proceso analítico y documentado que debe contener:
- Descripción sistemática del tratamiento y sus finalidades.
- Evaluación de la necesidad y proporcionalidad de las operaciones.
- Evaluación de los riesgos (probabilidad y gravedad) para los derechos de los titulares.
- Medidas previstas para mitigar dichos riesgos y demostrar el cumplimiento.
La omisión de una EIPD cuando es obligatoria constituye una infracción gravísima. Su correcta realización, en cambio, demuestra la diligencia debida de la organización ante la autoridad.