Esta nueva normativa de protección de datos personales incorpora mayores obligaciones para las organizaciones y fortalece los mecanismos de fiscalización. ¿Qué cambia y qué medidas conviene implementar desde ahora para cumplir con la ley?
La entrada en vigencia de la Ley N.° 21.719 marca un cambio relevante en la forma en que las empresas deberán gestionar los datos personales. Ya no basta con contar con una política de privacidad publicada en el sitio web o con medidas básicas de seguridad informática. La nueva normativa exige demostrar que existen procesos, controles y responsabilidades definidos para el tratamiento de la información.
Esto impacta a todas las organizaciones que administran datos de clientes, trabajadores, proveedores, postulantes o cualquier otra persona natural. Por lo tanto, el cumplimiento deja de ser una materia exclusiva del área de TI y pasa a involucrar a distintas funciones dentro de la empresa, como recursos humanos, administración, operaciones, comercial, asuntos legales y cumplimiento.
Los 4 aspectos que las empresas deberían revisar
- Un régimen sancionatorio más exigente
La nueva ley incorpora un sistema de sanciones mucho más exigente que el vigente hasta ahora. Las multas se definirán según la gravedad de la infracción y las características de la organización. Por eso, es recomendable que las empresas revisen desde ahora cómo gestionan los datos personales e identifiquen posibles brechas antes de una fiscalización.
Además de las sanciones económicas, un incumplimiento puede derivar en procesos administrativos, reclamaciones por parte de los titulares de los datos y dificultades para demostrar el cumplimiento de la normativa ante clientes, organismos públicos o entidades que exijan este tipo de estándares.
- Una autoridad especializada para fiscalizar
La creación de la Agencia de Protección de Datos Personales introduce un nuevo esquema de supervisión.
Las empresas deberán estar preparadas para responder requerimientos de información, acreditar las medidas implementadas y demostrar que cuentan con procedimientos acordes con las obligaciones que establece la ley. La documentación de los procesos y la evidencia de cumplimiento pasarán a ser elementos fundamentales frente a una eventual fiscalización.
- La responsabilidad de demostrar el cumplimiento
Uno de los cambios más importantes de la nueva normativa es que las organizaciones deberán acreditar que administran correctamente los datos personales bajo su responsabilidad.
Esto implica conocer qué información se recopila, con qué finalidad se utiliza, quién puede acceder a ella, cuánto tiempo se conserva y bajo qué medidas de seguridad se protege.
También será necesario revisar la relación con terceros que procesan información en nombre de la empresa, como proveedores tecnológicos, plataformas de remuneraciones, servicios de almacenamiento, consultoras o empresas de marketing. En muchos casos, será necesario actualizar contratos y definir claramente las responsabilidades de cada parte.
- Nuevos derechos para los titulares de los datos
La ley fortalece los derechos de las personas sobre su información personal. Clientes, trabajadores, exempleados y postulantes, entre otros, podrán solicitar el acceso, rectificación, eliminación o portabilidad de sus datos en los casos que establece la normativa.
Responder oportunamente a estas solicitudes requerirá procesos internos claros y registros actualizados. Cuando la información se encuentra distribuida entre distintos sistemas, archivos o planillas, cumplir con estos requerimientos puede transformarse en un desafío operativo.
¿Por dónde comenzar?
La adecuación a la Ley N.° 21.719 requiere un trabajo coordinado entre distintas áreas de la organización. Algunas acciones que permiten iniciar este proceso son:
- Identificar los tratamientos de datos personales, determinando qué información se recopila, dónde se almacena, quién accede a ella y con qué finalidad se utiliza.
- Revisar contratos con proveedores, incorporando las obligaciones y responsabilidades asociadas al tratamiento de datos personales cuando corresponda.
- Actualizar políticas y procedimientos internos, definiendo responsables y criterios para la gestión de la información.
- Preparar protocolos para la gestión de incidentes, que permitan actuar de manera oportuna frente a una vulneración de seguridad o acceso no autorizado a los datos.
- Capacitar a los equipos involucrados, especialmente a quienes participan en la recopilación, uso o administración de información personal.
Prepararse antes de la entrada en vigencia
La implementación de esta normativa no consiste únicamente en incorporar nuevos documentos o actualizar contratos. En muchos casos será necesario revisar procesos que forman parte de la operación diaria y que involucran distintas áreas de la empresa.
Realizar este diagnóstico con anticipación permite identificar brechas, definir prioridades y planificar los ajustes necesarios antes de enfrentar procesos de fiscalización o requerimientos de los titulares de los datos.
En Baker Tilly apoyamos a las organizaciones en la revisión de sus procesos, contratos y controles relacionados con la protección de datos personales, con un enfoque orientado al cumplimiento normativo y a la gestión de riesgos, considerando la realidad y las necesidades de cada empresa.