Por qué las empresas no deberían esperar su aprobación para prepararse
Durante más de una década, la protección de datos personales en la República Dominicana ha vivido bajo la Ley No. 172-13. Fue una norma pionera para su tiempo, pero nació pensando, sobre todo, en los burós de crédito. Actualmente, el Congreso Nacional discute una modificación a dicha ley, el cual, de aprobarse, cambiaría radicalmente las reglas del juego, al conviertir la protección de datos en una obligación transversal que alcanza a prácticamente cualquier empresa que maneje información de personas.
En esencia, si su organización tiene clientes, empleados, proveedores o usuarios -es decir, si maneja y procesa datos personales-, esta reforma le concierne. A continuación, las novedades que más importan y lo que conviene empezar a hacer desde ahora.
La Ley 172-13 dedicaba buena parte de su articulado a regular las Sociedades de Información Crediticia. El proyecto, en cambio, se concibe como una ley general, pues aplica a todo tratamiento de datos personales, en cualquier sector -público o privado-, sin importar el soporte o la tecnología utilizada. En ese sentido, la protección de datos deja de ser un asunto regulado con especial énfasis en los burós de crédito para convertirse en un eje de cumplimiento de toda empresa, desde un comercio minorista hasta una clínica, un hotel o una empresa de ciberseguridad.
Quizá el cambio propuesto más visible es la creación de la Autoridad Nacional de Protección de Datos, un ente autónomo y especializado con potestades de regulación, supervisión, investigación y sanción sobre todos los sectores. Hasta ahora, el control se ejercía esencialmente sobre el ámbito crediticio a través de la Superintendencia de Bancos. Con la nueva autoridad, cualquier empresa puede ser objeto de una inspección, de un requerimiento de información y de sanciones reales. El cumplimiento deja de ser teórico, ahora tendrá quien lo vigile.
El proyecto amplía de forma notable los derechos de las personas sobre sus datos. A los clásicos acceso, rectificación y supresión se suman la portabilidad (el derecho a llevarse los datos en un formato reutilizable hacia otro proveedor), la oposición (incluida la oposición al marketing) y el derecho a no ser objeto de decisiones puramente automatizadas que afecten significativamente a la persona. Esto último impacta de lleno a quienes usan scoring crediticio, modelos de selección de personal o inteligencia artificial: deberán prever intervención humana y poder explicar la lógica de sus decisiones. Y todo derecho ejercido lleva un plazo de respuesta, por lo que la empresa necesitará un procedimiento ágil para atenderlos.
El proyecto introduce un enfoque proactivo: ya no basta con tratar los datos de forma lícita; hay que poder demostrarlo. Entre las obligaciones nuevas destacan la posible designación de un Delegado de Protección de Datos (DPO) según el tipo y volumen de tratamiento; la realización de evaluaciones de impacto cuando un proyecto entrañe un alto riesgo; la privacidad desde el diseño y por defecto; y -especialmente sensible- la notificación de las brechas de seguridad a la autoridad en un plazo breve, en 72 horas. Quien sufra un incidente y no sepa reaccionar a tiempo sumará, al daño reputacional, una infracción.
Otra novedad relevante es el alcance extraterritorial. La ley podrá aplicarse a empresas que, aun sin estar establecidas en el país, traten datos de personas que se encuentren en territorio dominicano, por ejemplo, al ofrecerles productos o servicios en línea. Además, el uso de proveedores en la nube o de servicios en el extranjero quedará sujeto a un régimen de transferencias internacionales más estructurado y exigente.
El régimen sancionador se moderniza con una graduación de faltas leves, graves y muy graves, y las cuantías crecen de forma sustancial: las faltas muy graves podrán alcanzar multas de hasta DOP50,000,000 (US$820,000). Para la gerencia de cualquier empresa, esto traslada la protección de datos del terreno del "deber ser" al de la gestión del riesgo financiero y reputacional.
¿Qué conviene hacer ahora?
El proyecto contempla un período de transición, pero la peor estrategia es esperar a que la ley sea definitivamente aprobada y luego a que entre en plena vigencia para empezar. Anticiparse reduce el costo de adecuación y la exposición al riesgo.
Este proyecto no debe ser visto como una amenaza. Todo lo contrario, bien gestionada, es una oportunidad para ordenar la casa, generar confianza y diferenciarse. Las empresas que lleguen preparadas al nuevo marco transmitirán a sus clientes algo cada vez más valioso: que sus datos están en buenas manos.
