Han transcurrido aproximadamente nueve años desde que entró en vigor la Ley de Protección de Datos Personales (“ LPDP ”) y su reglamento. Este régimen tiene sus orígenes en la antigua norma española que fue derogada por la actual ley española del 2018 a efectos de contemplar las nuevas obligaciones del Reglamento General de Protección de Datos, norma transversal a nivel europeo. Si bien durante los últimos años se han introducido cambios en la normativa local, todavía existe una agenda pendiente.

Por ejemplo, la LPDP guarda silencio respecto al tratamiento de datos en el marco de operaciones societarias en las cuales puede requerirse, a través de un due diligence, que las partes involucradas accedan a ciertos datos personales de la otra. Si bien, en la reforma del año 2017 se añadió al artículo 18 de la LPDP una excepción al consentimiento en los casos de transferencia de datos producto de una operación societaria, lamentablemente la reforma no abordó los aspectos vinculados al proceso previo a que se concrete esta operación. Ello si ocurre en la legislación española que recoge una presunción de licitud de uso de datos en los procesos de due diligence con el objeto de desarrollar la operación y siempre que el tratamiento de datos sea proporcional.

De forma similar, también existen aspectos del régimen de protección de datos que requieren ser precisados. Por ejemplo, el Reglamento de la LPDP prevé la clasificación de distintas conductas infractoras; sin embargo, existen tipos sumamente abiertos cuya aplicación queda a total discrecionalidad de la autoridad como el “dar tratamiento a los datos personales contraviniendo las disposiciones de la Ley y su Reglamento”. Este tipo infractor requiere de una clara delimitación para que los administrados tengan certeza de la conducta concreta qué puede ser sancionada.

Sin perjuicio de lo anterior, conviene precisar que la predictibilidad en cuanto al marco regulatorio no depende únicamente de reformas normativas. Ello pues las autoridades pueden aprobar también lineamientos, directivas o guías orientativas sobre materias específicas que van tomando relevancia. A modo de ejemplo, la autoridad nacional viene fiscalizando, desde mediados del 2019 y principios del 2020, el tratamiento de datos a través de ‘cookies’; sin embargo, hasta la fecha no existe una guía que oriente al administrado sobre cómo debe cumplir con sus obligaciones en esta materia.

Finalmente, toda regulación requiere de un necesario enforcement. Si bien las multas impuestas –en su mayoría a empresas privadas– se han duplicado en solo dos años (pasando de 3,5 millones aprox. en el 2019 a 6 millones aprox. en el 2021), las recientes noticias vinculadas a los múltiples casos de filtración de datos personales desde las instituciones públicas, debería generar también una preocupación respecto a la actividad pública en la materia.

En particular, se deberían destinar mayores recursos para verificar que las obligaciones previstas en la ley de gobierno digital e incluso en el decreto de urgencia que obliga a las instituciones, entre otros, a notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad digital, no queden simplemente en el papel. De la misma forma, no basta perseguir y sancionar con severidad a las plataformas que ofrecen la validación de antecedentes penales, policiales y judiciales de postulantes (así como a las empresas que las contratan), sino se toma acción alguna en contra de las instituciones públicas que permiten, precisamente, el filtrado de estos datos. La única forma de atacar un problema es desde su raíz.

En resumen, existe aún una agenda pendiente para robustecer el régimen nacional de protección de datos personales. Los programas de compliance, de hecho, pueden ayudar en la tarea de identificar y mitigar riesgos y brechas oportunamente para proteger la información personal que empresas (y Estado) tratan en su día a día.