Abogado asesoró la elaboración de la Ley de Datos Personales mientras creaba una consultora para ofrecer servicios en el mismo rubro

Mientras participaba en la elaboración de la ley que regula el tratamiento y la protección de los datos personales, el abogado Marcelo Drago, expresidente del Consejo Para la Transparencia, constituyó Data Compliance, consultora que presta servicios para cumplir con las obligaciones generadas por esa misma norma. Por ejemplo, la empresa ofrece prevenir “infracciones en datos personales” y desempeñar la función, creada por la nueva ley, de “delegado de protección de datos” de grandes empresas. Actualmente, Drago es parte de la Comisión Asesora Ministerial de Implementación de la Ley, la que integran tres docentes de un diplomado que él mismo dirige y por miembros de una asociación gremial que preside.

En 2017 comenzó la discusión en el Senado de la nueva Ley 21.719 que regula la protección y tratamiento de los datos personales, además de crear la Agencia de Protección de Datos Personales, que entrará en vigencia a fines de 2026. En su segundo trámite, el entonces proyecto pasó a la Comisión de Constitución de la Cámara de Diputados, a la que se invitó como experto al expresidente del Consejo para la Transparencia, Marcelo Drago. En la comisión se propuso un aumento de las multas para los infractores, así como un plan de cumplimiento en el que las entidades reguladas por la nueva norma deben designar un “delegado de protección de datos”. 

Alrededor de dos semanas después de que la iniciativa fue devuelta de la Cámara al Senado, Drago constituyó la consultora Data Compliance, que ofrece a las empresas asumir la función del “delegado de protección de datos”, un cargo que se propuso en la comisión en la que él mismo intervino, y asesoría para cumplir otras disposiciones de la futura ley. La norma siguió su tramitación y pasó a comisión mixta, instancia en la que también participó Drago, a pesar de que ya había creado la consultora que eventualmente se beneficiaría de las regulaciones que se discutían. 

“Se requiere, para los casos más graves, que la multa sea muy alta, para que exista un desincentivo a violar este derecho fundamental”, opinó Drago en la comisión de la Cámara Baja, según se aprecia en el registro de video de la sesión del 22 de noviembre de 2022 (vea ese video, minuto 1:27:49). CIPER revisó todas las actas y videos de las sesiones de la Comisión de Constitución de la Cámara de Diputados, segunda instancia en que se discutió esta ley, así como los informes de la posterior comisión mixta, constatando los sucesivos cambios al borrador y la presencia e intervenciones de Drago como invitado en ambos trámites. 

En la misma sesión, el diputado Leonardo Soto (PS), miembro de la comisión legislativa, presentó una indicación al Artículo 35 del borrador, el que define las sanciones por infracciones a la norma. Soto mantiene una relación cercana con Drago hace años, desde su periodo como concejal en San Bernardo. El legislador ha sido invitado al curso de derecho parlamentario que imparte Drago en la Universidad Adolfo Ibáñez y ambos firmaron una columna de opinión publicada por La Tercera sobre protección de datos personales, entre otras actuaciones en conjunto. El parlamentario es, además, socio fundador de la Asociación Gremial de Profesionales para la Protección de Datos Personales (AGPD), entidad presidida por Drago. 

Soto indica que “en algunas ocasiones específicas que tienen que ver con su especialidad y experticia, él me orienta y me asesora con respecto a proyectos de ley específicos”, por lo que CIPER le preguntó por qué Drago no figura entre sus asesores externos en los registros de transparencia de la Cámara. La respuesta del diputado es que esta es una asesoría voluntaria: “Ocasionalmente, cuando se trata de proyectos de ley que son parte de su especialidad, le pido orientación o algún tipo de asesoría, voluntaria por supuesto”. 

El borrador despachado por el Senado establecía que, para las infracciones leves, las multas irían hasta los 100 UTM ($6.926.500); para las infracciones graves, hasta los 5.000 UTM ($346.325.000), y para las gravísimas, hasta 10.000 UTM ($692.650.000). En su indicación, Soto propuso que se cobrara a las empresas que incurrieran en infracciones graves o gravísimas hasta 2% o 4%, respectivamente, de sus “ingresos anuales por venta y servicios y otras actividades del giro en el último año calendario”. 

El diputado señaló a CIPER que para este proyecto de ley ha consultado la opinión de varios expertos, Drago entre ellos, pero hizo énfasis en que las indicaciones y los votos son “única y exclusivamente de mi responsabilidad”. Agregó: “De hecho, no sé si seguí su criterio [de Drago] en todo, porque este proyecto es muy similar, algunos dicen que es idéntico, al GDPR [Reglamento General de Protección de Datos de la Unión Europea]”.

Pantallazo de video publicado por Soto una vez aprobado el informe de la comisión mixta.

El Ejecutivo propuso las mismas multas que Soto por porcentaje de ingresos anuales de las empresas, pero añadió un tope de 10.000 UTM y 20.000 UTM (unos $1.385 millones). Tanto Drago como Soto estuvieron en desacuerdo. En su intervención, Drago dijo que “si uno pone un techo a la multa, ese efecto disuasivo, ese desincentivo, se pierde”. De todos modos, los diputados aprobaron la indicación del ejecutivo. 

Otra modificación hecha por los diputados tiene que ver con el “Modelo de prevención de infracciones”, de carácter voluntario. En el primer borrador este podía concretarse de dos maneras: designando un “delegado de protección de datos” o adoptando un plan de cumplimiento. Pero, en la sesión de la comisión de la Cámara del 17 de enero de 2023, en la que estuvo Drago, se aprobaron varios puntos que debe seguir una empresa si, voluntariamente, quiere prevenir infracciones y evitar las multas que fueron aumentadas en la misma instancia. Así, con esta indicación, el modelo de prevención pasó a ser un plan de cumplimiento en el que se requiere designar un “delegado de protección de datos personales”, función que la consultora de Drago ofrece a las empresas.

El nuevo borrador se devolvió al Senado el 7 de marzo de 2023. Y el 20 de ese mes, Marcelo Drago constituyó Data Compliance SpA. La consultora señala en su web: “Implementamos modelos de prevención de infracciones para garantizar el compliance en protección de datos personales”. También publicita su servicio específico de delegado: “Entregamos asesoría experta al delegado de protección de datos, o puedes externalizar en nosotros sus funciones”. Y menciona algunos de sus clientes: “Aguas Andinas, Colbún, Suralis y DeepTalk”.

Durante el proceso de elaboración de la ley de protección de datos han sido invitados más expertos que asesoran a empresas y que, incluso, ofrecen el mismo servicio de delegado. “Todo el mundo sabe quiénes son los que están ahí, porque son los que más conocen el tema”, dijo a CIPER el diputado Soto. Y añade: “Por supuesto que tienen intereses personales, si no vienen de otro planeta, ni ejercen en la luna. Cada uno representa intereses de este tipo y ellos dan la opinión de su área, dan la opinión del mundo de los abogados, dan la opinión del mundo de la academia, dan la opinión del mundo de las grandes empresas. Pero, dan opiniones que pueden ser consideradas o no”. 

A diferencia de otros expertos que opinaron en el proceso, Marcelo Drago fue presidente del Consejo Para la Transparencia y constituyó su consultora mientras era invitado al debate para elaborar la ley. En concreto, Data Compliance se creó entre el periodo en que el proyecto fue discutido en la comisión de la Cámara y luego en una comisión mixta. Ambas instancias tuvieron a Drago como invitado y en sus sesiones se aplicaron cambios que, si bien siguen el modelo de la norma europea GDPR, establecieron requerimientos que dan pie a los servicios que ofrece el negocio del abogado.

El Senado rechazó 22 enmiendas de los diputados, por lo que el 23 de enero de 2024 se constituyó una comisión mixta para resolver los desacuerdos. A esta comisión también fue invitado Drago. En ella se aprobó una nueva indicación relativa a las multas, presentada por el diputado Soto y por el senador Keneth Pugh. Este último fue asesorado por la abogada Romina Garrido, docente de un diplomado que Drago dirige en la Universidad Central. Además, ella es socia fundadora y parte del directorio de la AGPD, la asociación gremial que preside Drago. Garrido, al igual que Drago, ofrece servicios de asesoría para el cumplimiento de la ley de datos personales en el estudio Prieto Abogados. CIPER contactó a la abogada, quien no quiso referirse al tema. 

Soto y Pugh propusieron un nuevo aumento a las multas: hasta 5.000 UTM para infracciones leves, 10.000 UTM para graves y 20.000 UTM para las gravísimas. Es decir, se aumentó cincuenta veces la multa para infracciones leves y al doble las que castigan infracciones graves y gravísimas. Además, la indicación propone mantener la multa de hasta 2% o 4% de los ingresos anuales para una “empresa distinta de aquellas definidas como empresas de menor tamaño” que reincidan en infracciones graves o gravísimas, respectivamente, pero esta vez sin techo. Así lo habían sugerido Drago y Garrido en una columna en La Tercera de diciembre de 2023: “Se utilizan porcentajes de la facturación porque es justo. Para organizaciones pequeñas, la multa será pequeña. Para organizaciones gigantes, será proporcional a su tamaño”. La indicación fue aprobada. 

CIPER consultó a Soto por el aumento sustancial de las multas. Son “muchísimo más bajas que las de la Unión Europea”, respondió. Y agregó: “Si uno quiere comerciar y hacer transferencia de datos con la Unión Europea, nosotros vamos a tener un régimen de sanciones menor que el de ellos. Vamos a ser como un paraíso fiscal para la infracción de los datos personales, porque vamos a tener sanciones inferiores”. El diputado explica que su indicación fue una fórmula para llegar a acuerdo, pero que “muchos expertos proponían las multas que estaban en el GDPR”.

Drago dedicando su libro “Compliance y Protección de Datos Personales: Explicación de la Ley N 21.719” a su amigo Leonardo Soto: “Para Leonardo Soto, gran amigo y actor clave”.

COMISIÓN ASESORA MINISTERIAL

El 5 de junio pasado se creó la Comisión Asesora Ministerial para la Implementación de la Ley 21.719, convocada por la Secretaría General de la Presidencia, la que debe definir cómo operará la Agencia de Protección de Datos (ADPD), entidad creada por la nueva ley para velar por el cumplimiento de la norma y aplicar sanciones. 

Marcelo Drago fue convocado a esta nueva comisión, esta vez como “representante de la sociedad civil”, por ser presidente de la AGPD, asociación que aún no cumple un año. Quien preside la comisión es Romina Garrido y la integran los abogados Lizzy Seaman y Emilio Oñate, todos socios fundadores de la AGPD y docentes en el diplomado que dirige Drago. Seaman, a cargo de la Secretaría Ejecutiva de la comisión, es además abogada de la División Jurídico–Legislativa de la Secretaría General de la Presidencia y representó en reiteradas ocasiones al Ejecutivo en la tramitación de la ley. CIPER intentó contactar a ambos a raíz de sus relaciones con el abogado, sin obtener respuesta. 

El 21 de julio se envió a la ministra secretaria general de la Presidencia, Macarena Lobos, el primer informe de la comisión de implementación. Ahí se propone aumentar los sueldos proyectados para los directivos de la nueva Agencia de Protección de Datos (ADPD), por lo que se pide incrementar los fondos para el primer año de funcionamiento de la nueva entidad de $1.721 millones a $4.178 millones. “Para la Agencia de Protección de Datos, la Ley previó remuneraciones brutas proyectadas, para el presidente del Consejo, de $7,1 millones, y de $6 millones para los consejeros, las que se encuentran por lejos muy por debajo del promedio de jefaturas de servicio de organismos fiscalizadores comparables”, señala el informe. 

SOLICITUD DE FACTURA