¿Es posible configurar un acto doloso de las personas jurídicas según lo dispone la nueva Ley de Protección de Datos Personales ?

La Ley de Protección de Datos Personales ya despachada, representa un avance crucial para la protección de los derechos de las personas. Las empresas deben estar preparadas para adaptarse a un nuevo marco legal que, aunque necesario, presenta varios desafíos. Los dos años de vacancia legal, no son para dejar todo para última hora, son una lección que como vimos en la implementación del GDPR es un periodo extremadamente corto para procesos que requieren profundas transformaciones empresariales para el cumplimiento de una ley.

Como sucede con muchas normativas complejas y de gran alcance, existen áreas que van a presentar complejidades en su implementación. En una conversación casual hace unos días, recordé haber alertado sobre uno de estos desafíos hace unos meses y quizás es el momento de volver a prestarle atención. Me refiero al capítulo de las sanciones, pero no al cuestionamiento del monto sino la calificación de infracciones gravísimas.

Según la redacción propuesta en el artículo 34 quáter, de la próxima Ley de Protección de Datos, las causales de infracciones gravísimas son, salvo un par de excepciones, actos cometidos “de forma fraudulenta”, “maliciosamente”, “a sabiendas”, es decir, con dolo. La pregunta es en consecuencia, ¿cómo se configura un acto doloso de las personas jurídicas en estos casos?

Al parecer está pregunta no tiene una respuesta satisfactoria, al menos, por las siguientes razones:

1.Contexto explicativo: Según lo ha señalado el Tribunal Constitucional en múltiples oportunidades, los principios inspiradores del orden penal contemplados en la Constitución Política de la República han de aplicarse, por regla general, al derecho administrativo sancionador, puesto que ambos son manifestaciones del ius puniendi propio del Estado. En ese sentido, para comprender esta problemática hay que analizar, en primer lugar, como el legislador ha regulado la responsabilidad de las personas jurídicas al aplicar la potestad punitiva penal.

2. En ese sentido, al determinar la responsabilidad penal de las personas jurídicas, el legislador adscribe a la teoría de la “organización defectuosa”, es decir, una persona jurídica es responsable penalmente cuando una persona natural vinculada comete un delito de los indicados en la Ley 20.393, siendo esta comisión facilitada o habilitada como consecuencia de una falta o mala implementación de un modelo de prevención de esos mismos delitos (organización defectuosa)

3. Por su parte, la sanción administrativa como otra manifestación de la potestad punitiva del Estado debería – por coherencia normativa – seguir esta misma línea, por lo tanto, no debería ser un elemento de configuración de una infracción gravísima acreditar el dolo por parte de una persona jurídica, aun cuando se cometa un acto doloso por una persona dependiente, ya que el dolo de las personas naturales no conecta directamente a un tipo dolo de la persona jurídica, sino que para generar responsabilidad de las personas jurídicas debiese corresponder esta a una “organización defectuosa” que propicia la comisión de conductas dolosas.

4.. Otro aspecto a considerar es que las sanciones administrativas poseen eminentemente uncarácter instrumental, es decir, buscan el respeto de las disposiciones de la ley y castigan su incumplimiento en consecuencia. Por lo anterior, no exige por regla general, dolo como un elemento subjetivo adicional, bastando para ello solo el incumplimiento, es decir, la llamada culpa infraccional.

5. Dentro de ese contexto, el establecer en la nueva normativa de protección de datos “un modelo de prevención de infracciones de datos personales” con requisitos equivalentes a todos los elementos de los modelos de prevención de delitos de la Ley 20.393, para incentivar el cumplimiento de la norma, tiene por finalidad ser una causal atenuante al momento de determinar una sanción, pero este modelo, debido a su estándar y alta carga regulatoria en su implementación se estructura como una acreditación de un actuar de forma diligente por parte de una empresa.

6. Pues bien, pongamos este siguiente caso: una empresa que acredite la debida implementación de un modelo de prevención de infracción de datos personales, y al implementarlo da cumplimiento a todas las obligaciones legales que le incumben, es decir, un actuar diligente, sea sancionada por configurar una infracción gravísima donde la infracción implica un acto doloso.

7. Entonces, vuelvo a la pregunta, ¿cómo se configura un acto doloso de las personas jurídicas si, a la vez, demuestra un actuar diligente? Además, de anular en gran medida el incentivo detrás de la figura de los modelos de prevención, resulta contradictorio que una persona jurídica implemente debidamente un modelo de prevención de infracciones de datos personales, y por lo tanto, se someta al cumplimiento de una ley según sus propias disposiciones, al mismo tiempo, sea sancionada por una infracción gravísima donde media un acto doloso.

8. Esta problemática planteada tiene consecuencias preocupantes provocado por una falta de seguridad jurídica. En efecto, ya que el establecimiento de infracciones y sanciones es ámbito de reserva legal, no se puede complementar por un reglamento,  dando paso a múltiples interpretaciones, volviendo al ejemplo, una empresa que actua diligentemente es sancionada por una infracción gravísima donde se podria interpretar que media el dolo por (a) el actuar doloso de su representante legal o (b) el dolo de cualquier persona dependiente. Tambien una empresa acusada puede argumentar que en ella no es posible acreditar el dolo, por lo tanto, no son aplicables las mas altas sanciones que determina la ley.

Asimismo, la falta de seguridad jurídica será un factor de cuestionamiento de esta norma por controles de constitucionalidad o de necesarias pero incomodas reformas para para una ley tan esperada.

Todas estas alarmantes consecuencias pudieron ser evitadas si se hubiese establecido causales de infracción gravísima objetivas, sin elementos subjetivos adicionales como la configuración de un acto doloso, lo cual por lo demás va en contra de lo dispuesto en nuestro ordenamiento jurídico a la hora de aplicar el ius puniendi estatal a las persona jurídica.