Legitimación de las Bases de Datos anteriores a la entrada en vigencia de la nueva Ley de Protección de Datos
Uno de los principios estructurales de la nueva Ley de protección de datos es el principio de licitud, que exige que todo tratamiento tenga una base de licitud adecuada. Los responsables de datos que se hayan organizado con anterioridad a la entrada en vigor de la nueva Ley se enfrentarán a un gran reto: la adaptación de sus bases de datos a la nueva normativa, lo que supondrá claramente una carrera contrarreloj.
¿Qué se entiende por base de datos?
La nueva Ley de Protección de Datos de Carácter Personal define las «bases de datos personales» como un conjunto organizado de datos personales, cualquiera sea la finalidad, forma o modalidad de su creación, almacenamiento, organización y acceso, que permita relacionar los datos entre sí, así como realizar su tratamiento.
Esto significa que, estén los datos en una elaborada hoja de cálculo o en un simple cuaderno, si permiten relacionarlos y tratarlos, se consideran bases de datos.
La nueva Ley se aplicará, en general, a todo tratamiento de datos personales realizado por una persona física o jurídica, incluida la recogida y almacenamiento de datos personales en bases de datos.
Desafío para los responsables: Adaptar sus bases de datos a los nuevos requisitos.
Uno de los principios estructurales de la nueva Ley de Protección de Datos Personales es el de legalidad, donde cada tratamiento de datos debe tener una base de licitud adecuada.
Esto supone un reto importante para los responsables del tratamiento que gestionan bases de datos cuya recogida y tratamiento comenzaron antes de la entrada en vigor de la nueva ley.
En pocas palabras, será necesario que dichos responsables evalúen seriamente si sus bases de datos cuentan con una base jurídica adecuada y pertinente que les permita seguir tratando datos en ellas.
Por ejemplo, en aquellos casos en los que los responsables lleven a cabo tratamientos de datos bajo la base de licitud del consentimiento, deberán reevaluar si dicho consentimiento otorgado bajo el estándar de la legislación anterior cumple con los nuevos requisitos de la nueva Ley de Protección de Datos, que impone condiciones ostensiblemente más estrictas. Así, en muchos casos podría concluirse que estas bases de datos carecen de la base de licitud correspondiente, siendo necesario definer una nueva para continuar con el tratamiento.
¿Cuanto tiempo dispondrán los responsables para identificar una base de licitud adecuada para su base de datos?
El proyecto presentado en 2017 contenía un artículo transitorio que establecía un plazo de cuarenta y ocho meses para que las bases de datos existentes se adaptaran a los términos de la nueva Ley. Sin embargo, este artículo fue descartado, no prosperando en la propuesta final de la Ley.
En consecuencia, los responsables del tratamiento deberán regularizar sus bases de datos a la entrada en vigor de la ley. Es importante señalar que la nueva ley contempla un periodo de vacante de 24 meses desde su publicación en el Boletín Oficial. Si bien este plazo no es corto, experiencias similares demuestran que en algunos casos puede no ser mucho tiempo, por lo que el llamado es a realizar estas evaluaciones de las bases de datos lo antes posible.
¿Cuáles son las bases de licitud existentes?
La nueva Ley de Protección de Datos establece que el consentimiento es la regla general para el tratamiento lícito de los datos. Sin embargo, también considera lícito el tratamiento de datos personales sin el consentimiento del titular en ciertos casos, como en la ejecución de un contrato, el cumplimiento de una obligación legal, la satisfacción de intereses legítimos, entre otros.
Si el responsible no puede vincular su tratamiento con alguna de las otras bases de licitud, se enfrentará al reto de solicitar el consentimiento de cada uno de los titulares de su base de datos, considerando que el consentimiento debe cumplir con ciertos requisitos: ser previo al tratamiento, expreso, libre, específico en cuanto a las finalidades, informado e inequívoco.
¿Qué ocurre si el responsable no adapta una base de datos a alguna de las bases de licitud establecidas en la Ley?
El responsible se expone a una sanción grave, cuya multa podría ascender hasta 10.000 UTM (705.000 USD aprox.).
En caso de reincidencia, la Agencia de Protección de Datos Personales podría aplicar multas de hasta 30.000 UTM (2.114.470 USD app.), o hasta el importe correspondiente al 2% o 4% de los ingresos anuales por ventas y servicios y otras actividades del ramo en el último año natural.
Aunque la adaptación de las bases de datos en un breve espacio de tiempo supone un gran reto, también es una oportunidad para mejorar las prácticas de tratamiento de datos y garantizar la protección de las personas en relación con sus datos personales.
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
