Análisis

Protección de datos en Chile

Una nueva era para la privacidad

La Ley Pro Consumidor le entrega facultades fiscalizadoras al Sernac en materia de datos personales en las relaciones de consumo, impactando directamente en la forma en que las marcas hoy están usando la data para servir a sus clientes.

No cabe duda de que la nueva Ley Pro Consumidor trae consigo desafíos normativos importantes para las empresas. Además de reforzar la protección de los derechos del consumidor en distintas materias, le entrega al Servicio Nacional del Consumidor (Sernac) facultades fiscalizadoras en cuanto al uso de datos personales en las relaciones de consumo, lo cual trae un impacto directo en la forma en que las marcas han estado recolectando y utilizando la información de usuarios y clientes en sus estrategias de marketing y en la gestión y uso de data. (Para más información, visite nuestro análisis respecto al alcance del artículo 15 bis )

Con esta modificación al artículo 15 Bis de la Ley de Protección de los Derechos del Consumidor, sumado al avance legislativo del proyecto que modifica la Ley 19.628 de Protección de la Vida Privada, se abre la posibilidad de contar en Chile con un nuevo estatuto en materia de protección de datos personales, en línea con lo que está ocurriendo a nivel global.

“Una de las grandes falencias de la normativa de protección de data personal es que no contaba con un ente fiscalizador. Con esta modificación, se otorgan facultades para que el Sernac realice fiscalizaciones, interprete la aplicación de la ley mediante circulares, e inicie acciones judiciales en caso de que se encuentre involucrado el interés difuso o colectivo de los consumidores cuando se trata del uso de datos personales en relaciones de consumo”, explica el abogado y Senior Manager de Deloitte, Juan Pablo González.

El profesional aclara que el Sernac ejercerá sus competencias de manera complementaria con las de los reguladores actuales o futuros, como será el caso de la Agencia de Protección de Datos Personales, ente regulador que está contemplado en la reforma a la Ley 19.628, que actualmente se encuentra en segundo trámite legislativo.

Este proyecto establece principios que rigen el uso de los datos y robustece los derechos del titular de la información, al tiempo que consagra el consentimiento previo del consumidor como requisito indispensable para el tratamiento de datos, lo que en marketing se conoce como el Permission Marketing .

Al respecto, en una encuesta realizada por Deloitte a 500 consumidores chilenos durante el 2021 comprobamos que 2 de cada 3 opina que las marcas deben solicitar el consentimiento expreso para todos los usos de su data personal. En el caso de los servicios financieros, un tercio ve a la privacidad de los datos como uno de los principales criterios al momento de decidir la compra.

Y si bien valoran los anuncios relevantes, también les preocupa cómo se utiliza  su información personal, preferencias de compra y hábitos de navegación. De hecho, el mismo sondeo arrojó que el 63% está “alarmado” por el grado en que las marcas rastrean y utilizan sus datos personales, calificando como “espeluznante” acciones como la escucha activa, las recomendaciones basadas en la georreferenciación o el seguimiento con las cookies.

El Sernac en acción

En línea con dichas facultades, el Sernac ya está adoptando medidas tanto informativas como de fiscalización respecto del tratamiento de datos personales de los consumidores; y ha estado activamente analizando el mercado en materia de Internet de las cosas (IoT) y la percepción ciudadana respecto al uso de las cookies e, incluso, en cuanto al impacto del Metaverso y otras realidades virtuales en los actos de consumo.

Por ende, cualquier uso o tratamiento de data personal por parte de las empresas debe contar con: a) un acceso claro y directo a la información por parte del (actual o potencial) cliente; b) debe contar con el consentimiento previo, válido (específico al fin), informado (respecto del propósito por el cual se recopilan los datos y su posible comunicación pública), y expreso (otorgado por escrito) del titular de los datos, pudiendo revocar esa autorización al menos por el mismo medio que autorizó su uso y c) finalmente, tener en cuenta de que existen otras fuentes de licitud distintas al consentimiento para recabar información personal utilizadas comúnmente por empresas que actúan bajo el régimen de Marketing directo, las cuales, no obstante, tienen un futuro complejo teniendo en consideración las actuales exigencias del Reglamento General de Protección de Datos (GDPR) y los propios estándares que impondrá el Proyecto de ley sobre Protección de los Datos Personales en Chile.

Respecto a la calidad de los datos, el Sernac señala las empresas deben asegurarse de que estén actualizados y sean exactos; permitir que puedan ser modificados por los titulares; y que sean eliminados o cancelados, cuando ya hayan caducado o no exista fundamento legal para su uso.

Además, las empresas no deben solicitar más información de la que necesitan para, por ejemplo, en el contexto de un contrato de adhesión; usarla solo para los fines para los cuales fue inicialmente recolectada; y que todo tratamiento de datos personales debe sustentarse en una base legal. Asimismo, deben informar cuando esos datos vayan a ser utilizados por terceros.

En cuanto al uso de sistemas de Inteligencia Artificial y tal como advierte el Sernac, “debido a la alta complejidad asociada a sus funcionamientos, la imprevisibilidad de las decisiones y su comportamiento parcialmente autónomo” es que se vuelve necesario que los consumidores deben conocer, a lo menos, la finalidad de dicho sistema; su real injerencia en el proceso de contratación o ejecución de la prestación; las condiciones mínimas en las cuales funciona; la naturaleza de la interacción; y qué tipo de data personal se analizará o utilizará para “entrenar al sistema”. Además, la organización debe contar con canales oficiales para que los titulares puedan ejercer sus derechos en todo momento. Y más aún, el usuario debe saber expresamente que está interactuando con un sistema y no con un humano.

Lo que se viene

El Sernac ya está trabajando en los parámetros que regirán la fiscalización de prácticas abusivas en los contratos de consumo respecto de la información personal de los consumidores. Esto significa un avance (normativo) importante dada la asimetría de información que caracteriza las relaciones de consumo.

La circular que aprueba estos criterios trae consigo precisiones importantes respecto de los términos contractuales bajo los cuales los consumidores autorizan a los proveedores la recolección y posterior tratamiento de sus datos de carácter personal en operaciones digitales de consumo.

Por ejemplo, aclara que los Términos y Condiciones y las Políticas de Privacidad deben cumplir con las normas específicas contenidas en la Ley de Protección del Consumidor, destacando la necesidad de transparencia como requisito previo al consentimiento respecto de los datos recogidos y del tratamiento que se les dará.

Además, siempre deberán informar quién es el responsable del tratamiento de los datos personales, y sus datos de contacto; qué datos personales se recaban, para qué se usarán; bajo qué precepto legal; el plazo que los datos serán conservados; cómo se eliminarán; a quiénes podrá comunicar esos datos recogidos; y los derechos que tiene el titular de los datos.

Y adelantó que abordará en una circular adicional los alcances de la obligación del proveedor respecto del debido resguardo de los datos personales de los consumidores (obligaciones de seguridad).

En este nuevo escenario, es sumamente relevante que las empresas realicen un análisis interno sobre cómo están gestionando la privacidad y los datos de sus clientes o usuarios y comiencen a implementar programas de cumplimiento, que les permitan ir ajustando la operación y sus contratos de adhesión a las nuevas normativas; así como impulsar la adopción de estrategias de Permission Marketing, para obtener el consentimiento de sus clientes.

Juan Pablo Gonzalez
Senior Manager Risk Advisory
jgonzalezg@deloitte.com
 

Did you find this useful?