Tanto la Ley Marco de Ciberseguridad (Ley Nº 21.663) como el Proyecto de Ley sobre Protección de Datos Personales, coinciden en un punto en cuanto a los sujetos obligados: un trato diferenciado para las micro, pequeñas y medianas empresas indicadas en la Ley Nº 20.416, entendiendo el rol estratégico que tienen en la cadena de […]
Tanto la Ley Marco de Ciberseguridad (Ley Nº 21.663) como el Proyecto de Ley sobre Protección de Datos Personales, coinciden en un punto en cuanto a los sujetos obligados: un trato diferenciado para las micro, pequeñas y medianas empresas indicadas en la Ley Nº 20.416, entendiendo el rol estratégico que tienen en la cadena de producción.
Pero además, por los desafíos propios de la adopción de una serie de obligaciones a nivel regulatorio, que no solo implica la adopción de medidas organizativas, sino también de índole técnico y contractual.
Por ejemplo, la Ley Marco de Ciberseguridad, en su artículo 5º inciso final, señala que la Agencia podrá tener en consideración el tamaño de la institución privada, para efectos de la declaración de importancia vital dentro de aquellos servicios esenciales como, los que no siendo, se vuelvan indispensables por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; entre otros factores. Esto debido al rol estratégico que tienen en relación con empresas de mayor tamaño, sobre todo cuando participan en cadenas de suministro o producción, y si bien, siendo actores “menores” tienen un rol crítico debido a su función en este proceso.
Lea también: Ranking Poliglota: estas son las 10 empresas con el mejor nivel de inglés en Chile
También, la Ley Nº 21.663, a propósito de los deberes generales aplicables para los servicios esenciales, permite que la Agencia pueda establecer medidas diferenciadas para cumplir con el deber de prevenir, reportar y resolver incidentes de ciberseguridad, en donde y como ha sucedido a nivel internacional, el rol de la existencia de kit básico para la identificación de su situación actual (ej. assessment) como el despliegue de acciones acorde a su riesgo, se torna un elemento que permite promover un enfoque proactivo a la gestión de la ciberseguridad, particularmente en cuanto a la gestión de incidentes.
El Proyecto de Ley que crea la Agencia Nacional de Protección de Datos Personales, se enfoca también en la necesidad de que las pymes cuenten con estándares diferenciados. Por ejemplo el artículo 14 septies, indica expresamente que los estándares o condiciones mínimas que tienen los responsables en el tratamiento de datos en cuanto a los deberes de información y de seguridad, recordando que deben tener en consideración la tipología de dato personal, el tamaño de la organización, la naturaleza de la actividad de tratamiento, el contexto, entre otros criterios.
Estos deberes pueden ser tremendamente complejos al momento de implementar dentro de una organización de estas características, por ejemplo, mediante la incorporación de tecnologías de encriptación o, la publicación de noticias de privacidad (privacy notice), por lo que la existencia de un régimen “liviano” será un tremendo incentivo para la adopción de una actitud proactiva al respecto.
Esto se ve reflejado también, a propósito de las disposiciones transitorias, en que el artículo 6to transitorio del Proyecto, indica que dentro de los primeros doce meses desde la vigencia de la normativa, aquellas empresas calificadas como de menor tamaño, la Agencia podrá aplicar como sanción la amonestación escrita, reemplazando las multas que establece la normativa y con el fin de promover el cumplimiento de la regulación desde un enfoque de incentivos.
En el mismo sentido, a propósito de los Modelos de Prevención de Infracciones que contempla el Proyecto, que son de carácter voluntario y tiene como uno de los elementos esenciales el nombramiento de un delegado de protección de datos personales, permite para este tipo de organizaciones pueda ser asumido por el dueño de la organización o su máxima autoridad. Ello con el fin de promover la adopción e implementación de esta forma de autorregulación que se centra en un programa de privacidad con los requisitos que pide la normativa, que en caso de que sea certificado por la Agencia, puede configurar una atenuante frente a posibles infracciones de la normativa.
Para concluir, ambas regulaciones buscan establecer una carga regulatoria diferenciada para las Pymes; especialmente, en un contexto en que existen varias regulaciones que no sólo implicarán un despliegue importante de recursos, sino también cambios dentro de la organización a nivel cultural, particularmente, en sus procesos y su relación con clientes como terceros, lo que a la fecha parece ser todavía una posibilidad remota y no una realidad, hasta que se materialice algún riesgo informático o de privacidad, como es una brecha de datos y por ende, no solo la posible sanción sino la configuración de daño reputacional.
*El autor es abogado en regulación tecnológica
⁎ Las opiniones expresadas son solo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Chile.
